信息安全测评服务解决方案建议书 PPT
合集下载
信息安全等级保护与整体解决方案PPT课件
2005年12月,公安部《信息系统安全等级保护实施指 南》、《信息系统安全等级保护定级要求》、《信息 系统安全等级保护基本要求》、《信息系统安全等级 保护测评准则》(GB送审稿陆续出台)
2006年3月开始实施的公安部、国家保密局、国家密码 管理局、国信办四部委(局办)发布7号文 《等级保 护管理办法》
信息安全等级保护与 等级化安全体系解决方案
1
INDEX
网络安全与信息安全 信息安全等级保护 等级化安全体系解决方案
2
网络安全与信息安全
安全定义 安全基本要求 安全技术体系 安全模型
3
安全定义
防止任何对数据进行未授权访问的措施,或者造 成信息有意无意泄漏、破坏、丢失等问题的发生, 让数据处于远离危险、免于威胁的状态或特性。
10
对等级保护的理解
等级保护是我国信息安全领域的一项基本政策
1994年,《中华人民共和国计算机信息系统安全保护条 例》的发布
1999年,《计算机信息系统安全保护等级划分准则》 GB17859-1999发布
2003年,中央办公厅、国务院办公厅转发《国家信息化 领导小组关于加强信息安全保障工作的意见》(中办发 [2003]27号文)
12
对等级保护的理解(续二)
等级保护的核心是将传统的定性设计逐步进化为 定量的安全保障设计
对信息系统实施不同等级的安全保护 对信息系统中使用的安全产品实施分等级管理 对信息系统发生的安全事件分等级响应和处置
13
对等级保护的理解(续三)
等级保护体现了差异化的安全保障思想
由系统使命决定系统的等级,充分考虑业务信息安全性和业 务服务保证性
2004年,四部委(公安部、国家保密局、国家密码管理 局、国信办)联合签发了《关于信息安全等级保护工作 的实施意见 》(公通字[2004]66号文)
2006年3月开始实施的公安部、国家保密局、国家密码 管理局、国信办四部委(局办)发布7号文 《等级保 护管理办法》
信息安全等级保护与 等级化安全体系解决方案
1
INDEX
网络安全与信息安全 信息安全等级保护 等级化安全体系解决方案
2
网络安全与信息安全
安全定义 安全基本要求 安全技术体系 安全模型
3
安全定义
防止任何对数据进行未授权访问的措施,或者造 成信息有意无意泄漏、破坏、丢失等问题的发生, 让数据处于远离危险、免于威胁的状态或特性。
10
对等级保护的理解
等级保护是我国信息安全领域的一项基本政策
1994年,《中华人民共和国计算机信息系统安全保护条 例》的发布
1999年,《计算机信息系统安全保护等级划分准则》 GB17859-1999发布
2003年,中央办公厅、国务院办公厅转发《国家信息化 领导小组关于加强信息安全保障工作的意见》(中办发 [2003]27号文)
12
对等级保护的理解(续二)
等级保护的核心是将传统的定性设计逐步进化为 定量的安全保障设计
对信息系统实施不同等级的安全保护 对信息系统中使用的安全产品实施分等级管理 对信息系统发生的安全事件分等级响应和处置
13
对等级保护的理解(续三)
等级保护体现了差异化的安全保障思想
由系统使命决定系统的等级,充分考虑业务信息安全性和业 务服务保证性
2004年,四部委(公安部、国家保密局、国家密码管理 局、国信办)联合签发了《关于信息安全等级保护工作 的实施意见 》(公通字[2004]66号文)
企业信息安全整体解决方案讲座PowerPoint演示文稿课件
企业信息安全整体解决方案讲座PowerPoint演示文稿
典型的网络安全解决方案
Internet
不安全区
入 侵 检 测 RIDS-100
路由器 集线器
防 火 墙 RFW-100
WEB服 务 器
DMZ 区
集线器
FTP服 务 器
HS1 HS2 OK1 OK2 PS
1 2 3 4 5 6 7 8 9 1 01 11 2 CO LACTSTA-
内部服务器
子系统中心1
IBM 兼 容 机
安全区
IBM 兼 容 机
IBM 兼 容 机
VLan2
子系统中心2
企业信I B M息兼 安容 机全整体解决方案讲I B座M 兼- 容 机 PowerPoint演示文稿
IBM 兼 容 机
小型网络解决方案
Internet
不安全区
路由器 防 火 墙 RFW-100
WEB服 务 器
DMZ 区
集线器
FTP服 务 器
集线器
MAIL服 务 器
系统中心 内部服务器
工作站
IBM 兼 容 机 IBM 兼 容 机
安全区
工作站
工作站
企业信息安全整体解决方案讲座PowerPoint演示文稿
谢 谢!
企业信息安全整体解决方案讲座PowerPoint演示文稿
企业信息安全整体解决方案讲座PowerPoint演示文稿
安全需求
2 :关键业务系统安全需求
关键业务系统是企业网络应用的核心。关键业务系统应 该具有最高的网络安全措施,其安全需求主要包括:访问控 制,确保业务系统不被非法访问;数据安全,保证数据库软 硬系统的整体安全性和可靠性保证数据不被来自网络内部其 他子系统(子网段)的破坏;入侵检测,对于试图破坏关键 业务系统的恶意行为能够及时发现、记录和跟踪,提供非法 攻击的犯罪证据;系统服务器、客户机以及 电子邮件系统的综合防病毒措施等。
典型的网络安全解决方案
Internet
不安全区
入 侵 检 测 RIDS-100
路由器 集线器
防 火 墙 RFW-100
WEB服 务 器
DMZ 区
集线器
FTP服 务 器
HS1 HS2 OK1 OK2 PS
1 2 3 4 5 6 7 8 9 1 01 11 2 CO LACTSTA-
内部服务器
子系统中心1
IBM 兼 容 机
安全区
IBM 兼 容 机
IBM 兼 容 机
VLan2
子系统中心2
企业信I B M息兼 安容 机全整体解决方案讲I B座M 兼- 容 机 PowerPoint演示文稿
IBM 兼 容 机
小型网络解决方案
Internet
不安全区
路由器 防 火 墙 RFW-100
WEB服 务 器
DMZ 区
集线器
FTP服 务 器
集线器
MAIL服 务 器
系统中心 内部服务器
工作站
IBM 兼 容 机 IBM 兼 容 机
安全区
工作站
工作站
企业信息安全整体解决方案讲座PowerPoint演示文稿
谢 谢!
企业信息安全整体解决方案讲座PowerPoint演示文稿
企业信息安全整体解决方案讲座PowerPoint演示文稿
安全需求
2 :关键业务系统安全需求
关键业务系统是企业网络应用的核心。关键业务系统应 该具有最高的网络安全措施,其安全需求主要包括:访问控 制,确保业务系统不被非法访问;数据安全,保证数据库软 硬系统的整体安全性和可靠性保证数据不被来自网络内部其 他子系统(子网段)的破坏;入侵检测,对于试图破坏关键 业务系统的恶意行为能够及时发现、记录和跟踪,提供非法 攻击的犯罪证据;系统服务器、客户机以及 电子邮件系统的综合防病毒措施等。
信息安全技术整体解决方案PPT教案
访问控制 密码保护措施 电磁泄漏发射防护 信息完整性校验
操作系统安全 系统安全性能检测
数据库安全
安全审计
边界安全防护
抗抵赖
9
相似的信息系统管理流程
系统定级
定
级 不
系统备案
材 料
准
不
公安网监审核
齐
材料齐、定级准
颁发证书
系统定级/备案 方案设计 工程实施
系统定级 系统建设
安全需求分析
规划等保整改方案
系统测评
络
级
保安
基
划
护全
础
分
基技
安
原
本术
全
则
要要
基
求求
本
要
求
分
级
保
护
技
术
要
…
求
等级保护
6
分
分
分
级
级
级
保
保
保
护
护
护
管
测
设
理
评
计
要 求
指 南
指 南
…
分级保护
国家标准
等级保护
分级保护
职责部门
公安机关
国家保密工作部门
标准体系
国家标准(GB、GB/T)
国家保密标准(BMB、强 制执行)
保护对象
非涉密信息系统
涉密信息系统
2. 秘密级的电子政务涉密信息系统(或安全域)符合分级保护要求,且在投入运行前通过了保 密部门的审批
3. 电子政务非涉密信息系统(或安全域)与国际互联网或者其公共信息网络物理隔离,并且其 防护达到国家信息安全等级第三级的防护要求
全网信息安全完整解决方案.pptx
XX
方案概述
• 目标和体系 • 动态安全解决方案 • 安全需求分析
(策略体系和技术体系) • 安全工程模型
(管理体系和服务体系)
方案对象
• 上海XX有限公司信息安全解决方案突出 为3点:
企业级 Enterprise 信息安全 Information Security
企业级方案的特点
• 企业级方案的特点:
方案的目标和体系
信息安全的经典定义
• 信息安全的三个方面
– 保密性——信息的机密性 – 完整性——信息的完整性、一致性 – 可用性——行为完整性、服务连续性
我们真正的目标
建立 可评估的 风险量化的 信息安全体系
安全“三元论”
策略
管理 技术
我们的安全体系
策略体系 管理体系
我们方案的核心特征
•可管理性 •可伸缩性
•互操作性 •基于标准
信息安全方案的特点
• 一个好的信息安全解决方案需要抓住信息安全 自身的突出特点:
•动态性
•标准化
•潜在性
•管理特性
信息安全完整解决方案的特点
• 方案的完整性应当体现在:
– 完整描述动态安全的各个环节 – 完整体现安全的整个生命周期 – 完整解决各个角度的安全需求 – 体现集成性
安全服务体系
• 专业安全服务体系 • 安全产品服务体系 • 安全顾问服务体系 • 企业安全策略顾问服务 • 安全评估顾问服务 • 安全管理维护方案 • 安全紧急响应服务
安全标准
传统安全理念的高峰 国际上最据权威的评估标准
美国国防部公布的
“可信计算机系统评估标准TCSEC” ─彩虹系列标准
• 为计算机安全产品的评测提供了测试准则和方法
方案概述
• 目标和体系 • 动态安全解决方案 • 安全需求分析
(策略体系和技术体系) • 安全工程模型
(管理体系和服务体系)
方案对象
• 上海XX有限公司信息安全解决方案突出 为3点:
企业级 Enterprise 信息安全 Information Security
企业级方案的特点
• 企业级方案的特点:
方案的目标和体系
信息安全的经典定义
• 信息安全的三个方面
– 保密性——信息的机密性 – 完整性——信息的完整性、一致性 – 可用性——行为完整性、服务连续性
我们真正的目标
建立 可评估的 风险量化的 信息安全体系
安全“三元论”
策略
管理 技术
我们的安全体系
策略体系 管理体系
我们方案的核心特征
•可管理性 •可伸缩性
•互操作性 •基于标准
信息安全方案的特点
• 一个好的信息安全解决方案需要抓住信息安全 自身的突出特点:
•动态性
•标准化
•潜在性
•管理特性
信息安全完整解决方案的特点
• 方案的完整性应当体现在:
– 完整描述动态安全的各个环节 – 完整体现安全的整个生命周期 – 完整解决各个角度的安全需求 – 体现集成性
安全服务体系
• 专业安全服务体系 • 安全产品服务体系 • 安全顾问服务体系 • 企业安全策略顾问服务 • 安全评估顾问服务 • 安全管理维护方案 • 安全紧急响应服务
安全标准
传统安全理念的高峰 国际上最据权威的评估标准
美国国防部公布的
“可信计算机系统评估标准TCSEC” ─彩虹系列标准
• 为计算机安全产品的评测提供了测试准则和方法
【精品】信息安全测评技术PPT课件
TPM密码子系统
在TPM 1.2规范中,TPM提供了基本的密码操作,主要的密 码操作有RSA的密钥生成,加密、解密操作,RSA的签名操 作,同时TPM提供了封装存储的功能.其中主要有三类密钥 :加密密钥、封装密钥和签名密钥。不同的密钥能执行不 同的操作,如封装密钥能执行Seal和UnSeal的操作。
信息安全测评技术
主要内容
信息安全测评的概念及发展 信息安全测评技术 可信计算机系统评估准则 信息安全评估通用准则
我国信息安全测评情况
验证手段
1.安全模型 是一种安全方法的高层抽象,独立于软件与硬件的实
现具体实现方法,如RBAC,有助于建立形式化的描述与推 理方法。 2.协议形式化分析
测试技术
5.故障测试 通过测试了解信息安全产品或系统出现故障的可
能性、故障环境及故障类型,故障测试结果课反映被 测对象的运行稳健性,如错误数据输入。 6.一致性与兼容性测试
对于信息安全产品、系统或其模块、子系统,检 测他们在接口、协议等方面与其他配套产品、系统或 模块、子系统的互操作情况,确定他们是否都符合相 关的接口、协议设计与规范。
主要是基于逻辑推理、基于攻击结构性及基于证明结 构性三种方法。基于逻辑推理的分析方法运用逻辑系统, 从协议各方的交互出发,通过一系列的推理验证安全协议 是否满足安全目的或说明。基于攻击结构性分析方法从协 议初态开始,对合法主体攻击者的可能执行路径进行搜索 或分析来找到可能的错误或漏洞。基于证明结构性的方法
测试技术
1.测试环境的构造与仿真 传统测试方法依靠构建实际运行环境进行测试,
随着运行环境的复杂化,代价越来越高,测试环境仿 真技术应运而生,由各类测试仪来实现。 2.有效性测试
用测试的方法检查信息安全产品、系统与他们模 块、子系统是否完成了所设计的功能,包括通过测试 相应的指标量衡量完成的程度与效果。测试方法包括 典型的应用实例或输入数据,包含典型输入数据与边 界值的测试用数据为测试序列。
信息安全管理之信息系统安全测评介绍课件模板
某高校信息系统安全测评案例
测评背景:高校信息系统面临安全威胁,需要进行安全测评
测评目标:发现系统安全隐患,提出改进措施
测评过程:对系统进行渗透测试、漏洞扫描等安全测试
测评结果:发现系统存在多个安全漏洞,如弱密码、跨站脚本攻击等
改进措施:加强系统安全防护,提高安全意识,定期进行安全检查和漏洞修复
3
2
渗透测试方法
信息安全测评案例分析
某企业信息系统安全测评案例
企业背景:某大型跨国企业,业务涉及多个领域
测评方法:采用国际通用的安全测评标准和方法
改进措施:企业根据测评结果进行整改,提高信息系统的安全性
测评目的:评估企业信息系统的安全状况,发现潜在风险
测评结果:发现多个安全漏洞和隐患,提出改进建议
效果评估:整改后,企业信息系统的安全性得到显著提升
黑盒测试:在不了解系统内部结构和工作原理的情况下,模拟黑客攻击行为,寻找系统漏洞白盒测试:了解系统内部结构和工作原理的情况下,对系统进行代码审查和逻辑分析,找出潜在漏洞灰盒测试:结合黑盒和白盒测试方法,对系统进行综合测试,提高测试效果模糊测试:向系统输入随机数据,观察系统反应,找出潜在的安全漏洞渗透测试工具:使用自动化工具,如Nmap、Metasploit等,提高测试效率社会工程学:通过获取系统相关人员的信息,如密码、用户名等,获取系统访问权限漏洞扫描:使用漏洞扫描工具,如Nessus、OpenVAS等,自动扫描系统漏洞安全审计:对系统进行安全审计,检查系统是否符合安全标准和规范风险评估:对系统进行风险评估,确定系统面临的安全风险,并制定相应的安全措施应急响应:制定应急响应计划,确保在发生安全事故时能够迅速有效地应对。
3
2
1
4险评估方法
信息安全咨询评估方案建议书
信息安全咨询评估方案建议书一、背景介绍随着信息技术的快速发展,信息安全问题成为了各个组织和企业亟需解决的重要问题。
为了确保信息系统的安全性和可靠性,我们需要进行信息安全咨询评估。
本方案旨在提供一套详细的评估流程和建议,以帮助您的组织有效保护信息资产。
二、评估目标本次信息安全咨询评估的目标是全面了解您的组织的信息安全状况,发现潜在的风险和漏洞,并提供相应的建议和措施,以加强信息安全防护能力。
具体目标包括但不限于:1. 评估组织的信息安全策略和政策,确保其与最佳实践相符合;2. 评估组织的信息系统和网络的安全性,发现可能存在的漏洞和风险;3. 评估组织的信息安全管理体系,包括组织架构、责任分工、安全培训等方面;4. 提供相应的建议和措施,帮助组织改进信息安全防护措施。
三、评估流程1. 初步准备:收集组织的相关资料和信息,包括信息安全政策、系统架构图、安全设备配置等;2. 信息收集:通过面谈、问卷调查等方式,了解组织的信息安全需求和现状;3. 风险评估:基于收集到的信息,对组织的信息系统和网络进行风险评估,发现潜在的安全漏洞和风险;4. 安全策略评估:评估组织的信息安全策略和政策,判断其是否与最佳实践相符合;5. 安全管理评估:评估组织的信息安全管理体系,包括组织架构、责任分工、安全培训等方面;6. 报告撰写:根据评估结果,撰写详细的评估报告,包括发现的问题、建议的改进措施等;7. 报告呈现:与组织相关人员共同讨论评估报告,解释评估结果和建议的改进措施;8. 后续跟进:根据评估报告的建议,协助组织进行信息安全改进工作,并提供必要的培训和支持。
四、评估内容1. 信息安全政策评估:评估组织的信息安全政策,包括制定过程、内容和可行性等方面;2. 系统和网络安全评估:评估组织的信息系统和网络的安全性,包括网络拓扑、设备配置、访问控制等方面;3. 安全管理体系评估:评估组织的信息安全管理体系,包括组织架构、责任分工、安全培训等方面;4. 安全意识培训评估:评估组织的安全培训计划和执行情况,包括培训内容、方式和效果等方面;5. 安全事件响应评估:评估组织的安全事件响应能力,包括预警机制、应急响应流程等方面。
《信息安全测评服务解决方案建议书》课件模板
信息转移、暂存或清除 设备迁移或报废 存储介质处置
合作路线图
可持续改善的安 全管理PDCA
在基础平台上落实 内部人员培训和评 价体制
向基础平台导入历史 数据,分批次扩大使 用范围
评价基础平台的使用 效果并提出改善意见
系统运维和改善
分阶段固化 到基础平台
安全报表 (自动)
评价试点实施结 果并协作改善
3.调整大小
选择您要用到的图标单击右键选择“ 取消组 合”
右键单击您要使用的图标选择“填充 ”,选 择任意 颜色
拖动控制框调整大小
商务
图标元素
商务
图标元素
商务
图标元素
商务
图标元素
体制
• 内部与外部均缺少具有华能专业技术同时具备信息安全理论的跨界型人才 • 很多下属单位还没有设立专职岗位或者没有明确职责,不利于工作职责分担 • 信息安全管理内生人才的培养,相对目前安全投资的发展速度有所滞后
支撑工具
• 面向网络、服务器的具体信息安全情报不宜直接向非本单位直接披露 • 多而散的子系统需要统一的安全管理界面 • 未经整理、归纳的专业信息安全情报细节不易理解和把握整体规律性 • 安全信息与本单位专业和运营历史紧密相关,需要不断积累与沉淀
机遇 蓝图 问题 对策
引入协作单位,建立
自主测评体系
e-Business Transformation
协作单位
信息安全咨询 体系化服务
信息安全工作 持续发展要求
包含知识库和BI 的合规与遵从系统
专业人员 教育服务
Staff服务
专业人员不足
管理
• 在信息中心领导下,协作单位咨询顾问协助设计安全绩效评价体系 • 各有关单位和协作单位的实施、运维人员一起全面配合体系落地 • 根据国际国内标准和监查要求,建立常态化、标准化的信息安全PDCA过程
合作路线图
可持续改善的安 全管理PDCA
在基础平台上落实 内部人员培训和评 价体制
向基础平台导入历史 数据,分批次扩大使 用范围
评价基础平台的使用 效果并提出改善意见
系统运维和改善
分阶段固化 到基础平台
安全报表 (自动)
评价试点实施结 果并协作改善
3.调整大小
选择您要用到的图标单击右键选择“ 取消组 合”
右键单击您要使用的图标选择“填充 ”,选 择任意 颜色
拖动控制框调整大小
商务
图标元素
商务
图标元素
商务
图标元素
商务
图标元素
体制
• 内部与外部均缺少具有华能专业技术同时具备信息安全理论的跨界型人才 • 很多下属单位还没有设立专职岗位或者没有明确职责,不利于工作职责分担 • 信息安全管理内生人才的培养,相对目前安全投资的发展速度有所滞后
支撑工具
• 面向网络、服务器的具体信息安全情报不宜直接向非本单位直接披露 • 多而散的子系统需要统一的安全管理界面 • 未经整理、归纳的专业信息安全情报细节不易理解和把握整体规律性 • 安全信息与本单位专业和运营历史紧密相关,需要不断积累与沉淀
机遇 蓝图 问题 对策
引入协作单位,建立
自主测评体系
e-Business Transformation
协作单位
信息安全咨询 体系化服务
信息安全工作 持续发展要求
包含知识库和BI 的合规与遵从系统
专业人员 教育服务
Staff服务
专业人员不足
管理
• 在信息中心领导下,协作单位咨询顾问协助设计安全绩效评价体系 • 各有关单位和协作单位的实施、运维人员一起全面配合体系落地 • 根据国际国内标准和监查要求,建立常态化、标准化的信息安全PDCA过程
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
支撑工具
• 面向网络、服务器的具体信息安全情报不宜直接向非本单位直接披露 • 多而散的子系统需要统一的安全管理界面 • 未经整理、归纳的专业信息安全情报细节不易理解和把握整体规律性 • 安全信息与本单位专业和运营历史紧密相关,需要不断积累与沉淀
机遇 蓝图 问题 对策
机遇
• 在十二五期间国家关于信息安全的重视程度进一步提高,压力与投 资双增长
自主测评工作 在系统安全生命周期中的位置
系统定级
安全规划设计
安全设计
系统识别描述
安全需求分析
安全方案详细设计
信息系统划分
安全总体设计
全建设规划
等级保护技术实施
等级保护安全测评
自主测评 工作范围
主导工作
相关工作
安全运维
运行管理和控制 变更管理和控制
安全状态监控 安全应急预案 安全事件处置 自主检查和改善
密码B强公度司司, ,B5公 司, 4
司, 2
1
0
F公密司码密司强码,度4频司, F度,公3 ,
F公 密码频度
,
E公
密码密强码度频, C度公, C公 司, 2司, 3C公司
司, 1密密码码频强度度,, DD公公
司, 2
密码强度, E公 E公司 司, 4
D公司
密码频度 密码强度
机遇 蓝图 问题 对策
体制
• 引入协作单位进行互补,解决人力资源的质量、数量和成本问题 • 由协作单位提供staff人才服务,双方共同培养、壮大跨界型人才队伍 • 通过staff模式,深入分解和完善相关业务流程,做到细化、量化和标准化 • 在此基础上,开发支撑工具,规范流程实施,提高工作效率,强化信息安全性
支撑工具
• 在SOC与风险评估系统中间增加合规与遵从平台,对披露信息进行过滤和脱敏 • 在合规与遵从平台中提供BI,整合各有关系统信息,提供直观的多维度的展示 • 在该平台中集成知识库,积累各次内外部测试相关信息,并提供检索 • 在该平台中集成教育培训系统,基于知识库提供培训、实训和远程检测
• 随着等保工作的开展,华能在安全管理方面积累了特别多业务经验 • 双网模式的成功实施,为华能进一步实施自我测评计划奠定了物质
基础 • 各种系统特不是SOC的试点,为自动化采集全网各种安全信息打下
良好开端 • 相关IT技术的成熟
风险管理|自主评测|安全运维的关系
1、风险管理是合规工作的外部标准,具 有强制性、稳定性和原则性。自主评测是 华能集团内部对于风险管理工作的细化、 深化,形成有具有华能特色的安全检查标 准体系 2、风险管理是阶段性工作,而自主评测 是长期性工作。风险管理为自主评测提供 理论基础和方法指引,自主评测为风险管 理提供组织、流程、方法和验证材料
评价试点实施结 果并协作改善
确定项目预算与 实施计划,落实试 点单位
设计开发基础平 台,建立数据库
安全报表
制定规范性文件与 表格,并行模拟操 作
(手工)
出具详细调研报 告,评估项目预算 与实施计划
安全规则
派遣咨询人员,调 研业务细节,制定 服务框架与目录
未来的发展趋势
• 随着硬件、网络成本的下降及软件架构的成 熟,数据大集中乃至云计算成为大势
自主测评工作的整体解决方案
教育培训
智能报表
安全审计
知识库管理
应急管理
配置信息
评估信息
风险信息
安全事件
工作流引擎
事件管理器
数据收集器
访问控制器
数据过滤器
安全运行管理
资产管理
数据总线 风险管理
桌面安全管理 统一用户管理
密A码公频司度 , A公 5 司, 5
4
密码频度 , B公
G公司密码密强司码度,频3,度G公密,23G码公强司度, 2, A公
信息安全自主测评服务 解决方案建议书
机遇 蓝图 问题 对策
管理
• 来自外部机构的抽样检查和咨询覆盖范围有限,在时间上和范围上存在盲区 • 现有模式难以为提供及时、全面、准确、直观的信息安全基础情报 • 有待进一步构筑、实施和完善全面、常态、持续的安全绩效评价体系
体制
• 内部与外部均缺少具有华能专业技术同时具备信息安全理论的跨界型人才 • 很多下属单位还没有设立专职岗位或者没有明确职责,不利于工作职责分担 • 信息安全管理内生人才的培养,相对目前安全投资的发展速度有所滞后
风险 管理
风险管理是安全运维的指导方针。风险 管理基于成本-效益原则,对客户资产进 行分级,评估安全风险的可能性与严重 性,从而可以有区别地进行安全防范和 安全投入,提高整体安全水平
合规与 遵从
安全运维
1、自主评测是检验安全运维水平的标准,是连接安全运维与风险管理的纽带 2、安全运维工作的结果通过自主评测过滤、汇总到风险管理层面,并为进一步的安全工作提供分析和改善的基础 3、安全运维数据量大,同时有保密要求,不宜直接暴露到外部,通过自主评测的中间层更好 。 4、安全运维体系是整个安全体系的技术基础。在实现上必须以风险管理为导向,以技术为手段,构筑多层次大纵深的防御体系。同时,对 于安全全局信息的把握,会进一步发现薄弱环节,提高安全水平
• 物联网应用范围逐步扩大,越来越多的智能传 感器能够通过标准协议进行监控
• IT业内关于下一代架构的认识是
– 本地负责采集与展示数据 – 云端负责处理与存储数据 – 访问环节部署安全管控 – 统一界面实施运维
立足现状,展望未来
现状:各系统独立运维
未来:统一运维,统一安全
感谢您的聆听!
机遇 蓝图 问题 对策
引入协作单位,建立
自主测评体系
e-Business Transformation
协作单位
信息安全咨询 体系化服务
专业人员 教育服务
包罗知识库与BI 的合规与遵从系统
Staff服务
管理
• 在信息中心领导下,协作单位咨询顾问协助设计安全绩效评价体系 • 各有关单位和协作单位的实施、运维人员一起全面配合体系落地 • 根据国际国内标准和监查要求,建立常态化、标准化的信息安全PDCA过程
安全培训 外部安全测评
系统终止
信息转移、暂存或清除 设备迁移或报废 存储介质处置
合作路线图
可持续改善的安 全管理PDCA
在基础平台上落实 内部人员培训与评 价体制
向基础平台导入历史 数据,分批次扩大使用 范围
评价基础平台的使用 效果并提出改善意见
系统运维与改善
分时期固化 到基础平台
安全报表 (自动)
• 面向网络、服务器的具体信息安全情报不宜直接向非本单位直接披露 • 多而散的子系统需要统一的安全管理界面 • 未经整理、归纳的专业信息安全情报细节不易理解和把握整体规律性 • 安全信息与本单位专业和运营历史紧密相关,需要不断积累与沉淀
机遇 蓝图 问题 对策
机遇
• 在十二五期间国家关于信息安全的重视程度进一步提高,压力与投 资双增长
自主测评工作 在系统安全生命周期中的位置
系统定级
安全规划设计
安全设计
系统识别描述
安全需求分析
安全方案详细设计
信息系统划分
安全总体设计
全建设规划
等级保护技术实施
等级保护安全测评
自主测评 工作范围
主导工作
相关工作
安全运维
运行管理和控制 变更管理和控制
安全状态监控 安全应急预案 安全事件处置 自主检查和改善
密码B强公度司司, ,B5公 司, 4
司, 2
1
0
F公密司码密司强码,度4频司, F度,公3 ,
F公 密码频度
,
E公
密码密强码度频, C度公, C公 司, 2司, 3C公司
司, 1密密码码频强度度,, DD公公
司, 2
密码强度, E公 E公司 司, 4
D公司
密码频度 密码强度
机遇 蓝图 问题 对策
体制
• 引入协作单位进行互补,解决人力资源的质量、数量和成本问题 • 由协作单位提供staff人才服务,双方共同培养、壮大跨界型人才队伍 • 通过staff模式,深入分解和完善相关业务流程,做到细化、量化和标准化 • 在此基础上,开发支撑工具,规范流程实施,提高工作效率,强化信息安全性
支撑工具
• 在SOC与风险评估系统中间增加合规与遵从平台,对披露信息进行过滤和脱敏 • 在合规与遵从平台中提供BI,整合各有关系统信息,提供直观的多维度的展示 • 在该平台中集成知识库,积累各次内外部测试相关信息,并提供检索 • 在该平台中集成教育培训系统,基于知识库提供培训、实训和远程检测
• 随着等保工作的开展,华能在安全管理方面积累了特别多业务经验 • 双网模式的成功实施,为华能进一步实施自我测评计划奠定了物质
基础 • 各种系统特不是SOC的试点,为自动化采集全网各种安全信息打下
良好开端 • 相关IT技术的成熟
风险管理|自主评测|安全运维的关系
1、风险管理是合规工作的外部标准,具 有强制性、稳定性和原则性。自主评测是 华能集团内部对于风险管理工作的细化、 深化,形成有具有华能特色的安全检查标 准体系 2、风险管理是阶段性工作,而自主评测 是长期性工作。风险管理为自主评测提供 理论基础和方法指引,自主评测为风险管 理提供组织、流程、方法和验证材料
评价试点实施结 果并协作改善
确定项目预算与 实施计划,落实试 点单位
设计开发基础平 台,建立数据库
安全报表
制定规范性文件与 表格,并行模拟操 作
(手工)
出具详细调研报 告,评估项目预算 与实施计划
安全规则
派遣咨询人员,调 研业务细节,制定 服务框架与目录
未来的发展趋势
• 随着硬件、网络成本的下降及软件架构的成 熟,数据大集中乃至云计算成为大势
自主测评工作的整体解决方案
教育培训
智能报表
安全审计
知识库管理
应急管理
配置信息
评估信息
风险信息
安全事件
工作流引擎
事件管理器
数据收集器
访问控制器
数据过滤器
安全运行管理
资产管理
数据总线 风险管理
桌面安全管理 统一用户管理
密A码公频司度 , A公 5 司, 5
4
密码频度 , B公
G公司密码密强司码度,频3,度G公密,23G码公强司度, 2, A公
信息安全自主测评服务 解决方案建议书
机遇 蓝图 问题 对策
管理
• 来自外部机构的抽样检查和咨询覆盖范围有限,在时间上和范围上存在盲区 • 现有模式难以为提供及时、全面、准确、直观的信息安全基础情报 • 有待进一步构筑、实施和完善全面、常态、持续的安全绩效评价体系
体制
• 内部与外部均缺少具有华能专业技术同时具备信息安全理论的跨界型人才 • 很多下属单位还没有设立专职岗位或者没有明确职责,不利于工作职责分担 • 信息安全管理内生人才的培养,相对目前安全投资的发展速度有所滞后
风险 管理
风险管理是安全运维的指导方针。风险 管理基于成本-效益原则,对客户资产进 行分级,评估安全风险的可能性与严重 性,从而可以有区别地进行安全防范和 安全投入,提高整体安全水平
合规与 遵从
安全运维
1、自主评测是检验安全运维水平的标准,是连接安全运维与风险管理的纽带 2、安全运维工作的结果通过自主评测过滤、汇总到风险管理层面,并为进一步的安全工作提供分析和改善的基础 3、安全运维数据量大,同时有保密要求,不宜直接暴露到外部,通过自主评测的中间层更好 。 4、安全运维体系是整个安全体系的技术基础。在实现上必须以风险管理为导向,以技术为手段,构筑多层次大纵深的防御体系。同时,对 于安全全局信息的把握,会进一步发现薄弱环节,提高安全水平
• 物联网应用范围逐步扩大,越来越多的智能传 感器能够通过标准协议进行监控
• IT业内关于下一代架构的认识是
– 本地负责采集与展示数据 – 云端负责处理与存储数据 – 访问环节部署安全管控 – 统一界面实施运维
立足现状,展望未来
现状:各系统独立运维
未来:统一运维,统一安全
感谢您的聆听!
机遇 蓝图 问题 对策
引入协作单位,建立
自主测评体系
e-Business Transformation
协作单位
信息安全咨询 体系化服务
专业人员 教育服务
包罗知识库与BI 的合规与遵从系统
Staff服务
管理
• 在信息中心领导下,协作单位咨询顾问协助设计安全绩效评价体系 • 各有关单位和协作单位的实施、运维人员一起全面配合体系落地 • 根据国际国内标准和监查要求,建立常态化、标准化的信息安全PDCA过程
安全培训 外部安全测评
系统终止
信息转移、暂存或清除 设备迁移或报废 存储介质处置
合作路线图
可持续改善的安 全管理PDCA
在基础平台上落实 内部人员培训与评 价体制
向基础平台导入历史 数据,分批次扩大使用 范围
评价基础平台的使用 效果并提出改善意见
系统运维与改善
分时期固化 到基础平台
安全报表 (自动)