1、Continuous Controls Monitoring信息安全與信息安全與IT IT運維運維我們不能消除風險，卻可以管理風險我們不能消除風險，卻可以管理風險 王朝陽 2008年1月20日2提綱提綱n 什么是信息安全n 什么是IT運維n 信息安全與IT運維的關系n 怎樣開展信息安全工作n 信息安全最佳實踐n 信息安全工作模型3什么是信息安全？（什么是信息安全？（1 1）關于信息安全的定義很多，國內外、不同組織給出不同的定義，但我們可以找出其中共性的部分n 國內學者的定義：“信息安全保密內容分為：實體安全、運行安全、數據安全和管理安全四個方面。”n 我國“計算機信息系統安全專用產品分類原則”

2、中的定義是：“涉及實體安全、 運行安全和信息安全三個方面。”n 我國相關立法給出的定義是：“保障計算機及其相關的和配套的設備、設施（網絡）的安全，運行環境的安全，保障信息安全，保障計算機功能的正常發揮，以維護計算機信息系統的安全”。這里面涉及了物理安全、運行安全與信息安全三個層面。4什么是信息安全？（什么是信息安全？（2 2）n 國家信息安全重點實驗室給出的定義是：“信息安全涉及到信息的機密性、完整性、可用性、可控性。綜合起來說，就是要保障電子信息的有效性。”n 英國BS7799信息安全管理標準給出的定義是：“信息安全是使信息避免一系列威脅，保障商務的連續性，最大限度地減少商務的損失，最大限度

3、地獲取投資和商務的回報，涉及的是機密性、完整性、可用性。” 5什么是信息安全？（什么是信息安全？（3 3）n 美國國家安全局信息保障主任給出的定義是：“因為術語信息安全一直僅表示信息的機密性，在國防部我們用信息保障來描述信息安全，也叫IA。它包含5種安全服務，包括機密性、完整性、可用性、真實性和不可抵賴性。”n 國際標準化委員會給出的定義是：“為數據處理系統而采取的技術的和管理的安全保護，保護計算機硬件、軟件、數據不因偶然的或惡意的原因而遭到破壞、更改、顯露”。6什么是信息安全什么是信息安全信息安全目標總結信息安全目標總結n 信息安全的目標 機密性 Confidentiality 完整性 In

4、tegrity 可用性 Availability可控性 controllability真實性 Authenticity不可否認性 Non-repudiation7什么是信息安全什么是信息安全涵蓋內容總結涵蓋內容總結n 信息安全的涵蓋內容物理安全網絡安全主機安全應用安全數據安全安全管理8提綱提綱n 什么是信息安全n 什么是IT運維n 信息安全與IT運維的關系n 怎樣開展信息安全工作n 信息安全最佳實踐n 信息安全工作模型9什么是什么是ITIT運維？運維？互聯網定義互聯網定義 IT運維是IT管理的核心和重點部分，也是內容最多、最繁雜的部分，該階段主要用于IT部門內部日常運營管理，涉及的對象分成兩大

5、部分，即IT業務系統和運維人員，可細分為七個子系統： 設備管理：對網絡設備、服務器備、操作系統運行狀況進行監控 應用/服務管理：各種應用軟件與服務 數據/存儲/容災管理：對系統和業務數據進行統一存儲、備份和恢復 業務管理：對組織業務系統的監控與管理，CSF/KPI 目錄/內容管理：組織的對內、外信息的管理 資產管理：包括物理與邏輯資產 信息安全管理： 日常工作管理：職責分工，績效考核，知識平臺整理等10什么是什么是ITIT運維運維我的定義我的定義n 組織為實現業務目標而針對IT系統所采取的一切管理的總和，可以分為兩類：服務支持管理與服務交付管理。n 服務支持包括：事故管理問題管理配置管理變更管

6、理發布管理n 服務交付包括：可用性管理能力管理服務水平管理外包管理11什么是什么是ITIT運維運維總結總結n IT運維的目標支撐組織業務目標n IT運維的內容服務交付服務支持IT運維 ITIL + Cobit + CISA + ISO2000012提綱提綱n 什么是信息安全n 什么是IT運維n 信息安全與IT運維的關系n 怎樣開展信息安全工作n 信息安全最佳實踐n 信息安全工作模型13信息安全與信息安全與ITIT運維的關系（運維的關系（1 1）n 安全是IT運維的重要組成模塊，對于某些行業是關鍵模塊 IT運維旨在謀求安全性與方便性 安全保障著價值 安全正在創造價值.網上銀行的安全性吸引了更多的

7、消費者商業秘密的安全措施使得組織更具競爭力電子簽名法的出臺打消了使用者的安全疑慮具有安全認證與強大容災能力的郵件系統才能擁有海量的用戶14信息安全與信息安全與ITIT運維的關系（運維的關系（2 2）n 安全與IT運維共有一個衡量標尺：組織業務目標 業務需求驅動信息安全與IT運維需求 信息安全與IT運維方案要適應業務流程 信息安全與IT運維方案要支撐業務的可持續發展 業務目標的調整驅使安全與IT運維的調整 投資與企業戰略、風險狀況密切相關15信息安全與信息安全與ITIT運維的關系（運維的關系（3 3）n 安全貫穿了IT運維整個生命周期 安全與IT運維都是一個過程，而不是一次事件 每個IT運維流程

8、都影響著安全的一個或者多個目標（C.I.A） 失去安全的IT運維是失敗的運維 安全的成熟度模型與IT運維的標桿管理是吻合的16信息安全與信息安全與ITIT運維的關系（運維的關系（4 4）n IT運維與信息安全的融合 安全公司試水運維，安全產品強化管理、監控功能，支持IT運維 運維支持類產品引入安全概念、集成安全技術 信息安全融入IT運維流程中 相關標準的認證工作可以同時進行（ISO20000/270001）17信息安全與信息安全與ITIT運維的關系（運維的關系（5 5）n IT運維的趨勢彰示著安全的未來 IT運維的標準化符合安全的“縱深防御”的理念 IT運維的流程化提高了安全的可管理性，為改進

9、安全工作提供條件 IT運維的自動化減少了人為失誤，降低了安全的成本18提綱提綱n 什么是信息安全n 什么是IT運維n 信息安全與IT運維的關系n 怎樣開展信息安全工作n 信息安全最佳實踐n 信息安全工作模型19怎樣開展信息安全治理（怎樣開展信息安全治理（1 1）1、規劃 根據組織業務與組織文化，制定安全目標 對組織進行風險評估 制定安全基線20怎樣開展信息安全治理（怎樣開展信息安全治理（2 2）2、實施 根據安全基線，制定安全建設計劃、投資回報計劃 建立信息安全管理框架， 融合各種安全技術、產品，建設組織安全保障體系。 對關鍵流程制定BCP/DRP計劃21怎樣開展信息安全治理（怎樣開展信息安全

10、治理（3 3）3、評估 參照Cobit，開展信息系統審計 根據組織的業務流程，建立基于“平衡積分卡”的績效考評機制 逐步分解“平衡積分卡”為若干個KPI/KGI/Metrics等，參照安全基線發現差距 在盡量不影響業務連續性的前提下，采取有效演練手段，確保BCP、DRP的有效性22怎樣開展信息安全治理（怎樣開展信息安全治理（4 4）4、維護 根據評估結果，進行流程改進 標桿管理，提高安全系統成熟度 持續改進，永不停止23怎樣開展信息安全治理（怎樣開展信息安全治理（5 5）n 關于人. 上述步驟中，并沒有列出“人”的因素，其實在整個安全治理工作中，“人”是最關鍵的因素。 對人的安全意識的培養、安

11、全技能的教育伴隨著整個安全治理工作全程，不會僅限于某個特定步驟24怎樣開展信息安全治理（怎樣開展信息安全治理（6 6）n 關于安全成熟度.系統安全工程能力成熟模型（SSE-CMM）描述了一個組織的安全工程過程必須包含的本質特征，這些特征是完善的安全工程保。包括6級。SSE-CMM0: 未實施級SSE-CMM1: 非正式實施級執行基本實施SSE-CMM2: 計劃和跟蹤級規劃執行，規范化執行，驗證執行，跟蹤執行SSE-CMM3: 已定義級定義標準過程，執行已定義過程，協調實施SSE-CMM4: 可管理級建立可測的質量目標，客觀的管理執行SSE-CMM5: 持續改進級改進組織能力，改進過程有效性25

12、怎樣開展信息安全治理（怎樣開展信息安全治理（7 7）n 關于績效考評與平衡計分卡沒有績效考評無法度量信息安全治理的輸出一般來講，平衡計分卡從如下4個角度進行財務角度成本預算、投資回報等客戶角度服務質量、客戶滿意度、需求解決、高效的IT服務臺等企業內部運營業務流程效率、登錄時間、故障發生率、故障平均修復時間學習與成長人才培養，技能發展等26提綱提綱n 什么是信息安全n 什么是IT運維n 信息安全與IT運維的關系n 怎樣開展信息安全工作n 信息安全最佳實踐n 信息安全工作模型27信息安全治理的最佳實踐（信息安全治理的最佳實踐（1 1）n 沒有管理層支持的安全治理的結果只有一個：失敗 確保資金、人員

13、的支持 管理層的支持在一定程度上說明信息安全治理順從組織業務目標 怎樣得到管理層的支持？28信息安全治理的最佳實踐（信息安全治理的最佳實踐（2 2）n 沒有規劃的安全治理，結果也是失敗 信息安全治理是一個復雜的工程，沒有規劃只能失敗29信息安全治理的最佳實踐（信息安全治理的最佳實踐（3 3）n 遵循標準才能少走彎路 相關的標準與體系：ISO20000/270001ITIL，Cobit，COSO 相關的法律：SOX302/404信息安全等級管理辦法30信息安全治理的最佳實踐（信息安全治理的最佳實踐（4 4）n 信息資產分類/分級，實現有限投資的效益最大化 信息資產分類/分級并不是簡單的資產清點

14、信息資產分類/分級為進一步的訪問控制做準備 信息資產的分類以業務流程為參照，分級以重要性為參照31信息安全治理的最佳實踐（信息安全治理的最佳實踐（5 5）n 建立縱深防御機制縱深防御機制被認為是解決信息安全的最佳方法，是指在信息系統中的多個點使用多種安全技術，從而減少攻擊者利用關鍵業務資源或信息泄露到企業外部的總體可能性。在消息傳遞和協作環境中，縱深防御體系可以幫助管理員確保惡意代碼或活動被阻止在基礎結構內的多個檢查點。這降低了威脅進入內部網絡的可能性。 怎樣建立縱深防御機制？32信息安全治理的最佳實踐（信息安全治理的最佳實踐（6 6）n 預防為主，檢測與糾正并舉的安全控制措施 安全問題發生的

15、階段越靠后，解決安全問題付出的代價越高。 信息安全拒絕完美主義，不要試圖消除所有的風險 雖然不能消除所有的風險，但是可以管理所有風險33信息安全治理的最佳實踐（信息安全治理的最佳實踐（7 7）n 安全治理是一個動態的過程，而非一次孤立事件 安全策略的建立不是安全的終點 安全產品的部署也不是安全的終點 安全治理根本沒有終點，安全治理是一個循環 公司業務目標的調整對信息安全的影響 新技術、新產品的發展帶來隱患或者機遇。wireless，IM，cc攻擊等34信息安全治理的最佳實踐（信息安全治理的最佳實踐（8 8）n 安全治理的過程就是發現并消除短木板的過程信息安全的短木板在很多方面都存在以信息防泄漏

16、為例，大多數網關設備能支持訪問控制，能對郵件、網頁、ftp等進行監控并過濾，但是仍然存在其他途徑可以泄漏信息，包括移動介質、無線通訊、以及近來越來越普及的即時通訊工具。35信息安全治理的最佳實踐（信息安全治理的最佳實踐（9 9）n 安全的管理，歸根結底是對人的管理 人的安全意識、安全操作、安全技能 信息安全中最重要的環節是人，最薄弱的環節也是人。 人可以解決技術、產品所不能解決的問題，比如Social Engineering Attack 人可以管理技術、產品的缺陷36信息安全治理的最佳實踐（信息安全治理的最佳實踐（1010）n 參照但不照搬最佳實踐沒有一個最佳實踐能適應所有情況，包括上述9條:-)37提綱提綱n 什么是信息安全n 什么是IT運維n 信息安全與IT運維的關系n 怎樣開展信息安全工作n 信息安全最佳實踐n 信息安全工作模型38信息安全工作模型（圖）信息安全工作模型（圖）實施實施安全建設計劃安全建設計劃投資回報計劃投資回報計劃技術產品部署技術產品部署BCP/DRP評估評估信息系統審計信息系統審計績效考核績效考核發現差距發現差距BCP/DRP演練演練維護維護流程改造流程改造持續改進持續改進規劃規劃業務目標業務目標組織文化組織文化安全目標安全目標風險