[精选]IBM信息系统安全设计方案lbk.pptx
《[精选]IBM信息系统安全设计方案lbk.pptx》由会员分享,可在线阅读,更多相关《[精选]IBM信息系统安全设计方案lbk.pptx(95页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、IBM China Company Ltd Copyright IBM Corporation 2004中国移动企业信息化系统中国移动企业信息化系统安全加固方案设计软课题报告安全加固方案设计软课题报告2004/12IBM安全项目组IBM China Company Ltd.Copyright IBM Corporation 2004日程安排日程安排课题背景介绍 企业信息化系统信息安全体系安全加固方案及实施计划防病毒安全规范数据库安全规范防火墙安全规范企业信息化系统安全域规范问答2Presentation Title|Confidential|Document ID IBM China Comp
2、any Ltd Copyright IBM Corporation 2004课题背景介绍课题背景介绍IBM China Company Ltd.Copyright IBM Corporation 2004研究内容研究内容中国移动集团公司信息系统安全加固方案及实施计划安全加固方案是整个软课题的入口,是总部信息办和各省公司信息办对其所负责的平台(统一信息平台、OA等)的安全指南。安全规范与具体平台无关的指导性的安全要求,作为各个平台安全操作手册制定时的安全依据。-安全域划分-防病毒系统管理与配置-网络设备安全-数据库安全规范-防火墙安全规范中国移动安全操作过程手册(安全配置手册)根据信息系统安全操
3、作规范,结合中国移动具体网络及应用环境和设备,在现有安全策略和规范中的相关部分上进行深化和细化,详细制定每个具体设备具体流程的操作规范,形成具有很强操作性的安全操作过程手册。-操作系统安全配置手册(SUN SOLARIS/IBM AIX/HP UX/WIN 2000)-数据库安全配置手册(Oracle/DB2/Sql Server/Domino/Exchange)-门户系统安全配置手册(WebSphere Portal/BEA WebLogic/Sun One Portal/Oracle AS Portal/MS SharePoint)-网络安全配置手册(DNS,FTP,防病毒,VPN,防火墙
4、,交换机,路由器)4Presentation Title|Confidential|Document ID IBM China Company Ltd.Copyright IBM Corporation 2004研究成果(研究成果(1 1)本软课题,共有31个提交件中国移动企业信息化系统 安全加固方案及实施计划规范(与具体产品平台无关)中国移动企业信息化系统 安全域规范中国移动防病毒安全规范中国移动网络设备安全规范中国移动防火墙安全规范中国移动数据库安全规范产品操作手册(见下页)5Presentation Title|Confidential|Document ID IBM China Com
5、pany Ltd.Copyright IBM Corporation 2004研究成果(研究成果(2 2)通用应用系统-中国移动WEB服务器安全配置手册(包括通用,IIS,Apache)-中国移动DNS服务器安全配置手册(包括通用,windows DNS,Unix Bind)-中国移动FTP服务器安全配置手册(包括通用,IIS,WU-ftp)-中国移动电子邮件安全配置手册(包括通用,Domino,Exchange)操作系统-中国移动操作系统安全配置手册(包括通用,Solaris,win2000,HP UX,AIX)数据库-中国移动Oracle安全配置手册-中国移动DB2安全配置手册-中国移动D
6、omino安全配置手册-中国移动SQL Server安全配置手册门户-中国移动Websphere Portal安全配置手册-中国移动BEA Weblogic安全配置手册-中国移动SUN One Portal安全配置手册-中国移动Oracle AS Portal安全配置手册-中国移动MS Sharepoint安全配置手册VPN-中国移动CheckPoint VPN安全配置手册-中国移动Nortel VPN安全配置手册-中国移动IBM VPN安全配置手册路由器,交换机-中国移动华为路由器交换机安全配置手册-中国移动CISCO路由器交换机安全配置手册防火墙-中国移动CISCO PIX防火墙安全配置手
7、册-中国移动Netscreen防火墙安全配置手册-中国移动CheckPoint防火墙安全配置手册防病毒-中国移动Symantec防病毒安全配置手册-中国移动趋势防病毒安全配置手册-中国移动瑞星防病毒安全配置手册6Presentation Title|Confidential|Document ID IBM China Company Ltd.Copyright IBM Corporation 2004研究方式研究方式本课题的研究方式分为两类-安全加固方案和实施计划以及与平台无关的5个安全规范IBM负责编写中国移动提供相关信息,并负责审查和提供修改建议-25个与平台相关的安全操作手册中国移动负责
8、编写IBM提供模板,并负责审核和提供修改建议IBM负责手册中通用部分的撰写IBM负责文档的整合感谢相关各省移动对本课题的大力支持。7Presentation Title|Confidential|Document ID IBM China Company Ltd Copyright IBM Corporation 2004企业信息化系统信息安全体系企业信息化系统信息安全体系IBM China Company Ltd.Copyright IBM Corporation 2004中国移动企业信息化系统安全体系中国移动企业信息化系统安全体系 9Presentation Title|Confident
9、ial|Document ID IBM China Company Ltd.Copyright IBM Corporation 2004企业信息化系统安全体系的三层结构企业信息化系统安全体系的三层结构 10Presentation Title|Confidential|Document ID IBM China Company Ltd.Copyright IBM Corporation 2004第一层:安全策略第一层:安全策略第二层:安全规范和标准第二层:安全规范和标准安全策略安全策略安全规范和标准安全规范和标准11Presentation Title|Confidential|Documen
10、t ID IBM China Company Ltd.Copyright IBM Corporation 2004安全操作手册、安全操作手册、流程、细则流程、细则第三层:安全操作手册、流程、细则第三层:安全操作手册、流程、细则12Presentation Title|Confidential|Document ID IBM China Company Ltd Copyright IBM Corporation 2004信息化系统信息化系统安全加固方案及实施计划安全加固方案及实施计划IBM China Company Ltd.Copyright IBM Corporation 2004加固方案和
11、实施计划分为三个部分加固方案和实施计划分为三个部分安全管理层面:第一部分 安全体系完善计划针对信息化安全体系的整体架构,分析目前在策略、规范、标准方面缺失的部分,制定标准体系规范完善计划第二部分 安全体系部署/实施计划给出各省市部署和实施该安全体系的建议,该部分是指导性的,概括性的,各省公司应该根据此加固方案和实施计划制定自己的详细的、切实可行的实施计划。安全技术层面:第三部分 总部安全技术体系加固方案和建设计划根据集团总部信息化系统目前所采用的安全技术现状,结合安全体系的具体要求,制定安全技术体系建设计划。14Presentation Title|Confidential|Document
12、ID IBM China Company Ltd.Copyright IBM Corporation 2004安全体系完善计划安全体系完善计划(1)(1)通过分析中国移动企业信息化系统安全体系结构,发现目前在第二层规范/标准这一层的第二个子层具体规范这一层的建设还比较缺乏。下图所列的规范,除了红色部分外,其它规范还不存在。虽然在规范总则中对这些规范进行了简单的说明,但是还不够全面和深入,对于实际操作还是缺乏明确的依据。针对以上分析,建议信息化办公室在下一阶段将体系建设的重点放在安全规范建设上,逐步完善体系中所提到的安全规范。15Presentation Title|Confidential|D
13、ocument ID IBM China Company Ltd.Copyright IBM Corporation 2004安全体系完善计划(安全体系完善计划(2 2)在待建设规范中,有些规范之间是存在一定的关联的,我们建议在建设时能够同时予以考虑和建设。-风险管理规范 和 信息资产管理规范-数据备份和恢复 和 介质安全管理规范 和 业务连续性计划规范-系统安全自测规范 和 安全许可证制度 和 内部安全审计规范-人力资源安全管理 和 个人安全守则 和 用户管理规范 和 远程访问安全规范-安全事件检测和响应规范 和 系统日志规范其它的规范可以酌情和以上规范整合在一起考虑。-系统生命周期安全管理
14、-安全加密-文档管理规范-补丁管理规范-物理安全规范16Presentation Title|Confidential|Document ID IBM China Company Ltd.Copyright IBM Corporation 2004安全体系完善计划(安全体系完善计划(3 3)针对待建的19个安全规范,针对每个具体的规范定义了该规范建设的目标以及该规范中应该包含的内容概要例如:信息资产管理规范-目标目标对于企业信息化系统安全管理来说,如果没有一份完整的能够说明我们所拥有的信息资产情况的清单,就没有办法评估资产的价值、应该采取的保护措施、应该投入的资源情况等,也就无法开展有意义的企
15、业信息化系统安全工作。所以,中国移动要求所有部门/分公司必须维护一份完整、详细的企业信息化系统资产清单,以便于跟踪企业信息化系统安全状态。-内容内容定义信息资产分类标准定义信息分级保护标准设计信息资产识别方法定义识别和登记信息资产的流程定义信息资产登记表模版定义信息资产清单维护方法17Presentation Title|Confidential|Document ID IBM China Company Ltd.Copyright IBM Corporation 2004安全体系部署安全体系部署/实施计划(实施计划(1 1)信息安全体系建设的生命周期信息安全体系建设的生命周期18Presen
16、tation Title|Confidential|Document ID IBM China Company Ltd.Copyright IBM Corporation 2004安全体系部署安全体系部署/实施计划(实施计划(2 2)企业信息化系统安全建设步骤企业信息化系统安全建设步骤如下图所示,建议企业信息化系统安全建设分为以下三个步骤,首先是在集团公司一级进行总体体系部署的规划,然后进行试点,试点成功后进行推广。而在每一个步骤中的建设都应遵守安全体系建设的PDCA模型,确保中国移动的安全体系能够不断地自我发展,循环上升。总部信息化办公室总部信息化办公室试点试点省公司 3省公司 4省公司 1
17、其它省公司推广推广省公司 2项目 2项目 1项目 3项目 319Presentation Title|Confidential|Document ID IBM China Company Ltd.Copyright IBM Corporation 2004总部安全技术体系加固方案和建设计划总部安全技术体系加固方案和建设计划主要安全产品和技术分类主要安全产品和技术分类20Presentation Title|Confidential|Document ID IBM China Company Ltd.Copyright IBM Corporation 2004总部安全技术体系加固方案和建设计划总
18、部安全技术体系加固方案和建设计划总部信息化系统安全体系改进建议总部信息化系统安全体系改进建议21Presentation Title|Confidential|Document ID IBM China Company Ltd.Copyright IBM Corporation 2004安全总控中心安全总控中心集中地检测、分析、关连、报告、处理安全入侵和违规事件集中存储安全事件数据和风险信息增加整个组织信息安全管理的效率及经济性支持企业信息安全决策机制及风险评估为企业信息安全管理量化提供必要基础设施入侵检测机制安全事件管理安全指导中心安全风险评估安全弱点扫描病毒防护处理安全总控安全总控中心中心
19、(SOC)(SOC)病毒入侵病毒入侵拒绝服务攻击拒绝服务攻击 非法系统访问非法系统访问非法系统访问非法系统访问应用安全弱点应用安全弱点22Presentation Title|Confidential|Document ID IBM China Company Ltd.Copyright IBM Corporation 2004网络安全审计系统网络安全审计系统网络安全审计系统主要用于监视并记录网络中的各类操作,实时地综合分析网络和系统中发生的安全事件,包括各种外部事件(如外部入侵行为)和内部事件(如内部人员的文件拷贝、信息获取、信息发布、资源变迁等),并根据设置的安全规则,智能地判断出违规行为
20、,并对违规行为进行记录、报警和阻断。主要功能-对网络中典型的应用如TELNET、HTTP、FTP、SMTP、POP3等进行全面审计,提供详细信息。按照需要,跟踪并记录指定客户的网络操作,真实地再现用户操作的过程,还原该操作。也可以还原电子邮件、网页访问操作等。-网络数据流量监测功能,包括实时流量监测和历史流量记录,用户可以使用该功能发现一些网络异常现象,尤其是当网络中有拒绝服务攻击(DoS)行为时可以及时发现并采取措施。流量监测功能可以自动定时记录用户所指定的主机和端口的流量。通过查询所记录的主机和端口的历史流量,系统可以绘制流量曲线图,生成统计报表。-23Presentation Title
21、|Confidential|Document ID IBM China Company Ltd.Copyright IBM Corporation 2004主机入侵检测系统主机入侵检测系统在目前的中国移动网络结构中使用了实时监视系统,在Internal Zone,Admin Zone,和Interconnection Zone部署了ISS入侵检测软件。由于内部网采用的各种操作系统可能会带来安全问题,如运行各种UNIX的操作系统。包括操作系统本身的配置不安全和可能驻留在操作系统内部的黑客程序等带来的威胁。因此,可建立主机IDS以进一步防止黑客的威胁。24Presentation Title|Co
22、nfidential|Document ID IBM China Company Ltd.Copyright IBM Corporation 2004安全扫描、安全政策检查安全扫描、安全政策检查安全是需要随时注意及改善的,故系统管理人员需随时了解网络和系统安全状况,因此中国移动需要一套系统弱点扫描的工具,能够协助系统管理人员找出重要服务器上可能具有的安全漏洞,以便及早修补。-网络漏洞扫描系统-数据库风险评估和安全政策审计系统-系统风险评估和安全政策审计系统25Presentation Title|Confidential|Document ID IBM China Company Ltd.Co
23、pyright IBM Corporation 2004业务连续性计划业务连续性计划/灾难恢复计划灾难恢复计划现在社会中,业务的连续性对一个企业越来越重要,在企业中已不是IT一个部门的问题,而是整个企业生死相关的问题。通过对实际情况(包括核心业务,业务中断的损失,可容忍任务中断的时间)进行分析,建设一套切合实际的,投资合理的,内容可靠的业务连续性及容灾备份方案。如右图所示,容灾备援方案包括一个相互关连的流程,具体包括风险管理、业务冲击分析、恢复能力分析、容灾策略制定、容灾技术方案的制定和实施、企业业务连续性计划的制定和企业容灾方案的管理。26Presentation Title|Confide
24、ntial|Document ID IBM China Company Ltd.Copyright IBM Corporation 2004网络安全体系建设网络安全体系建设根据业务上或管理上以及企业信息化安全域规范的各种安全相关需求,对现有的网络系统通过各种网络安全防范的技术手段和管理规范进行一系列的安全改造,从而将网络上存在的安全风险和安全隐患降至最低。本项目的范围包括了所有与网络系统相关的运作安全考虑。包括了-内部局域网安全建设和改造-和第三方合作伙伴的网络连接安全建设和改造-Internet连接安全规范-用户远程网络接入连接相关的安全方面的考虑27Presentation Title|C
25、onfidential|Document ID IBM China Company Ltd.Copyright IBM Corporation 2004各信息系统的统一单点登录各信息系统的统一单点登录统一认证和授权系统由以下四个部分组成:-目录服务:存储多种不同来源的用户/资源信息。包括:存储子模块:即目录服务模块同步子模块:即元目录,或动态用户管理(User Provisioning)模块-身份管理:管理用户身份信息,并提供自动工作流程和自服务、分权管理功能。-认证管理:认证方式可以分为以下四类:所知(Something you know)所持(Something you have)所具有(
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 精选 IBM 信息系统安全 设计方案 lbk
限制150内