[精选]信息安全与IT运维.pptx

信息安全与信息安全与IT IT运维运维我们不能消除风险，却可以管理风险我们不能消除风险，却可以管理风险 2008年1月20日提纲提纲n什么是信息安全n什么是IT运维n信息安全与IT运维的关系n怎样开展信息安全工作n信息安全最正确实践n信息安全工作模型什么是信息安全？什么是信息安全？1 1关于信息安全的定义很多，国内外、不同组织给出不同的定义，但我们可以找出其中共性的局部n国内学者的定义：“信息安全保密内容分为：实体安全、运行安全、数据安全和管理安全四个方面。n我国“计算机信息系统安全专用产品分类原则中的定义是：“涉及实体安全、运行安全和信息安全三个方面。n我国相关立法给出的定义是：“保障计算机及其相关的和配套的设备、设施网络的安全，运行环境的安全，保障信息安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全。这里面涉及了物理安全、运行安全与信息安全三个层面。什么是信息安全？什么是信息安全？2 2n国家信息安全重点实验室给出的定义是：“信息安全涉及到信息的机密性、完整性、可用性、可控性。综合起来说，就是要保障电子信息的有效性。n英国BS7799信息安全管理标准给出的定义是：“信息安全是使信息防止一系列威胁，保障商务的连续性，最大限度地减少商务的损失，最大限度地获取投资和商务的回报，涉及的是机密性、完整性、可用性。什么是信息安全？什么是信息安全？3 3n 国家 信息保障主任给出的定义是：“因为术语信息安全一直仅表示信息的机密性，在国防部我们用信息保障来描述信息安全，也叫IA。它包含5种安全效劳，包括机密性、完整性、可用性、真实性和不可抵赖性。n国际标准化 会给出的定义是：“为数据处理系统而采取的技术的和管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。什么是信息安全什么是信息安全信息安全目标总结信息安全目标总结n 信息安全的目标机密性 Confidentiality完整性 Integrity可用性 Availability可控性 controllability真实性 Authenticity不可否认性 Non-repudiation什么是信息安全什么是信息安全涵盖内容总结涵盖内容总结n 信息安全的涵盖内容物理安全网络安全主机安全应用安全数据安全安全管理提纲提纲n什么是信息安全n什么是IT运维n信息安全与IT运维的关系n怎样开展信息安全工作n信息安全最正确实践n信息安全工作模型什么是什么是ITIT运维？运维？互联网定义互联网定义 IT运维是IT管理的核心和重点局部，也是内容最多、最繁杂的局部，该阶段主要用于IT部门内部日常运营管理，涉及的对象分成两大局部，即IT业务系统和运维人员，可细分为七个子系统：设备管理：对网络设备、效劳器备、操作系统运行状况进行监控 应用/效劳管理：各种应用软件与效劳数据/存储/容灾管理：对系统和业务数据进行统一存储、备份和恢复 业务管理：对组织业务系统的监控与管理，CSF/KPI目录/内容管理：组织的对内、外信息的管理资产管理：包括物理与逻辑资产信息安全管理：日常工作管理：职责分工，绩效考核，知识平台整理等什么是什么是ITIT运维运维我的定义我的定义n组织为实现业务目标而针对IT系统所采取的一切管理的总和，可以分为两类：效劳支持管理与效劳交付管理。n 效劳支持包括：事故管理问题管理配置管理变更管理发布管理n 效劳交付包括：可用性管理能力管理效劳水平管理外包管理什么是什么是ITIT运维运维总结总结nIT运维的目标支撑组织业务目标nIT运维的内容效劳交付效劳支持IT运维 ITIL+Cobit+CISA+ISO20000提纲提纲n什么是信息安全n什么是IT运维n信息安全与IT运维的关系n怎样开展信息安全工作n信息安全最正确实践n信息安全工作模型信息安全与信息安全与ITIT运维的关系运维的关系1 1n安全是IT运维的重要组成模块，对于某些行业是关键模块 IT运维旨在谋求安全性与方便性 安全保障着价值 安全正在创造价值.网上银行的安全性吸引了更多的消费者商业秘密的安全措施使得组织更具竞争力电子签名法的出台消除了使用者的安全疑虑具有安全认证与强大容灾能力的邮件系统才能拥有海量的用户信息安全与信息安全与ITIT运维的关系运维的关系2 2n安全与IT运维共有一个衡量标尺：组织业务目标业务需求驱动信息安全与IT运维需求 信息安全与IT运维方案要适应业务流程信息安全与IT运维方案要支撑业务的可持续开展业务目标的调整驱使安全与IT运维的调整投资与企业战略、风险状况密切相关信息安全与信息安全与ITIT运维的关系运维的关系3 3n安全贯穿了IT运维整个生命周期安全与IT运维都是一个过程，而不是一次事件每个IT运维流程都影响着安全的一个或者多个目标C.I.A失去安全的IT运维是失败的运维安全的成熟度模型与IT运维的标杆管理是吻合的信息安全与信息安全与ITIT运维的关系运维的关系4 4nIT运维与信息安全的融合安全公司试水运维，安全产品强化管理、监控功能，支持IT运维运维支持类产品引入安全概念、集成安全技术信息安全融入IT运维流程中相关标准的认证工作可以同时进行ISO20000/270001信息安全与信息安全与ITIT运维的关系运维的关系5 5nIT运维的趋势彰示着安全的未来IT运维的标准化符合安全的“纵深防御的理念IT运维的流程化提高了安全的可管理性，为改进安全工作提供条件IT运维的自动化减少了人为失误，降低了安全的成本提纲提纲n什么是信息安全n什么是IT运维n信息安全与IT运维的关系n怎样开展信息安全工作n信息安全最正确实践n信息安全工作模型怎样开展信息安全治理怎样开展信息安全治理1 11、规划根据组织业务与组织文化，制定安全目标对组织进行风险评估制定安全基线怎样开展信息安全治理怎样开展信息安全治理2 22、实施根据安全基线，制定安全建设方案、投资回报方案建立信息安全管理框架，融合各种安全技术、产品，建设组织安全保障体系。对关键流程制定BCP/DRP方案怎样开展信息安全治理怎样开展信息安全治理3 33、评估参照Cobit，开展信息系统审计根据组织的业务流程，建立基于“平衡积分卡的绩效考评机制逐步分解“平衡积分卡为假设干个KPI/KGI/Metrics等，参照安全基线发现差距在尽量不影响业务连续性的前提下，采取有效演练手段，确保BCP、DRP的有效性怎样开展信息安全治理怎样开展信息安全治理4 44、维护根据评估结果，进行流程改进标杆管理，提高安全系统成熟度持续改进，永不停止怎样开展信息安全治理怎样开展信息安全治理5 5n关于人.上述步骤中，并没有列出“人的因素，其实在整个安全治理工作中，“人是最关键的因素。对人的安全意识的培养、安全技能的教育伴随着整个安全治理工作全程，不会仅限于某个特定步骤怎样开展信息安全治理怎样开展信息安全治理6 6n关于安全成熟度.系统安全工程能力成熟模型SSE-CMM描述了一个组织的安全工程过程必须包含的本质特征，这些特征是完善的安全工程保。包括6级。SSE-CMM0:未实施级SSE-CMM1:非正式实施级执行基本实施SSE-CMM2:方案和跟踪级规划执行，标准化执行，验证执行，跟踪执行SSE-CMM3:已定义级定义标准过程，执行已定义过程，协调实施SSE-CMM4:可管理级建立可测的质量目标，客观的管理执行SSE-CMM5:持续改进级改进组织能力，改进过程有效性怎样开展信息安全治理怎样开展信息安全治理7 7n关于绩效考评与平衡计分卡没有绩效考评无法度量信息安全治理的输出一般来讲，平衡计分卡从如下4个角度进行财务角度成本预算、投资回报等客户角度效劳质量、客户满意度、需求解决、高效的IT效劳台等企业内部运营业务流程效率、登录时间、故障发生率、故障平均修复时间学习与成长人才培养，技能开展等提纲提纲n什么是信息安全n什么是IT运维n信息安全与IT运维的关系n怎样开展信息安全工作n信息安全最正确实践n信息安全工作模型信息安全治理的最正确实践信息安全治理的最正确实践1 1n没有管理层支持的安全治理的结果只有一个：失败确保资金、人员的支持管理层的支持在一定程度上说明信息安全治理顺从组织业务目标怎样得到管理层的支持？信息安全治理的最正确实践信息安全治理的最正确实践2 2n没有规划的安全治理，结果也是失败信息安全治理是一个复杂的工程，没有规划只能失败信息安全治理的最正确实践信息安全治理的最正确实践3 3n遵循标准才能少走弯路相关的标准与体系：ISO20000/270001ITIL，Cobit，COSO相关的法律：SOX302/404信息安全等级管理方法信息安全治理的最正确实践信息安全治理的最正确实践4 4n信息资产分类/分级，实现有限投资的效益最大化信息资产分类/分级并不是简单的资产清点信息资产分类/分级为进一步的访问控制做准备信息资产的分类以业务流程为参照，分级以重要性为参照信息安全治理的最正确实践信息安全治理的最正确实践5 5n建立纵深防御机制纵深防御机制被认为是解决信息安全的最正确方法，是指在信息系统中的多个点使用多种安全技术，从而减少攻击者利用关键业务资源或信息泄露到企业外部的总体可能性。在消息传递和协作环境中，纵深防御体系可以帮助管理员确保恶意代码或活动被阻止在基础结构内的多个检查点。这降低了威胁进入内部网络的可能性。怎样建立纵深防御机制？信息安全治理的最正确实践信息安全治理的最正确实践6 6n预防为主，检测与纠正并举的安全控制措施安全问题发生的阶段越靠后，解决安全问题付出的代价越高。信息安全拒绝完美主义，不要试图消除所有的风险虽然不能消除所有的风险，但是可以管理所有风险信息安全治理的最正确实践信息安全治理的最正确实践7 7n安全治理是一个动态的过程，而非一次孤立事件安全策略的建立不是安全的终点安全产品的部署也不是安全的终点安全治理根本没有终点，安全治理是一个循环公司业务目标的调整对信息安全的影响新技术、新产品的开展带来隐患或者机遇。wireless，IM，cc攻击等信息安全治理的最正确实践信息安全治理的最正确实践8 8n安全治理的过程就是发现并消除短木板的过程信息安全的短木板在很多方面都存在以信息防泄漏为例，大多数网关设备能支持访问控制，能对邮件、网页、ftp等进行监控并过滤，但是仍然存在其他途径可以泄漏信息，包括移动介质、无线通讯、以及近来越来越普及的即时通讯工具。信息安全治理的最正确实践信息安全治理的最正确实践9 9n安全的管理，归根结底是对人的管理人的安全意识、安全操作、安全技能信息安全中最重要的环节是人，最薄弱的环节也是人。人可以解决技术、产品所不能解决的问题，比方Social Engineering Attack人可以管理技术、产品的缺陷信息安全治理的最正确实践信息安全治理的最正确实践1010n参照但不照搬最正确实践没有一个最正确实践能适应所有情况，包括上述9条:-提纲提纲n什么是信息安全n什么是IT运维n信息安全与IT运维的关系n怎样开展信息安全工作n信息安全最正确实践n信息安全工作模型信息安全工作模型图信息安全工作模型图实施实施安全建设计划安全建设计划投资回报计划投资回报计划技术产品部署技术产品部署BCP/DRP评估评估信息系统审计信息系统审计绩效考核绩效考核发现差距发现差距BCP/DRP演练演练维护维护流程改造流程改造持续改进持续改进规划规划业务目标业务目标组织文化组织文化安全目标安全目标风险评估风险评估安全基线安全基线SSM-CMM2SSM-CMM3SSM-CMM4SSM-CMM5SSM-CMM1计划跟踪已定义可管理持续改进非正式信息安全工作模型总结信息安全工作模型总结n借鉴了软件开发的spiral模型，融合了SSE-CMM安全成熟度模型与BS7799的PDCA模型。n安全治理工作可以分为四步：规划、实施、评估、维护n阿基米德线的延伸代表信息安全治理工作是一个不断前进、永不停止的过程n直径的不断扩大代表安全成熟度的不断提高谢谢大家！n9、静夜四无邻，荒居旧业贫。4月-234月-23Monday,April 17,2023n10、雨中黄叶树，灯下白头人。19:37:0319:37:0319:374/17/2023 7:37:03 PMn11、以我独沈久，愧君相见频。4月-2319:37:0319:37Apr-2317-Apr-23n12、故人江海别，几度隔山川。19:37:0319:37:0319:37Monday,April 17,2023n13、乍见翻疑梦，相悲各问年。4月-234月-2319:37:0319:37:03April 17,2023n14、他乡生白发，旧国见青山。17 四月 20237:37:03 下午19:37:034月-23n15、比不了得就不比，得不到的就不要。四月 237:37 下午4月-2319:37April 17,2023n16、行动出成果，工作出财富。2023/4/17 19:37:0319:37:0317 April 2023n17、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。7:37:03 下午7:37 下午19:37:034月-23n9、没有失败，只有暂时停止成功！。4月-234月-23Monday,April 17,2023n10、很多事情努力了未必有结果，但是不努力却什么改变也没有。19:37:0319:37:0319:374/17/2023 7:37:03 PMn11、成功就是日复一日那一点点小小努力的积累。4月-2319:37:0319:37Apr-2317-Apr-23n12、世间成事，不求其绝对圆满，留一份缺乏，可得无限完美。19:37:0319:37:0319:37Monday,April 17,2023n13、不知香积寺，数里入云峰。4月-234月-2319:37:0319:37:03April 17,2023n14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。17 四月 20237:37:03 下午19:37:034月-23n15、楚塞三湘接，荆门九派通。四月 237:37 下午4月-2319:37April 17,2023n16、少年十五二十时，步行夺得胡马骑。2023/4/17 19:37:0319:37:0317 April 2023n17、空山新雨后，天气晚来秋。7:37:03 下午7:37 下午19:37:034月-23n9、杨柳散和风，青山澹吾虑。4月-234月-23Monday,April 17,2023n10、阅读一切好书如同和过去最杰出的人谈话。19:37:0319:37:0319:374/17/2023 7:37:03 PMn11、越是没有本领的就越加自命非凡。4月-2319:37:0319:37Apr-2317-Apr-23n12、越是无能的人，越喜欢挑剔别人的错儿。19:37:0319:37:0319:37Monday,April 17,2023n13、知人者智，自知者明。胜人者有力，自胜者强。4月-234月-2319:37:0319:37:03April 17,2023n14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。17 四月 20237:37:03 下午19:37:034月-23n15、最具挑战性的挑战莫过于提升自我。四月 237:37 下午4月-2319:37April 17,2023n16、业余生活要有意义，不要越轨。2023/4/17 19:37:0319:37:0317 April 2023n17、一个人即使已登上顶峰，也仍要自强不息。7:37:03 下午7:37 下午19:37:034月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉