IBM信息化安全解决方案TheSecuredEnterprise李凯CISSP,CISA,CISM,BS7799LA高级IT架构师IBM全球技术服务,上海IBMISS从1997年开始对漏洞进行分析、研究、分类以来,已积累超过33000个漏洞,是全球最大的漏洞库。2007年上半年发现3273个漏洞,是十年来的首次下降----IBM《2007年中期安全攻击分析报告》互联网安全:“外忧内患”其中有90%漏洞是可通过网络从远程利用的。51.6%的漏洞在攻击成功后,可获得系统权限互联网安全:“外忧内患”互联网安全:“外忧内患”2007上半年,前20位被钓鱼网站攻击的公司(按字母顺序)。•BankofTheWest•BankofAmerica•BranchBanking&Trust•Chase•Citibank•DeutscheBank•E*TradeFinancial•Ebay•FifthThirdBank•NationalCity•NorthForkBank•PNCBank•PayPal•Postbank•RegionsBank•Sparkasse•U.S.Bank•VolksbankenRaiffeisenbanken•WashingtonMutual•WesternUnion互联网安全:“外忧内患”“紧箍咒”:国内外的安全法规越来越多,力度越来越大。¾美国公众上市公司需要遵循的萨班斯(SarbanesOxley)法案–IT治理(ITGovernance)和IT控制框架(ITControlFramework)–用户帐号管理和权限管理、保护组织记录、信息系统的安全审计、文档、邮件的归档¾针对服务组织的要求–由美国注册公共会计师协会(AICPA)发起的评估服务组织内部控制和安全措施是否充分的SAS70标准–BS7799/ISO27001标准,要求企业以安全风险管理为基础,建立信息系统安全管理系统ISMS¾国信办的《关于开展信息安全风险评估工作的意见》2006年元月–《信息安全风险评估指南》、《信息安全风险管理指南》,2006年4月18日正式成为国标,由国家测评中心颁布¾公安部2004年9月《关于信息安全等级保护工作的实施意见》66号文,等级保护–关于开展全国重要信息系统安全等级保护定级工作的通知(公信安[2007]861号)–安全等级保护国家颁布的安全等级保护技术要求¾公安部2005年12月颁布《互联网安全保护技术措施规定》82号令¾行业–中国电信2008年1月18日《CTG-MBOSS安全规范》、中国移动颁布多项安全规范–人民银行:支付清算组织管理办法及实施细则–银监会《电子银行安全评估指引》、《银行业金融机构信息系统风险管理指引》;银监会313号文件:全面开展信息科技评价审计、[2007]监会关于印发《商业银行操作风险管理指引》的通知;[2007]银监办发134号关于做好网上银行风险管理和服务的通知–巴塞尔新资本协议、PCI认证–深交所信息安全评估准则示例CIO/CSO的烦恼:企业内越来越多的“围墙”移动办公需求新的安全标准和合规法规任何时间,任何地点,无缝的IT基础服务CEO希望看到信息和应用的全景视图保护关键资产的安全和个人隐私合作伙伴和供应商之间的业务合作不断增长的数据外部安全威胁控制成本:提高运行效率人员层物理层数据应用层战略层技术层信息安全流程层¾你的安全策略是否完整?是否满足你的业务要求?¾人员角色和责任是否合理?¾安全流程是否合理并且有效?¾敏感信息和关键信息是否受到必要的安全保护?¾如何保证IT基础架构安全性和系统可用性?¾是否也恰当的考虑了物理安全措施?CIO/CSO的烦恼:IT风险管理和IT安全管理的“断层”需要适当转换思路,以适应企业信息安全的新挑战单一产品风险控制系统安全功能需求安全运维需求分散独立管理模式集成管理模式技术创新业务创新预防Prevent安全策略SecurityPolicy保护Protect缓解Mitigate残余风险ResidualRisk接受Accept应急计划EmergencyPlan风险分析RiskAnalysis企业的信息安全管理过程是风险管理的过程,选择正确方向和持续遵守是难点。从业务出发才能了解企业的风险关注安全遵守才能降低企业的风险EnterpriseInformationManagement&估和能力评估咨询服务全面的安全风险评估和安全能力评估,可以帮助企业制定合理的安全建设目标和计划,“选择正确方向”。IBM企业安全架构IBM安全能力评估BT/CIOIACorporateCEOIGSITSecurityFocalPointsITSecurityServicesProvidersBusinessTransformation/ChiefInformationOfficeInternalAuditIBMGlobalServicesRegionalCounterpartITAuditTreasuryAuditApplicationAuditResearchLabAuditGeneralAuditCorporatesecurityITsecurity定义IT架构中安全标准和规范,包括应用开发和维护,全球网站、邮件体系架构,基础设施安全,公共数据和数据仓库等的详细标准和规范确保IT安全服务,标准和流程在所管理的IT环境中实施。提供外包安全服务独立地和客观地评估IBM系统的内部控制状况标准制订者有经费结果检查者有权力标准执行者有能力信息安全的执行力,源自于有效的安全管理架构,必须从制度、组织和技能这三个方面来整体建设。风险管理,治理和合规威胁监控和弱点管理IBM企业信息安全解决方案,满足企业不同需求。IT基础架构安全身份管理信息和数据安全应用安全物理安全在数据传输中,在数据声明周期内,保障数据安全和防止信息泄密。前瞻性安全保护,保护网络、服务器和终端安全。在应用生命周期内,保障应用和业务流程的安全。合适的人,合适的理由,访问合适的IT资产和信息。集成的智能视频监控和物理安全评估。安全专业服务安全管理服务安全产品IBM提供:IBM端到端企业安全解决方案安全外包服务安全产品安全专业服务IBM物理安全解决方案IBM安全治理、风险和合规解决方案IBM威胁和弱点管理解决方案IBM应用安全生命周期管理解决方案IBM身份和访问管理解决方案IBM信息和数据安全解决方案IBM身份和访问管理解决方案理想的身份管理服务,能够建立身份和帐号的关联关系,保护信息资产。身份注册创建帐号分配和授权用户访问和审计清理和身份中止为用户创建身份和角色信息。基于角色和职责,为用户创建相应的帐号和密码。用户安全的、简单的访问IT系统。挂起或中止用户身份和相应帐号。用户角色变更IBM4A统一用户管理平台解决方案IBM安全运行中心SOC解决方案-系统/工具篇18安全日志收集设备SOC事件与问题管理系统SOC主控台AlarmingSystemSOC事件及问题管理中心(Remedy)Level-1值班工程师Level-2安全工程师1.Events发生事件交叉管理分析2.发出警讯2.安全事件报告单3.email/pager通知工程师3.在线转派问题单至Level-2工程师4.事件处理完毕并在系统上记录处理过程4.一线工程师确认处置结果并于系统上结案IBM安全运行中心SOC解决方案-运维流程篇信息服务管理安全监控中心作业NetworksInternetDatabasesSystemsApplicationsIBM集中安全审计平台WhodidWhattypeofactiononWhat?WhendidhedoitandWhere,FromWhereandWhereTo?IBM威胁监控和弱点管理服务IBM企业安全服务的优势•安全专业服务—理论与实践的结合–经实践检验的安全方法论与工具(ISF等),并在不断研发、整合中–IBM自身的信息安全管理体系,管理分布在全球164个国家的30万名员工、约5800多应用程序、12个数据中心,200个以上的互联网出口,可作为国内企业信息安全建设的最佳参考典范–不断积累的安全项目经验,安全知识库已超过6GBProduct流程作业步骤架构产品建议政策安全标准原则•安全管理服务—有保证的安全外包服务–IBM拥有七个安全运营中心,为企业提供安全监控、管理服务–完善的安全外包服务标准,2007MSS市场#1–IBM有超过3500多名的信息安全专家,6大安全实验室•安全产品—不断丰富的一流的安全产品(ISS)、软件(Tivoli、Rational)、服务器及存储–2007企业身份管理市场#1、2006弱点评估市场#1IBM中国安全服务团队¾全球3000多位信息安全顾问,大中华地区32位¾大中华第一家协助企业导入全企业信息安全管理顾问-UMC2001~2002¾同时提供端到端的信息安全服务,包括评估、规划、设计、实施、管理所有方面¾最少从业经验-5年,最资深从业经验-26年¾2004TW资策会调查报告–IBM资安顾问服务为”MISBestChoice“¾IBMe-Center作业环境为IBM全球第一个通过BS7799:2002/CNS17800的BRCS/SOC中心专业认证认证名称中国项目管理PMP(国际项目管理认证)4〉2316CISM(信息安全认证经理)3CISA(CertifiedInformationSystemAuditor)5ITIL认证6213〉46网络专长CCIEBS7799LA(BritishStandard7799LeadAuditor)国际BS7799主任审核员CISSP(CertifiedInformationSystemSecurityProfessional)国际注册信息系统专家IBM认证顾问Cobit认证信息安全顾问IBM中国安全服务成功案例总结•从业务出发,关注安全遵守•IBM端到端企业信息安全服务–企业安全风险评估和能力评估咨询服务–威胁监控和弱点管理解决方案–应用安全评估解决方案–SOC安全运行中心解决方案–4A统一用户管理解决方案–数据保护和隐私管理解决方案–智能视频监控安全解决方案谢谢!李凯kaili@cn.ibm.com