文档介绍:如何建立安全运维体系
张照龙
上海柏安信息安全公司首席安全顾问
英国标准协会主任审计员
复旦大学研究生讲师
联合国训练署亚太信息安全课程构架师
大纲
背景
电子商务信息安全现状与需求
电子商务信息安全保障体系建设
电子商务信息安全运维体系建设
XX电子商务官方网被黑客攻陷
2006年11月17日,XX网站上被植入的程序名叫“黑洞2005“,如果中毒电脑安装了摄像头,黑客可以通过此程序对用户进行偷窥。
XX电子商务网站屡遭黑客修改
中国XX电子商务官方网站元旦前夕遭遇恶搞,当用户登录该行网站时,首页上跳出一个链接页面,上面写着“对不起,本行即将破产,请转移存款!”
在XX网站遭不明链接“骚扰”后,一些用户对网络电子商务的安全性表示担心。 XX相关人士昨天表态称,这是有人在搞恶作剧,并非XX系统出问题。这种在客户端的页面修改并没有对XX网站进行页面修改, XX网站安全至今未受到任何影响。不过,许多网银用户仍十分担心,有的甚至怀疑恶搞者可能进入网上电子商务的私人账户将其钱财划走。
国外电子商务机构信息安全事件
俄罗斯的网上黑客利用病毒软件袭击瑞典的斯堪的纳维亚Nordea电子商务集团网上电子商务客户的个人账户信息,并从这些私人账户中肆意掠走超过100万美元的存款。
美国万事达国际公司于近日宣布,由于该公司的安全疏漏,全美4000多万名用户的电子商务资料面临泄密风险,可能导致客户的直接利益受损。
2005年2月,美洲电子商务120万联邦政府雇员的社会保险号码和其他信用卡资料的电脑磁盘丢失。其中包括美国国会参议员的数据资料。
同年5月,美录被不法分子窃取,并被转手卖给了债务公司。这4家大电子商务分别是总部设在北卡罗莱纳州的美国电子商务公司和瓦霍维亚电子商务公司,新泽西州的切尔希里商业电子商务和匹兹堡国民商业电子商务公司。
随后6月,世界最大电子商务美录着390万客户账户及个人信息的电脑记录数据带,而直接导致这一丢失事件发生的竟然是美国快递业三大巨头之一的联合包裹运送服务公司(UPS)。
电子商务信息安全现状
网上电子商务面临大量黑客攻击,一旦被入侵,损失不可估量;
无法完全保证IT投资与业务战略相一致,推动业务发展,促使收益最大化,合理利用IT资源,IT相关风险的适当管理;
经过网上电子商务、OA、ERP等一系列行业、企业信息化平台的实施和运行,电子商务的运营对信息化平台的依赖程度越来越明显;
单纯IT安全产品技术实施和IT安全管理制度已无法满足业务的运行对信息化平台的业务连续性要求;
安全管理工作分散,缺乏统一管理;
内部的安全审计机制不健全,缺乏内部有效及时发现安全隐患的技术与管理手段;
人员安全意识和技能不足。
9
信息安全保障体系建设思路
Authorization
Integrity
Confidentiality
VPNs
Security Management System
Hardened OS
Authentication
Firewalls
NW Authentication
集成Integration
work Connectivity
架构
Resilience
支持
类型Type
拥有者Owner
保护Protection
流程Process
保持力Retention
起源Origin
策略
标准
规定Regulatory
风险
策略
人力资源HR
法律
市场
销售
产品设计
信息资产
保护信息资产
以信息为中心的安全模式 Information-Centric Security Model
10
信息安全保障体系建设原则
最少访问授权(Least Privilege)
深入防御策略(Defense in Depth)
最窄网络通道(Choke Point)
最弱点控制(Weakest Link)
防御手段多样化(Diversity of Defense)
防御机制简单化(Simplicity)
安全机制区域划分(Compartmentalization)
内外安全防御能力(Protect against insider as well as outsider threats)