Professional Documents
Culture Documents
应用实践
轩晓荷 13601001280
网络安全事业部副总经理
亚信安全公司简介
亚信开始
建设4A统
建设SMP
建设BDS 形成全方位 收购趋势科技中国业
一帐号认证、 大数据安 运营商网络
发力安全
授权与审计
安全管理
全管控系 安全解决方
务,成立
领域 平台
安全平台 统 案能力 亚信安全
云与大数据安全的领导者,护航产业互联网
亚信安全的发展历程
覆盖云安全、大数据安全、安全管控、安全智能、终端安全、APT治理的一体化安全能力。
以交付整体安全运营能力为目标,协助构建覆盖云、管、端网络空间立体安全防御体系。
产品+服务+运营的安全交付能力
亚信安全产品战略
覆盖企业信息化生命周期
实施 运维
大数据安全 云安全
规划 运营
安全管控 移动安全
安全智能 APT安全
国内电信运营商信息安全工作的挑战
涉及范围广: IT系统构成复杂,安全保障涉及网络、系统、数据、应用、用户身份安全、终端、互联接入安全等多个层面。
防护难度高: 新型信息安全攻击手段层出不穷,云计算和互联网化对运营商IT系统基础架构的影响巨大。
落地执行难: 涉及复杂的技术、管理、流程和人员职责因素,通过技术化手段推动安全要求落地的难度较高。
标准化挑战
安全评估
安全应急响应
评测机构
安全事件分类
应急事件上报 应急预案决策执行 故障分析和定责
应急预案制订
安全厂家
安全工作支撑基础设施
安全咨询
亚信安全将电信运营商整体安全运营体系交付划分为四个体系的建设过程:
安全管理要求(策略)为核心的安全管理体系;安全技术防护为核心的安全技术体系;
安全职责落地为核心的安全组织体系;安全建设、运维、评估检查为的安全运维体系。
整体安全运营体系的实现目标:“集中管理、集中组织、集中支撑、集中保障”。
有效联系安全运营相关的“管理”、“技术”、“人员”、“流程”。
制定面向全网的集中安全管理策略、形成全网统一的安全防护要求和执行标准。
推进安全运营管理组织建设、人员能力培养,提升队伍能力建设。
制定标准化安全运营流程,明确集团-各省公司的数据接口标准,形成统一建设规范。
制定集中化的安全策略 完善安全组织建设,提升安全防护技术能力
推动专职安全组织的建立
形成全网统一的安全策略标准。
统一规划运营商全网安全运营人员组织管理,积极推
积极应用国家、工信部、企业安全标准组
动集团、省级运营商完成专职安全管理组织的建立。
织整体规划涉及满足全网安全运营的基础
积极实施安全运维人员的资质认证和能力培训
策略要求,形成统一的工作要求指引。
在全网范围内筹建信息安全专家技术团队
流程 组织 信息 工具 完善安全建设标准 标准化安全运维流程
通 作 享 用 范和技术要求
的 的 的 的 避免和减少运营商在建
省级 流 组 信 服 设过程中的需求偏差, 标准
程 织 息 务 制定明确统一的安全运
支 体 交 工 营平台建设和实现要求。
撑 系 互 具
制定安全运营考核和检查标准
地市级
实现能力建设和检查的良性循环,
督促运营商落实建设达标要求。
安全标准的控制拆解和关系维护
建立统一化的安全基础策略基框架,对各类管理、技术标准进行控制点拆解并与统一化的安
全策略集进行映射,解决法规标准的多源性问题。
IT安全规划 安全组织管理与责任矩阵
安管
全理
运框
安全风险管理 安全策略管理 安全符合性管理
营架
网络安全管理 内容安全管理
系统安全管理 应用安全管理 数据安全管理
(安全域) (防病毒)
安服
全务
支体 用户安全管理
撑系 终端安全管理 介质安全管理 物理安全管理 安全审计管理 合作伙伴管理
(帐号口令)
安全策略发布、
IT管理部门 组织实施、
牵头组织、制定方针
主管领导 过程监控、
保障资源、评审改进
落实流程、
考核评价
信息安全管理团队
安全管理
信 信 信 信
息 息 息 息
安全规划管理 安
安 安 安
全 全 全 全
安全建设管理 终端安全管理
规 建 运 审 风险评估
划 设 维 应用安全管理 计
安全规划 合规审计
数据安全管理
项目建设 操作审计
安全审计
安全需求 用户安全管理
路线规划、
系统安全管理
需求管理
质量控制
定义需求、落实要求、 网络安全管理
执行策略、部署实施、 安全风险评估
有效测量、监控响应、 管理流程审计
敏感操作审计
安全运维体系标准化实践
通过引入各项安全运维工作标准,安全运维管理流程、安全风险管理、安全评估、安全测
评等方面构建可基于技术手段有效支撑的安全运维体系。
安全支撑流程
作业管理流程 事件管理流程 策略管理流程 合规管理流程 工作矩阵支撑流程
资产管理流程 量化管理流程
安全运维流程 安全支持体系
安全监控平台 常态化安全运行 专业服务支持
常态化服务支持
评测机构
安全事件分类
应急事件上报 应急预案决策执行 故障分析和定责
应急预案制订
安全咨询
初次处理 问题解决 问题解决
业务系统管理人员
事件记录 外部协作 信息安全工作门户 安全服支持工作台 安全管控平台 安全知识库 安全专家库
安全专项服务
事件处理 问题升级 事件处理
问题产生
信息安全标准应用实践总结
以安全策略落地执行为出发点,同步安全技术体系、管理体系、组织体系、运维体系的规划,通过技术
手段实现安全工作职责分解、安全人员、安全技术、安全工作流程的紧密协同,实现安全运营工作
PDCA全过程的自动化、流程化支撑。
标准化安全运营管理体系支撑能力