信息安全保障体系设计PPT课件
- 格式:ppt
- 大小:7.08 MB
- 文档页数:115
当前位置:文档之家 › 信息安全保障体系设计PPT课件
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
8
安全防御理论的发展
通讯保密
安全防护
保障体系
• 数据传输加密
• 密码与加密技 术
• 静态安全防护 • 网络隔离 • 访问控制 • 鉴别与认证 • 安全审计
• 强调管理 • 深度多重防御 • 策略,人,技
术,操作 • 动态安全
9
我们的安全理念
1、信息安全必须建立体系 2、信息安全是长期的工作 3、建立一级监控二级维护的体系 4、安全项目需要以流程为核心 5、重状态,轻过程; 6、管理必须通过技术实现 7、先控制后监控 8、安全是动态平衡的,但要以不变应万变 9、没有百分百安全,做到0损失0响应 10、信息安全是12分的维护、7分的管理、3分的技术
18
安全策略体系
19
国际/国家标准
NIST
顾问公司
访谈结果
技术体系
主策略 管理体系
第一层
安 安 业人 信 物 运 访 系 业 安 全 全 务 员 息 理 行 问 统 务 全 第二层 技 设 安组 资 环 维 控 开 保 审 术 备 全织 产 境 护 制 发 障 计
技 术
操作手册
流程、细则
第三层
20
10
安全保障体系理念-等级化
• 项目的主要环节的成果都进行等级化 • 可以参照的主要安全标准等级
– 安全保障强健性等级:IATF SML, – 安全保护技术等级:GB17859, – 过程安全等级:ISO15408/GB18336 EAL – 工程成熟度等级:SSE-CMM, – 国家等级化评估标准
拨号用户
对攻击行为和 恶意操作不能 够及时发现
用户单位版防 病毒不理想 分公司
拨号用户
内部 Mail Dateabse
专线 ......
总公司用户 专线
Internet
缺乏紧急响应 体系和机制
拨号用户
没有安全管理 制度
服务器 下属公司
主机弱口令
严重溢出漏洞 相互信任关系
分公司用户 ......
服务器
内容安全:防病毒,可信信道等
冗余和恢复:冗余备份,业务连续性等
审计响应:统一时钟服务、日志监控、系统、入侵监测系统等
主要是技术人员的运维体系。包括技术人员的组织建设、技术人员的工作 内容,技术人员的工作考核。日常工作包括:资产鉴别、周期性风险15评估、 紧急响应体系、定期的评估加固、集中监控维护等。
安全策略体系
16
用户单位信息系统中的安全事故
5%
8%
10%
23%
54%
人为失误 病毒、蠕虫、木马的侵袭,黑客攻击 恶意破坏 灾难如火灾,地震 信息基础设施和应用故障
17
人员安全管理
• 信息系统的标准操作流程 – 怎么做
• 系统维护人员的权利和责任 – 谁做
• 技术人员和服务承包商的服务水平定量评估 – 性能评估
13
安全保障体系模型
深度安全防护战略
策略体系
信
息
运作体系
组织体系
技术体系
安 全
保
深度防护目标区域
障
来自百度文库
网
体
络 基 础 构 架 设 计 和 建 设
保 护 区 域 边 界
维 护
支持性 基础设施
系
服
务 器
集中监控平台
安
全 基
检测&响应
线
14
体系名称 策略体系 组织体系 技术体系
运作体系
信息安全保障体系
内容描述 安全策略的开发建立,执行,审核修订等 主要是管理体系。在组织体系中的主要工作是安全组织建设、第三方管理、 外聘顾问、培训教育、资质认证等。 鉴别和认证:多种鉴别和认证技术 访问控制:主机,网络设备、安全域的隔离和划分,防火墙等
环境保护;第 备安全管理; 安装;操作系 安全;各业务 括存储和传输 份方式;备份 品安装;防病 术基础培训; 计划;应急安 周期;口令管 制度审计;应 发;强化安
三方访问控 Internet/ 统使用规范; 应用系统安全 数据)策略; 数据的安全存 毒产品配置; 高级安全技术 全信息库;应 理方式;口令 急计划审计; 全功能;安
内容说明
1、案例介绍 2、某电力行业安全评估标准 3、安全保障体系设计 4、信息安全保障体系设计案例
1
安全威胁案例分析
2
防火墙存在旁 路
没有完整的安 全漏洞和风险
评估机制
案例的分析
没有设置网关 层的防病毒
Internet
移动用户
防火墙策略配 置不合理
财务系统
代理服务器
DMZ区 外部 E-mail等
《安全教 育策略》
《应急恢 复策略》
《口令管 理策略》
《安全审 计策略》
《系统开 发策略》
机房建设;物 网络拓扑结构 操作系统的选 数据库系统安 关键业务数据 数据备份对象 防病毒产品选 普及安全意识 应急响应组建 口令设置规 安全策略审 系统的基本
理访问控制; 管理;网络设 用;操作系统 全;邮件系统 加密要求(包 要求;数据备 型;防病毒产 教育;安全技 设;应急响应 则;口令更换 计;安全管理 安全功能开
11
安全保障体系方法-等级化安全体系
一 保 护 对 象 框 架
三 威胁分析过程
二 安全对策框架
12
保障体系理念-多重深度防护战略
• 不仅关注安全属性,同时关注安全环节 –人,策略,技术,操作 –强调安全管理
• 深度多重防护,防止单点失效 –风险管理和风险控制原则 –安全性与成本、效率之间平衡原则
制;办公物理 Extranet安全 操作系统配 (应用系统的 个人计算机的 储;备份周 病毒库升级; 培训;安全管 急恢复过程规 适应规则。 岗位审计;系 全管理;安
• 针对现状进行整体和良好的解决方案设计和规划 • 建立安全策略和制度规范体系,健全安全管理体系 • 建立合适的安全日常维护体系
如何获得这些呢? 通过专业的安全咨询和服务
6
信息安全保障体系设计
7
信息安全的两个方面
• 面向数据和信息的安全通过安全服务, 安全产品解决
• 面向访问(人)的安全通过安全咨询解 决
完善的用户单位安全策略体系
安全域划分和安全等级 映射
物理管理策略 人员安全策略 网络安全策略 系统安全策略 应用安全策略 日志审计策略 备份恢复策略
21
总则
主策略
《物理安 全策略》
《网络安 全策略》
《系统安 全策略》
《应用安 全策略》
《数据保 密策略》
《数据备 份策略》
《病毒防 护策略》
分公司用户
......
没有对重要的 设备进行安全
加固
没有划分3 DMZ
深层原因分析
问题产生的主要原因 • 不清楚主要的安全问题和安全风险 • 缺乏整体和良好的安全方案设计 • 在安全制度规范、安全组织和运作流程方面
存在缺欠
4
安全工程生命周期模型
被忽略
5
如何解决这些问题?
• 通过安全评估来清晰地了解当前的安全现状和面临的 安全风险
安全防御理论的发展
通讯保密
安全防护
保障体系
• 数据传输加密
• 密码与加密技 术
• 静态安全防护 • 网络隔离 • 访问控制 • 鉴别与认证 • 安全审计
• 强调管理 • 深度多重防御 • 策略,人,技
术,操作 • 动态安全
9
我们的安全理念
1、信息安全必须建立体系 2、信息安全是长期的工作 3、建立一级监控二级维护的体系 4、安全项目需要以流程为核心 5、重状态,轻过程; 6、管理必须通过技术实现 7、先控制后监控 8、安全是动态平衡的,但要以不变应万变 9、没有百分百安全,做到0损失0响应 10、信息安全是12分的维护、7分的管理、3分的技术
18
安全策略体系
19
国际/国家标准
NIST
顾问公司
访谈结果
技术体系
主策略 管理体系
第一层
安 安 业人 信 物 运 访 系 业 安 全 全 务 员 息 理 行 问 统 务 全 第二层 技 设 安组 资 环 维 控 开 保 审 术 备 全织 产 境 护 制 发 障 计
技 术
操作手册
流程、细则
第三层
20
10
安全保障体系理念-等级化
• 项目的主要环节的成果都进行等级化 • 可以参照的主要安全标准等级
– 安全保障强健性等级:IATF SML, – 安全保护技术等级:GB17859, – 过程安全等级:ISO15408/GB18336 EAL – 工程成熟度等级:SSE-CMM, – 国家等级化评估标准
拨号用户
对攻击行为和 恶意操作不能 够及时发现
用户单位版防 病毒不理想 分公司
拨号用户
内部 Mail Dateabse
专线 ......
总公司用户 专线
Internet
缺乏紧急响应 体系和机制
拨号用户
没有安全管理 制度
服务器 下属公司
主机弱口令
严重溢出漏洞 相互信任关系
分公司用户 ......
服务器
内容安全:防病毒,可信信道等
冗余和恢复:冗余备份,业务连续性等
审计响应:统一时钟服务、日志监控、系统、入侵监测系统等
主要是技术人员的运维体系。包括技术人员的组织建设、技术人员的工作 内容,技术人员的工作考核。日常工作包括:资产鉴别、周期性风险15评估、 紧急响应体系、定期的评估加固、集中监控维护等。
安全策略体系
16
用户单位信息系统中的安全事故
5%
8%
10%
23%
54%
人为失误 病毒、蠕虫、木马的侵袭,黑客攻击 恶意破坏 灾难如火灾,地震 信息基础设施和应用故障
17
人员安全管理
• 信息系统的标准操作流程 – 怎么做
• 系统维护人员的权利和责任 – 谁做
• 技术人员和服务承包商的服务水平定量评估 – 性能评估
13
安全保障体系模型
深度安全防护战略
策略体系
信
息
运作体系
组织体系
技术体系
安 全
保
深度防护目标区域
障
来自百度文库
网
体
络 基 础 构 架 设 计 和 建 设
保 护 区 域 边 界
维 护
支持性 基础设施
系
服
务 器
集中监控平台
安
全 基
检测&响应
线
14
体系名称 策略体系 组织体系 技术体系
运作体系
信息安全保障体系
内容描述 安全策略的开发建立,执行,审核修订等 主要是管理体系。在组织体系中的主要工作是安全组织建设、第三方管理、 外聘顾问、培训教育、资质认证等。 鉴别和认证:多种鉴别和认证技术 访问控制:主机,网络设备、安全域的隔离和划分,防火墙等
环境保护;第 备安全管理; 安装;操作系 安全;各业务 括存储和传输 份方式;备份 品安装;防病 术基础培训; 计划;应急安 周期;口令管 制度审计;应 发;强化安
三方访问控 Internet/ 统使用规范; 应用系统安全 数据)策略; 数据的安全存 毒产品配置; 高级安全技术 全信息库;应 理方式;口令 急计划审计; 全功能;安
内容说明
1、案例介绍 2、某电力行业安全评估标准 3、安全保障体系设计 4、信息安全保障体系设计案例
1
安全威胁案例分析
2
防火墙存在旁 路
没有完整的安 全漏洞和风险
评估机制
案例的分析
没有设置网关 层的防病毒
Internet
移动用户
防火墙策略配 置不合理
财务系统
代理服务器
DMZ区 外部 E-mail等
《安全教 育策略》
《应急恢 复策略》
《口令管 理策略》
《安全审 计策略》
《系统开 发策略》
机房建设;物 网络拓扑结构 操作系统的选 数据库系统安 关键业务数据 数据备份对象 防病毒产品选 普及安全意识 应急响应组建 口令设置规 安全策略审 系统的基本
理访问控制; 管理;网络设 用;操作系统 全;邮件系统 加密要求(包 要求;数据备 型;防病毒产 教育;安全技 设;应急响应 则;口令更换 计;安全管理 安全功能开
11
安全保障体系方法-等级化安全体系
一 保 护 对 象 框 架
三 威胁分析过程
二 安全对策框架
12
保障体系理念-多重深度防护战略
• 不仅关注安全属性,同时关注安全环节 –人,策略,技术,操作 –强调安全管理
• 深度多重防护,防止单点失效 –风险管理和风险控制原则 –安全性与成本、效率之间平衡原则
制;办公物理 Extranet安全 操作系统配 (应用系统的 个人计算机的 储;备份周 病毒库升级; 培训;安全管 急恢复过程规 适应规则。 岗位审计;系 全管理;安
• 针对现状进行整体和良好的解决方案设计和规划 • 建立安全策略和制度规范体系,健全安全管理体系 • 建立合适的安全日常维护体系
如何获得这些呢? 通过专业的安全咨询和服务
6
信息安全保障体系设计
7
信息安全的两个方面
• 面向数据和信息的安全通过安全服务, 安全产品解决
• 面向访问(人)的安全通过安全咨询解 决
完善的用户单位安全策略体系
安全域划分和安全等级 映射
物理管理策略 人员安全策略 网络安全策略 系统安全策略 应用安全策略 日志审计策略 备份恢复策略
21
总则
主策略
《物理安 全策略》
《网络安 全策略》
《系统安 全策略》
《应用安 全策略》
《数据保 密策略》
《数据备 份策略》
《病毒防 护策略》
分公司用户
......
没有对重要的 设备进行安全
加固
没有划分3 DMZ
深层原因分析
问题产生的主要原因 • 不清楚主要的安全问题和安全风险 • 缺乏整体和良好的安全方案设计 • 在安全制度规范、安全组织和运作流程方面
存在缺欠
4
安全工程生命周期模型
被忽略
5
如何解决这些问题?
• 通过安全评估来清晰地了解当前的安全现状和面临的 安全风险