信息安全与IT运维培训教材

Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Click to edit Master title style,Continuous Controls Monitoring,Continuous Controls Monitoring,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Click to edit Master title style,39,信息安全与,IT,运维,我们不能消除风险，却可以管理风险,王朝阳,2008,年,1,月,20,日,提纲,什么是信息安全,什么是,IT,运维,信息安全与,IT,运维的关系,怎样开展信息安全工作,信息安全最佳实践,信息安全工作模型,什么是信息安全？（1）,关于信息安全的定义很多，国内外、不同组织给出不同的定义，但我们可以找出其中共性的部分,国内学者的定义：“信息安全保密内容分为：实体安全、运行安全、数据安全和管理安全四个方面。”,我国“计算机信息系统安全专用产品分类原则”中的定义是：“涉及实体安全、 运行安全和信息安全三个方面。”,我国相关立法给出的定义是：“保障计算机及其相关的和配套的设备、设施（网络）的安全，运行环境的安全，保障信息安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全”。这里面涉及了物理安全、运行安全与信息安全三个层面。,什么是信息安全？（2）,国家信息安全重点实验室给出的定义是：“信息安全涉及到信息的机密性、完整性、可用性、可控性。综合起来说，就是要保障电子信息的有效性。”,英国,BS7799,信息安全管理标准给出的定义是：“信息安全是使信息避免一系列威胁，保障商务的连续性，最大限度地减少商务的损失，最大限度地获取投资和商务的回报，涉及的是机密性、完整性、可用性。”,什么是信息安全？（3）,美国国家安全局信息保障主任给出的定义是：“因为术语信息安全一直仅表示信息的机密性，在国防部我们用信息保障来描述信息安全，也叫,IA,。它包含,5,种安全服务，包括机密性、完整性、可用性、真实性和不可抵赖性。”,国际标准化委员会给出的定义是：“为数据处理系统而采取的技术的和管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露”。,什么是信息安全信息安全目标总结,信息安全的目标,机密性,Confidentiality,完整性,Integrity,可用性,Availability,可控性,controllability,真实性,Authenticity,不可否认性,Non-repudiation,什么是信息安全涵盖内容总结,信息安全的涵盖内容,物理安全,网络安全,主机安全,应用安全,数据安全,安全管理,提纲,什么是信息安全,什么是,IT,运维,信息安全与,IT,运维的关系,怎样开展信息安全工作,信息安全最佳实践,信息安全工作模型,什么是IT运维？互联网定义,IT,运维是,IT,管理的核心和重点部分，也是内容最多、最繁杂的部分，该阶段主要用于,IT,部门内部日常运营管理，涉及的对象分成两大部分，即,IT,业务系统和运维人员，可细分为七个子系统：,设备管理：对网络设备、服务器备、操作系统运行状况进行监控,应用,/,服务管理：各种应用软件与服务,数据,/,存储,/,容灾管理：对系统和业务数据进行统一存储、备份和恢复,业务管理：对组织业务系统的监控与管理，,CSF/KPI,目录,/,内容管理：组织的对内、外信息的管理,资产管理：包括物理与逻辑资产,信息安全管理：,日常工作管理：职责分工，绩效考核，知识平台整理等,什么是IT运维我的定义,组织为实现业务目标而针对,IT,系统所采取的一切管理的总和，可以分为两类：服务支持管理与服务交付管理。,服务支持包括：,事故管理,问题管理,配置管理,变更管理,发布管理,服务交付包括：,可用性管理,能力管理,服务水平管理,外包管理,什么是IT运维总结,IT,运维的目标,支撑组织业务目标,IT,运维的内容,服务交付,服务支持,IT,运维 ,ITIL + Cobit + CISA + ISO20000,提纲,什么是信息安全,什么是,IT,运维,信息安全与,IT,运维的关系,怎样开展信息安全工作,信息安全最佳实践,信息安全工作模型,信息安全与IT运维的关系（1）,安全是,IT,运维的重要组成模块，对于某些行业是关键模块,IT,运维旨在谋求安全性与方便性,安全保障着价值,安全正在创造价值,.,网上银行的安全性吸引了更多的消费者,商业秘密的安全措施使得组织更具竞争力,电子签名法的出台打消了使用者的安全疑虑,具有安全认证与强大容灾能力的邮件系统才能拥有海量的用户,信息安全与IT运维的关系（2）,安全与,IT,运维共有一个衡量标尺：组织业务目标,业务需求驱动信息安全与,IT,运维需求,信息安全与,IT,运维方案要适应业务流程,信息安全与,IT,运维方案要支撑业务的可持续发展,业务目标的调整驱使安全与,IT,运维的调整,投资与企业战略、风险状况密切相关,信息安全与IT运维的关系（3）,安全贯穿了,IT,运维整个生命周期,安全与,IT,运维都是一个过程，而不是一次事件,每个,IT,运维流程都影响着安全的一个或者多个目标（,C.I.A,）,失去安全的,IT,运维是失败的运维,安全的成熟度模型与,IT,运维的标杆管理是吻合的,信息安全与IT运维的关系（4）,IT,运维与信息安全的融合,安全公司试水运维，安全产品强化管理、监控功能，支持,IT,运维,运维支持类产品引入安全概念、集成安全技术,信息安全融入,IT,运维流程中,相关标准的认证工作可以同时进行（,ISO20000/270001,）,信息安全与IT运维的关系（5）,IT,运维的趋势彰示着安全的未来,IT,运维的标准化符合安全的“纵深防御”的理念,IT,运维的流程化提高了安全的可管理性，为改进安全工作提供条件,IT,运维的自动化减少了人为失误，降低了安全的成本,提纲,什么是信息安全,什么是,IT,运维,信息安全与,IT,运维的关系,怎样开展信息安全工作,信息安全最佳实践,信息安全工作模型,怎样开展信息安全治理（1）,1,、规划,根据组织业务与组织文化，制定安全目标,对组织进行风险评估,制定安全基线,怎样开展信息安全治理（2）,2,、实施,根据安全基线，制定安全建设计划、投资回报计划,建立信息安全管理框架，,融合各种安全技术、产品，建设组织安全保障体系。,对关键流程制定,BCP/DRP,计划,怎样开展信息安全治理（3）,3,、评估,参照,Cobit,，开展信息系统审计,根据组织的业务流程，建立基于“平衡积分卡”的绩效考评机制,逐步分解“平衡积分卡”为若干个,KPI/KGI/Metrics,等，参照安全基线发现差距,在尽量不影响业务连续性的前提下，采取有效演练手段，确保,BCP,、,DRP,的有效性,怎样开展信息安全治理（4）,4,、维护,根据评估结果，进行流程改进,标杆管理，提高安全系统成熟度,持续改进，永不停止,怎样开展信息安全治理（5）,关于人,.,上述步骤中，并没有列出“人”的因素，其实在整个安全治理工作中，“人”是最关键的因素。,对人的安全意识的培养、安全技能的教育伴随着整个安全治理工作全程，不会仅限于某个特定步骤,怎样开展信息安全治理（6）,关于安全成熟度,.,系统安全工程能力成熟模型（,SSE-CMM,）描述了一个组织的安全工程过程必须包含的本质特征，这些特征是完善的安全工程保。包括,6,级。,SSE-CMM0:,未实施级,SSE-CMM1:,非正式实施级,执行基本实施,SSE-CMM2:,计划和跟踪级,规划执行，规范化执行，验证执行，跟踪执行,SSE-CMM3:,已定义级,定义标准过程，执行已定义过程，协调实施,SSE-CMM4:,可管理级,建立可测的质量目标，客观的管理执行,SSE-CMM5:,持续改进级,改进组织能力，改进过程有效性,怎样开展信息安全治理（7）,关于绩效考评与平衡计分卡,没有绩效考评无法度量信息安全治理的输出,一般来讲，平衡计分卡从如下,4,个角度进行,财务角度,成本预算、投资回报等,客户角度,服务质量、客户满意度、需求解决、高效的,IT,服务台等,企业内部运营,业务流程效率、登录时间、故障发生率、故障平均修复时间,学习与成长,人才培养，技能发展等,提纲,什么是信息安全,什么是,IT,运维,信息安全与,IT,运维的关系,怎样开展信息安全工作,信息安全最佳实践,信息安全工作模型,信息安全治理的最佳实践（1）,没有管理层支持的安全治理的结果只有一个：失败,确保资金、人员的支持,管理层的支持在一定程度上说明信息安全治理顺从组织业务目标,怎样得到管理层的支持？,信息安全治理的最佳实践（2）,没有规划的安全治理，结果也是失败,信息安全治理是一个复杂的工程，没有规划只能失败,信息安全治理的最佳实践（3）,遵循标准才能少走弯路,相关的标准与体系：,ISO20000/270001,ITIL,，,Cobit,，,COSO,相关的法律：,SOX302/404,信息安全等级管理办法,信息安全治理的最佳实践（4）,信息资产分类,/,分级，实现有限投资的效益最大化,信息资产分类,/,分级并不是简单的资产清点,信息资产分类,/,分级为进一步的访问控制做准备,信息资产的分类以业务流程为参照，分级以重要性为参照,信息安全治理的最佳实践（5）,建立纵深防御机制,纵深防御机制被认为是解决信息安全的最佳方法，是指在信息系统中的多个点使用多种安全技术，从而减少攻击者利用关键业务资源或信息泄露到企业外部的总体可能性。在消息传递和协作环境中，纵深防御体系可以帮助管理员确保恶意代码或活动被阻止在基础结构内的多个检查点。这降低了威胁进入内部网络的可能性。,怎样建立纵深防御机制？,信息安全治理的最佳实践（6）,预防为主，检测与纠正并举的安全控制措施,安全问题发生的阶段越靠后，解决安全问题付出的代价越高。,信息安全拒绝完美主义，不要试图消除所有的风险,虽然不能消除所有的风险，但是可以管理所有风险,信息安全治理的最佳实践（7）,安全治理是一个动态的过程，而非一次孤立事件,安全策略的建立不是安全的终点,安全产品的部署也不是安全的终点,安全治理根本没有终点，安全治理是一个循环,公司业务目标的调整对信息安全的影响,新技术、新产品的发展带来隐患或者机遇。,wireless,，,IM,，,cc,攻击等,信息安全治理的最佳实践（8）,安全治理的过程就是发现并消除短木板的过程,信息安全的短木板在很多方面都存在,以信息防泄漏为例，大多数网关设备能支持访问控制，能对邮件、网页、,ftp,等进行监控并过滤，但是仍然存在其他途径可以泄漏信息，包括移动介质、无线通讯、以及近来越来越普及的即时通讯工具。,信息安全治理的最佳实践（9）,安全的管理，归根结底是对人的管理,人的安全意识、安全操作、安全技能,信息安全中最重要的环节是人，最薄弱的环节也是人。,人可以解决技术、产品所不能解决的问题，比如,Social Engineering Attack,人可以管理技术、产品的缺陷,信息安全治理的最佳实践（10）,参照但不照搬最佳实践,没有一个最佳实践能适应所有情况，包括上述,9,条,:-),提纲,什么是信息安全,什么是,IT,运维,信息安全与,IT,运维的关系,怎样开展信息安全工作,信息安全最佳实践,信息安全工作模型,信息安全工作模型（图）,实施,安全建设计划,投资回报计划,技术产品部署,BCP/DRP,评估,信息系统审计,绩效考核,发现差距,BCP/DRP,演练,维护,流程改造,持续改进,规划,业务目标,组织文化,安全目标,风险评估,安全基线,SSM-CMM2,SSM-CMM3,SSM-CMM4,SSM-CMM5,SSM-CMM1,计划跟踪,已定义,可管理,持续改进,非正式,信息安全工作模型（总结）,借鉴了软件开发的,spiral,模型，融合了,SSE-CMM,安全成熟度模型与,BS7799,的,PDCA,模型。,安全治理工作可以分为四步：规划、实施、评估、维护,阿基米德线的延伸代表信息安全治理工作是一个不断前进、永不停止的过程,直径的不断扩大代表安全成熟度的不断提高,谢谢大家！,