1、安全運營管理安全運營管理企業信息安全 de 路線圖信息安全要融入企業.適度安全即可信息安全很簡單.買些FW/IDS/AV裝上就行了信息安全投入太大.太專業.太難了信息安全是國家和政府的事情.離我們太遠了信息安全如何搞？拿來主義！“標準規范專家顧問”就搞定了“三分技術七分管理”信息安全要結合實際IT環境.深入核心業務企業信息安全 de 路線圖信息安全要融入企業.適度安全即可信信息安全系統體系架構3信息安全系統體系架構54IT控制亟待解決的問題 變更控制過程并不存在（特別是在分布式或基于Web的環境中） 針對關鍵應用的安全程序、策略和配置結構并沒有文件化 組織的安全策略、程序、角色與責任等方面存在

2、差距 安全管理程序缺乏適當的控制.或者往往： 缺乏人員離職或改變工作職責情況下對訪問進行刪除或變更的控制（特別是對合同人員） 對訪問變更的批準不夠充分 管理層對訪問級別沒有進行有規律的復查和批準 對系統的過度訪問 對操作系統、數據庫和應用環境的特權訪問 職責分離不足 應用開發者和數據庫管理員能夠訪問生產系統 基礎架構支持應用不夠安全（網絡、OS、DB） 并沒有將IT控制集成到關鍵的業務過程中去（SDCL、變更控制、符合性、測試和數據轉換程序） 缺乏對控制持續有效的校驗過程（至少應該一個季度一次） 沒有對風險進行評估的長期策略6IT控制亟待解決的問題 變更控制過程并不存在（特別是在分布5“安全運

3、營管理”的定位安全運營是指在安全策略的指導下.安全組織利用安全技術來達成安全保護目標的過程安全運營與IT運營相輔相成、互為依托、共享資源與信息安全運營與安全組織緊密聯系.融合在業務管理和IT管理體系中安全策略安全組織管理安全運行維護安全技術基于運行維護管理運用基于指導落實遠程接入管理辦法網帳號和口令管理策略防病毒規范SOC規范中國網通信息安全主策略管理層指示安全框架最佳實踐管理維護管理執行7“安全運營管理”的定位安全運營是指在安全策略的指導下.安全6內容提要安全管理問題與挑戰安全運營管理戰略業務發展的要求安全運營與收入保障安全運營與薩班斯法案符合性標準和最佳實踐IT 保障體系安全運營管理體系建

4、議安全運營組織安全運營支持層次安全運營管理流程行動建議和路線圖8內容提要安全管理問題與挑戰7業務流程和系統的發展對安全運營管理提出新的要求呼叫中心 電子郵件 郵件短信 網站自助服務服務開通 資源管理事件管理 工單管理客戶管理 客戶交互市場管理 項目管理管線資源、無線設備接入網、傳輸、交換話音、互聯網XML/UDDI/WSDL/SOAP/SOA/BPELI-CRMO-CRMService-LevelAgreement資源管理 工單管理 配置管理 性能管理 安全管理 變更管理 服務水平管理計費 結算 帳務 伙伴管理 經營分析 決策支持商業智能BASS管理層市場部計劃部客服計費網絡部網管中心整合前后

5、端.全程調度訂單-資源-服務開通-更新客戶資料-報竣申訴-客戶資料-網管工單-解決-報竣訂單-資源-立項采購-更新資源庫-服務開通-更新客戶資料-報竣BOSS綜合網管安全運營平臺安全運營一方面需要適應業務流程和系統的發展.另外一方面幫助控制整合后系統的安全風險9業務流程和系統的發展對安全運營管理提出新的要求呼叫中心 8電信運營商典型的收入生成過程示意圖在收入生成的很多環節上都有可能因為安全威脅而造成收入流失！10電信運營商典型的收入生成過程示意圖在收入生成的很多環節上9找回遺漏收入提高利潤減少收入的延遲減少和防范新的收入流失企業資源計劃ERP集成化的、條理化（Streamlined）的市場和客

6、戶響應流程系統平臺完備的客戶資料系統和運營數據系統數據倉庫和主題分析集成化、自動化的BOSS系統高效的數據業務管理平臺集成化的、條理化的內部IT運維管理平臺優化的、完備的KPI指標體系.及其收集、分析與展示完備的備份和災難恢復能力根源分析能力收入保障目標安全運營保證收入優化主要可用的IT手段 廣義的收入保障與安全運營計費數據的完整性、可用性、可信性客戶資料的完整性和可信性減少人為錯誤、濫用誤用等帶來的損失跨系統層和應用層的完整的身份和授權管理 保證關鍵流程點的有效性和可審計性提高系統和服務的可用性.以及業務連續提供能力提高客戶安全故障的快速響應能力保護客戶數據和隱私穩定服務質量考察并保障主要收

7、入流程和系統BOSS的升級和穩定運行規范管理SP的服務提供和計費快速響應市場的需求變化提升客戶滿意度提高計費準確性提高服務開通/服務停止準確性提升客戶滿意度降低成本和風險疏理現有計費體系.找出問題剔除存在的差異.降低錯誤率分析欠費類型.降低壞賬風險分析號碼資源利用.提高利用率分析路由和網絡資源利用.降低成本提升管理水平完善內控體系.實現閉環管理建立KPI稽核體系.有效進行收入控制自動化工具.固化流程.大幅提高執行能力精確的財務和管理報表提高部門間協作.快速解決運營中出現的問題11找回遺漏收入企業資源計劃ERP收入保障目標安全運營保證收SOX符合性對企業的影響因為可靠的財務報告過程有賴于IT.所

8、以.IT在SOX 404符合性努力過程中扮演著關鍵的角色；對許多組織來說.SOX可以簡化為對現有責任的法律條文化這些IT控制責任早已存在.不過.SOX可能要求進行額外的形式化.并且要求在文件化和測試方面做出努力公司應該確保IT在SOX符合性努力中扮演主動的角色：參與符合性領導委員會理解財務報告過程.就IT（應用、基礎架構、安全等）的依賴性進行溝通在確保財務報告過程具有充分控制方面.建立IT的角色文件化IT風險及與財務報告過程相關的控制定期測試控制.改進重要的不足建立監視活動.以確保IT控制在特定時間內的效力SOX符合性對企業的影響因為可靠的財務報告過程有賴于IT.所11安全管理與技術的發展體現

9、出以下三個趨勢走向規范標準 BS7799/ ISO17799/ ISO27001 ITIL / eTOM CoBIT X.805 國內正在制定越來越多的國家標準和規范.例如風險評估規范、風險管理規范等集成應用安全與系統安全 關鍵應用的身份、授權與審計成為企業內控的必備首選 完備的職責分離設計(SOD)和權限管理 安全管理系統走向平臺化、集成化與IT管理集成與應用集成深入企業管理核心流程 收入保障需要安全管理提供的數據和業務安全保障 SOX符合性需要安全管理提供的“內控” 業務連續性管理與安全保障密不可分 安全作為增值服務 安全成為市場競爭力13安全管理與技術的發展體現出以下三個趨勢走向規范標準

10、 BS12安全運營需要參考COBITITILBS7799等最佳實踐COBIT重點在于IT控制和IT度量評價.但是沒有講如何做.也不專注在安全ITIL重點在于IT過程管理.強調IT支持和IT交付.但是沒有安全和開發ISO/IEC17799重點在于IT安全控制.但沒有講如何做參照CobiT和ISO17799來進行安全健康檢查/審計.并識別過程和控制中的脆弱性參照ITIL來提高IT過程和控制.參照ISO17799來提高安全過程和控制參照ITIL來定義技術參照CobiT來定義“度量”和KPIITIL還可以用來作為架構方面的參照架構和角色度量過程技術控制人SOX compliance is one of

11、 the business objectives of security operations !14安全運營需要參考COBITITILBS7799等最13故障性能配置變更連續性服務質量服務臺IT保障身份認證安全域訪問控制漏洞補丁風險評估入侵檢測日志審計安全保障關鍵業務的雙重保障OSS服務開通資源管理網絡管理服務管理存儲備份OA/MSSEAI流程模型數據模型業務模型BSSCRM數據采集計費帳務綜合結算經營分析業務關聯根源分析管理應用數據庫操作系統存儲及IT硬件各種網元設施管理15關鍵業務的雙重保障服務資源網絡服務存儲OA/流程模型數據14內容提要安全管理問題與挑戰安全運營管理戰略業務發展的要求

12、安全運營與收入保障安全運營與薩班斯法案符合性標準和最佳實踐IT 保障體系安全運營管理體系建議安全運營組織安全運營支持層次安全運營管理流程行動建議和路線圖16內容提要安全管理問題與挑戰安全運營是IT 治理的重要保障環節SOX符合性收入保障業務戰略計費營帳結算客服經營分析IT保障變更管理事件管理問題管理配置管理綜合監控服務臺 應 用 開 發 BOSS BASS質量&稽核優化支持安全保障數據安全系統安全應用安全安全運營IT. 網管安全日常運營安全支撐關系建立并完善安全運營管理體系.是提高安全保障能力的重要步驟！其中包含了人員組織、流程服務以及技術工具等多方面的建設要求！規劃建設 BOSS BASS應

13、用業務安全運營是IT 治理的重要保障環節SOX符合性收入保障業務戰層次化的安全運營支持體系層次化的安全運營支持體系17主要管理流程關系示意圖安全監控網管監控類別基礎架構系統軟件業務配套設施安全系統安全風險管理安全資產事件性質審告故障咨詢業務處理維護作業其它安全19主要管理流程關系示意圖安全監控網管監控類別安全風險管理安Security On-Demand 【2003年11月】安全是一種服務(業務)Security is a service安全與業務緊密對應Map Security to business安全像服務一樣運行Run Security as a service安全“根源分析”Secu

14、rity Root-cause analysis安全就緒的IT基礎架構Security-ready IT infrastructure服務知曉的安全Service-aware security開放互通集成安全自我管理Self-managing Security互操作與自動響應Auto-response and Interoperability可 度 量可 考 核可 管 理資產風險優先級流程標準化模塊化集成性深層防御面向業務智能相關AlignmentEfficientResponsiveSecurity On-Demand 【2003年11月】安19安全服務是部分安全流程的封裝和抽象安全服務具有

15、服務對象、服務內容、服務形式、服務質量等屬性通常.一項安全服務由跨多個安全流程的多種安全活動來提供安全服務面向服務對象的體驗與質量關鍵指標.安全流程則面向實際的安全運營管理過程與活動安全服務是相互關聯的若干安全流程和活動的封裝與客戶展現安全活動安全流程安全服務安全使命企業關鍵業務信息系統元素管理層其他IT小組最終用戶面向管控面向服務安全運營服務可以首先考慮試行安全緊急響應服務、安全報告服務等.選擇具有明確客戶界面、活動較為成熟的部分作為試行、堅持逐步推進的原則.成熟一塊.推行一塊.考核一塊“執行力”是其中的關鍵21安全服務是部分安全流程的封裝和抽象安全服務具有服務對象、20技術路線收集整理各個

16、組織安全相關的活動進行業務分析納入標準過程.定義安全配置管理庫設計原則收集管理層賦予安全工作的使命和業務部門的要求進行業務分析標準化安全服務目錄11安全過程安全服務臺安全應急響應管理安全配置管理安全變更管理安全問題管理安全預警管理安全風險管理安全審計管理安全服務安全事件響應帳號與口令補丁管理安全審計安全培訓安全報告223實現指導安全過程的設計需要緊密結合既定過程和流程.緊密融合.尤其是服務臺和事件管理安全配置管理重點考慮各種安全設備的安全特有屬性安全服務設計的原則是在保障“安全管控”效果的同時.為安全工作的各個“客戶”提供良好的界面安全服務和過程需要相應的技術手段來支撐實現22技術路線收集整理

17、各個組織安全相關的活動收集管理層賦予安全21內容提要安全管理問題與挑戰安全運營管理戰略業務發展的要求安全運營與收入保障安全運營與薩班斯法案符合性標準和最佳實踐IT 保障體系安全運營管理體系建議安全運營組織安全運營支持層次安全運營管理流程行動建議和路線圖23內容提要安全管理問題與挑戰安全管理與IT管理的交替融合身份管理應用和數據安全安全域劃分和邊界整合安全集中監控IP網管理(3G/NGN的IP核心)VoIP管理MPLS VPN管理資產管理和軟件分發日志審計ITIL ServieDesk流程整合服務管理反病毒Network & System Fault Management故障管理Network

18、& System Perf. Management性能管理主機訪問控制網絡流量分析IT綜合網管監控IT網管與安全集成3G/NGN/IMS綜合安全保障IT管理安全管理相互依賴IT服務管理之服務提供安全管理與IT管理的交替融合身份管理應用和數據安全安全域劃分安全運營管理中心的建設SOC安全運營管理中心安全系統元素變更與發布事件管理安全主管和管理員IT系統管理員/兼職安全管理配置信息內部活動：策略與審計漏洞與補丁事件分析帳號口令情報、教育活動延伸：維護監視記錄安全運營管理中心的建設SOC安全運營管理中心安全系統元素變更安全運營建設進階數據信息知識行動關注收集層次化布署平臺應用覆蓋性能可靠性保存開放性

19、關注過濾過濾機制合并機制靈活性實施能力智能性開放性關注相關相關規則挖掘實施能力智能性開放性關注流程管理成熟度人流程技術專家知識實施能力靈活性開放性錯誤或者失衡的資源分配和投資比例錯誤的架構、不匹配的組織認為SOC的建設主要是產品安裝.對建設中項目風險認識不足設計建設SOC時沒有考慮IT基礎設施的特點定義了不適當的項目目標集成商和原廠家的技術支持力度不夠對選擇SOC產品的可擴展性、健壯性、性能沒有透徹的了解沒有設計好相應的管理和應急流程認為SOC建設完、驗收結束就大功告成安全運營建設進階數據信息知識行動關注收集關注過濾關注相25Symantec助力安全運營管理“Operate” is the r

20、esult of a brainstorming session between Symantec & Emagined Security and is not official.標準Create/Select standardAssess controlsDetect deviationsRemediate deficiencies權限Gather effective permissionsTranslate permissions into human readable formatRoute entitlements to data owner for review & approval

21、責任Assess non-programmatically assessable controlsReport with risk weighted modelCentralize view of procedural controls策略Define/managewritten policiesDistribute policies &track exceptionsDemonstrate coverageDisplay evidenceNISTPCICobitSOXISOGLBAFISMAMalwarePolicyEndpointPolicyDataProtectionPolicy27Sy

22、mantec助力安全運營管理“Operate” is采用基準風險分析查看結果調度策略運行時間定制模塊添加模塊創建策略采用基準風險分析查看結果調度策略運行時間定制模塊添加模塊創建策略一致性管理策略管理需求如何確保企業符合諸如SarbanesOxley 法案的要求？如何監控和審查IT系統中安全策略的執行情況？如何將口頭或紙面的策略要求落到IT系統的配置上？如何通過提升下列的能力來改善我們的SLA：弱點響應補丁管理歸檔策略電子郵件策略遵從性報告配置審核策略一致性管理策略管理需求28企業安全策略與標準的管理跟蹤取證試點分發編寫30企業安全策略與標準的管理跟蹤取證試點分發編寫29技術標準管理糾正 違規檢測訪問控制選擇與建立Includes Technical Standards From CIS. NSA Covers Windows. UNIX. Linux. Oracle. SQL31技術標準管理糾正 違規檢測訪問控制選擇與建立I