文档介绍：IBM信息化安全解决方案
The Secured Enterprise
李凯
CISSP, CISA, CISM, BS7799LA
高级IT架构师
IBM全球技术服务,上海
互联网安全:“外忧内患”
IBM ISS从1997年开始对漏洞进行分析、研究、分类以来,已积累超过
33000个漏洞,是全球最大的漏洞库。2007年上半年发现3273个漏洞,是十
年来的首次下降
---- IBM 《2007年中期安全攻击分析报告》
互联网安全:“外忧内患”
其中有90%漏洞是可通过网络从远程利用的。%的漏洞在攻击成功后,
可获得系统权限
互联网安全:“外忧内患”
互联网安全:“外忧内患”
2007上半年,前20位被钓鱼网站攻击的公司(按字母顺序)。
• Bank of The West
• Bank of America
• Branch Banking & Trust
•Chase
• Citibank
• Deutsche Bank
• E*Trade Financial
•Ebay
• Fifth Third Bank
• National City
• North Fork Bank
•PNC Bank
•PayPal
• Postbank
• Regions Bank
• Sparkasse
• . Bank
• Volksbanken Raiffeisenbanken
• Washington Mutual
• Western Union
“紧箍咒”:国内外的安全法规越来越多,力度越来越大。
示例
¾ 美国公众上市公司需要遵循的萨班斯(Sarbanes Oxley)法案
–IT治理(IT Governance)和IT控制框架(IT Control Framework)
–用户帐号管理和权限管理、保护组织记录、信息系统的安全审计、文档、邮件的归档
¾ 针对服务组织的要求
–由美国注册公共会计师协会(AICPA)发起的评估服务组织内部控制和安全措施是否充分的SAS70标准
– BS7799/ISO27001标准,要求企业以安全风险管理为基础,建立信息系统安全管理系统ISMS
¾ 国信办的《关于开展信息安全风险评估工作的意见》2006年元月
–《信息安全风险评估指南》、《信息安全风险管理指南》, 2006年4月18日正式成为国标,由国家测评中心颁布
¾ 公安部2004年9月《关于信息安全等级保护工作的实施意见》 66号文,等级保护
–关于开展全国重要信息系统安全等级保护定级工作的通知(公信安[2007]861号)
–安全等级保护国家颁布的安全等级保护技术要求
¾ 公安部2005年12月颁布《互联网安全保护技术措施规定》82号令
¾ 行业
–中国电信2008年1月18日《CTG-MBOSS安全规范》、中国移动颁布多项安全规范
–人民银行:支付清算组织管理办法及实施细则
–银监会《电子银行安全评估指引》、《银行业金融机构信息系统风险管理指引》;银监会313号文件:全面开展信息科技
评价审计、[2007]监会关于印发《商业银行操作风险管理指引》的通知;[2007] 银监办发134号关于做好网上银行风险管
理和服务的通知
–巴塞尔新资本协议、PCI认证
–深交所信息安全评估准则
任何时间,任何地点,无缝的
的烦恼:企业内越来越多的围墙
合作伙伴和供应商之间的业务合作 CIO/CSO “”
IT基础服务
外部安全威胁
不断增长的数据
控制成本:提高运行效率
保护关键资产的安全
和个人隐私
新的安全标准和合规法规移动办公需求
CEO希望看到信息和应用
的全景视图
CIO/CSO的烦恼:IT风险管理和IT安全管理的“断层”
信息安全
¾ 你的安全策略是否完整?是否满足你的
战略层业务要求?
¾ 人员角色和责任是否合理?
人员层
¾ 安全流程是否合理并且有效?
流程层
¾ 敏感信息和关键信息是否受到必要的安
数据全保护?
应用层
¾ 如何保证IT基础架构安全性和系统可用
性?
技术层
¾ 是否也恰当的考虑了物理安全措施?
物理层
需要适当转换思路,以适应企业信息安全的新挑战
单一产品风险控制系统
安全功能需求安全运维需求
分散独立管理模式集成管理模式
技术创新业务创新
企业的信息安全管理过程是风险管理的过程,
选择正确方向和持续遵守是难点。
从业务出发
才能了解企业的风险
风险分析关注安全遵守
Risk 才能降低企业的风险