信息安全与IT运维

信息平安与IT运维 ——我们不能消除风险，却可以管理风险

王朝阳2021年1月20日提纲什么是信息平安什么是IT运维信息平安与IT运维的关系怎样开展信息平安工作信息平安最正确实践信息平安工作模型什么是信息平安？〔1〕 关于信息平安的定义很多，国内外、不同组织给出不同的定义，但我们可以找出其中共性的局部…国内学者的定义：“信息平安保密内容分为：实体平安、运行平安、数据平安和管理平安四个方面。〞我国“计算机信息系统平安专用产品分类原那么〞中的定义是：“涉及实体平安、运行平安和信息平安三个方面。〞我国相关立法给出的定义是：“保障计算机及其相关的和配套的设备、设施〔网络〕的平安，运行环境的平安，保障信息平安，保障计算机功能的正常发挥，以维护计算机信息系统的平安〞。这里面涉及了物理平安、运行平安与信息平安三个层面。什么是信息平安？〔2〕国家信息平安重点实验室给出的定义是：“信息平安涉及到信息的机密性、完整性、可用性、可控性。综合起来说，就是要保障电子信息的有效性。〞英国BS7799信息平安管理标准给出的定义是：“信息平安是使信息防止一系列威胁，保障商务的连续性，最大限度地减少商务的损失，最大限度地获取投资和商务的回报，涉及的是机密性、完整性、可用性。〞什么是信息平安？〔3〕美国国家平安局信息保障主任给出的定义是：“因为术语‘信息平安’一直仅表示信息的机密性，在国防部我们用‘信息保障’来描述信息平安，也叫‘IA’。它包含5种平安效劳，包括机密性、完整性、可用性、真实性和不可抵赖性。〞国际标准化委员会给出的定义是：“为数据处理系统而采取的技术的和管理的平安保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露〞。什么是信息平安——信息平安目标总结信息平安的目标 机密性Confidentiality 完整性Integrity 可用性Availability 可控性controllability 真实性Authenticity 不可否认性Non-repudiation什么是信息平安——涵盖内容总结信息平安的涵盖内容物理平安网络平安主机平安应用平安数据平安平安管理提纲什么是信息平安什么是IT运维信息平安与IT运维的关系怎样开展信息平安工作信息平安最正确实践信息平安工作模型什么是IT运维？——互联网定义IT运维是IT管理的核心和重点局部，也是内容最多、最繁杂的局部，该阶段主要用于IT部门内部日常运营管理，涉及的对象分成两大局部，即IT业务系统和运维人员，可细分为七个子系统：设备管理：对网络设备、效劳器备、操作系统运行状况进行监控应用/效劳管理：各种应用软件与效劳数据/存储/容灾管理：对系统和业务数据进行统一存储、备份和恢复业务管理：对组织业务系统的监控与管理，CSF/KPI目录/内容管理：组织的对内、外信息的管理资产管理：包括物理与逻辑资产信息平安管理：日常工作管理：职责分工，绩效考核，知识平台整理等什么是IT运维——我的定义组织为实现业务目标而针对IT系统所采取的一切管理的总和，可以分为两类：效劳支持管理与效劳交付管理。效劳支持包括：事故管理问题管理配置管理变更管理发布管理效劳交付包括：可用性管理能力管理效劳水平管理外包管理什么是IT运维——总结IT运维的目标支撑组织业务目标IT运维的内容效劳交付效劳支持IT运维≈ITIL+Cobit+CISA+ISO20000提纲什么是信息平安什么是IT运维信息平安与IT运维的关系怎样开展信息平安工作信息平安最正确实践信息平安工作模型信息平安与IT运维的关系〔1〕平安是IT运维的重要组成模块，对于某些行业是关键模块IT运维旨在谋求平安性与方便性平安保障着价值 平安正在创造价值...网上银行的平安性吸引了更多的消费者商业秘密的平安措施使得组织更具竞争力电子签名法的出台消除了使用者的平安疑虑具有平安认证与强大容灾能力的邮件系统才能拥有海量的用户信息平安与IT运维的关系〔2〕平安与IT运维共有一个衡量标尺：组织业务目标 业务需求驱动信息平安与IT运维需求 信息平安与IT运维方案要适应业务流程 信息平安与IT运维方案要支撑业务的可持续开展 业务目标的调整驱使平安与IT运维的调整 投资与企业战略、风险状况密切相关信息平安与IT运维的关系〔3〕平安贯穿了IT运维整个生命周期 平安与IT运维都是一个过程，而不是一次事件 每个IT运维流程都影响着平安的一个或者多个目标〔〕 失去平安的IT运维是失败的运维 平安的成熟度模型与IT运维的标杆管理是吻合的信息平安与IT运维的关系〔4〕IT运维与信息平安的融合 平安公司试水运维，平安产品强化管理、监控功能，支持IT运维 运维支持类产品引入平安概念、集成平安技术 信息平安融入IT运维流程中 相关标准的认证工作可以同时进行〔ISO20000/270001〕信息平安与IT运维的关系〔5〕IT运维的趋势彰示着平安的未来 IT运维的标准化符合平安的“纵深防御〞的理念 IT运维的流程化提高了平安的可管理性，为改进平安工作提供条件 IT运维的自动化减少了人为失误，降低了平安的本钱提纲什么是信息平安什么是IT运维信息平安与IT运维的关系怎样开展信息平安工作信息平安最正确实践信息平安工作模型怎样开展信息平安治理〔1〕1、规划 根据组织业务与组织文化，制定平安目标 对组织进行风险评估 制定平安基线怎样开展信息平安治理〔2〕 2、实施 根据平安基线，制定平安建设方案、投资回报方案 建立信息平安管理框架， 融合各种平安技术、产品，建设组织平安保障体系。 对关键流程制定BCP/DRP方案怎样开展信息平安治理〔3〕 3、评估 参照Cobit，开展信息系统审计 根据组织的业务流程，建立基于“平衡积分卡〞的绩效考评机制 逐步分解“平衡积分卡〞为假设干个KPI/KGI/Metrics等，参照平安基线发现差距 在尽量不影响业务连续性的前提下，采取有效演练手段，确保BCP、DRP的有效性怎样开展信息平安治理〔4〕 4、维护 根据评估结果，进行流程改进 标杆管理，提高平安系统成熟度 持续改进，永不停止怎样开展信息平安治理〔5〕关于人... 上述步骤中，并没有列出“人〞的因素，其实在整个平安治理工作中，“人〞是最关键的因素。 对人的平安意识的培养、平安技能的教育伴随着整个平安治理工作全程，不会仅限于某个特定步骤怎样开展信息平安治理〔6〕关于平安成熟度... 系统平安工程能力成熟模型〔SSE-CMM〕描述了一个组织的平安工程过程必须包含的本质特征，这些特征是完善的平安工程保。包括6级。 SSE-CMM0:未实施级 SSE-CMM1:非正式实施级 执行根本实施 SSE-CMM2:方案和跟踪级 规划执行，标准化执行，验证执行，跟踪执行 SSE-CMM3:已定义级 定义标准过程，执行已定义过程，协调实施 SSE-CMM4:可管理级 建立可测的质量目标，客观的管理执行 SSE-CMM5:持续改进级 改进组织能力，改进过程有效性怎样开展信息平安治理〔7〕关于绩效考评与平衡计分卡…没有绩效考评无法度量信息平安治理的输出一般来讲，平衡计分卡从如下4个角度进行财务角度本钱预算、投资回报等客户角度效劳质量、客户满意度、需求解决、高效的IT效劳台等企业内部运营业务流程效率、登录时间、故障发生率、故障平均修复时间学习与成长人才培养，技能开展等提纲什么是信息平安什么是IT运维信息平安与IT运维的关系怎样开展信息平安工作信息平安最正确实践信息平安工作模型信息平安治理的最正确实践〔1〕没有管理层支持的平安治理的结果只有一个：失败 确保资金、人员的支持 管理层的支持在一定程度上说明信息平安治理顺从组织业务目标 怎样得到管理层的支持？？信息平安治理的最正确实践〔2〕没有规划的平安治理，结果也是失败 信息平安治理是一个复杂的工程，没有规划只能失败信息平安治理的最正确实践〔3〕遵循标准才能少走弯路 相关的标准与体系： ISO20000/270001 ITIL，Cobit，COSO 相关的法律： SOX302/404 信息平安等级管理方法信息平安治理的最正确实践〔4〕信息资产分类/分级，实现有限投资的效益最大化 信息资产分类/分级并不是简单的资产清点 信息资产分类/分级为进一步的访问控制做准备 信息资产的分类以业务流程为参照，分级以重要性为参照信息平安治理的最正确实践〔5〕建立纵深防御机制纵深防御机制被认为是解决信息平安的最正确方法，是指在信息系统中的多个点使用多种平安技术，从而减少攻击者利用关键业务资源或信息泄露到企业外部的总体可能性。在消息传递和协作环境中，纵深防御体系可以帮助管理员确保恶意代码或活动被阻止在根底结构内的多个检查点。这降低了威胁进入内部网络的可能性。怎样建立纵深防御机制？？信息平安治理的最正确实践〔6〕预防为主，检测与纠正并举的平安控制措施 平安问题发生的阶段越靠后，解决平安问题付出的代价越高。 信息平安拒绝完美主义，不要试图消除所有的风险 虽然不能消除所有的风险，但是可以管理所有风险信息平安治理的最正确实践〔7〕平安治理是一个动态的过程，而非一次孤立事件 平安策略的建立不是平安的终点 平安产品的部署也不是平安的终点 平安治理根本没有终点，平安治理是一个循环 公司业务目标的调整对信息平安的影响 新技术、新产品的开展带来隐患或者机遇。wireless，IM，cc攻击等信息平安治理的最正确实践〔8〕平安治理的过程就是发现并消除短木板的过程信息平安的短木板在很多方面都存在以信息防泄漏为例，大多数网关设备能支持访问控制，能对邮件、网页、ftp等进行监控并过滤，但是仍然存在其他途径可以泄漏信息，包括移动介质、无线通讯、以及近来越来越普及的即时通讯工具。信息平安治理的最正确实践〔9〕平安的管理，归根结底是对人的管理 人的平安意识、平安操作、平安技能 信息平安中最重要的环节是人，最薄弱的环节也是人。 人可以解决技术、产品所不能解决的问题，比方SocialEngineeringAttack 人可以管理技术、产品的缺陷信息平安治理的最正确实践〔10〕参照但不照搬最正确实践没有一个最正确实践能适应所有情况，包括上述9条:-)提纲什么是信息平安什么是IT运维信息平安与IT运维的关系怎样开展信息平安工作信息平安最正确实践信息平安工作模型信息平安工作模型〔图〕实施安全建设计划投资回报计划技术产品部署BCP/DRP评估信息系统审计绩效考核发现差距BCP/DRP演练维护流程改造持续改进