法规遵从与安全风险管理培训资料

1、 2007 McAfee, Inc.法规遵从与安全风险管理法规遵从与安全风险管理王昊华南区销售工程师CISSP/CISA/CCNP22022-2-27CIO 确保风险处于可接受确保风险处于可接受的范围的范围 将业务中断降至最小将业务中断降至最小 保护数据资源保护数据资源 降低安全和法规遵从降低安全和法规遵从的成本的成本审核审核 降低审核成本降低审核成本 自动访问安全数据自动访问安全数据 自动的风险和法规报自动的风险和法规报告功能告功能 提高可视性和精确性提高可视性和精确性IT 操作人员操作人员 将网络和系统中断的将网络和系统中断的时间降至最短时间降至最短 确定计划和修复漏洞确定计划和修复漏洞的

2、优先级的优先级 提高资源效率提高资源效率 改善工作流程改善工作流程 确保遵从内外部策略确保遵从内外部策略 前瞻性地预防身份信前瞻性地预防身份信息被盗息被盗 确定风险和应对措施确定风险和应对措施的优先级的优先级 提供指标提供指标CSO业务面临的挑战业务面临的挑战来自于安全威胁方面的风险？来自于安全威胁方面的风险？由于未遵从法规所产生的风险？由于未遵从法规所产生的风险？我的企业面临什么样的风险？我的企业面临什么样的风险？32022-2-27法规遵从丑闻法规遵从丑闻英国财政部11月20号证实，英国皇家税务及海关总署丢失两张重要数据光盘，其中包括2500万人的敏感个人信息，署长保罗格雷已经宣布引咎辞职

3、，并表示这是“税务部门重大的操作失误”；2005年美国万事达卡国际组织承认包括万事达、维萨、运通等在内高达4000多万信用卡用户的银行资料存在泄密风险 ； 2006年之前中国人民建设银行网站公积金信息泄露，任何人只需要通过输入身份证号码即可以查出账户余额和每月扣款额度； 中国信息保密法规处于“一张白纸”状态。42022-2-27法规遵从现状法规遵从现状 A recent CSO Magazine survey revealed that regulations and compliance were the top drivers for security investments. Secur

4、ity risk assessment was the top security initiative, while threat and risk management were the top concerns keeping CSOs up at night.“Security Sensor X” Feb. 2006 多数企业的法规遵从措施是分散的(de-centralized)，被动的(reactive)，随机的(ad-hoc)； 企业受约束的法规太多，成本很高，效率很低； 实现法规遵从过多的依赖技术手段，忽略了管理手段。52022-2-27法规遵从是一个全球性的挑战法规遵从是一个全球

5、性的挑战每个人都必须有所付出每个人都必须有所付出J-SOXSarbanes-OxleyBasel IIPIPEDAEUDPDGLBAHIPAAPCIMITSFISMADPADPADTO-93CPCArt. 43FFIECCPASolvency IIDPASA-PLR-DPL1.54M22-30M$3MSW 349M $30M$10+ M ISO/IEC 27001:2005运营运营管理管理安全安全62022-2-27法规遵从是一个全球性的挑战法规遵从是一个全球性的挑战每个人都必须有所付出每个人都必须有所付出（续）（续） 企业面临的法规太多法律的两个属性（属人性/属地性） 每个法规的流程完全不同

6、（Dis-jointed Response） 法规遵从的延续性GLBA，HIPPA，SOX，COBIT，ISO17799/27001 管理层对实现法规遵从的要求行业最佳实践（Best-practice）成本收益分析（Cost-benefit analysis）72022-2-27IT治理（法规遵从的起点）治理（法规遵从的起点） IT治理的5大目标（Control objective）战略一致性（Strategic Alignment）价值交付（Value Delivery）资源管理（Resource Management）风险管理（Risk Management）绩效管理（Performanc

7、e Management） 4类IT资源人（People），信息（Information），应用（Application），设施（Infrastructure） CIAA（Confidentiality/Integrity/Availability/Accountability） 3种控制手段（Physical/Technical/Operational）82022-2-27COBITIT管理规范管理规范 Cobit信息准则Effectiveness/efficiency/confidentiality/integrity/availability/compliance/reliability

8、 4大类流程Plan and Organize/Acquire and Implement/Deliver and Support/Monitor and Evaluate（34个子流程） 4类控制目标Activity Goal/Process Goal/IT Goal/Business Goal 2类考核指标KGI（关键目标指示），KPI（关键绩效指示） 管理评价体系（CMM模型）Initial/Repeatable/Defined/Managed/Optimized92022-2-27SOX公司治理规范公司治理规范 SOX：美国证监会对于上市公司的公司治理规范要求 Section 306除

9、了极特殊的情况外，对于发行权益性证券公司的所有董事、经理因任职而获得的其所任职公司的权益证券，在该权益证券的管制期间，这些董事、经理直接或间接买卖或获取、转让这些权益证券的行为是非法的。 Section 404内部控制报告必须要指明公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任和包括发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价。担任公司年报审计的会计公司应当对其进行测试和评价，并出具评价报告(第404款)。 第404条款是SOX法案中最为严厉和最具高昂执行成本的条款。102022-2-27ISO27001ISO安全标准安全标准 A7：Asset Manageme

10、nt（资产管理） A10：Communication and Operation Management（通信与操作管理） A11：Access Control（访问控制） A13：Information Security Incident Management（信息安全突发事件管理） A15：Compliance（遵从性）112022-2-27安全风险的三个维度安全风险的三个维度 认证认证 Authentication 备份备份Back-up 负载均衡负载均衡Load Balance 监控监控 Monitoring 加密加密 Encryption 弱点弱点管理管理 Vulnerability

11、Management 修修补补管理管理 Patch Management 防火防火墙墙 Firewall 防毒防毒 Anti-Virus 入侵入侵探测探测/防护防护 IDS / IPS防防护对护对策策: 软件漏洞软件漏洞 Software Bug Software Bug 不必要的不必要的网络风险网络风险 Unnecessary Services Unnecessary Services 不不恰当的密码设定恰当的密码设定 Weak Passwords Weak Passwords 错误的配置错误的配置 Mis-configurations Mis-configurations 木马木马/ /后

12、门后门 Trojan/backdoorTrojan/backdoor 病毒病毒 Virus Spreading 蠕虫蠕虫 Worm Outbreak 黑客程序黑客程序 Exploit Codes 黑客工具黑客工具 Hacker Tools 黑客攻击黑客攻击 Hacker Attacks 服务器服务器Workstation / Server 无线设备无线设备Wireless LANs / Devices 网络设备网络设备Network Devices 数据库数据库 Database 应用程序应用程序Applications122022-2-27安全风险成本收益分析安全风险成本收益分析 资产价值（

13、Asset Value） 暴露因子（Exposure Factor，某种风险造成资产损失的百分比，实施安全方案之前EF1与实施安全方案之后EF2会显著不同） 年发生率（Annual Rate of Occurrence） 对策成本（Countermeasure Cost） 对策价值（Benefit） Benefit = AV*EF1*ARO - AV*EF2*ARO - CC132022-2-27McAfee安全风险模型142022-2-27McAfee SRM安全风险管理方法论Protection and Compliance Integration=Key Benefits 减少成本，降低复杂度减少成本，降低复杂度增加运作效率增加运作效率更快的实现防护和法规遵从更快的实现防护和法规遵从+威胁保护威胁保护McAfee FoundstoneMcAfee Policy Auditor McAfee DLPMcAfee NACMcAfee IntruShieldMcAfee Total ProtectionMcAfee Secure Internet Gateway风险风险 &