信息安全與IT運維.ppt

信息安全與IT運維 我們不能消除風(fēng)險 卻可以管理風(fēng)險 王朝陽2008年1月20日 提綱 什么是信息安全什么是IT運維信息安全與IT運維的關(guān)系怎樣開展信息安全工作信息安全最佳實踐信息安全工作模型 什么是信息安全 1 關(guān)于信息安全的定義很多 國內(nèi)外 不同組織給出不同的定義 但我們可以找出其中共性的部分 國內(nèi)學(xué)者的定義 信息安全保密內(nèi)容分為 實體安全 運行安全 數(shù)據(jù)安全和管理安全四個方面 我國 計算機(jī)信息系統(tǒng)安全專用產(chǎn)品分類原則 中的定義是 涉及實體安全 運行安全和信息安全三個方面 我國相關(guān)立法給出的定義是 保障計算機(jī)及其相關(guān)的和配套的設(shè)備 設(shè)施 網(wǎng)絡(luò) 的安全 運行環(huán)境的安全 保障信息安全 保障計算機(jī)功能的正常發(fā)揮 以維護(hù)計算機(jī)信息系統(tǒng)的安全 這里面涉及了物理安全 運行安全與信息安全三個層面 什么是信息安全 2 國家信息安全重點實驗室給出的定義是 信息安全涉及到信息的機(jī)密性 完整性 可用性 可控性 綜合起來說 就是要保障電子信息的有效性 英國BS7799信息安全管理標(biāo)準(zhǔn)給出的定義是 信息安全是使信息避免一系列威脅 保障商務(wù)的連續(xù)性 最大限度地減少商務(wù)的損失 最大限度地獲取投資和商務(wù)的回報 涉及的是機(jī)密性 完整性 可用性 什么是信息安全 3 美國國家安全局信息保障主任給出的定義是 因為術(shù)語 信息安全 一直僅表示信息的機(jī)密性 在國防部我們用 信息保障 來描述信息安全 也叫 IA 它包含5種安全服務(wù) 包括機(jī)密性 完整性 可用性 真實性和不可抵賴性 國際標(biāo)準(zhǔn)化委員會給出的定義是 為數(shù)據(jù)處理系統(tǒng)而采取的技術(shù)的和管理的安全保護(hù) 保護(hù)計算機(jī)硬件 軟件 數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞 更改 顯露 什么是信息安全 信息安全目標(biāo)總結(jié) 信息安全的目標(biāo)機(jī)密性Confidentiality完整性Integrity可用性Availability可控性controllability真實性Authenticity不可否認(rèn)性Non repudiation 什么是信息安全 涵蓋內(nèi)容總結(jié) 信息安全的涵蓋內(nèi)容物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理 提綱 什么是信息安全什么是IT運維信息安全與IT運維的關(guān)系怎樣開展信息安全工作信息安全最佳實踐信息安全工作模型 什么是IT運維 互聯(lián)網(wǎng)定義 IT運維是IT管理的核心和重點部分 也是內(nèi)容最多 最繁雜的部分 該階段主要用于IT部門內(nèi)部日常運營管理 涉及的對象分成兩大部分 即IT業(yè)務(wù)系統(tǒng)和運維人員 可細(xì)分為七個子系統(tǒng) 設(shè)備管理 對網(wǎng)絡(luò)設(shè)備 服務(wù)器備 操作系統(tǒng)運行狀況進(jìn)行監(jiān)控應(yīng)用 服務(wù)管理 各種應(yīng)用軟件與服務(wù)數(shù)據(jù) 存儲 容災(zāi)管理 對系統(tǒng)和業(yè)務(wù)數(shù)據(jù)進(jìn)行統(tǒng)一存儲 備份和恢復(fù)業(yè)務(wù)管理 對組織業(yè)務(wù)系統(tǒng)的監(jiān)控與管理 CSF KPI目錄 內(nèi)容管理 組織的對內(nèi) 外信息的管理資產(chǎn)管理 包括物理與邏輯資產(chǎn)信息安全管理 日常工作管理 職責(zé)分工 績效考核 知識平臺整理等 什么是IT運維 我的定義 組織為實現(xiàn)業(yè)務(wù)目標(biāo)而針對IT系統(tǒng)所采取的一切管理的總和 可以分為兩類 服務(wù)支持管理與服務(wù)交付管理 服務(wù)支持包括 事故管理問題管理配置管理變更管理發(fā)布管理服務(wù)交付包括 可用性管理能力管理服務(wù)水平管理外包管理 什么是IT運維 總結(jié) IT運維的目標(biāo)支撐組織業(yè)務(wù)目標(biāo)IT運維的內(nèi)容服務(wù)交付服務(wù)支持IT運維 ITIL Cobit CISA ISO20000 提綱 什么是信息安全什么是IT運維信息安全與IT運維的關(guān)系怎樣開展信息安全工作信息安全最佳實踐信息安全工作模型 信息安全與IT運維的關(guān)系 1 安全是IT運維的重要組成模塊 對于某些行業(yè)是關(guān)鍵模塊IT運維旨在謀求安全性與方便性安全保障著價值安全正在創(chuàng)造價值 網(wǎng)上銀行的安全性吸引了更多的消費者商業(yè)秘密的安全措施使得組織更具競爭力電子簽名法的出臺打消了使用者的安全疑慮具有安全認(rèn)證與強大容災(zāi)能力的郵件系統(tǒng)才能擁有海量的用戶 信息安全與IT運維的關(guān)系 2 安全與IT運維共有一個衡量標(biāo)尺 組織業(yè)務(wù)目標(biāo)業(yè)務(wù)需求驅(qū)動信息安全與IT運維需求信息安全與IT運維方案要適應(yīng)業(yè)務(wù)流程信息安全與IT運維方案要支撐業(yè)務(wù)的可持續(xù)發(fā)展業(yè)務(wù)目標(biāo)的調(diào)整驅(qū)使安全與IT運維的調(diào)整投資與企業(yè)戰(zhàn)略 風(fēng)險狀況密切相關(guān) 信息安全與IT運維的關(guān)系 3 安全貫穿了IT運維整個生命周期安全與IT運維都是一個過程 而不是一次事件每個IT運維流程都影響著安全的一個或者多個目標(biāo) C I A 失去安全的IT運維是失敗的運維安全的成熟度模型與IT運維的標(biāo)桿管理是吻合的 信息安全與IT運維的關(guān)系 4 IT運維與信息安全的融合安全公司試水運維 安全產(chǎn)品強化管理 監(jiān)控功能 支持IT運維運維支持類產(chǎn)品引入安全概念 集成安全技術(shù)信息安全融入IT運維流程中相關(guān)標(biāo)準(zhǔn)的認(rèn)證工作可以同時進(jìn)行 ISO20000 270001 信息安全與IT運維的關(guān)系 5 IT運維的趨勢彰示著安全的未來IT運維的標(biāo)準(zhǔn)化符合安全的 縱深防御 的理念I(lǐng)T運維的流程化提高了安全的可管理性 為改進(jìn)安全工作提供條件IT運維的自動化減少了人為失誤 降低了安全的成本 提綱 什么是信息安全什么是IT運維信息安全與IT運維的關(guān)系怎樣開展信息安全工作信息安全最佳實踐信息安全工作模型 怎樣開展信息安全治理 1 1 規(guī)劃根據(jù)組織業(yè)務(wù)與組織文化 制定安全目標(biāo)對組織進(jìn)行風(fēng)險評估制定安全基線 怎樣開展信息安全治理 2 2 實施根據(jù)安全基線 制定安全建設(shè)計劃 投資回報計劃建立信息安全管理框架 融合各種安全技術(shù) 產(chǎn)品 建設(shè)組織安全保障體系 對關(guān)鍵流程制定BCP DRP計劃 怎樣開展信息安全治理 3 3 評估參照Cobit 開展信息系統(tǒng)審計根據(jù)組織的業(yè)務(wù)流程 建立基于 平衡積分卡 的績效考評機(jī)制逐步分解 平衡積分卡 為若干個KPI KGI Metrics等 參照安全基線發(fā)現(xiàn)差距在盡量不影響業(yè)務(wù)連續(xù)性的前提下 采取有效演練手段 確保BCP DRP的有效性 怎樣開展信息安全治理 4 4 維護(hù)根據(jù)評估結(jié)果 進(jìn)行流程改進(jìn)標(biāo)桿管理 提高安全系統(tǒng)成熟度持續(xù)改進(jìn) 永不停止 怎樣開展信息安全治理 5 關(guān)于人 上述步驟中 并沒有列出 人 的因素 其實在整個安全治理工作中 人 是最關(guān)鍵的因素 對人的安全意識的培養(yǎng) 安全技能的教育伴隨著整個安全治理工作全程 不會僅限于某個特定步驟 怎樣開展信息安全治理 6 關(guān)于安全成熟度 系統(tǒng)安全工程能力成熟模型 SSE CMM 描述了一個組織的安全工程過程必須包含的本質(zhì)特征 這些特征是完善的安全工程保 包括6級 SSE CMM0 未實施級SSE CMM1 非正式實施級執(zhí)行基本實施SSE CMM2 計劃和跟蹤級規(guī)劃執(zhí)行 規(guī)范化執(zhí)行 驗證執(zhí)行 跟蹤執(zhí)行SSE CMM3 已定義級定義標(biāo)準(zhǔn)過程 執(zhí)行已定義過程 協(xié)調(diào)實施SSE CMM4 可管理級建立可測的質(zhì)量目標(biāo) 客觀的管理執(zhí)行SSE CMM5 持續(xù)改進(jìn)級改進(jìn)組織能力 改進(jìn)過程有效性 怎樣開展信息安全治理 7 關(guān)于績效考評與平衡計分卡 沒有績效考評無法度量信息安全治理的輸出一般來講 平衡計分卡從如下4個角度進(jìn)行財務(wù)角度成本預(yù)算 投資回報等客戶角度服務(wù)質(zhì)量 客戶滿意度 需求解決 高效的IT服務(wù)臺等企業(yè)內(nèi)部運營業(yè)務(wù)流程效率 登錄時間 故障發(fā)生率 故障平均修復(fù)時間學(xué)習(xí)與成長人才培養(yǎng) 技能發(fā)展等 提綱 什么是信息安全什么是IT運維信息安全與IT運維的關(guān)系怎樣開展信息安全工作信息安全最佳實踐信息安全工作模型 信息安全治理的最佳實踐 1 沒有管理層支持的安全治理的結(jié)果只有一個 失敗確保資金 人員的支持管理層的支持在一定程度上說明信息安全治理順從組織業(yè)務(wù)目標(biāo)怎樣得到管理層的支持 信息安全治理的最佳實踐 2 沒有規(guī)劃的安全治理 結(jié)果也是失敗信息安全治理是一個復(fù)雜的工程 沒有規(guī)劃只能失敗 信息安全治理的最佳實踐 3 遵循標(biāo)準(zhǔn)才能少走彎路相關(guān)的標(biāo)準(zhǔn)與體系 ISO20000 270001ITIL Cobit COSO相關(guān)的法律 SOX302 404信息安全等級管理辦法 信息安全治理的最佳實踐 4 信息資產(chǎn)分類 分級 實現(xiàn)有限投資的效益最大化信息資產(chǎn)分類 分級并不是簡單的資產(chǎn)清點信息資產(chǎn)分類 分級為進(jìn)一步的訪問控制做準(zhǔn)備信息資產(chǎn)的分類以業(yè)務(wù)流程為參照 分級以重要性為參照 信息安全治理的最佳實踐 5 建立縱深防御機(jī)制縱深防御機(jī)制被認(rèn)為是解決信息安全的最佳方法 是指在信息系統(tǒng)中的多個點使用多種安全技術(shù) 從而減少攻擊者利用關(guān)鍵業(yè)務(wù)資源或信息泄露到企業(yè)外部的總體可能性 在消息傳遞和協(xié)作環(huán)境中 縱深防御體系可以幫助管理員確保惡意代碼或活動被阻止在基礎(chǔ)結(jié)構(gòu)內(nèi)的多個檢查點 這降低了威脅進(jìn)入內(nèi)部網(wǎng)絡(luò)的可能性 怎樣建立縱深防御機(jī)制 信息安全治理的最佳實踐 6 預(yù)防為主 檢測與糾正并舉的安全控制措施安全問題發(fā)生的階段越靠后 解決安全問題付出的代價越高 信息安全拒絕完美主義 不要試圖消除所有的風(fēng)險雖然不能消除所有的風(fēng)險 但是可以管理所有風(fēng)險 信息安全治理的最佳實踐 7 安全治理是一個動態(tài)的過程 而非一次孤立事件安全策略的建立不是安全的終點安全產(chǎn)品的部署也不是安全的終點安全治理根本沒有終點 安全治理是一個循環(huán)公司業(yè)務(wù)目標(biāo)的調(diào)整對信息安全的影響新技術(shù) 新產(chǎn)品的發(fā)展帶來隱患或者機(jī)遇 wireless IM cc攻擊等 信息安全治理的最佳實踐 8 安全治理的過程就是發(fā)現(xiàn)并消除短木板的過程信息安全的短木板在很多方面都存在以信息防泄漏為例 大多數(shù)網(wǎng)關(guān)設(shè)備能支持訪問控制 能對郵件 網(wǎng)頁 ftp等進(jìn)行監(jiān)控并過濾 但是仍然存在其他途徑可以泄漏信息 包括移動介質(zhì) 無線通訊 以及近來越來越普及的即時通訊工具 信息安全治理的最佳實踐 9 安全的管理 歸根結(jié)底是對人的管理人的安全意識 安全操作 安全技能信息安全中最重要的環(huán)節(jié)是人 最薄弱的環(huán)節(jié)也是人 人可以解決技術(shù) 產(chǎn)品所不能解決的問題 比如SocialEngineeringAttack人可以管理技術(shù) 產(chǎn)品的缺陷 信息安全治理的最佳實踐 10 參照但不照搬最佳實踐沒有一個最佳實踐能適應(yīng)所有情況 包括