Scribd Logo
Upload

Welcome to Scribd!

  • 亚信在电信领域的信息安全标准应用实践

    Uploaded by

    刘沁
    5 views11 pages

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    5 views11 pages

    亚信在电信领域的信息安全标准应用实践

    Uploaded by

    刘沁

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 11

    亚信在电信领域的信息安全标准

    应用实践

    轩晓荷 13601001280
    网络安全事业部副总经理
    亚信安全公司简介

    云安全 运营商安全 中国500强 5亿 88款 2000人


    市场占有率第一 市场占有率第一 覆盖率高达77% 覆盖用户数 自主可控安全产品 专业安全团队

    2000年 2008年 2011年 2014年 2015年 2015年

    亚信开始
    建设4A统
    建设SMP
    建设BDS 形成全方位 收购趋势科技中国业
    一帐号认证、 大数据安 运营商网络
    发力安全
    授权与审计
    安全管理
    全管控系 安全解决方
    务,成立
    领域 平台
    安全平台 统 案能力 亚信安全

    云与大数据安全的领导者,护航产业互联网
    亚信安全的发展历程

     覆盖云安全、大数据安全、安全管控、安全智能、终端安全、APT治理的一体化安全能力。

     以交付整体安全运营能力为目标,协助构建覆盖云、管、端网络空间立体安全防御体系。

    产品+服务+运营的安全交付能力
    亚信安全产品战略
    覆盖企业信息化生命周期
    实施 运维
    大数据安全 云安全
    规划 运营
    安全管控 移动安全

    安全智能 APT安全

    整合产品服务 安全服务价值 大型系统运维 新技术研究


    国内电信运营商安全标准化挑战

    国内电信运营商信息安全工作的挑战

     涉及范围广: IT系统构成复杂,安全保障涉及网络、系统、数据、应用、用户身份安全、终端、互联接入安全等多个层面。
     防护难度高: 新型信息安全攻击手段层出不穷,云计算和互联网化对运营商IT系统基础架构的影响巨大。
     落地执行难: 涉及复杂的技术、管理、流程和人员职责因素,通过技术化手段推动安全要求落地的难度较高。

    标准化挑战

    技术复杂性 管理复杂性 组织复杂性


     网络结构复杂、IT设备种类众多  合规要求的多源性  安全组织的矩阵化发展
     业务演进速度快  “三同步”的落实  业务线条的快速变化
     云计算和移动互联技术挑战众多  安全工作职责的分解和落地  安全队伍的组织建设难题
     客户信息安全保护
    常态化安全运行 专业服务支持
    常态化服务支持

    安全子系统 安全事件分类 安全专项审计 安全通告


    安全事件处置决策
    常态化运行 定级、分析、上报 合规分析、上报

    安全专员 安全事件管理员 安全审计员 安全经理 权威机构

    安全评估
    安全应急响应

    评测机构
    安全事件分类
    应急事件上报 应急预案决策执行 故障分析和定责
    应急预案制订

    系统管理员 安全事件管理员 安全经理 安全审计员 应急支持

    安全厂家
    安全工作支撑基础设施

    安全咨询

    信息安全工作门户 安全服支持工作台 安全管控平台 安全知识库 安全专家库


    安全专项服务
    安全标准应用实践思路

     亚信安全将电信运营商整体安全运营体系交付划分为四个体系的建设过程:
    安全管理要求(策略)为核心的安全管理体系;安全技术防护为核心的安全技术体系;
    安全职责落地为核心的安全组织体系;安全建设、运维、评估检查为的安全运维体系。
     整体安全运营体系的实现目标:“集中管理、集中组织、集中支撑、集中保障”。
     有效联系安全运营相关的“管理”、“技术”、“人员”、“流程”。

     安全管理标准化:基于GB/T 22080、 GB/T 20269系列标准构建集中化、层级化的整体信息


    安全管理体系架构,规划制定统一的安全策略和管理制度标准。
    安全管理体系
     安全组织矩阵化:基于
    GB/T 22080系列、 GB/T
    安 安 20274.3、 GB/T 20269等
    全 全 标准制定安全组织架构,构
    技 组 建电信运营商覆盖集团、省、
    术 市三级安全管理组织架构。

     安全技术防护层级化:基于 体 体 安全运营决策
    GB 17859、GB/T 22239、 系 监
    GB/T 25070、GB/T

    督 安全管理
    20270系列标准构建层级化 检
    安全技术体系。实现三域安 查
    全防护技术机制整合。 安全维护
    安全运维体系
     安全运维流程化、合规化、显性化:基于GB/T 24405.1、GB/T 28453、GB/T 20984、
    GB/T 24363、GB/Z 24364、GB/T 28448等标准在安全运维管理、安全风险管理、安全
    评估、安全测评等方面构建可基于技术手段有效支撑的安全运维体系。
    安全运营管理标准化的举措

     制定面向全网的集中安全管理策略、形成全网统一的安全防护要求和执行标准。
     推进安全运营管理组织建设、人员能力培养,提升队伍能力建设。
     制定标准化安全运营流程,明确集团-各省公司的数据接口标准,形成统一建设规范。

    制定集中化的安全策略 完善安全组织建设,提升安全防护技术能力
     推动专职安全组织的建立
     形成全网统一的安全策略标准。
     统一规划运营商全网安全运营人员组织管理,积极推
     积极应用国家、工信部、企业安全标准组
    动集团、省级运营商完成专职安全管理组织的建立。
    织整体规划涉及满足全网安全运营的基础
     积极实施安全运维人员的资质认证和能力培训
    策略要求,形成统一的工作要求指引。
     在全网范围内筹建信息安全专家技术团队

    流程 组织 信息 工具 完善安全建设标准  标准化安全运维流程

    集团级 制定统一运维规范  制定全网统一的安全事件、策略、


    上 分 开 统
    下 工 放 一 作业和合规的管理运维流程
    贯 协 共 应  制定统一的平台建设规

    通 作 享 用 范和技术要求
    的 的 的 的  避免和减少运营商在建
    省级 流 组 信 服 设过程中的需求偏差, 标准
    程 织 息 务 制定明确统一的安全运
    支 体 交 工 营平台建设和实现要求。
    撑 系 互 具
     制定安全运营考核和检查标准
    地市级
     实现能力建设和检查的良性循环,
    督促运营商落实建设达标要求。
    安全标准的控制拆解和关系维护

     建立统一化的安全基础策略基框架,对各类管理、技术标准进行控制点拆解并与统一化的安
    全策略集进行映射,解决法规标准的多源性问题。

    IT安全规划 安全组织管理与责任矩阵
    安管
    全理
    运框
    安全风险管理 安全策略管理 安全符合性管理
    营架

    网络安全管理 内容安全管理
    系统安全管理 应用安全管理 数据安全管理
    (安全域) (防病毒)
    安服
    全务
    支体 用户安全管理
    撑系 终端安全管理 介质安全管理 物理安全管理 安全审计管理 合作伙伴管理
    (帐号口令)

    安全事件管理 安全作业管理 安全变更管理 安全配置管理


    安保
    全障
    运体 安全运作规范及综
    安全发布管理 安全问题管理 安全任务管理
    营系 合管理
    安全组织体系标准化实践
     基于GB/T 22080系列、 GB/T 20274.3、 GB/T 20269等标准制定安全组织架构,实现安全工作PDCA的
    周期化、常态化运营管理。

    安全策略发布、
    IT管理部门 组织实施、
    牵头组织、制定方针
    主管领导 过程监控、
    保障资源、评审改进
    落实流程、
    考核评价
    信息安全管理团队
    安全管理

    信 信 信 信
    息 息 息 息
    安全规划管理 安
    安 安 安
    全 全 全 全
    安全建设管理 终端安全管理
    规 建 运 审 风险评估
    划 设 维 应用安全管理 计
    安全规划 合规审计
    数据安全管理
    项目建设 操作审计
    安全审计
    安全需求 用户安全管理
    路线规划、
    系统安全管理
    需求管理
    质量控制
    定义需求、落实要求、 网络安全管理
    执行策略、部署实施、 安全风险评估
    有效测量、监控响应、 管理流程审计
    敏感操作审计
    安全运维体系标准化实践
     通过引入各项安全运维工作标准,安全运维管理流程、安全风险管理、安全评估、安全测
    评等方面构建可基于技术手段有效支撑的安全运维体系。
    安全支撑流程
    作业管理流程 事件管理流程 策略管理流程 合规管理流程 工作矩阵支撑流程

    安全作业计划 常规安全事件 安全策略制订 合规检查模板


    外部流程
    管理流程 处理流程 发布流程 管理流程

    安全作业计划 安全应急响应 安全策略改进 安全合规检查


    内部流程
    变更子流程 流程 流程 执行流程

    资产管理流程 量化管理流程

    安全运维流程 安全支持体系
    安全监控平台 常态化安全运行 专业服务支持
    常态化服务支持

    安全经理 安全子系统 安全事件分类 安全专项审计 安全通告


    安全事件处置决策
    安全事件上报 常态化运行 定级、分析、上报 合规分析、上报

    安全问题处置决策 安全事故问责和审查 工作考核 安全专员 安全事件管理员 安全审计员 安全经理 权威机构


    事件告警
    安全评估
    安全应急响应

    评测机构
    安全事件分类
    应急事件上报 应急预案决策执行 故障分析和定责
    应急预案制订

    系统管理员 安全事件管理员 安全经理 安全审计员 应急支持


    业务系统管理人员 安全管理员
    安全事件管理员
    问题来源
    安全厂家
    事件采集 安全工作支撑基础设施
    问题分配 知识积累 知识积累

    安全咨询
    初次处理 问题解决 问题解决
    业务系统管理人员
    事件记录 外部协作 信息安全工作门户 安全服支持工作台 安全管控平台 安全知识库 安全专家库
    安全专项服务
    事件处理 问题升级 事件处理
    问题产生
    信息安全标准应用实践总结

     以安全策略落地执行为出发点,同步安全技术体系、管理体系、组织体系、运维体系的规划,通过技术
    手段实现安全工作职责分解、安全人员、安全技术、安全工作流程的紧密协同,实现安全运营工作
    PDCA全过程的自动化、流程化支撑。

    标准化安全运营管理体系支撑能力

    制定集中统一的运营商 Plan Do 固化安全工作支撑流程,


    安全策略框架,建立各 安全策略统一化 安全工作流程化 按照安全工作角色进行工
    类标准和安全管理策略 作分解,通过技术手段实
    的有效关系映射。 用户安全管理 数据安全管理 现安全工作的流程化推送。

    网络安全管理 “安全策略” 内容安全管理


    为中心
    系统安全管理 事件安全管理
    通过对安全工作结果进行 通过技术机制,实现安全
    应用安全管理 安全审计管理
    量化分析评价,周期性评 检查、安全评估、测量的
    价改进安全策略。 Action Check 自动化作业执行。
    评价改进机制化 安全检查自动化

    安全策略管理 安全资产管理 安全事件管理 安全作业管理 安全合规管理

    You might also like