信息安全审计监控平台介绍(共41页).ppt

1、云计算环境下的云计算环境下的信息安全审计监管平台项目汇报信息安全审计监管平台项目汇报 项目名称：项目名称： 项目所属领域：新一代信息技术项目所属领域：新一代信息技术 云计算云计算 项目建设周期：项目建设周期：2011年年6月月2013年年6月月 项目承担单位：项目承担单位： 牵头单位：国都兴业信息审计系统技术（北京）有限公司牵头单位：国都兴业信息审计系统技术（北京）有限公司 合作单位：国家信息安全技术研究中心、中国电子技术标准化研究所等合作单位：国家信息安全技术研究中心、中国电子技术标准化研究所等云计算前与后云计算前与后企业运营成本下降企业运营成本下降企业运营效率提升企业运营效率提升企业服务、

2、数据从内部转为外部企业服务、数据从内部转为外部变迁云计算前云计算前云计算后云计算后云应用云应用服务器在哪里？服务器在哪里？业务流程可靠业务流程可靠吗？吗？防火墙架设了防火墙架设了吗？吗？还有谁在和我还有谁在和我们在用同一台机们在用同一台机器？器？会不会让竞争会不会让竞争对手看到我们的对手看到我们的资料？资料？云中云中数据在哪里？数据在哪里？文档在哪里？文档在哪里？日本有地震吗？日本有地震吗？云计算服务的安全风险云计算服务的安全风险 云计算服务存在着七大潜在风险： 风险一：数据被未知的超级用户访问风险：无法通过本地部署访问控制，及时发现或阻断超级用户对数据发起的访问 风险二：合规性建设能力未知的

3、风险：云计算环境下数据被存放在企业外部，难以提供合规性建设报告对数据安全保护能力提供证明 风险三：数据存储位置未知的风险：大量的基础设施和分布式技术的部署，导致用户对数据的真实存储位置不可知云计算服务的安全风险云计算服务的安全风险 云计算服务存在着七大潜在风险： 风险四：数据隔离保护未知的风险：虚拟化技术的运用，使用户难以获知正与哪个或者哪些其他用户共享相同的存储或处理设备，对于提供商在解决数据隔离保护问题方面部署措施的有效性更是难以获得充分、可信的信息。 风险五：数据恢复能力不可知风险：尽管云提供者承诺用户数据是安全的、可靠的、不会丢失，但是由提供商给出的这个承诺的客观性和公信力受到质疑，其

4、真实性只能在灾难发生的时刻得到验证云计算服务的安全风险云计算服务的安全风险 云计算服务存在着七大潜在风险： 风险六：增大司法取证困难的风险：多个企业用户共享相同的云服务，为支持针对某一个特定用户开展的司法取证活动，从大量的、来自不同用户的云访问日志中筛选信息，工作难度之高，操作风险之大可以想象。 风险七：长期可用性保证的风险：企业用户保存在云中的数据是否长期可用，难以得到一个公正、可靠的风险评价。云计算风险挑战云计算风险挑战云计算服务特色云计算服务风险信息安全的传统三大件防火墙、信息安全的传统三大件防火墙、IDS、防病毒面对这些挑战力不从心。、防病毒面对这些挑战力不从心。审计监管将成为云应用安

5、全的重点审计监管将成为云应用安全的重点云安全审计相关研究现状云安全审计相关研究现状 安全、可信、合规是推进云计算研究和应用的三大关键问题 形成产业联盟，合作解决云安全、可信、合规等问题 CSA(云安全联盟)，CCA（中国云计算联盟）,ZCA（中关村云安全产业联盟） 向审计监管领域寻求云安全保护最佳实践 云审计理念开始起步，并逐渐被更多的云用户和提供商认可 通过自动化手段持续监控云服务平台建设和运营风险 向用户提供监管审计服务，降低云数据安全风险 为提供商提供监管记录，证明安全、合规建设云平台以及提供可信、持续云服务的能力云安全审计相关研究现状云安全审计相关研究现状 标准是保障云安全建设的必要前

6、提 NIST SP 800-144云计算安全和隐私管理指南 SP 800-145 NIST云计算定义 CSA 云计算首要安全威胁 云计算关键领域安全指南v2.1 ISACA 与CSA合作开发云计算审计程序，建设云安全控制矩阵云计算与安全并行云计算与安全并行 2010年7月北京市启动实施“祥云工程行动计划”。祥云工程旨在促进北京市战略性新兴产业在新一轮国际竞争中形成新的优势。据了解，祥云工程已列入“十二五”软件信息服务业和电子信息发展规划。北京市希望经过3-5年的发展，使北京中关村成为我国云计算研究中心和产业基地，力求云应用的水平居于世界前列，使北京成为世界级云计算产业基地。 国家发改委办公厅颁

7、布的关于组织实施2009年信息安全专项有关事项的通知中明确的将“为基础信息网络和重要信息系统安全运行提供技术支持的信息安全专业化服务”做为支持的重点之一。云安全审计监管需要统一的标准云安全审计监管需要统一的标准云计算服务特色云计算服务风险云计算服务保障云服务保障基础云风险控制的杀手锏云风险控制的杀手锏信息安全审计监管平台信息安全审计监管平台项目建设思路项目建设思路 开发云审计标准 研究并云审计与云安全监管标准 建立云审计监管平台的标准体系 设计并实现云计算审计监管数据采集接口标准 搭建云信息安全审计监管平台 实施云监管审计项目建设思路（续）项目建设思路（续） 开发云审计标准 搭建云信息安全审计

8、监管平台 从基础设施、系统平台、应用软件三个层面纵深建设安全审计监管平台 部署两种引擎、两个中心 云计算审计监管数据采集引擎 云计算风险分析引擎 云计算审计监管数据存储中心 云计算审计监管的策略管理中心 实施云监管审计项目建设思路（续项目建设思路（续2） 开发云审计标准 搭建云信息安全审计监管平台 实施云监管审计 云审计用户服务平台 建立定期自动发送审计报告机制 提供用户自助查询审计服务机制 提供特色化审计要求订制服务 云审计企业服务平台 根据企业需求定期发送审计记录证明 根据审计监管数据分析云平台建设中存在的风险，为企业用户提供云平台改进建议 云安全监管服务平台 为监管机构提供自动化的、客观

9、的审计监管记录，为监管部门调整云平台建设监管要求、做出监管决策提供数据支持项目技术特色项目技术特色建设理念创新国都兴业是云安全审计理念的引领者，是国内外首批提出从监管审计角度解决云计算服务安全、可信、合规等问题的探路者应用风险的理念管理云计算服务建设和运营中存在或者可能存在的各类问题，为提供商、用户以及监管机构提供客观、公正的评估参考实现技术创新在六大关键技术上进行研究、探索和突破云采集分析归并技术、构建全云审计接口平台、云审计策略服务、海量存储快速检索、云数据访问动态基线自动建立、云风险识别决策算法体系化地规划平台建设探索全面、协调的平台体系架构建设三大平台、两个中心、两个引擎形成一系列标准

10、为平台建设提供理论指导和规范规范接口结构、统一审计监管要求，建设云风险评估模型和实施指南坚持技术自主综合运用具有自主知识产权的技术和产品搭建平台提升相关领域的技术自主研发能力增强平台建设和运营的可控性项目研发优势项目研发优势 技术产品相对成熟 多年致力于解决信息系统安全审计问题，在技术研发和产品建设方面形成经验积累 慧眼网络审计 慧眼数据库审计 慧眼主机审计 慧眼业务审计 慧眼运维审计 慧眼日志审计 慧眼恶意代码审计 慧眼综合审计 IaaS PaaS SaaS 项目研发优势项目研发优势 用户网络相对完善 项目牵头单位以及合作单位的业务用户广泛覆盖政府、军队、金融、通信等多个机构及重点行业 多年

11、来优良的产品及服务质量赢得用户群对本项目建设单位技术水平和安全理念的认可和支持 开展一定程度的部署实践 目前本项目已经在部分用户企业中开展小型私有云安全审计监管平台建设实践，为本项目的顺利开展奠定了技术基础项目研发优势项目研发优势 平台优势 国都兴业信息审计系统（北京）有限公司：专业信息审计系统研发公司，掌握信息审计核心技术 国家信息技术安全研究中心：安全专家云集，提供云监管平台支持 中国电子技术标准化研究所：促进云审计相关标准的开发与制定 云基地：云计算技术合作、云审计监管示范项目研发优势项目研发优势 领衔专家 徐亚非：项目总负责人，高级工程师。国务院特殊津贴奖励的信息安全专家、国家“863

12、” 网络安全防护技术攻关课题组带头人、国务院信息化工作办公室网络安全专家组成员、中国国防信息化咨询专家委员会委员 李京春：高级工程师。曾任解放军信息安全测评认证中心总工程师，现任国家信息技术安全研究中心总工程师，解放军总后勤部信息化专家咨询委员会信息安全专业委员会委员，国家信息安全风险评估推进工作专家组成员。 吴源俊：研究员。曾任中国电子信息标准化所所长和顾问，现任全国信息安全标准化技术委员会 WG7组长，是中国电子信息标准化所第一代指导企业标准化工作的开创者、实践者。项目已取得进展项目已取得进展 信息审计监管技术“云”化 企业私有云审计监管平台建设项目周期项目周期2011年年6月月2013年

13、年6月月 云审计与云安全监管标准编制平台预期市场分析平台预期市场分析 用户群分析 三类使用对象 云计算平台使用用户 云计算服务提供商 云安全监管机构 用户数量庞大 安全、可信、合规和持续性是用户对云计算服务的普遍担忧 云监管审计报告适合云服务提供商和使用用户的共同需求平台预期市场分析平台预期市场分析 服务应用特征 分领域提供服务 适应安全性、合规性、持续性等不同风险领域的审计监管需求 适应三类用户各自对于云计算服务平台建设的审计需求 适应用户个性化审计监管需求 持续提供服务 持续监控审计云服务平台建设运营状态，完整捕获云环境中的数据交互异常，识别潜在风险信息 定期向用户提供审计报告和风险预警

14、提供定制化服务 依据要用户需求调整监控重点和审计策略 有选择地提供智能化风险应对建议项目社会效益分析项目社会效益分析 带动国内信息安全市场带动国内信息安全市场新领域新领域产业的发展产业的发展在未来10年里，云必将成为影响整个IT行业的关键性技术，也会对现有的信息技术体系架构带来了深远的影响，信息安全需要适应新领域的发展。通过云信息安全审计监管平台的建设可以更好的促进信息安全在云计算领域的发展。项目社会效益分析项目社会效益分析 实现与云计算服务、云审计的国际标准化实现与云计算服务、云审计的国际标准化研究顺利接轨研究顺利接轨云审计标准体系旨在通过建立一组相关标准，构建完整的控制与审计管理体系，为国

15、内组织的云计算的管理、风险控制、审计程序提供参照标准、实施指南和最佳实践；完善我国信息安全保障体系建设；同时，促进实现国内信息安全标准建设与国际及国外（领先的国家）的标准研究工作统一。项目社会效益分析项目社会效益分析 解决就业问题，培养人才解决就业问题，培养人才云计算是信息产业最热门的技术，云安全是近期信息安全领域关注的最热点话题，拥有广泛的市场前景。各国都投入巨大人力、物力、财力资源，抓紧时间研发技术，完善产品，编写标准规范。国都兴业利用自有技术建设信息安全审计监管平台项目，识别云风险，有利于我国自主创新能力的提升，为我国的知识产权建设和技术发展做出重要贡献。本项目将创造众多就业机会，培养安全审计领域和云安全领域的专业人员。项目投资建设现状项目投资建设现状 本项目计划建设期为2年，2011年6月至2013年6月 2011年6月之前公司已投入1000万，用于信息审计监管技术“云”化和企业私有云审计监管平台建设投资预算与资金筹措投资预算与资金筹措 本项目建设期内预计投资总额为5000万元，其来源主要为：企业自筹3000万元，申请中央和地方政