1、把握信息安全2007年3月19日北京启明星辰信息技术有限公司首席战略官 潘柱廷第1页,共31页。提问 哪位同学准备了问题来参加今天的活动?有几个问题?都是些什么问题?第2页,共31页。提问 今天哪位同学带了记录的工具?纸笔、电脑、录音笔、照相机、手机 哪位同学事先通过各种方式了解过启明星辰这个公司 Website,BBS,从朋友那里 哪位同学事先特意了解过IDS,或者认为自己对IDS有相当的了解第3页,共31页。提问 据我所知上周一,各位同学访问了一个防火墙厂商。那么请问:“什么是防火墙?”“防火墙是什么?”第4页,共31页。第5页,共31页。EDIF风筝模型-IT多态模型第6页,共31页。三
2、观论实现层实现层运营层运营层技术技术人员人员过程过程决策层决策层宏观宏观微观微观中观中观第7页,共31页。问题 什么是信息安全?到底要解决那些问题?怎么实施信息安全建设?第8页,共31页。问题 什么是信息安全?通过回答最根本的问题,帮助我们探究事物的本原。到底要解决那些问题?明确工作的目标和要求,从一个大的广泛的概念中寻找自身的定位。怎么实施信息安全建设?通过回答最实际的问题,帮助我们获得需要的实效。第9页,共31页。安全的三个相对性原则 安全是潜在的 安全没有绝对,没有100%实践安全相对性的三个原则 风险原则适合商业机构 生存原则适合强力机构 保镖原则适合涉密机构第10页,共31页。风险管
3、理 风险管理的理念从90年代开始,已经逐步成为引导信息安全技术应用的核心理念 风险的定义 对目标有所影响的某件事情发生的可能性摘自AS/NZS4360第11页,共31页。ISO13335中的风险管理的关系图第12页,共31页。ISO13335以风险为核心的安全模型风险风险防护措施防护措施信息资产信息资产威胁威胁漏洞漏洞防护需求防护需求降低增加增加利用暴露价值价值拥有抗击增加引出被满足一般风险评估的理论基础第13页,共31页。国信办报告中的风险要素关系图第14页,共31页。德国ITBPM第15页,共31页。最精简的风险管理要素第16页,共31页。业务资产保障措施威胁安全三要素第17页,共31页。
4、信息安全保障框架 资产清单资产清单 面向网络拓扑面向网络拓扑 基于安全域基于安全域/业务域业务域 基于业务流分析基于业务流分析 第18页,共31页。信息安全保障框架脆弱性管理脆弱性管理告警管理告警管理事件管理事件管理预警管理预警管理威胁管理威胁管理 第19页,共31页。信息安全保障框架 通过S3-PPT方法展开保障措施第20页,共31页。IT中最通行和朴素的层次模型第21页,共31页。技术功能是T3-PDR的衍生第22页,共31页。保障框架-措施第23页,共31页。产品的框架分析IDS应用审计应用审计防火墙防火墙SAN防垃圾防垃圾安全管理中心安全管理中心Scanner远程数据热备远程数据热备I
5、PS防病毒防病毒加密机加密机双因子双因子PKIUTM第24页,共31页。多角度地理解的IT产品 不要仅仅从功能去理解一个IT产品 可能的角度:数据结构、数据流 功能、服务 Portal、C/S、B/S 部署结构 应用用例 第25页,共31页。产品分析示例IDS防火墙防火墙IPSUTM第26页,共31页。产品分析示例第27页,共31页。产品分析示例第28页,共31页。三法则 Q3-WWH R3-AST P3-CSP V3-MMM S3-PPT T3-PDR L3-POE A3-CIA 三问题:什么/为什么/怎么 风险三要素:资产业务/保障措施/威胁 产品三形态:部件产品/服务/平台 三观论:宏观/中观/微观 保障:人员组织/过程/技术 技术:防护/检测/响应 生命周期:项目/运维/应急处理 目标属性:保密性/完整性/保密性第29页,共31页。http:/Bhttp:/B第30页,共31页。演讲完毕,谢谢观看!第31页,共31页。
