如何建立电力信息安全保障体系.pdf
45页
如何建立电力信息如何建立电力信息如何建立电力信息如何建立电力信息 安全保障体系安全保障体系安全保障体系安全保障体系张照龙张照龙BSI主任审计员主任审计员Confidential | ISCA China Limited复旦大学研究生讲师复旦大学研究生讲师大纲大纲大纲大纲? 电力信息安全现状与需求? 电力信息安全现状与需求? 电力信息安全保障体系建设? 电力信息安全运维体系建设? 电力信息安全运维体系建设Security & Privacy Services© Copyright ISCA Corporation 2007电力信息安全现状电力信息安全现状电力信息安全现状电力信息安全现状1.无法完全保证IT投资与业务战略相一致,推动业务发展,促使收益最1.无法完全保证IT投资与业务战略相致,推动业务发展,促使收益最 大化,合理利用IT资源,IT相关风险的适当管理;2.经过业务系统一系列行业、企业信息化平台的实施和运行,的运营对 信息化平台的依赖程度越来越明显信息化平台的依赖程度越来越明显;3.单纯IT安全产品技术实施和IT安全管理制度已无法满足业务的运行对 信息化平台的业务连续性要求;信息化平台的业务连续性要求;4.安全管理工作分散,缺乏统一管理;5内部的安全审计机制不健全缺乏内部有效及时发现安全隐患的技术5.内部的安全审计机制不健全,缺乏内部有效及时发现安全隐患的技术 与管理手段;6.人员安全意识和技能不足 。
Security & Privacy Services© Copyright ISCA Corporation 2007电力合规安全需求电力合规安全需求电力合规安全需求电力合规安全需求?关于开展全国重要信息系统安全等级保护定级工作的通知(公信安 [2007]861号)?国电二次系统保护要求Security & Privacy Services© Copyright ISCA Corporation 2007大纲大纲大纲大纲? 电力信息安全现状与需求? 电力信息安全现状与需求? 电力信息安全保障体系建设? 电力信息安全运维体系建设? 电力信息安全运维体系建设Security & Privacy Services© Copyright ISCA Corporation 2007信息安全保障体系建设思路信息安全保障体系建设思路信息安全保障体系建设思路信息安全保障体系建设思路保护信息资产保护信息资产信息资产人力资源HR 法律市场销售产品设计信息资产类型策略 标准规定Regulatory 风险策略律市销售集成架构类型Type 拥有者Owner保护Protection 流程Process保持力Retention 起源OriginAuthorizationIntegrityConfidentiality VPNsSecurity Management SystemHardened OSAuthenticationFirewallsNW Authentication集成Integration网络连接Network Connectivity架构Resilience支持Security & Privacy Services© Copyright ISCA Corporation 20076以信息为中心的安全模式以信息为中心的安全模式Information-Centric Security Model信息安全保障体系建设实施框架信息安全保障体系建设实施框架信息安全保障体系建设实施框架信息安全保障体系建设实施框架保保深度防护目标区域深度防护目标区域深度防护目标区域深度防护目标区域支持性支持性 基础设施基础设施网络网络维网络网络维护护维维护护保保 护 区 域护 区 域集中监控平台集中监控平台基础设施基础设施基础构架基础构架设设基础构架基础构架设设护护服务器服务器安护安护服务器服务器安安检测&响应检测&响应边 界边 界设设计和建计和建设设设设计和建计和建设设安安全基线全基线安安全基线全基线策略体系策略体系设设设设组织体系组织体系技术体系技术体系运作体系运作体系Security & Privacy Services© Copyright ISCA Corporation 20077深度安全防护战略深度安全防护战略组织组织在信息安全在信息安全策略策略的指导下,利用的指导下,利用技术技术来来运作运作信息系统信息系统信息安全保障体系建设目标信息安全保障体系建设目标安全战略安全战略安全管理安全技术安全管理安全技术安全体系全面整合和控管国际或国内安全认证 ISO27991安全运维安全运维运维外包安全战略安全战略安全体系全面整合和控管国际或国内安全认证-ISO27991主机入侵 检测体系数据存储 安全体系运维外包安全优化安全优化其它安全安全策略和 标准修订时间步集中安全安全事件企业身份 认证平台其它内容 安全机制其它数据传 输加密安全信息 上报、接收其它安全 标准/流程安全培训 与教育第三方安全 控制要求系统安全 强化网络入侵检 测体系高危数据 传输加密时间同步 机制集中安全 审计体系安全事件 管理平台定期策略和 标准修订安全功能安全功能安全变更 管理安全补丁 管理安全备份 管理强化测体系传输加密关键系统 日志记录病毒防范 机制身份认证 体系定期 日志审计安全风险安全基础安全基础防火墙和安全区域定安全组织和企业安全策信息资产分紧急响应 机制业务持续 计划核心安全 标准/流程访问控制 体系可用性与 冗余性远程访问 安全机制定期定期 渗透测试Security & Privacy Services© Copyright ISCA Corporation 20078安全风险 评估安全基础安全基础防火墙和 边界隔离安全区域定 义和划分安全组织和 责任划分企业安全策 略定义信息资产分 类和分级定期 安全评估信息安全策略体系建设信息安全策略体系建设信息安全策略体系建设信息安全策略体系建设业业务安务安全全全全技术技术Security & Privacy Services© Copyright ISCA Corporation 2007信息安全组织体系建设信息安全组织体系建设信息安全组织体系建设信息安全组织体系建设Security & Privacy Services© Copyright ISCA Corporation 200710信息安全运维体系建设信息安全运维体系建设信息安全运维体系建设信息安全运维体系建设Security & Privacy Services© Copyright ISCA Corporation 2007信息安全运维中心信息安全运维中心终端终端务务安全事件管安全事件管终端终端 安全符合性检查 目标系统安全符合性检查 目标系统服服务务器 安全符合性检查 目标系统器 安全符合性检查 目标系统安全事件管安全事件管理 目标系统理 目标系统流程管理系统流程管理系统网络事件 管理系统网络事件 管理系统安全事件 处理流程事件日志SSL事件日志服务器 符合性数据终端 符合性数据安全事件网页防篡改 事件日志电子商务系统电子商务系统篡改事件网页恢复普通用户安全事件 管理系统PKI安全符合性 检测系统同步系统访问系统访问事件日志事件日志帐号/口令分配Email (内部)(内部)安全管理员CRL同步邮件通知事件日志 帐户/口令分配帐户/口令 策略检查帐户/口令 策略检查集中访问 认证系统集中用户 管理系统安全稽查员 HR员工身份信息系统访问 / 帐号/口令 策略检查帐号/口令分配帐号/口令访问控制访问控制 目标系统目标系统用户管理用户管理 目标系统目标系统系统管理员帐号/口令分配策略检查系统访问帐号/口令 策略检查Security & Privacy Services© Copyright ISCA Corporation 2007目标系统目标系统目标系统目标系统用户管理员信息安全政策符合性管理中心信息安全政策符合性管理中心信息安全政策符合性管理中心信息安全政策符合性管理中心Security & Privacy Services© Copyright ISCA Corporation 2007大纲大纲大纲大纲? 电力信息安全现状与需求? 电力信息安全现状与需求? 电力信息安全保障体系建设? 电力信息安全运维体系建设? 电力信息安全运维体系建设Security & Privacy Services© Copyright ISCA Corporation 2007丰富的数据呈现视图丰富的数据呈现视图丰富的数据呈现视图丰富的数据呈现视图ArcSight ManagerInternet SecurityInsider ThreatFirewallsFirewallsFirewallsFirewallsFirewallsFirewallsIntrusion Detection SystemsIntrusion Detection SystemsIntrusion Detection SystemsIntrusion Detection SystemsHostsAsset VulnerabilitySign-OnSign-OnSign-OnApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsAnti VirusAnti VirusAnti VirusIntrusion Detection SystemsIntrusion Detection SystemsIntrusion Detection SystemsIntrusion Detection SystemsIntrusion Detection Systemsy Intrusion Detection SystemsIntrusion Detection SystemsIntrusion Detection SystemsIntrusion Detection SystemsNetwork EquipmentAsset CriticalityyDirectory ServicesApplicationsApplicationsSecurity & Privacy Services© Copyright ISCA Corporation 2007丰富的报表系统丰富的报表系统Security Intelligence Status Report For Last 24 HoursB iAW tR i8PSTFidMh8 2002Business Area: W estern Region8am PST Friday March 8, 2002E –Unknown Severity 4m m3m mEvent CountSecurity Event Activity Sum m aryA -Critical –Business Im pairm entB -Threatening –Potential HarmC -Suspicious –Alarm But No Dam ageD -Norm al –Audit Trail 1m m2m m3m m11am 1pm 3pm 5pm 7pm 9pm 11pm 1am 3am 5am 7am9amA -Critical -Business Im pairm ent443 B -Threatening -Potential Harm235 C -Suspicious -Alarm But No Dam age1553 D -Norm al or Harm less52352 E –Unknown1424A -Critical -Business Im pairm ent234 B -Threatening -Potential Harm167 C -Suspicious –Alarm。
