构建信息系统的安全管理平台-框架和实践--启明星辰

标题页构建信息系统的安全管理平台——框架与实践北京启明星辰信息技术有限公司咨询总监赵呈东摘要•构建信息安全管理平台1.原则、要求和大思路2.了解资产和业务3.了解威胁4.了解保障措施5.框架6.具体任务和建议1.原则、要求和大思路中办发[2003]27号国家信息化领导小组关于加强信息安全保障工作的意见（2003年8月26日）加强信息安全保障工作-总体要求•总体要求：–坚持积极防御、综合防范的方针，–全面提高信息安全防护能力，–重点保障基础信息网络和重要信息系统安全，–创建安全健康的网络环境，–保障和促进信息化发展，–保护公众利益，维护国家安全。加强信息安全保障工作-主要原则•主要原则：–立足国情，以我为主，–坚持管理与技术并重；–正确处理安全与发展的关系，以安全保发展，在发展中求安全；–统筹规划，突出重点，强化基础性工作；–明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。加强信息安全保障工作-九项任务•系统等级保护和风险管理•基于密码技术的信息保护和信任体系•网络信息安全监控体系•应急处理体系•加强技术研究，推进产业发展•法制建设、标准化建设•人才培养与全民安全意识•保证信息安全资金•加强对信息安全保障工作的领导，建立健全信息安全管理责任制2005年和2006年的动向•2005年–国家风险评估试点–应急预案编写和演练–等级保护工作试点和宣贯–萨班斯法案在商业领域产生影响•2006年–等级保护评估工作•2006年公通字7号文–3月风险评估指南宣贯活动–…安全的驱动力•问题–具体的安全事件等•政策–27号文等•体系化–整体规划•合规性–等级保护、风险评估等风险管理•风险管理的理念从90年代开始，已经逐步成为引导信息安全技术应用的核心理念•风险的定义–对目标有所影响的某件事情发生的可能性[摘自AS/NZS4360]ISO13335以风险为核心的安全模型风险防护措施信息资产威胁漏洞防护需求降低增加增加利用暴露价值拥有抗击增加引出被满足一般风险评估的理论基础国信办报告中的风险９要素关系图使命脆弱性安全需求安全措施资产价值资产威胁风险残余风险事件依赖拥有被满足抗击利用暴露降低增加增加增加导出演变成未被满足未控制可能诱发残留成本最精简的风险管理３要素三要素风险模型：R3-AST资产和业务Asset保障措施Safeguard威胁Threat信息安全工作的思路信息安全保障资产和业务保障措施威胁•信息安全工作不是仅仅防火墙、防病毒、入侵检测、管理制度……•已经逐步从单纯开发技术和产品本身，转向同时从整体保障框架着眼，解决实际问题，实现价值。从三个方面展开框架信息安全保障资产和业务保障措施威胁•到底哪些问题对我们是真正的危害•到底我们的系统中哪些是要重点保护的，我们的系统的特点和结构是什么•到底哪些措施最有效，现有措施的效果如何专业厂商要协助客户完善保障体系客户信息安全保障体系资产和业务保障措施威胁厂商提供的信息安全保障了解资产和业务提供保障措施了解威胁2、了解威胁客户信息安全保障体系资产和业务保障措施威胁厂商提供的信息安全保障了解资产和业务提供保障措施了解威胁政务网络面临的问题政务网络内部、外部泄密异常流量逻辑炸弹恶意代码黑客攻击违规操作隐蔽通道蠕虫病毒•多样化网络安全威胁3、了解资产和业务客户信息安全保障体系资产和业务保障措施威胁厂商提供的信息安全保障了解资产和业务提供保障措施了解威胁作安全必须了解资产和业务•“正确处理安全与发展的关系，以安全保发展，在发展中求安全”•等级保护的要求也要我们做到对自身的了解，才能做到适度的防护•我们对于信息系统的依赖程度决定了我们在安全上的投入怎么了解资产和业务(IT相关)•分析信息体系架构ITA–业务系统–网络分布形态–系统的层次性–技术和管理（组织结构）–时间（生命周期）–价值（资产价值、影响价值、投入）–……业务资产保障措施威胁关于资产和业务方面的趋势•用结构化的方法描述自身的资产和业务是更加系统化、更加全面地进行安全保护的基础–安全域方法逐步成为比较现实地描述网络和系统环境的方法安全域的概念•广义的安全域概念是–具有相同和相似的安全要求和策略的IT要素的集合。•这些IT要素包括：策略和流程物理环境网络区域业务和使命人和组织主机和系统常见安全域的划分方法•按照业务系统划分–优点：自然形成、划分简单–缺点：防护复杂、重复投资、影响易用性•按照防护等级划分–优点：防护简单、保护投资–缺点：割接成本高、影响易用性•按照行为特征划分–优点：针对常见的威胁进行更细致的防护–缺点：需要详细分析业务系统的行为边界接入域互联网接入区计算环境一般服务区计算环境域计算环境核心区网络基础设施域支撑性设施域骨干区汇集区接入区安全系统网管系统其它支撑系统外联网接入区内联网接入区计算环境重要服务区内部网接入区4、了解保障措施客户信息安全保障体系资产和业务保障措施威胁厂商提供的信息安全保障了解资产和业务提供保障措施了解威胁保障体系的实际组成解决方案/最佳实践产品服务平台技术积累技术环境——当前主流的基本安全产品•加密•防病毒•防火墙•入侵检测•漏洞扫描•身份认证•VPN•……技术环境——当前主流的基本安全服务•咨询服务•整体框架规划和设计•评估加固服务•对于主机和网络进行技术评估和加固•风险评估服务•对系统的整体风险进行评估并对风险管理提供设计•渗透性测试服务•安全教育和培训•……安全管理平台成为一个值得考虑的选择漏洞评估中心事件监控中心风险分析决策支持与预警系统响应管理系统显示报告ScannerIDSFWAV主机与网络设备人工审计外部响应系统（安全设备管理系统与网管）策略管理平台资源管理平台其他事件检测系统其他状态检测系统资产管理平台知识库外部协同用户管理安全知识管理平台自身安全5、框架客户信息安全保障体系资产和业务保障措施威胁厂商提供的信息安全保障了解资产和业务提供保障措施了解威胁信息安全保障框架信息安全保障框架VISAF资产和业务保障措施威胁•资产清单•面向网络拓扑•基于安全域/业务域•基于业务流分析•……信息安全保障框架信息安全保障框架VISAF资产和业务保障措施威胁•脆弱性管理•告警管理•事件管理•预警管理•威胁管理•……信息安全保障框架•通过S3-PPT方法展开保障措施保障框架-措施技术运营和管理人和组织组织策略运营认证防御监控审计应急内容安全保障措施资产和业务威胁技术运营和管理人和组织组织策略运营认证防御监控审计应急内容安全保障措施资产和业务威胁27号文的框架分析等级保护风险评估监控体系应急体系信任体系技术和产业法制建设标准化建设人才培养全民意识保证资金责任制技术运营和管理人和组织组织策略运营认证防御监控审计应急内容安全保障措施资产和业务威胁产品的框架分析IDS应用审计防火墙SAN防垃圾安全管理中心Scanner远程数据热备IPS防病毒加密机双因子PKIUTM技术运营和管理人和组织组织策略运营认证防御监控审计应急内容安全保障措施资产和业务威胁安全服务体系的框架分析评估加固教育培训MSS应急响应安全集成风险评估管理咨询技术运营和管理人和组织组织策略运营认证防御监控审计应急内容安全保障措施资产和业务威胁体系设计方案的框架分析安全监控体系安全审计体系安全防护体系应急恢复体系网络信任体系安全管理体系技术运营和管理人和组织组组组组组组组组组组组组组组组组组组组组保障措施资产和业务威胁启明星辰产品系天阗系天玥系天清系天榕系天瑶系泰合系天燕系启明星辰当前产品•天阗系–NIDS网络入侵检测–HIDS主机入侵检测–AFMS异常流量监控–天镜漏洞扫描系统•天玥系–天玥网络综合审计系统–天玥业务审计（移动业务）–天珣非法外联审计系统•天燕系–产品测评工具–服务评估工具–风险管理与控制系统–辑侦工具•天清系–防火墙和病毒网关–防拒绝服务系统–网络隔离机–天清短信过滤系统–天清防垃圾邮件系统•天榕系–天榕Linux网络备份系统–Webkeeper网站保护和恢复•天瑶系–加密机•泰合系–IMS入侵管理平台–综合安全监控平台SOC平台架构漏洞评估中心事件/流量/运行监控中心风险分析决策支持与预警系统响应管理系统显示报告ScannerIDSFWAV主机与网络设备人工审计外部响应系统（安全设备管理系统与网管）策略管理平台资源管理平台其他事件检测系统其他状态检测系统资产管理平台统一信息知识库外部协同用户管理安全知识管理平台自身安全范式化关联分析可视化响应管理资产/资源管理知识库配置管理6最佳实践建议•教育和培训•成熟产品–防病毒、防火墙、VPN、入侵检测、漏洞扫描•风险评估•框架式的安全建设规划•信息安全管理体系•安全域•监控体系、安全监控管理中心•事件管理体系、应急体系总结•构建信息安全保障体系1.原则、要求和大思路2.了解资产和业务3.了解威胁4.了解保障措施5.框架6.具体任务和建议谢谢