构建信息系统的安全管理平台框架和实践启明星辰

1、标题(biot)页共四十七页构建信息系统的安全管理(gunl)平台框架与实践北京启明星辰信息技术有限公司 咨询(zxn)总监 赵呈东共四十七页摘要(zhiyo)构建信息安全管理(gunl)平台原则、要求和大思路了解资产和业务了解威胁了解保障措施框架具体任务和建议共四十七页1. 原则、要求(yoqi)和大思路共四十七页中办发200327号国家信息化领导小组关于(guny)加强信息安全保障工作的意见（2003年8月26日）共四十七页加强信息安全保障工作-总体(zngt)要求总体要求：坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络(

2、wnglu)环境，保障和促进信息化发展，保护公众利益，维护国家安全。共四十七页加强信息安全保障工作-主要(zhyo)原则主要原则：立足国情，以我为主，坚持管理与技术并重；正确处理安全与发展的关系，以安全保发展，在发展中求安全；统筹规划，突出重点，强化基础性工作；明确国家、企业、个人的责任和义务(yw)，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。共四十七页加强(jiqing)信息安全保障工作-九项任务系统等级保护和风险管理基于密码技术的信息保护和信任体系网络信息安全监控体系应急处理体系加强技术研究，推进(tujn)产业发展法制建设、标准化建设人才培养与全民安全意识保证信息安全资金加强

3、对信息安全保障工作的领导，建立健全信息安全管理责任制共四十七页2005年和2006年的动向(dngxing)2005年国家风险评估试点应急预案编写和演练等级保护工作试点和宣贯萨班斯法案(f n)在商业领域产生影响2006年等级保护评估工作2006年公通字7号文3月风险评估指南宣贯活动共四十七页安全(nqun)的驱动力问题具体的安全事件等政策27号文等体系化整体规划合规性等级保护、风险(fngxin)评估等共四十七页风险管理风险管理的理念(l nin)从90年代开始，已经逐步成为引导信息安全技术应用的核心理念(l nin)风险的定义对目标有所影响的某件事情发生的可能性摘自AS/NZS4360共四

4、十七页ISO13335以风险为核心的安全(nqun)模型风险(fngxin)防护措施信息资产威胁漏洞防护需求降低增加增加利用暴露价值拥有抗击增加引出被满足一般风险评估的理论基础共四十七页国信办报告(bogo)中的风险要素关系图共四十七页最精简(jngjin)的风险管理要素共四十七页信息安全工作(gngzu)的思路信息安全工作不是仅仅防火墙、防病毒、入侵检测、管理制度 已经逐步从单纯开发技术和产品本身，转向同时(tngsh)从整体保障框架着眼，解决实际问题，实现价值。共四十七页从三个方面(fngmin)展开框架到底哪些问题对我们是真正的危害(wihi)到底我们的系统中哪些是要重点保护的，我们的系

5、统的特点和结构是什么到底哪些措施最有效，现有措施的效果如何共四十七页专业厂商要协助(xizh)客户完善保障体系共四十七页2、了解(lioji)威胁共四十七页政务网络面临(minlng)的问题政务(zhngw)网络内部、外部泄密异常流量逻辑炸弹恶意代码黑客攻击违规操作隐蔽通道蠕虫病毒多样化网络安全威胁共四十七页3、了解(lioji)资产和业务共四十七页作安全必须了解资产(zchn)和业务“正确处理安全与发展的关系，以安全保发展，在发展中求安全”等级保护的要求也要我们做到对自身的了解，才能做到适度的防护我们对于信息系统的依赖(yli)程度决定了我们在安全上的投入共四十七页怎么了解(lioji)资产

6、和业务(IT相关)分析信息体系架构ITA业务系统网络分布(fnb)形态系统的层次性技术和管理（组织结构）时间（生命周期）价值（资产价值、影响价值、投入） 业务资产保障措施威胁共四十七页关于资产和业务(yw)方面的趋势用结构化的方法(fngf)描述自身的资产和业务是更加系统化、更加全面地进行安全保护的基础安全域方法逐步成为比较现实地描述网络和系统环境的方法共四十七页安全(nqun)域的概念广义的安全域概念是具有相同和相似的安全要求和策略的IT要素的集合(jh)。这些IT要素包括：策略和流程 物理环境网络区域业务和使命人和组织主机和系统共四十七页常见安全域的划分(hu fn)方法按照业务系统划分优

7、点：自然形成、划分简单缺点：防护复杂(fz)、重复投资、影响易用性按照防护等级划分优点：防护简单、保护投资缺点：割接成本高、影响易用性按照行为特征划分优点：针对常见的威胁进行更细致的防护缺点：需要详细分析业务系统的行为共四十七页边界(binji)接入域互联网接入区计算环境 一般(ybn)服务区计算环境域计算环境 核心区网络基础设施域支撑性设施域骨干区汇集区接入区安全系统网管系统其它支撑系统外联网接入区内联网接入区计算环境 重要服务区内部网接入区共四十七页4、了解(lioji)保障措施共四十七页保障体系的实际(shj)组成共四十七页技术(jsh)环境当前主流的基本安全产品加密(ji m)防病毒防

8、火墙入侵检测漏洞扫描身份认证VPN 共四十七页技术环境(hunjng)当前主流的基本安全服务咨询服务整体框架规划(guhu)和设计评估加固服务对于主机和网络进行技术评估和加固风险评估服务对系统的整体风险进行评估并对风险管理提供设计渗透性测试服务安全教育和培训 共四十七页安全管理平台成为一个值得考虑(kol)的选择漏洞评估中心事件监控中心风险分析决策支持与预警系统响应管理系统显示报告ScannerIDSFWAV主机与网络设备人工审计外部响应系统（安全设备管理系统与网管）策略管理平台资源管理平台其他事件检测系统其他状态检测系统资产管理平台知识库外部协同用户管理安全知识管理平台自身安全共四十七页5、

9、框架(kun ji)共四十七页信息安全保障(bozhng)框架资产清单(qngdn)面向网络拓扑基于安全域/业务域基于业务流分析 共四十七页信息安全保障(bozhng)框架脆弱性管理(gunl)告警管理事件管理预警管理威胁管理 共四十七页信息安全保障(bozhng)框架通过S3-PPT方法展开保障(bozhng)措施共四十七页保障(bozhng)框架-措施共四十七页27号文的框架(kun ji)分析等级保护风险(fngxin)评估监控体系应急体系信任体系技术和产业法制建设标准化建设人才培养全民意识保证资金责任制共四十七页产品(chnpn)的框架分析IDS应用(yngyng)审计防火墙SAN防垃

10、圾安全管理中心Scanner远程数据热备IPS防病毒加密机双因子PKIUTM共四十七页安全(nqun)服务体系的框架分析评估(pn )加固教育培训MSS应急响应安全集成风险评估管理咨询共四十七页体系设计方案的框架(kun ji)分析安全监控体系(tx)安全审计体系安全防护体系应急恢复体系网络信任体系安全管理体系共四十七页启明星辰产品(chnpn)系天阗系天玥系天清系天榕系天瑶系泰合系天燕系共四十七页启明星辰当前(dngqin)产品天阗系NIDS网络入侵检测HIDS主机入侵检测AFMS异常(ychng)流量监控天镜漏洞扫描系统天玥系天玥网络综合审计系统天玥业务审计（移动业务）天珣非法外联审计系统

11、天燕系产品测评工具服务评估工具风险管理与控制系统辑侦工具天清系防火墙和病毒网关防拒绝服务系统网络隔离机天清短信过滤系统天清防垃圾邮件系统天榕系天榕Linux网络备份系统Webkeeper网站保护和恢复天瑶系加密机泰合系IMS入侵管理平台综合安全监控平台共四十七页SOC平台(pngti)架构漏洞评估中心事件/流量/运行监控中心风险分析决策支持与预警系统响应管理系统显示报告ScannerIDSFWAV主机与网络设备人工审计外部响应系统（安全设备管理系统与网管）策略管理平台资源管理平台其他事件检测系统其他状态检测系统资产管理平台统一信息知识库外部协同用户管理安全知识管理平台自身安全范式化关联分析可视

12、化响应管理资产/资源管理知识库配置管理共四十七页6 最佳(zu ji)实践建议教育和培训成熟产品防病毒、防火墙、VPN、入侵检测(jin c)、漏洞扫描风险评估框架式的安全建设规划信息安全管理体系安全域监控体系、安全监控管理中心事件管理体系、应急体系共四十七页总结(zngji)构建(u jin)信息安全保障体系原则、要求和大思路了解资产和业务了解威胁了解保障措施框架具体任务和建议共四十七页 谢 谢共四十七页内容摘要标题页。构建信息系统的安全管理平台框架与实践。咨询总监 赵呈东。立足国情，以我为主，。正确处理安全与发展的关系，以安全保发展，在发展中求安全。统筹规划，突出重点，强化基础性工作。明确国家、企业、个人的责任和义务(yw)，充分发挥各方面的积极性，共同构