《中国移动业务系统安全运维自评估系统.ppt》由会员分享,可在线阅读,更多相关《中国移动业务系统安全运维自评估系统.ppt(24页珍藏版)》请在三一办公上搜索。
1、业务系统安全运维自评估系统研究项目汇报报告,一.开题计划完成情况,目 录,二、主要研究成果(整合后),1.1 研究背景及目标(开题报告),说明:研究目标需与该项目开题报告保持一致。,1.2 主要研究内容及分工(开题报告),说明:即开题评审后,确定的主要研究内容及各研究单位的分工。,1.3 开题计划完成情况总结,主要内容提示,仅供参考:一、开题计划执行情况:包括时间、人员分工、研究成果等是否达到了该联合项目“开题报告”中的具体要求和目标;二、研究中存在哪些不足?,一.开题计划完成情况,目 录,二、主要研究成果(整合后),2.1 背景,2008年,集团公司在中国移动2008年网络与信息安全工作指导
2、意见中提出“加强网络与信息安全人才队伍建设,重点选拔培养各省公司安全技术人才,逐步成立面向全网的安全规范编写、安全风险评估、安全应急处理专家队伍。”,2.1 问题和困惑,查什么?怎么查?,1、安全技术门槛的问题;2、标准化、流程化操作的问题;3、耗人耗时(工作量)的问题;4、报表无法统一呈现的问题。,无线音乐网站面对互联网用户提供无线音乐服务,其互联网接口必然就会受到来自于互联网中的各种攻击威胁,包括网页篡改、DDos攻击、蠕虫、敏感信息泄露、网站挂马等等。对于各种攻击的防护要求,操作系统、网络设备、网络架构、安全设备等都存在可能的影响,因此不同的系统和设备需要定义相对应的防范要求。,2.1
3、问题和困惑,呈现什么?如何呈现?,1、安全状态量化的问题;2、安全工作效果的检验问题;3、安全趋势的分析问题;,由于无线音乐业务的不断扩大,网络规模日趋复杂,而风险评估的工作量大,涉及范围宽,技术要求高,日常运维的作业已经无法完全通过人工来实现,只有借助于自动化的自评估工具,以安全基线作为基本标准,通过自动化实施自评估,提升评估的效率和效果,实现统一的风险管理和呈现,最终达到有效发现无线音乐运营系统的安全风险,从而预防和控制风险,提高系统的安全性的目的。,2.2 解决思路,将业务系统的多项安全检查结果,基于资产统一呈现。,面向业务系统的自动化安全检查。,满足日常维护中定期频繁检查的需求。,在安
4、全规范要求的基础上,对业务系统全面安全检查。,2.2 自评估定义,风险评估就是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,并为防范和化解信息安全风险,或者将风险控制在可接受的水平,从而最大限度地保障网络和信息安全提供科学依据。重要性风险评估是信息安全保障工作的重要方法,是信息风险管理理论和方法在信息化中的应用,是正确确定信息资产、合理分析信息安全风险、科学管理风险和控制风险的过程。方式根据风险评估发起者的不同,风险评估可分为自评估和、检查评估两种方式。,2.2 自评估工
5、具的必要性,网络结构复杂,耗人、耗时;缺乏基于业务系统的安全基线,存在技术门槛;安全评估效用无法令人满意,评估的效果不稳定;安全运维作业难度大、自动化程度低,无法实现风险的统一管理和呈现;工作岗位间配合效率有待提升。,2.2 安全基线的定义,安全基线是一个信息系统的最小安全保证,即该信息系统最基本需要满足的安全要求。,安全基线是什么?,安全基线定义了业务系统在系统脆弱性和运行状态上,必须达到的基本的安全运行要求。,安全基线不是什么?,安全基线不是配置核查,或者说不仅仅是配置核查;,安全基线不是安全建议;,安全基线不是对系统安全运行的最高要求;,2.2 自评估工具的价值,安全基线工具的价值,2.3 自评估工具设计思路,自评估通过工具来自动实现,自动评估,自动分析,自动生成报表。,2.3 自评估工具框架,2.3 安全基线模型,2.3 安全基线的内容,2.3 安全基线的建立,三位一体 缺一不可,2.4 自评估流程,2.5 应用场景,场景1-入网/工程验收环节的安全检查,2.5 应用场景,场景2-日常安全维护检查,2.5 应用场景,场景3上级部门检查下级部门,24,结束,谢谢大家!,
