1、安全运营管理体系V52内容提要 安全管理问题与挑战 安全运营管理战略 业务发展的要求 安全运营与收入保障 安全运营与萨班斯法案符合性 标准和最佳实践 IT 保障体系 安全运营管理体系建议 安全运营组织 安全运营支持层次 安全运营管理流程 行动建议和路线图企业信息安全 de 路线图信息安全要融入企业,适度安全即可信息安全很简单,买些FW/IDS/AV装上就行了信息安全投入太大,太专业,太难了信息安全是国家和政府的事情,离我们太远了信息安全如何搞?拿来主义!“标准规范专家顾问”就搞定了“三分技术七分管理”信息安全要结合实际IT环境,深入核心业务信息安全系统体系架构45IT控制亟待解决的问题u 变更
2、控制过程并不存在(特别是在分布式或基于Web的环境中)u 针对关键应用的安全程序、策略和配置结构并没有文件化u 组织的安全策略、程序、角色与责任等方面存在差距u 安全管理程序缺乏适当的控制,或者往往: 缺乏人员离职或改变工作职责情况下对访问进行删除或变更的控制(特别是对合同人员) 对访问变更的批准不够充分 管理层对访问级别没有进行有规律的复查和批准u 对系统的过度访问 对操作系统、数据库和应用环境的特权访问 职责分离不足 应用开发者和数据库管理员能够访问生产系统u 基础架构支持应用不够安全(网络、OS、DB)u 并没有将IT控制集成到关键的业务过程中去(SDCL、变更控制、符合性、测试和数据转
3、换程序)u 缺乏对控制持续有效的校验过程(至少应该一个季度一次)u 没有对风险进行评估的长期策略6“安全运营管理”的定位一安全运营是指在安全策略的指导下,安全组织利用安全技术来达成安全保护目标的过程二安全运营与IT运营相辅相成、互为依托、共享资源与信息三安全运营与安全组织紧密联系,融合在业务管理和IT管理体系中安全策略安全组织管理安全运行维护安全技术基于运行维护管理运用基于指导落实远程接入管理办法网帐号和口令管理策略防病毒规范SOC规范中国网通信息安全主策略管理层指示安全框架最佳实践管理维护管理执行7内容提要 安全管理问题与挑战 安全运营管理战略 业务发展的要求 安全运营与收入保障 安全运营与
4、萨班斯法案符合性 标准和最佳实践 IT 保障体系 安全运营管理体系建议 安全运营组织 安全运营支持层次 安全运营管理流程 行动建议和路线图8业务流程和系统的发展对安全运营管理提出新的要求呼叫中心 电子邮件 邮件短信 网站自助服务服务开通 资源管理事件管理 工单管理客户管理 客户交互市场管理 项目管理管线资源、无线设备接入网、传输、交换话音、互联网XML/UDDI/WSDL/SOAP/SOA/BPELI-CRMO-CRMService-LevelAgreement资源管理 工单管理 配置管理 性能管理 安全管理 变更管理 服务水平管理计费 结算 帐务 伙伴管理 经营分析 决策支持商业智能BASS
5、管理层市场部计划部客服计费网络部网管中心整合前后端,全程调度订单-资源-服务开通-更新客户资料-报竣申诉-客户资料-网管工单-解决-报竣订单-资源-立项采购-更新资源库-服务开通-更新客户资料-报竣BOSS综合网管安全运营平台安全运营一方面需要适应业务流程和系统的发展,另外一方面帮助控制整合后系统的安全风险9电信运营商典型的收入生成过程示意图在收入生成的很多环节在收入生成的很多环节上都有可能因为安全威上都有可能因为安全威胁而造成收入流失!胁而造成收入流失! 找回遗漏收入 提高利润 减少收入的延迟 减少和防范新的收入流失 企业资源计划ERP 集成化的、条理化(Streamlined)的市场和客户
6、响应流程系统平台 完备的客户资料系统和运营数据系统 数据仓库和主题分析 集成化、自动化的BOSS系统 高效的数据业务管理平台 集成化的、条理化的内部IT运维管理平台 优化的、完备的KPI指标体系,及其收集、分析与展示 完备的备份和灾难恢复能力 根源分析能力收入保障收入保障目标目标安全运营安全运营保证收入优化主要可用的主要可用的IT IT手段手段 广义的收入保障与安全运营 计费数据的完整性、可用性、可信性 客户资料的完整性和可信性 减少人为错误、滥用误用等带来的损失 跨系统层和应用层的完整的身份和授权管理 保证关键流程点的有效性和可审计性 提高系统和服务的可用性,以及业务连续提供能力 提高客户安
7、全故障的快速响应能力 保护客户数据和隐私稳定服务质量 考察并保障主要收入流程和系统 BOSS的升级和稳定运行 规范管理SP的服务提供和计费 快速响应市场的需求变化提升客户满意度 提高计费准确性 提高服务开通/服务停止准确性 提升客户满意度降低成本和风险 疏理现有计费体系,找出问题 剔除存在的差异,降低错误率 分析欠费类型,降低坏账风险 分析号码资源利用,提高利用率 分析路由和网络资源利用,降低成本提升管理水平 完善内控体系,实现闭环管理 建立KPI稽核体系,有效进行收入控制 自动化工具,固化流程,大幅提高执行能力 精确的财务和管理报表 提高部门间协作,快速解决运营中出现的问题SOX符合性对企业
8、的影响 因为可靠的财务报告过程有赖于IT,所以,IT在SOX 404符合性努力过程中扮演着关键的角色; 对许多组织来说,SOX可以简化为对现有责任的法律条文化。这些IT控制责任早已存在,不过,SOX可能要求进行额外的形式化,并且要求在文件化和测试方面做出努力 公司应该确保IT在SOX符合性努力中扮演主动的角色:参与符合性领导委员会理解财务报告过程,就IT(应用、基础架构、安全等)的依赖性进行沟通在确保财务报告过程具有充分控制方面,建立IT的角色文件化IT风险及与财务报告过程相关的控制定期测试控制,改进重要的不足建立监视活动,以确保IT控制在特定时间内的效力12安全管理与技术的发展体现出以下三个
9、趋势走向规范标准走向规范标准 BS7799/ ISO17799/ ISO27001 ITIL / eTOM CoBIT X.805 国内正在制定越来越多的国家标准和规范,例如风险评估规范、风险管理规范等集成应用安全集成应用安全与系统安全与系统安全 关键应用的身份、授权与审计成为企业内控的必备首选 完备的职责分离设计(SOD)和权限管理 安全管理系统走向平台化、集成化与IT管理集成与应用集成深入企业管理深入企业管理核心流程核心流程 收入保障需要安全管理提供的数据和业务安全保障 SOX符合性需要安全管理提供的“内控” 业务连续性管理与安全保障密不可分 安全作为增值服务 安全成为市场竞争力13安全运
10、营需要参考COBITITILBS7799等最佳实践COBIT重点在于IT控制和IT度量评价,但是没有讲如何做,也不专注在安全ITIL重点在于IT过程管理,强调IT支持和IT交付,但是没有安全和开发ISO/IEC17799重点在于IT安全控制,但没有讲如何做参照CobiT和ISO17799来进行安全健康检查/审计,并识别过程和控制中的脆弱性参照ITIL来提高IT过程和控制,参照ISO17799来提高安全过程和控制参照ITIL来定义技术参照CobiT来定义“度量”和KPIITIL还可以用来作为架构方面的参照架构和角色度量过程技术控制人SOX compliance is one of the bus
11、iness objectives of security operations !14故障性能配置变更连续性服务质量服务台IT保障身份认证安全域访问控制漏洞补丁风险评估入侵检测日志审计安全保障关键业务的双重保障OSS服务开通资源管理网络管理服务管理存储备份OA/MSSEAI流程模型数据模型业务模型BSSCRM数据采集计费帐务综合结算经营分析业务关联业务关联根源分析管理应用数据库操作系统存储及IT硬件各种网元设施管理15内容提要 安全管理问题与挑战 安全运营管理战略 业务发展的要求 安全运营与收入保障 安全运营与萨班斯法案符合性 标准和最佳实践 IT 保障体系 安全运营管理体系建议 安全运营组织
12、 安全运营支持层次 安全运营管理流程 行动建议和路线图安全运营是IT 治理的重要保障环节SOX符合性收入保障业务战略计费 营帐 结算 客服经营分析IT保障变更管理事件管理问题管理配置管理综合监控服务台 应 用 开 发 BOSS BASS质量&稽核优化支持安全保障数据安全系统安全应用安全安全运营安全运营IT, 网管安全日常运营安全支撑关系建立并完善安全运营管理体系,是提高安全保障能力的重要步骤!其中包含了人员组织、流程服务以及技术工具等多方面的建设要求!规划建设 BOSS BASS应用业务层次化的安全运营支持体系18主要管理流程关系示意图安全监控网管监控类别基础架构系统软件业务配套设施安全系统安
13、全风险管理安全资产事件性质审告故障咨询业务处理维护作业其它安全Security On-Demand 【2003年11月】 安全是一种服务(业务)Security is a service安全与业务紧密对应Map Security to business安全像服务一样运行Run Security as a service安全“根源分析”Security Root-cause analysis 安全就绪的IT基础架构Security-ready IT infrastructure服务知晓的安全Service-aware security开放互通集成 安全自我管理Self-managing Secu
14、rity互操作与自动响应Auto-response and Interoperability可 度 量可 考 核可 管 理资产风险优先级流程标准化模块化集成性深层防御面向业务智能相关AlignmentEfficientResponsive安全服务是部分安全流程的封装和抽象 安全服务具有服务对象、服务内容、服务形式、服务质量等属性。 通常,一项安全服务由跨多个安全流程的多种安全活动来提供。 安全服务面向服务对象的体验与质量关键指标, 安全流程则面向实际的安全运营管理过程与活动。 安全服务是相互关联的若干安全流程和活动的封装与客户展现。安全活动安全流程安全服务安全使命企业关键业务信息系统元素管理层
15、其他IT小组最终用户面向管控面向服务安全运营服务可以首先考虑试行安全紧急响应服务、安全报告服务等,选择具有明确客户界面、活动较为成熟的部分作为试行、坚持逐步推进的原则,成熟一块,推行一块,考核一块。“执行力”是其中的关键。技术路线11223实现指导p安全过程的设计需要紧密结合既定过程和流程,紧密融合,尤其是服务台和事件管理p安全配置管理重点考虑各种安全设备的安全特有属性p安全服务设计的原则是在保障“安全管控”效果的同时,为安全工作的各个“客户”提供良好的界面p安全服务和过程需要相应的技术手段来支撑实现22内容提要 安全管理问题与挑战 安全运营管理战略 业务发展的要求 安全运营与收入保障 安全运
16、营与萨班斯法案符合性 标准和最佳实践 IT 保障体系 安全运营管理体系建议 安全运营组织 安全运营支持层次 安全运营管理流程 行动建议和路线图安全管理与IT管理的交替融合身份管理应用和数据安全安全域划分和边界整合安全集中监控IP网管理(3G/NGN的IP核心)VoIP管理MPLS VPN管理资产管理和软件分发日志审计ITIL ServieDesk流程整合服务管理反病毒Network & System Fault Management故障管理Network & System Perf. Management性能管理主机访问控制网络流量分析IT综合网管监控IT网管与安全集成3G/NGN/IMS综合
17、安全保障IT管理安全管理相互依赖IT服务管理之服务提供安全运营管理中心的建设SOC安全运营管理中心安全系统元素变更与发布事件管理安全主管和管理员安全主管和管理员IT系统管理员系统管理员/兼职安全管理兼职安全管理配置信息内部活动:策略与审计漏洞与补丁事件分析帐号口令情报、教育活动延伸:维护监视记录安全运营建设进阶数据信息知识行动关注收集层次化布署平台应用覆盖性能可靠性保存开放性关注过滤过滤机制合并机制灵活性实施能力智能性开放性关注相关相关规则挖掘实施能力智能性开放性关注流程管理成熟度人流程技术专家知识实施能力灵活性开放性L错误或者失衡的资源分配和投资比例L错误的架构、不匹配的组织L认为SOC的建
18、设主要是产品安装,对建设中项目风险认识不足L设计建设SOC时没有考虑IT基础设施的特点L定义了不适当的项目目标L集成商和原厂家的技术支持力度不够L对选择SOC产品的可扩展性、健壮性、性能没有透彻的了解L没有设计好相应的管理和应急流程L认为SOC建设完、验收结束就大功告成26Symantec助力安全运营管理“Operate” is the result of a brainstorming session between Symantec & Emagined Security and is not official.标准Create/Select standardAssess controls
19、Detect deviationsRemediate deficiencies权限Gather effective permissionsTranslate permissions into human readable formatRoute entitlements to data owner for review & approval责任Assess non-programmatically assessable controlsReport with risk weighted modelCentralize view of procedural controls策略Define/ma
20、nagewritten policiesDistribute policies &track exceptionsDemonstrate coverageDisplay evidenceNISTPCICobitSOXISOGLBAFISMAMalwarePolicyEndpointPolicyDataProtectionPolicy采用基准风险分析查看结果查看结果调度策略运调度策略运行时间行时间定制模块定制模块添加模块添加模块创建策略创建策略策略一致性管理策略管理需求 如何确保企业符合诸如SarbanesOxley 法案的要求? 如何监控和审查IT系统中安全策略的执行情况? 如何将口头或纸面的
21、策略要求落到IT系统的配置上? 如何通过提升下列的能力来改善我们的SLA: 弱点响应 补丁管理 归档策略 电子邮件策略 遵从性报告 配置审核29企业安全策略与标准的管理跟踪取证试点分发编写30技术标准管理纠正 违规检测访问控制选择与建立31权限管理周期性检查收集分配定义控制点32控制与评估结果分析收集分发评估评估内容定义33安全监控管理复查复查响应响应区分优先级区分优先级识别识别 SIM 4.0 WWSMC Demo Board10Symantec Confidential Altiris Inc.工作流引擎让运营管理可视Business StaffIT StaffSymantec Workf
22、lowTraditional Code/Scripting Language public class GenomeComparer : IComparer public GenomeComparer() public int Compare( object x, object y) if ( !(x is Genome) | !(y is Genome) throw new ArgumentException(Not of type Genome); if (Genome) x).Fitness (Genome) y).Fitness) return 1; else if (Genome)
23、x).Fitness = (Genome) y).Fitness) return 0; else return -1; 工作流引擎确保运营管理标准化工作流引擎确保运营管理标准化 工作流引擎提高运营管理效率与效力工作流引擎提高运营管理效率与效力Symantec 安全方案整体架构 2007 Symantec Corporation. All rights reserved. THIS DOCUMENT IS PROVIDED FOR INFORMATIONAL PURPOSES ONLY AND IS NOT INTENDED AS ADVERTISING. ALL WARRANTIES RELA
24、TING TO THE INFORMATION IN THIS DOCUMENT, EITHER EXPRESS OR IMPLIED, ARE DISCLAIMED TO THE MAXIMUM EXTENT ALLOWED BY LAW. THE INFORMATION IN THIS DOCUMENT IS SUBJECT TO CHANGE WITHOUT NOTICE. Thank You! 2007 Symantec Corporation. All rights reserved. THIS DOCUMENT IS PROVIDED FOR INFORMATIONAL PURPO
25、SES ONLY AND IS NOT INTENDED AS ADVERTISING. ALL WARRANTIES RELATING TO THE INFORMATION IN THIS DOCUMENT, EITHER EXPRESS OR IMPLIED, ARE DISCLAIMED TO THE MAXIMUM EXTENT ALLOWED BY LAW. THE INFORMATION IN THIS DOCUMENT IS SUBJECT TO CHANGE WITHOUT NOTICE. Thank You! 2008 Symantec Corporation. All ri
26、ghts reserved. THIS DOCUMENT IS PROVIDED FOR INFORMATIONAL PURPOSES ONLY AND IS NOT INTENDED AS ADVERTISING. ALL WARRANTIES RELATING TO THE INFORMATION IN THIS DOCUMENT, EITHER EXPRESS OR IMPLIED, ARE DISCLAIMED TO THE MAXIMUM EXTENT ALLOWED BY LAW. THE INFORMATION IN THIS DOCUMENT IS SUBJECT TO CHANGE WITHOUT NOTICE. Thank You!39