信息安全审计监控平台介绍

国都兴业信息审计系统技术（北京）有限公司,云计算环境下的 信息安全审计监管平台项目汇报,报告主要内容,国都兴业信息审计系统技术 (北京)有限公司,项目基本信息,项目名称：云计算环境下的信息安全审计监管平台 项目所属领域：新一代信息技术 云计算 项目建设周期：2011年6月2013年6月 项目承担单位： 牵头单位：国都兴业信息审计系统技术（北京）有限公司 合作单位：国家信息安全技术研究中心、中国电子技术标准化研究所等,国都兴业信息审计系统技术 (北京)有限公司,报告主要内容,国都兴业信息审计系统技术 (北京)有限公司,项目单位简介,国都兴业信息审计系统技术 (北京)有限公司,报告主要内容,国都兴业信息审计系统技术 (北京)有限公司,云计算前与后,国都兴业信息审计系统技术 (北京)有限公司,企业运营成本下降 企业运营效率提升 企业服务、数据从内部转为外部,变迁,云计算前,云计算后,云应用,国都兴业信息审计系统技术 (北京)有限公司,服务器在哪里？ 业务流程可靠吗？ 防火墙架设了吗？ 还有谁在和我们在用同一台机器？ 会不会让竞争对手看到我们的资料？ ？,云中,国都兴业信息审计系统技术 (北京)有限公司,数据在哪里？ 文档在哪里？ 日本有地震吗？ ？,云计算服务的安全风险,国都兴业信息审计系统技术 (北京)有限公司,云计算服务存在着七大潜在风险： 风险一：数据被未知的超级用户访问风险：无法通过本地部署访问控制，及时发现或阻断超级用户对数据发起的访问 风险二：合规性建设能力未知的风险：云计算环境下数据被存放在企业外部，难以提供合规性建设报告对数据安全保护能力提供证明 风险三：数据存储位置未知的风险：大量的基础设施和分布式技术的部署，导致用户对数据的真实存储位置不可知,云计算服务的安全风险,国都兴业信息审计系统技术 (北京)有限公司,云计算服务存在着七大潜在风险： 风险四：数据隔离保护未知的风险：虚拟化技术的运用，使用户难以获知正与哪个或者哪些其他用户共享相同的存储或处理设备，对于提供商在解决数据隔离保护问题方面部署措施的有效性更是难以获得充分、可信的信息。 风险五：数据恢复能力不可知风险：尽管云提供者承诺用户数据是安全的、可靠的、不会丢失，但是由提供商给出的这个承诺的客观性和公信力受到质疑，其真实性只能在灾难发生的时刻得到验证,云计算服务的安全风险,国都兴业信息审计系统技术 (北京)有限公司,云计算服务存在着七大潜在风险： 风险六：增大司法取证困难的风险：多个企业用户共享相同的云服务，为支持针对某一个特定用户开展的司法取证活动，从大量的、来自不同用户的云访问日志中筛选信息，工作难度之高，操作风险之大可以想象。 风险七：长期可用性保证的风险：企业用户保存在云中的数据是否长期可用，难以得到一个公正、可靠的风险评价。,云计算风险挑战,云计算服务特色,云计算服务风险,信息安全的传统三大件防火墙、IDS、防病毒面对这些挑战力不从心。 审计监管将成为云应用安全的重点,云安全审计相关研究现状,安全、可信、合规是推进云计算研究和应用的三大关键问题 形成产业联盟，合作解决云安全、可信、合规等问题 CSA(云安全联盟)，CCA（中国云计算联盟）,ZCA（中关村云安全产业联盟） 向审计监管领域寻求云安全保护最佳实践 云审计理念开始起步，并逐渐被更多的云用户和提供商认可 通过自动化手段持续监控云服务平台建设和运营风险 向用户提供监管审计服务，降低云数据安全风险 为提供商提供监管记录，证明安全、合规建设云平台以及提供可信、持续云服务的能力,云安全审计相关研究现状,标准是保障云安全建设的必要前提 NIST SP 800-144云计算安全和隐私管理指南 SP 800-145 NIST云计算定义 CSA 云计算首要安全威胁 云计算关键领域安全指南v2.1 ISACA 与CSA合作开发云计算审计程序，建设云安全控制矩阵,云计算与安全并行,2010年7月北京市启动实施“祥云工程行动计划”。祥云工程旨在促进北京市战略性新兴产业在新一轮国际竞争中形成新的优势。据了解，祥云工程已列入“十二五”软件信息服务业和电子信息发展规划。北京市希望经过3-5年的发展，使北京中关村成为我国云计算研究中心和产业基地，力求云应用的水平居于世界前列，使北京成为世界级云计算产业基地。 国家发改委办公厅颁布的关于组织实施2009年信息安全专项有关事项的通知中明确的将“为基础信息网络和重要信息系统安全运行提供技术支持的信息安全专业化服务”做为支持的重点之一。,云安全审计监管需要统一的标准,云计算服务特色,云计算服务风险,云计算服务保障,云服务保障基础,云风险控制的杀手锏,报告主要内容,国都兴业信息审计系统技术 (北京)有限公司,信息安全审计监管平台,项目建设思路,开发云审计标准 研究并云审计与云安全监管标准 建立云审计监管平台的标准体系 设计并实现云计算审计监管数据采集接口标准 搭建云信息安全审计监管平台 实施云监管审计,项目建设思路（续）,开发云审计标准 搭建云信息安全审计监管平台 从基础设施、系统平台、应用软件三个层面纵深建设安全审计监管平台 部署两种引擎、两个中心 云计算审计监管数据采集引擎 云计算风险分析引擎 云计算审计监管数据存储中心 云计算审计监管的策略管理中心 实施云监管审计,项目建设思路（续2）,开发云审计标准 搭建云信息安全审计监管平台 实施云监管审计 云审计用户服务平台 建立定期自动发送审计报告机制 提供用户自助查询审计服务机制 提供特色化审计要求订制服务 云审计企业服务平台 根据企业需求定期发送审计记录证明 根据审计监管数据分析云平台建设中存在的风险，为企业用户提供云平台改进建议 云安全监管服务平台 为监管机构提供自动化的、客观的审计监管记录，为监管部门调整云平台建设监管要求、做出监管决策提供数据支持,项目技术特色,建设理念创新 国都兴业是云安全审计理念的引领者，是国内外首批提出从监管审计角度解决云计算服务安全、可信、合规等问题的探路者 应用风险的理念管理云计算服务建设和运营中存在或者可能存在的各类问题，为提供商、用户以及监管机构提供客观、公正的评估参考 实现技术创新 在六大关键技术上进行研究、探索和突破 云采集分析归并技术、构建全云审计接口平台、云审计策略服务、海量存储快速检索、云数据访问动态基线自动建立、云风险识别决策算法 体系化地规划平台建设 探索全面、协调的平台体系架构 建设三大平台、两个中心、两个引擎 形成一系列标准为平台建设提供理论指导和规范 规范接口结构、统一审计监管要求，建设云风险评估模型和实施指南 坚持技术自主 综合运用具有自主知识产权的技术和产品搭建平台 提升相关领域的技术自主研发能力 增强平台建设和运营的可控性,项目研发优势,技术产品相对成熟 多年致力于解决信息系统安全审计问题，在技术研发和产品建设方面形成经验积累 慧眼网络审计 慧眼数据库审计 慧眼主机审计 慧眼业务审计 慧眼运维审计 慧眼日志审计 慧眼恶意代码审计 慧眼综合审计,项目研发优势,用户网络相对完善 项目牵头单位以及合作单位的业务用户广泛覆盖政府、军队、金融、通信等多个机构及重点行业 多年来优良的产品及服务质量赢得用户群对本项目建设单位技术水平和安全理念的认可和支持 开展一定程度的部署实践 目前本项目已经在部分用户企业中开展小型私有云安全审计监管平台建设实践，为本项目的顺利开展奠定了技术基础,项目研发优势,平台优势 国都兴业信息审计系统（北京）有限公司：专业信息审计系统研发公司，掌握信息审计核心技术 国家信息技术安全研究中心：安全专家云集，提供云监管平台支持 中国电子技术标准化研究所：促进云审计相关标准的开发与制定 云基地：云计算技术合作、云审计监管示范,项目研发优势,领衔专家 徐亚非：项目总负责人，高级工程师。国务院特殊津贴奖励的信息安全专家、国家“863” 网络安全防护技术攻关课题组带头人、国务院信息化工作办公室网络安全专家组成员、中国国防信息化咨询专家委员会委员 李京春：高级工程师。曾任解放军信息安全测评认证中心总工程师，现任国家信息技术安全研究中心总工程师，解放军总后勤部信息化专家咨询委员会信息安全专业委员会委员，国家信息安全风险评估推进工作专家组成员。 吴源俊：研究员。曾任中国电子信息标准化所所长和顾问，现任全国信息安全标准化技术委员会 WG7组长，是中国电子信息标准化所第一代指导企业标准化工作的开创者、实践者。,项目已取得进展,信息审计监管技术“云”化 企业私有云审计监管平台建设,项目周期2011年6月2013年6月,云审计与云安全监管标准编制,报告主要内容,国都兴业信息审计系统技术 (北京)有限公司,平台预期市场分析,用户群分析 三类使用对象 云计算平台使用用户 云计算服务提供商 云安全监管机构 用户数量庞大 安全、可信、合规和持续性是用户对云计算服务的普遍担忧 云监管审计报告适合云服务提供商和使用用户的共同需求,平台预期市场分析,服务应用特征 分领域提供服务 适应安全性、合规性、持续性等不同风险领域的审计监管需求 适应三类用户各自对于云计算服务平台建设的审计需求 适应用户个性化审计监管需求 持续提供服务 持续监控审计云服务平台建设运营状态，完整捕获云环境中的数据交互异常，识别潜在风险信息 定期向用户提供审计报告和风险预警 提供定制化服务 依据要用户需求调整监控重点和审计策略 有选择地提供智能化风险应对建议,项目社会效益分析,带动国内信息安全市场新领域产业的发展 在未来10年里，云必将成为影响整个IT行业的关键性技术，也会对现有的信息技术体系架构带来了深远的影响，信息安全需要适应新领域的发展。通过云信息安全审计监管平台的建设可以更好的促进信息安全在云计算领域的发展。,项目社会效益分析,实现与云计算服务、云审计的国际标准化研究顺利接轨 云审计标准体系旨在通过建立一组相关标准，构建完整的控制与审计管理体系，为国内组织的云计算的管理、风险控制、审计程序提供参照标准、实施指南和最佳实践；完善我国信息安全保障体系建设；同时，促进实现国内信息安全标准建设与国际及国外（领先的国家）的标准研究工作统一。,项目社会效益分析,解决就业问题，培养人才 云计算是信息产业最热门的技术，云安全是近期信息安全领域关注的最热点话题，拥有广泛的市场前景。各国都投入巨大人力、物力、财力资源，抓紧时间研发技术，完善产品，编写标准规范。国都兴业利用自有技术建设信息安全审计监管平台项目，识别云风险，有利于我国自主创新能力的提升，为我国的知识产权建设和技术发展做出重要贡献。本项目将创造众多就业机会，培养安全审计领域和云安全领域的专业人员。,报告主要内容,国都兴业信息审计系统技术 (北京)有限公司,项目投资建设现状,本项目计划建设期为2年，2011年6月至2013年6月 2011年6月之前公司已投入1000万，用于信息审计监管技术“云”化和企业私有云审计监管平台建设,投资预算与资金筹措,本项目建设期内预计投资总额为5000万元，其来源主要为：企业自筹3000万元，申请中央和地方政府资金资助2000万元。主要用于固定资产投资、研发投入、基础设施建设和市场推广等,项目经济效益预估,本项目在项目建设期两年内累计实现销售收入1.6亿元，利润3013万元，上缴税金3336万元。 2014年2015年为本项目的达产年，预计累计实现销售收入2.5亿元，利润1.13亿元，上缴税金6681万元，产业化前景良好。 预计从本项目执行期到达产年（2011年6月-2013年6月）的成本费用率45%，内部收益率为37.72%，投资利润率为29.36%，投资回收期为2.44年。,谢谢！,国都兴业信息审计系统技术 (北京)有限公司,