云安全方案思路20140827

1、北京烟草云安全建设项目云平台运维安全解决方案思路目标原则设计理念技术框架规范体系预期效果目录目标原则现状北京烟草多年信息化建设1.初步打破信息孤岛，采用SOA技术，建立企业总线，通过WS ETL、MQ等方式实现数据共享，横纵惯通；系统安全数据安全尤为关键！2.在平台统一、资源统一的基础，正在积极构建北京烟草私有云；云计算的落地，北京烟草整个资源将成为一个资源池，安全问题已经从单独的设备应用，波及到整个设备及信息系统。3.移动互联网在北京烟草的广泛应用，建立worklight平台，移动互联网的应用越来越多，面临如何解决移动安全。因素 三个“忽视” 重视安全技术，忽视安全管理 重视外部防护，忽视内

2、部安全 重视产品购买，忽视产品使用 三个“缺乏” 缺乏统一安全架构规划与协调 缺乏信息安全组织与治理 缺乏信息安全意识教育与培训有点无面 不成体系！访问控制SOC身份认证监控审计内容安全备份恢复管理制度转变事后安全事前安全被动安全主动安全 通过对人、行为、资源的量化管理，统一规范，流程再造，通过规范的运维管理，保证北京烟草私有云平台的安全，彻底改变目前救火队员的安全模式。方法云安全方法论 从管理、技术和运维多个层面，全面提升北京烟草信息系统的安全性。从网络、主机、平台、应用、数据等层面加强防护措施，保障信息系统的机密性、完整性和可用性，做到行为跟踪。管理原则云安全管理三要素全要素：云安全体系中

3、的基础和核心全流程：安全保障运维执行工作的行事方法全方位：安全工作的管理手段 实现北京烟草服务与数据的安全，有形与无形的安全。技术原则云安全IT技术原则 平台是IBM解决方案；was、ESB都是IBM；多家产品集成，尽量采用商品化软件；适当采用开源，非关键环节适当hadoop，前台界面界面适当采用微软或是设计制作。资源统一资源统一规范统一规范统一架构开放架构开放技术简洁技术简洁垂直管理垂直管理设计理念安全审计安全魔方资源管理安全魔方日常运维知识库用户管理规范流程资源分类资源登记资源跟踪统一用户管理管理指标统一授权管理证书中心强认证管理指标库事件知识库运维知识库合规检查安全审计运维任务驱动事件驱

4、动设备状态监控系统运行监控人员行为监控工作流引擎工作流执行魔方举例OA虚拟机扩容魔方举例网站无法登陆执行难点规范的量化流程的梳理知识库的建立实施难点角色设定技术框架技术框架基于北京烟草现有技术路线设计的技术框架人员管理业务系统用户的日常操作行为，本期请安成其应用系统的安全规范及 介入标准整个信息化运行维护，其中包括物理设备运维、中间件及平台软件运维以及业务系统的日常运行运维运维人员操作人员主管信息化及安全领分析决策人员，对资源、运维人以及人操作行为分析，全面了解安全级别及隐患等分析决策账号管理认证管理授权管理证书中心服务器证书客户端证书强认证双因素认证统一认证服务ESB企业总线营销系统OA系统

5、专卖系统LDAP资源管理数据中心全部的软件，包括网络防火墙策略、操作系统、中间件平台、数据库、应用软件、虚拟化、以及人员行为。数据中心全部的硬件设备，包括电源、防火、网络、安全、主机、机柜、存储等等设备设备软件运行监控行为监控数据中心监控管理数据中心监控管理资源分类管理资源维护管理资源盘点管理资源统一访问ESB企业总线网络安全设备操作系统主机服务器中间件应用软件规范管理政府安全法规安全管理规范 资源申请流程烟草行业要求安全最佳实践资源使用流程资源变更流程指标库管理魔方映射安全总线(映射管理)注册查询变更人员管理资源管理规范管理管理魔方工作流引擎查询监控系统查询映射数据库监控管理谁的系统谁监控的

6、原则系统设备运行监控机房设备监控人员行为监控ESB总线网络设备监控主机监控虚拟环境监控操作系统监控中间件监控数据库监控虚拟桌面堡垒机隔离RFID卡轨迹跟踪生物技术识别机房环境监控RFID 机柜监控RFID资产监控设备监控 图形化展现资产状况 实时定位人员位置 身份卡+生物识别技术 RFID标签RFID读写器天线RFID手持读写器Tracking Server 手动扫描 特例处理 安装于机房门口 安装于机柜内 安装于吊顶内 资产Tag：安装在每个设备上 人员Tag：随身携带应用展示安全仪表盘立方体数据源以数据分析为主的安全仪表盘监控数据系统日志BI报表工具决策仪表盘管理仪表盘监控仪表盘ETLOL

7、AP以流程管理为主的安全管理ESB 总线服务和组件流程管理流程编排流程执行 流程监控应用功能IP地址修改任务OA主机巡检任务营销-F5宕机事件交换机宕机事件OA虚拟机内存扩充任务营销系统巡检任务OA-01中间件宕机事件防火墙宕机事件服务目录 组件目录规范体系 规范架构规范模型云安全规范体系私有云安全规范体系规范框架 IBM规范分类预期效果后期补充 分布实施计划 实施范围 实施内容 项目方案细化 以资源为核心预期效果l北京烟草有形、无形资产统一登记、跟踪、监控，以及组织架构、业务架构、IT资产等，统一管理，构成三全管理模式；l在资产统一管理的前提下，对人、行为和资产进行统一的安全防范，提升北京烟草的安全等级 ；l云