IBM在信息安全方面的实践及解决方案介绍-Read课件.ppt

IBM在信息安全方面的实践及解决方案介绍,IBM中国资深系统架构师廖家丞,信息安全的内涵与定义,内涵：保障企业各类信息资产免于不可承受的风险的所有战略、程序与机制定义：考虑所有信息资产的保密性(Confidentiality)完整性(Integrity)可用性(Availability)范围：总/分/子公司、信息系统设备、人员、信息记录、服务,C,I,A,信息安全体系的范围,企业内信息安全的责任划分安全策略的制订者信息资产的所有者信息资产的维护者信息资产的使用者信息安全的检查者信息安全策略体系总体企业的信息安全策略与目标，以及配合的标准规范规定信息安全的运作范围PDCA的循环持续强化模式(制订安全策略-信息安全的实施与培训-运维事件监查-纠正改善)事前预防，事中应变，事后追踪考核的完整作业来完善企业安全的持续运作员工安全意识的提升与奖惩机制的搭配来落实信息安全的策略作业的合规性及日常管理的检查点来检验日常作业的安全状况信息资产的可视化与信息安全事件的响应机制来反应各类突发事件技术解决方案及业务流程的相互搭配,安全体系的落实-将管理与检核点结合到日常作业流程中,以”风险导向”(Risk Focused)的企业完整信息安全架构蓝图,具体项目经验分享-国内某保险公司,BS7799/ISO17799 信息安全咨询、与认证辅导,信息服务管理(ITIL)咨询与系统建立,SOC 事件整合及监控平台导入,落实定期风险评定及管理,建立紧急应变处理程序,弱点扫描机制建立修补程序更新机制建立,建立防毒机制建立入侵侦测、防火墙建立系统异常机制监控机制,企业IT架构咨询、与优化,产品选择身份管理,完整信息安全架构蓝图中的各类服务,安全咨询服务：企业信息安全评估与安全架构规划服务,BS7799 Areas,解决方案简介,快速找到企业当前面临的安全问题，了解企业业务部门对信息安全的需求，勾画出企业（或部门）的安全架构蓝图、及其路线图价格：万元RMB起Why IBM：IBM在咨询方面的专长；IBM对业务的理解；在IT 各个方面的经验；咨询与集成服务由同一个团队、同步进行；立足长期的合作关系,使用的工具及交付件,客户的收益,了解企业信息安全现状与所面临的威胁整合从业务面到技术面的需求清晰、明确的定义管理层的信息安全目标和要求，使得全体人员能够一致的遵守评估企业安全政策、标准和指南，是否能够有效保障公司的信息安全，及其日常执行情况制定核心安全管理流程，初步建立有效的信息安全体系完善企业的信息安全架构蓝图及路线图得到了安全教育,_ 安全政策_ 安全组织_ 信息分类与控制_ 人员安全_ 物理环境安全_ 计算机网络管理_ 系统访问控制_ 系统开发与维护_ 业务连续与灾难恢复_ 安全遵守,IBM的安全咨询方法论IBM的信息安全知识库信息安全风险评估报告企业（或部门）信息安全架构规划报告企业信息安全项目规划建议报告,定位企业的信息安全保护级别，让企业领导清晰了解在信息安全上应该做到什么程度评估目前所采取的安全措施还存在哪些方面的问题是否有清晰的安全政策方面的文件是否有信息安全架构蓝图是否有清晰的安全规划指导安全项目是否清晰定义并执行风险管理流程是否有并执行一些关键的安全管理流程（例如变更管理、和配置管理）,业务目标及需求访谈调查信息安全风险的评估与差异分析建立信息安全政策（可选）核心信息资产的识别、分类及保护准则制定和实现核心安全流程企业（或部门）信息安全管理规划与设计（管理、技术两个部分）在内部向每个员工传达信息安全政策,客户需求与自我评估,工作内容（可选）,交付件示例进一步介绍,安全咨询服务：信息安全管理系统、BS7799认证咨询服务,BS7799 Areas,解决方案简介,结合ISO1779/BS7799安全管理标准，帮助企业（或部门）建立有效的、一致的信息安全体系。辅导企业准备BS7799安全认证的工作。价格：xxx万元RMB起Why IBM：整体规划取代单一安全产品；从服务入手，安全产品选择中立与客观；咨询与集成服务由同一个团队、同步进行；信息安全技术的转移；立足长期的合作关系,使用的工具及交付件,客户的收益,整合从业务面到技术面的需求清晰、明确的定义管理层的信息安全目标和要求，使得全体人员能够一致的遵守清晰定义安全政策、标准和指南，使得员工和合作伙伴能够在工作中遵循，以保障公司的信息安全提升企业形象、赢取客户信任、增加竞争力建立世界级的制度化、标准化的信息管理系统提升信息管理系统的效率和稳定性保障核心资产安全性，强化内部的持续改进力量改善人员对安全的警觉性、参与感及行动力,_ 安全政策_ 安全组织_ 信息分类与控制_ 人员安全_ 物理环境安全_ 计算机网络管理_ 系统访问控制_ 系统开发与维护_ 业务连续与灾难恢复_ 安全遵守,IBM的安全咨询方法论IBM的信息安全知识库信息安全风险评估报告符合BS7799的信息安全文档管理网站信息安全管理流程信息安全管理办法信息安全基本培训,希望定位企业信息安全保护级别，让企业领导清晰了解在信息安全上应该做到什么程度希望评估目前所采取的安全措施还存在哪些方面的问题；安全管理工作进一步做深做细业务需要，企业能得到一个安全方面的认证安全管理是否体系化和制度化是否有清晰的安全政策方面的文件是否有清晰的安全规划指导安全项目是否清晰定义并执行风险管理流程是否有并执行一些关键的安全管理流程（例如变更管理、和配置管理）,业务目标及需求访谈调查信息安全风险的评估与差异分析信息安全管理系统政策与管理办法制订建立符合BS7799标准的信息管理系统辅导企业（或部门）通过BS7799认证服务（可选）在内部向每个员工传达信息安全政策,客户需求与自我评估,工作内容（可选）,交付件示例进一步介绍,企业安全监控中心（SoC),BS7799 Areas,解决方案简介,帮助企业建立安全监控中心，实现对企业安全事件的集中、统一、制度化的管理、监督和控制。帮助企业快速定位安全事件、分析原因、提高安全运维管理的效率Why IBM：IBM的Boulder是著名的SoC中心；整体规划取代单一安全产品；从服务入手，咨询与集成服务由同一个团队、同步进行；信息安全技术、中心运营经验的转移；立足长期的合作关系,使用的工具及交付件,客户的收益,整合从业务面到技术面的需求维持企业形象、赢取客户信任实现异构平台的安全事件的集中、量化管理，实现统一的信息安全事件控管及通报集中化的管理与监控，在第一时间内作适当的处理或警示从每个可能的入侵点了解每个使用者的行为，可以更为准确地确认使用者的企图帮助系统管理人员做出正确的判断，提升信息管理系统的效率结合问题管理系统,提高信息安全管理效率问题发生时能减少对业务之冲击,_ 安全政策_ 安全组织_ 信息分类与控制_ 人员安全_ 物理环境安全_ 计算机网络管理_ 系统访问控制_ 系统开发与维护_ 业务连续与灾难恢复_ 安全遵守,IBM Global MethodolodyIBM的信息安全知识库ITIL,ArcSight,Tivoli,RemedySOC整体架构规划报告SOC系统操作手册紧急事件处理原则信息安全事件问题处理程序定制每月/季事件统计报表,希望有效掌握影响业务风险的因素，实现安全监督控制的集中化和自动化，集中管理风险；希望对企业的网络、安全等集中管理企业网络是否复杂、安全设备较多、分布较广；是否有足够的安全管理人员，是否能对网络中的安全事件做到立即响应安全工具部署分散，安全管理不规范，安全事件监控不及时，没有整合，无法对安全决策提供有效支持。缺少大量安全维运人员太多的信息,Syslog,AV,IDS,FW无法及时进行分析，无法快速找到安全事件的原因。缺少安全技术人员是否缺乏有效的信息安全监控机制,业务目标及需求访谈调查信息安全监控中心设计规划基础信息安全监控平台建设信息安全流程定义信息源的集成SoC的初始运行期间的代运行SoC的运行管理办法制订在内部向每个员工传达信息安全政策,客户需求与自我评估,工作内容（可选）,交付件示例进一步介绍,企业身份与权限管理系统,BS7799 Areas,解决方案简介,帮助企业建立集中的、监控用户身份和权限的管理机制，建设企业统一的用户身份和权限管理平台。价格：xxx万元RMB起Why IBM：Tivoli身份管理工具软件；从服务入手，有较多的成功经验；与厂商的战略性合作；,使用的工具及交付件,客户的收益,为大量的用户和用户组提供高效的管理 防止过高权限和资源滥用，减少安全隐患集中式管理,让管理者掌控所有账号分布情形掌握企业账号资源的管理流程与成效，提高自动化程度，提高生产率监控用户对资源的使用符合BS7799所要求的控管政策降低管理成本，ROI回报明显可与单一登入机制整合,提供完善的解决方案,_ 安全政策_ 安全组织_ 信息分类与控制_ 人员安全_ 物理环境安全_ 计算机网络管理_ 系统访问控制_ 系统开发与维护_ 业务连续与灾难恢复_ 安全遵守,IBM Global MethodolodyIBM的信息安全知识库ITILTivoli,RSA,Vasco管理平台的架构规划账号与权限管理准则标准操作/维护手册(Standard of Procedure)培训手册,企业有较多的核心应用，面临威胁递增，但响应时间要求递减的情况大量用户需要访问多个系统平台上的不同应用，用户管理复杂，缺乏在整个企业中的一致性缩短新应用系统的开发时间（账号管理）企业是否在账号、权限管理上花费较多的人力。能否有效的管理异构平台的账号，能否提供使用者自已服务的手段人员岗位是否经常的流动，帐号和权限能否及时更新或删除香港金融管理局04年，要求网上银行须完成双因素认证,建立集中用户管理机制建立企业用户管理目标和范围。建立企业的用户名、口令安全管理标准。规范用户管理管理，完善用户审计机制贯彻企业的用户管理策略企业内账号资源管理平台的整合,并可支持各平台,包括IBM主机及数据库采用基于角色的访问控制进行统一的用户进行管理单一登入机制(single sign on)的设计,客户需求与自我评估,工作内容（可选）,交付件示例进一步介绍,企业信息加固服务,BS7799 Areas,解决方案简介,快速发现企业网络、系统信息基础设施的安全漏洞，了解企业业务对信息基础设施的安全需求，采取补救措施，在短时间内提升企业信息基础设施的安全水平Why IBM：整体规划取代单一安全产品；从服务入手，安全产品选择中立与客观；咨询与集成服务由同一个团队、同步进行；信息安全技术的转移；立足长期的合作关系,使用的工具及交付件,客户的收益,快速发现企业的安全漏洞，通过有效的防护方法，提升信息安全水平加强信息基础设施的安全水平，降低安全风险维持企业形象、赢取客户信任技术人员的安全培训,_ 安全政策_ 安全组织_ 信息分类与控制_ 人员安全_ 物理环境安全_ 计算机网络管理_ 系统访问控制_ 系统开发与维护_ 业务连续与灾难恢复_ 安全遵守,IBM Global MethodolodyIBM的信息安全知识库第三方工具网络和系统架构的安全优化建议相关产品加固手册标准操作/维护手册(Standard of Procedure)培训手册,网络性能下降，甚至发生瘫痪阻塞，严重影响业务工作系统受到频繁扫描，数据信息面临严重威胁侦测入侵日渐困难，立即响应攻击困难内部人员操作不当可能会造成严重后果认识到事前预防比事后弥补成本更低，风险更小。转移风险的一个手段。希望有一个安全的IT基础平台，快速降低信息安全的风险国家政策、法规的要求,网络（FW、IDS、AV）和系统（服务器、数据库、应用系统）弱点评估及渗透测试制定网络和系统信息设施的安全标准对网络和系统架构进行安全优化改进网络和系统的安全管理流程入侵侦测/防御系统(IDS/IPS)的设计与实施企业机密资料的防护与实施防毒及防垃圾邮件解决方案的实施终端标准化建议及实施,客户需求与自我评估,工作内容（可选）,交付件示例进一步介绍,电子邮件安全解决方案,BS7799 Areas,解决方案简介,通过实时的、多层次的扫描工具与系统，与企业原有的防护手段一起，提供集中管理的邮件防毒、防垃圾邮件的安全保护机制，杜绝经互联网邮件来的病毒事件,使用的工具及交付件,客户的收益,降低电子邮件安全保障的总体成本，降低病毒邮件和垃圾邮件在企业内的传播免受病毒邮件、垃圾邮件、不良内容邮件的骚扰，保障业务正常运行可以估算的运营成本，不需要单独购买软硬件上班时间技术支持服务，可提供全方位的邮件容灾保护，基于Web-based的管理界面一个月免费上线使用及专人报表分析因特网邮件安全代管导入,导入时程仅一小时每月提供全球12个控管中心邮件安全控管报表分析,以供了解全球邮件安控现况,_ 安全政策_ 安全组织_ 信息分类与控制_ 人员安全_ 物理环境安全_ 计算机网络管理_ 系统访问控制_ 系统开发与维护_ 业务连续与灾难恢复_ 安全遵守,IBM的信息安全知识库第三方产品MessageLabs Skeptic 培训手册,内部不充分的防毒解决方案，只采用一种防毒工具，不能提供100%的防毒能力。及时的更新机制的执行是个隐患，特别是在病毒大爆发时。邮件系统充斥着病毒和垃圾邮件，严重影响了正常的业务工作邮件系统是否已成为企业的生产力的一个重要组成部分是否经常受到邮件带来的病毒攻击、或垃圾邮件的骚扰是否有足够的人力、物力有效管理经邮件带来的病毒攻击、或垃圾邮件的骚扰,经由专人7x24小时于全球22个具备高容灾及高速网络的数据中心，提供internet 邮件安全代管服务,企业完全不须有任何维护人力、软硬件额外成本的支出。提供三层商用防毒检测软件、每十分钟自动更新病毒码及备有第四层Skeptic搜索器的专利检测将会爆发的病毒,提供Virus-Free的网络邮件服务,确保第一时间内防堵病毒入侵。提供在线邮件使用情况统计报表,直接了解邮件使用情形及风险状况。以相同的服务质量提供防制广告信件、色情图片、及内容过滤（暂无双字节）等加值服务。,客户需求与自我评估,工作内容（可选）,交付件示例进一步介绍,桌面终端安全符合性检查,BS7799 Areas,解决方案简介,随时掌握桌面终端用户的安全策略符合情况及时通知不符合安全策略的用户进行安全修正提升用户的安全遵守的意识,使用的工具及交付件,客户的收益,在企业已布署桌面安全产品的前提下，能快速的帮助企业提高安全级别，减少安全事件真正发挥并扩大化已有安全投资的效果，量化安全回报提高员工的安全责任意识,_ 安全政策_ 安全组织_ 信息分类与控制_ 人员安全_ 物理环境安全_ 计算机网络管理_ 系统访问控制_ 系统开发与维护_ 业务连续与灾难恢复_ 安全遵守,目前因病毒带来的安全事件占了绝大多数，既影响了业务的开展，也消耗了IT人员的大量时间已布署了相当多的桌面安全产品，但效果不明显需要有工具来协助企业强化员工的个人安全责任意识,定义桌面终端安全策略定义桌面终端安全策略审计流程定义相关的运维人员及责任在内部向每个员工传达桌面终端安全策略重新调整或布署桌面安全工具（可选）布署安全符合性工具定期或随时安全符合性数据提供审计报告,桌面安全工具只需包括网络防毒客户端、个人防火墙、补丁工具安全符合性工具为ISAM（同时提供资产与安全审计信息）,客户需求与自我评估,工作内容（可选）,交付件示例进一步介绍,