从威胁目标和能力分析等级保护的安全整改和运维.ppt

1、从威胁、目标和能力分析等级保护的安全整改和运维,服务提升价值,领航信息安全 启明星辰安全技术最佳实践广州分公司 邓景云 deng_,信息安全存在的问题,偏重产品，忽视体系和管理。重视外部攻击与入侵，忽视内部的非法行为缺乏信息安全风险意识，安全投入盲目一劳永逸的错误观念，忽视信息安全是个动态的过程威胁趋势愈演愈烈,等级保护之为什么 Why,1994年，中华人民共和国计算机信息系统安全保护条例 规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。1995年2月18日人大12次会议通过并实施的中华人民共和国警察法第二章第六条第十二款规定，公

2、安机关人民警察依法履行“监督管理计算机信息系统的安全保护工作”。法律依据。1999年，强制性国家标准计算机信息系统安全保护等级划分准则GB 17859）2003年，中办、国办转发的国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）明确指出“实行信息安全等级保护”。“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2004年，公安部、国家保密局、国家密码管理局、国信办联合印发了关于信息安全等级保护工作的实施意见（66号文件）2006年1月，公安部、国家保密局、国家密码管理

3、局、国信办联合制定了信息安全等级保护管理办法（公通字20067号）,分级保护,信息安全标准,AS/NZS 4360:1999 风险管理标准ISO/IEC 13335 IT安全管理指南 ISO/IEC 17799:2005 信息安全管理最佳实践指南ISO/IEC 27001:2005 信息安全管理体系规范ISO/IEC 15408/GB 18336 CCIATF 信息保障技术框架 SSE-CMM 系统安全工程能力成熟度模型公安部等级保护指南信息系统安全等级保护定级指南参考ISO13335信息系统安全等级保护实施指南参考ISO13335、IATF、SSE-CMM信息系统安全等级保护基本要求参考IS

4、O15408、7799参考信息系统安全等级保护测评准则,ISO13335中的风险管理模型,威胁,漏洞,资产,价值,需求,控制,风险,利用,存在,抵御,引发,增加,增加,增加,拥有,需要,最精简的风险管理要素,定级保护轮廓,技术体系管理体系,不同级别威胁不同,风险立方体-Risk Cube,资产,威胁,措施（安全能力）,安全目标,风险立方体中的安全工作,资产,威胁,措施（安全能力）,电子客票系统社保网上系统（2级）,互联网攻击,互联网防入侵FW,IDS,IPS,防SQL注入,安全目标,O2-25.应具有能够检测对网络的各种攻击并记录其活动的能力O2-26.应具有发现所有已知漏洞并及时修补的能力

5、O2-27.应具有对网络、系统和应用的访问进行控制的能力,风险立方体中的安全工作,资产,威胁,措施（安全能力）,硬件设备网络线路机房（2级）,自然灾难,电子屏蔽室、防火器、避雷设备火警装置等,安全目标,O2-2.应具有防止雷击事件导致重要设备被破坏的能力O2-3.应具有防水和防潮的能力O2-4.应具有灭火的能力O2-5.应具有检测火灾和报警的能力,等级保护之五级监管,威胁分类,不同级别对抗的威胁的种类不同；对于同类威胁，不同级别对抗的具体威胁的破坏能力也不同。安全目标不同。,威胁和目标,等保三级：1）防护系统免受来自外部有组织的团体(如一个商业情报组织或犯罪组织等)，拥有较为丰富资源(包括人员

6、能力、计算能力等)的威胁源发起的恶意攻击、较为严重的自然灾难以及其他相当危害程度的威胁（内部人员的恶意威胁，设备较为严重的故障）所造成的主要资源损害。2）能够及时发现安全漏洞和安全事件；3）在系统遭到损害后，能够较快恢复绝大部分功能。等保二级：1）小型组织、少量资源（个人能力、公开可获得或特定开发的工具）、一般自然灾难、以及其它相当危害程度（无意失误、设备故障等）。2）能够发现；3）一段时间内恢复部分内容。,基本要求的保障措施,某级系统,物理安全,基本技术要求,基本管理要求,基本要求,网络安全,主机安全,应用安全,数据安全,安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运维管理,

7、从风险立方体分析落实等保,资产,威胁,措施（安全能力）,安全目标,二级信息系统,对抗能力 2恢复能力 2,威胁形态 2,安全目标 2,基本要求 2,等级保护之怎么 How,落实等保整改、运维的解决方案,阶段一：安全评估，建立等保保护轮廓，提供整改依据阶段二：安全域改造，满足等保基本要求，建设保障框架阶段三：平台建设，等保长期持续监控，建立运维体系,第一阶段：安全评估,意义：2003年7月,中办发200327号文件对开展信息安全风险评估工作提出了明确的要求。工作内容行业信息安全保障要求风险评估/自评估两个层面、三个纬度技术层面：网络、系统、应用管理层面：人员机构、制度流程、物理环境,启明星辰风险

8、评估技术发展,全国人大风险评估项目、国家统计局网络风险评估中国石油天然气集团信息网络安全风险评估项目中国建设银行总行网上银行服务器安全评估项目中国人民银行评估标准及试点、广东移动安全评估服务,2008,启明星辰风险评估与管理模型,安全评估预期的效果,四个识别：资产、威胁、保护措施、安全差距体系设计差距评估体系执行差距评估,了解安全现状找出安全差距明确安全需求提供整改依据,第二阶段：安全域改造,工作内容安全域划分网络优化产品部署安全域策略部署,制定：美国国家安全局（NSA）,启明星辰“31”安全域模型,域,域,资产结构化-安全域,安全域方法归根到底就是用结构将微观的大量资产和其他安全要素，有序地

9、展现在宏观层面广义的安全域概念是具有相同和相似的安全要求和策略的IT要素的集合。IT要素包括：物理环境、网络区域、主机和系统、业务和使命、策略和流程、人和组织,电力系统二次安防的思路,安全域的树型结构示意,其它企业安全域案例,*安全域部署案例,*安全域部署案例,*安全域部署案例,运营商内部信息通信网、网管网、业务支撑系统,*安全域部署案例,*安全域部署案例,*安全域部署案例,安全域改造的预期效果,IT系统的公交线路图,理顺网络结构结构化安全建设，有机结合产品和服务结构化，有利于安全状况的监控,落实等保基本要求！建立安全建设规范！,降低整体风险，加强IT内控实效性指导安全规划，更易部署新业务,等

10、保的成果如何看得见？鸟瞰图,第三阶段：平台建设,工作内容SOC部署安全事件采集安全事件综合分析资产和域管理风险监控管理脆弱性管理安全域拓扑管理安全域策略管理业务数据流管理安全响应管理自身安全管理定制开发,实时监控的可视化显示,实时监控内容监控对象、事件类型、风险级别（5级）、发生时间、源地址、目标地址、协议类型、时间间隔等显示方式拓扑链接图GIS地理图交互式图表设备状态视图,安全管理平台成为检测和响应能力的汇总点,平台建设的预期效果,形成完整的安全保障体系安全设备事件及告警统一监控真正的业务数据安全监控,等保成果的可视化！等保成果的持久化！,“泰合平台”部分成功案例,国家某局全国监测数据处理中

11、心,大型平台类项目超过10个!,某客户使用“泰合平台”的实景,医疗行业等保运维的特点HIS系统的内控,健全纪检监察制度加强密码管理授权控制信息查询功能模块后台数据库审计监控,医疗行业等保运维的特点HIS系统的内控,启明星辰如何实现通过天玥业务网审计系统实现对数据库操作的记录和审计查询，以此手段有效地监控任何对数据库访问的行为并对可疑的数据库查询操作做回放并记录，以此追踪、威慑医药代表的统方行为，并可通过数据库浏览工具，将查询命令的操作结果直观反映到数据库上。,医疗行业等保运维的特点HIS系统的内控,总体要求对HIS（医院管理信息系统）系统后台数据库的访问行为进行审计并回放，并将审计命令反映为数

12、据库操作结果以便监察部门查阅环境现状医务人员使用科室HIS系统的查询模块，或信息中心管理人员直接使用数据库查询分析工具（PowerBuilder、SQL查询分析器等）执行查询指令,医疗行业等保运维的特点HIS系统的内控,数据库类型MS SQL Server、Oracle、Sybase行业特殊需求对所有类型HIS系统数据库的访问操作进行旁路审计并实时跟踪回放可自定义具有业务特征的策略库，对符合审计策略的操作可记录、查询、报表、报警审计结果需要翻译成监察部门的非专业人员可读格式，并将指令反映为数据库操作,案例：长城资产等级保护项目,用户背景：中国长城资产管理公司(以下简称长城资产管理)是经中国政府

13、批准成立的，具有独立法人资格的国有独资金融企业，公司注册资本金100亿元人民币，由国家财政部全额拨入，长城资产管理在全国30个省市设有分支机构。,合作内容,启明星辰与长城资产的合作内容：一期的安全等级划分和风险评估；二期的等级保护整改，包括安全域规划建设；二期的安全管理平台设计建设。本项目中涉及的主要工作内容有：对长城资产管理现有的安全措施做出合理判断和评价。完成等级保护的定级工作的同时完成安全风险评估。实现对现有防火墙、防病毒、入侵检测和补丁管理系统等网络安全防护设备的统一数据采集和综合分析。二期项目中实现安全域划分、多种安全设备的事件集中管理和安全风险的实时监控。,逻辑关系,SMCBlad

14、e_02,数据库Blade_01,SIMSBlade_03,显示终端,网络行为监控,脆弱性扫描,交换机,路由器,服务器,防火墙,安全网关,入侵检测,SOC域,大屏幕显示,全国办事处部署图,全国共部署31个办事处，信息分别在各办事处EC汇总，后统一送往总部SIMS服务器存入总部数据库。,可识丰富的拓扑展示,等级保护基线管理,差距分析,客户评价,长城资产公司信息技术部总经理这样评价：“部署平台之后公司有效响应和贯彻了公安部信息系统等级保护规范的要求，协助公司进一步提升信息安全水平，保障业务的良好运行。,同时，利用平台的建设实践达到了对信息安全风险的可知-可识-可知识管理，使信息系统的安全风险处于可

15、识、可视、可管、可控之中”。,启明星辰简介,领导的关怀,2000年1月，江泽民、李岚清、曾庆红等党和国家领导人亲切视察启明星辰公司,2003年1月，胡锦涛总书记亲切接见启明星辰公司CEO严望佳博士,今天的启明星辰公司,拥有国际一流的攻防技术研究团队，是专业安全产品、解决方案和服务提供商员工超过700名，是国家级网络安全技术研发基地，设有网络安全博士后工作站国内入侵检测、UTM、审计、安全管理平台(SOC)产品技术的领跑者网络入侵检测、合规审计、漏洞扫描、专业安全服务，国内市场占有率第一30多家分支机构，遍布全国的服务网络,广泛的应用与服务,政府为国家50多个部、委、办、局提供安全保障金融国内19家银行中，80%为启明星辰用户电信为四大运营商集团总公司及50多个省级分公司提供解决方案企业22个进入世界500强的中国企业中,已有14个为启明星辰用户,启明星辰安全架构,“诚信为先、技术领先、服务本地化、用户第一”,欢迎莅临启明星辰大厦参观指导,未雨绸缪、风雨同舟谢谢！,