2014年6月19日企业信息安全体系建设交流讨论材料第二部分目录第一部分企业面临的信息安全环境企业信息安全的体系架构第三部分企业信息安全体系的建设第四部分企业信息安全管理的实践23超级互联的商业世界与极其复杂的IT环境超级互联的商业世界:激增的数字业务信息存储在消费者和企业所使用的虚拟云和社交平台、仪器、移动设备中,且可供访问。这就创造了一个极其复杂的IT环境—可能的攻击点几乎是无限的高级持续性的安全威胁:最有经验的对手现在正带来高级持续性威胁,他们通过密切的关注的坚持不懈来获取敏感业务信息的访问权限。这些攻击利用尖端的方法,可持续无限长的时间且具有专门的目标传统IT防御的有效性:如今,愈加多样的威胁侵蚀着传统IT防御(比如防火墙和防病毒软件)的有效性,甚至在许多情况下完全避开了这些控制企业面临的安全挑战:所有企业都迫切希望找到信任、透明度和隐私之间的绝佳平衡。企业实现这种更具挑战性的平衡而面临的三大压力:攻击面扩大攻击模式扩散且手法熟练威胁和解决方案异常复杂*根据思科2014年安全报告,IBM安全报告4业务业务IT支撑IT支撑客户企业IT技术客户企业IT技术传统业务模式新业务模式传统的企业运作模式信息安全仅作为后台数据的保障基本与业务无关的信息安全需求新的安全考虑安全是一个企业整体需求风险评估和企业连续战略都是今天董事会上讨论的话题企业对受过安全培训的人员需求越来越高业务模式的变革增加了企业信息安全的压力新的企业运作模式因客户和IT直接连线导致IT和业务流程的汇合安全不是单独的解决方案5企业的信息安全需求来自以下方面:法律法规与合同条约的要求组织原则目标和规定风险评估的结果风险评估是信息安全管理的基础企业的信息安全需求与风险管理视角安全策略SecurityPolicy保护Protect应急计划EmergencyPlan转移Mitigate风险分析RiskAnalysis预防Prevent从业务出发才能了解企业的风险关注安全遵守才能降低企业的风险残余风险ResidualRisk接受Risk第二部分目录第一部分企业面临的信息安全环境企业信息安全的基本框架第三部分企业信息安全体系的建设第四部分企业信息安全新领域挑战67企业信息安全框架的基本层面战略和治理框架合规和策略遵从安全治理、风险管理与合规风险管理框架安全运维视角:企业信息安全需要从全方位的视角去管理,而不是通过单一系统或程序来实现框架:合适的信息安全框架有利于指导安全体系的建设层次:从体系框架的角度,分为三层:安全治理、风险管理与合规安全运维基础安全服务与架构安全事件安全事件安全事件安全策略安全绩效安全外包监控响应审计管理管理管理安全运维物理安全。机房安全。视频监控安全基础安全服务与架构基础架构安全应用安全数据安全身份与访问安全。网络安全。开发生命周期。数据生命周期。身份验证。主机安全安全管理。访问管理。终端安全。业务流程安全。数据泄露保护。身份生命周期。Web应用安全。数据加密管理。应用开发环境。数据归档、。灾难恢复安全8安全治理、风险管理与合规安全治理、风险管理与合规是企业安全框架的最顶层,是业务驱动安全的出发点通过对企业业务和运营风险的评估,确定其战略和治理框架,风险管理框架,定义合规和策略遵从,确立信息安全文档管理体系信息安全治理不同于信息安全管理,是在宏观层面的战略角度上,对信息安全战略上的过程、结构与联系进行梳理与监控,以确保组织信息系统的安全运营管理能够沿着正确方向演进战略与治理框架•为组织的信息安全定义战略框架•指明具体安全管理工作的目标和职责范围•安全意识培养–宣传教育风险管理•对象确立•风险评估•风险处理•审核批准•监控审查•沟通咨询合规与策略遵从•加强对规范策略了解•确立企业需要合规的具体内容和实现方式•合规性建设,从管理与技术面落实规范与策略要求•合规性审计,提供综合性评述9相关标准规范:ISO27002与ISMS信息安全管理体系ISMS信息安全管理体系框架ISO27002是一个完整的信息安全控制模型,包含了11个主题,可以为企业带来:受业界广泛认同的方法论按业界最佳实践方针开展信息安全评估、实施、维护和管理为定义策略、标准、流程提供框架指南10信息安全运维安全事件监控安全事件收集安全事件归并过滤安全事件标准化安全事件关联分析安全事件显示安全事件响应记录日志分析确认事件处理系统恢复事后分析与跟踪安全事件审计全面的日志采集审计记录的规范化工作基于策略的日志过滤本地与网络结合的审计体系多维关系分析工作符合法案的内控报表工作安全策略管理主策略技术标准和规范管理规定和办法操作流程用户协议培训资料和用户手册安全绩效管理安全绩效考核计划安全绩效考核方法人员角色成熟度安全外包服务提供安全防护设备提供运营维护与安全事件监控服务制定安全运营策略及流程提供综合网络安全服务提供专级监控……安全运维是指在安全策略的指导下,安全组织利用安全技术来达成安全保护的过程安全运维与IT运维相辅相成、互为依托、共享信息和资源安全运维与安全组织紧密联系,融合在业务管理和IT管理体系中基础安全服务与架构基础安全服务与架构定义了企业信息安全框架中的五个核心的基础技术架构和相关服务基础安全服务于架构是安全运维和管理的对象,其功能由各自的子系统提供保证身份和访问安全身份验证访问管理身份生命周期数据安全数据生命周期安全数据泄露防护数据加密数据归档灾难备份及恢复11应用安全应用开发生命周期安全业务流程安全应用开发环境安全Web应用安全基础架构安全网络及周边安全主机安全终端安全物理安全机房物理安全视频监控安全……第二部分目录第一部分企业面临的信息安全环境企业信息安全的基本框架第三部分企业信息安全体系的建设第四部分企业信息安全新领域挑战12企业信息安全体系总体建设方法企业业务需求企业信息安全框架安全需求信息安全运维体系企业信息安全框架参考和吸取了行业经验与实践,可作为建设的参照从企业需求出发,参照企业信息安全框架,通过评估和风险分析等方法,定义企业安全需求根据企业安全需求,定义企业信息安全建设的内容与方向信息安全管理体系信息安全技术体系1314企业参照安全框架模型来帮助信息安全体系的建立专业服务ProfessionalServices管理服务ManagedServices软硬件Hardware&Software网络、服务器、终端Network,Server,andEnd-point物理安全PhysicalFacilities共同的策略、事件处理与报告人员与身份PeopleandIdentity实现方式…管控与风险管理GovernanceandRiskManagement结构化的控制框架支持性能、风险与符合性管理Structuredcontrolframeworksupportingperformance,riskandcompliancemanagement.安全架构威胁缓解与业务支持ThreatMitigationandBusinessEnablement数据与信息流程与应用DataandProcessandInformationApplication•管理上:管控与风险管理是安全的基础,它包括策略定义、遵从与合规、以及与审计相关的活动•技术上:威胁缓解与业务支持包括5大类安全功能,构成了安全技术架构•安全管理与技术:通过专业服务、管理服务、软硬件部署三种形式来提供组织与人员流程安全管理架构技术安全技术架构业务逻辑15IT基础架构执行企业信息安全体系建设是人员、流程与技术的整合越来越多的企业认识到:必须整合企业组织与人员、管理体系与流程、技术手段三方面因素,设计一致完整的安全架构、并持续实施才能获得理想的安全管控效果若干误区:•网络安全和信息安全概念的混淆•重视技术,轻视管理•重视产品功能,轻视人为因素•重视对外安全,轻视内部安全•静态不变的观念•缺乏整体性信息安全体系的考虑流程全架构作业准Product16企业信息安全管理架构应包含的内容企业信息安全金字塔描述了企业安全架构的构成安全原则:描述信息安全的业务需求价值安全政策:描述信息安全的目地、方向、愿景及责任安全标准:信息安全实施规则,包括技术、方法及其它细节安全流程:于跨单位实施政策标准的活动、工作及程序安全步骤:描述个人在流程上的详细工作安全架构:信息安全技术如何结合的细节安全产品:信息安全解决方案所选的产品及工具ISO27001要求企业建立起PDCA的模型,确保信息安全的持续发展。产品步骤建议策略安标原则事件汇总17企业信息安全技术架构应包括的内容完整性审计信任管理信息流控制接入控制授权管理信任关系确认管理审计系统接口认证管理接入控制接入控制策略审计系统接口信息流策略服务信息流管理数据流控图数据流过滤、边界防护审计系统接口信任关系库信息关系分发信任关系生命周期管理信任管理--单点登陆审计分析审计报告生成审计事件产生事件收集实时事件分析审计管理系统安全优化、可用性应用安全测试管理灾难恢复审计系统接口物理防护18企业信息安全管理体系的建设信息安全管理体系是信息安全保障体系的重要组成部分信息安全管理体系框架从企业管理的层面出发,按照多层防护的思想,为实现信息安全战略而搭建安全政策,标准–管理规定安全意识培养–宣传教育安全组织–管理控制审计–监督风险评估–发现问题19企业信息安全运维体系的建设包含的内容威胁分析与预警安全状态和时间的监控安全事件或事故的响应基于安全管控目标的操作行为与日志审计系统达到的效果统一的管理模式规范化的管理流程自动化的管理操作高级的维护管理量化的评估标准科学的考核体系防患于未然20企业信息安全技术体系的建设合适的安全技术解决方案,不但需要理解安全管理的要求,同时也为安全运维管理提供易于操作的平台企业安全技术体系的建立原则是要建设与管理制度对应的企业的安全架构设计解决方案设计与具体的安全技术的应用上,要考虑当前企业应用系统能够中常见的安全弱点安全技术规划的原则整体安全性的规划功能整合以统一管控考虑同时进行项目的影响从负面影响最小措施入手具有未来扩充性信息安全架构的对应接入控制信任管理信息流控制审计完整性安全技术体系的建设物理安全技术基础架构安全应用安全技术数据安全技术身份和访问管理21企业信息安全框架的应用为应对企业信息安全建设的需求,企业信息安全的各个层次可以对应到相应的安全服务在技术体系的建立过程中,可对应提供技术架构的参考第二部分目录第一部分企业面临的信息安全环境企业信息安全的基本框架第三部分企业信息安全体系的建设第四部分企业信息安全管理的实践22的安全意识,改进政策和培训。保护企业应用:具备端到端的能力以保障不可抵赖实流体量认填证充23企业信息安全体系的实践:确保有效的信息安全须做到五点安全性风险和薄弱环节的评估及管理:分析系统所面临的威胁,制定并实施正确的应对策略,治理和组织能力用以管理各种风险,并确保符合监管规范的要求。技术和网络基础设施的保护:保证端点的安全性和完整性,提供流量管理和配置管理。企业持续性经营和灾难恢复:确保能够从严重的技术故障和/或安全漏洞中迅速恢复,并做到从一开始就主动预防故障的发生。应用层传输层网际层网络接口层数据保密性数据加密数字签名访问控制路由控制安全机制数据完整性TCP/IP参考模型安全服身份认证和访问权限管理:为安全、有效认证服务地访问关键应用和资源提供支持,包括用访问控制户管理、供应和访问权限,以及增强用户数据完整性应用层面的安全——此方法集技术、控性务制、流程和管理于一体。流程全架构作业产品244.分两类进行产品的布置,并完成相应的作业指南:A.基本类:防毒软件、补丁工具、个人防火墙。企业身份管理平台与资产管理工具;B:符合与审计类:同步或提前布置符合与审计工具5.在实际的工作中,对第2步的规范、管理流程,进行修订。包括部署、执行、检查、培训、通知、符合与审计流程及相应的角色定位6.定期根据执行情况进行相应的改进与变更,包括对基本类产品的更换与日常支持