结合实践构建信息安全保障体系.PPT

把握信息安全 2007年3月19日 北京启明星辰信息技术有限公司 首席战略官 潘柱廷 提问 哪位同学准备了问题来参加今天的活动？ 有几个问题？ 都是些什么问题？ 提问 今天哪位同学带了记录的工具？ 纸笔、电脑、录音笔、照相机、手机… 哪位同学事先通过各种方式了解过启明星辰这个公司 Website, BBS, 从朋友那里 哪位同学事先特意了解过IDS，或者认为自己对IDS有相当的了解 提问 据我所知上周一，各位同学访问了一个防火墙厂商。 那么请问： “什么是防火墙？” “防火墙是什么？” EDIF风筝模型-IT多态模型 三观论 问题 什么是信息安全？ 到底要解决那些问题？ 怎么实施信息安全建设？ 问题 什么是信息安全？ 通过回答最根本的问题，帮助我们探究事物的本原。 到底要解决那些问题？ 明确工作的目标和要求，从一个大的广泛的概念中寻找自身的定位。 怎么实施信息安全建设？ 通过回答最实际的问题，帮助我们获得需要的实效。 安全的三个相对性原则 安全是潜在的 安全没有绝对，没有100% 实践安全相对性的三个原则 风险原则——适合商业机构 生存原则——适合强力机构 保镖原则——适合涉密机构 风险管理 风险管理的理念从90年代开始，已经逐步成为引导信息安全技术应用的核心理念 风险的定义 对目标有所影响的某件事情发生的可能性 [摘自AS/NZS4360] ISO13335中的风险管理的关系图 ISO13335以风险为核心的安全模型 国信办报告中的风险９要素关系图 德国ITBPM 最精简的风险管理３要素 安全三要素 信息安全保障框架 资产清单 面向网络拓扑 基于安全域/业务域 基于业务流分析 … … 信息安全保障框架 脆弱性管理 告警管理 事件管理 预警管理 威胁管理 … … 信息安全保障框架 通过S3-PPT方法展开保障措施 IT中最通行和朴素的层次模型 技术功能是T3-PDR的衍生 保障框架-措施 产品的框架分析 多角度地理解的IT产品 不要仅仅从功能去理解一个IT产品 可能的角度： 数据结构、数据流 功能、服务 Portal、C/S、B/S 部署结构 应用用例 … … 产品分析示例 产品分析示例 产品分析示例 三法则 Q3-WWH R3-AST P3-CSP V3-MMM S3-PPT T3-PDR L3-POE A3-CIA 三问题：什么/为什么/怎么 风险三要素：资产业务/保障措施/威胁 产品三形态：部件产品/服务/平台 三观论：宏观/中观/微观 保障：人员组织/过程/技术 技术：防护/检测/响应 生命周期：项目/运维/应急处理 目标属性：保密性/完整性/保密性 * * 实现层 运营层 技术 人员 过程 决策层 宏观 微观 中观 风险 防护措施 信息资产 威胁 漏洞 防护需求 降低 增加 增加 利用 暴露 价值 拥有 抗击 增加 引出 被满足 一般风险评估的 理论基础 业务 资产 保障 措施 威胁 IDS 应用审计 防火墙 SAN 防垃圾 安全管理中心 Scanner 远程数据热备 IPS 防病毒 加密机 双因子 PKI UTM 表示层 功能层 数据层 IDS 防火墙 IPS UTM 转发 能力 检测 能力 防火墙 转发 能力 检测 能力 UTM/IPS 转发 能力 检测 能力 IDS 防火墙 UTM/IPS IDS 部署在高带宽的 网关位置 部署在低带宽的 网关位置 部署在任何需要 监控的位置 像高速公路收费 站，像大院门 好像部署在规则 简单的小门 好像保安监控的 摄像头一样，部 署在重要的区域 和关口 http://B