集团信息安全运行中心解决方案.pdf-道客多多

资源描述

1、*集团安全运行中心解决方案汇报集团信息部目录解决方案和实施计划目标、策略和主题集团信息安全的现状和挑战集团信息安全现状和挑战管理责任现状挑战技术集团信息安全技术体系经过多年建设，在物理、网络、边界、设备、应用、数据等安全方面部署了相应的技术手段，对保护集团信息安全发挥了重要作用安全技术体系布局的同时，建设了相应的安全管理体系，覆盖了集团信息安全管理的各领域很多集团业务人员和管理者不了解与其相关的信息安全行为规范和权责各安全技术体系根据集团安全需求分批、分期建设，形成“孤岛式”技术防护现状各安全技术体系之间缺乏系统性、协同性，对安全风险及事件反应不

2、及时，为应对当前内外部安全威胁多样化、复杂化趋势，需要建立系统性的动态可控能力集团信息安全建设需要统一规划、统筹建设、集中运营，需要集团层面的信息安全管理和决策机制由于各类安全管理体系存在各自不同的局限性，且相互之间标准不统一，缺乏协同机制，难以满足集团信息安全管理模式转变的需要，需分析、整合、完善现有的安全管理体系，实现体系有效性集团安全技术体系和安全管理体系的有效性依赖于员工承担保护其管理的信息和信息资产的责任，遵从安全措施的要求并相应地施行，需要建立有效的责任体系，明确业务人员和领导者权责目录解决方案和实施计划目标、策略和主题集团信息安全的现状和挑战集团信息

3、安全目标安全建设（已基本完成）安全管理（正在进行中）风险管控（下一步规划）阶段描述：建设集团信息安全技术体系建立集团信息安全管理体系框架阶段成果：形成对常见的信息安全风险的有效控制能力阶段目标：集团信息安全管理形成以下能力：动态可控行为合规体系有效阶段描述：将安全体系分解为可度量的行为控制点让安全体系成为行为的指引和约束将信息安全管理与内部控制体系、以及日常运营管理相结合阶段目标：建立完善的风险控制组织机构建立相应的风险控制指标体系建立健全的风险控制规则制度结合绩效建立风险控制奖惩制度形成集团的风险控制文化对集团经营过程中面临的信息安全风险进行有效

4、管控，保障集团经营业务的持续、可靠、正常运行，是集团信息安全建设的驱动因素。国际信息安全管理最佳实践将企业信息安全建设划分为三个阶段，分别为：技术阶段、管理阶段、风控阶段。结合中集根据经营业务的信息安全需求，集团的信息安全建设三个阶段的目标及特点如下：信息安全建设的主要驱动因素是什么？1、保护客户信息2、保护业务持续运行3、法律和规则遵从4、保护组织声誉5、避免业务数据被意外或恶意修改6、灾难中业务持续运行7、保护知识产权8、促进业务机会9、提高效率 /减少成本10、保护其他资产不被偷窃数据保护业务连续性保护组织声誉保护客户信息避免业务数据被意外或恶意修改保护知识产权保护其他资产不被偷

5、窃保护业务持续运行灾难中业务持续运行法律和规则遵从保护组织声誉促进业务机会提高效率 /减少成本集团信息安全建设的经营风险管控驱动因素（摘自 2011年 *集团总体 &能源化工产业信息化战略规划项目汇报材料）覆盖关键风控点的安全管理体系符合安全管理体系行为准则的合规行为信息安全与集团经营风险管控体系有效行为合规动态可控经营风险管控目标业务系统管理和使用电子文档管理和使用存储介质管理和使用防病毒软件管理和使用设备管理、维护和操作规范业务系统应急响应流程桌面电脑管理和使用集团内部信息对外发布管理系统化违规行为安全隐患安全事件实时监控动态预警快速响应集团信息安全目标管理配置行为操作行为业务系

6、统管理业务系统授权电子文档管理重要文档定义解密文档审批病毒防护管理防病毒软件配置上网行为管理上网策略配置桌面系统管理桌面基础安全策略配置桌面安全系统策略下发业务系统操作业务系统账号保护业务系统业务操作业务系统数据保护电子文档操作电子文档加密电子文档解密电子文档外发病毒防护操作防病毒软件使用（安装、更新、启用）防病毒软件实时防护上网行为网络下载浏览网站法规遵循桌面电脑操作电脑文件安全操作电脑软件应用事件应急行为保护组织声誉1.集团战略信息2.集团内部敏感信息外泄对集团声誉造成影响，甚至会影响集团股价数据保护保护客户信息避免业务数据被意外或恶意修改1.业务系统2.电子文档3.存储介

7、质 (U盘、移动硬盘等）等使用不当导致客户信息泄露，将对集团造成下述影响：1.客户流失2.经济纠纷3.法律问题4.声誉受损保护知识产权保护其他资产不被偷窃业务连续性保护业务持续运行灾难中业务持续运行业务系统已成为集团业务的关键支撑，一旦因：1.病毒攻击2.计算机软硬件设备故障3.人为操作失误4.天灾人祸等原因使业务系统中断，会导致：1.集团业务无法正常运行2.造成巨大经济损失实现策略管理责任技术体系有效：对相互独立的安全管理体系进行梳理、融合、完善，让安全管理体系成为员工的行为准则和约束动态可控：建设系统性的信息安全平台，将相互独立的安全技术体系和安

8、全管理体系协同起来，从侧重 IT设备本身安全管控转变为对信息和人员行为的安全管控行为合规：以集团信息安全现状为基础，充分考虑集团所存在的业务信息安全风险，将信息安全管理与日常运营相结合，清晰化集团各业务部门人员和领导者的责任主题选择根据集团经营风险管控目标，结合集团安全技术体系与安全管理体系建设现状，充分考虑“ 从侧重 IT设备本身安全管控转变为对信息和人员行为的安全管控 ” 的策略，先行建设五个安全主题，并在后续进行有序推进。桌面安全授权安全防病毒安全上网安全文档安全主题目标桌面安全授权安全防病毒安全上网安全文档安全关键能力建设管理体系框架合理、易扩展，可适应集团未来发展的

9、安全管理需要整合各管理体系，加强协同能力，减少各管理体系间的冲突各管理体系的行为准则可度量管理体系成员员工的行为准则和约束责任主体和内容设计合理，能结合集团的日常运行管理相关业务人员和领导者权责清晰相关业务人员和领导者对其权责应知应会对各管理体系落实的技术支撑能力对原有的分散技术体系形成统一整合、系统化协同能力管理体系、责任体系、技术体系的协同能力对违规行为、安全隐患、安全事件的动态管控能力管理责任技术安全主题根据集团信息安全建设面临的挑战，结合阶段建设的目标、策略，几个安全主题应着重建设管理、责任、技术三方面的关键能力。未来规划目录解决方案和实施计划目标、策略和主题集团信息安全的现状和挑战

10、解决思路责任管理技术管理体系对相互独立的安全管理体系进行梳理、整合、完善；分析典型的安全风险场景，明确安全管理目标和管理规范；梳理员工安全行为准则和动态管控点。责任体系明确责任主体和责任内容；将制度要求与各级组织及人员挂钩，建立责任体系。技术实现建立安全运行中心，为管理体系和责任体系提供平台支撑；形成各类管理体系、技术体系的协同工作机制；提供实时监控、动态预警、快速响应、调查追责的动态管控能力。管理体系的梳理、整合及完善梳理整合完善安全管理制度安全事件处理 *集团信息安全事故处理制度桌面安全 *集团桌面安全管理规范桌面终端使用管理规范 *桌面系统管理规定授权

11、安全 *账号、密码管理制度上网安全 *互联网访问管理制度 *桌面系统管理规定互联网上网服务营业场所管理条例第十四条有关上网行为管理规定全国人大常委会关于维护互联网安全的决定相关访问互联网行为规定防病毒安全 *集团防病毒管理规范 1.1文档安全 *集团电子文档安全管理规范其他 *集团信息系统安全保密和泄密责任追究制度（ CCHQ-NM-001）安全管理体系管理配置业务系统管理规范电子文档管理规范存储介质管理规范防病毒软件管理规范桌面终端管理规范设备管理规范集团内部信息对外发布管理规定使用操作业务系统操作规范电子文档操作规范存储介质操作规范防病毒软件操作规

12、范桌面终端操作规范设备操作和维护规范集团内部信息对外发布操作规范应急响应业务系统应急响应制度信息安全事故处理制度 *集团信息系统安全保密和泄密责任追究制度（ CCHQ-NM-001）依据管理要求形成员工行为准则桌面安全防病毒安全上网安全文档安全授权安全对关键行为准则进行动态控制行为分类分解的行为准则动态控制点举例：桌面安全关键行为准则及动态控制点分解桌面安全授权安全上网安全防病毒安全文档安全动态控制点账号授权账号设置电脑基本安全配置账号注销1.操作系统版本2.电脑统一安全策略3.电脑主机名账号设置不规范1.应用系统账号授权违规2.应用系统功能模块授权违规1.离职用

13、户账号未注销使用操作管理配置电脑软件应用管理1.统一软件应用策略配置2.软件应用管理电脑网络接入管理1.电脑网络接入认证电脑操作安全1.电脑文件安全操作2.电脑远程访问3.电脑屏保设置电脑个人安全配置1.操作系统配置2.电脑开机密码配置电脑软件使用1.违规安装软件2.违规卸载软件密码设置账号使用1.密码设置强度2.密码更新超时1.账号盗用2.账号恶意尝试病毒查杀防病毒软件使用病毒防护网络下载文档外发文档解密1.电脑感染病毒2.染毒电脑正在攻击网络3.区域性病毒爆发1.病毒查杀2.感染病毒终端接入网络1.防病毒软件安装2.防病毒软件品牌3.防病毒软件实时防护开启4.防病毒软件更新 1.频繁

14、申请解密工作文档2.员工获得解密权限3.大量文档被集中解密外发文档保护行为浏览网站违反法律法规网络下载流量1.非工作网站2.非法网站违反法律法规言论上网控制策略配置业务文档配置1.重要文档定义文档操作审批1.解密文档审批文档加密重要文档加密合规性防病毒策略配置集团网络安全加固策略1.网站分类控制2.网络下载控制3.其他上网行为控制应急响应电脑重要文件泄密类电脑被攻击类账号被盗用类业务系统数据泄露类电脑无法正常工作类业务系统数据篡改类违规上网行为类电脑感染病毒类病毒大面积爆发类文档泄密类解密异常类违反法律法规类责任分解管理服务人员业务人员管理配置应急响应操作使用应急响应桌面

15、安全电脑基本安全配置电脑软件应用管理电脑网络连接管理电脑重要文件泄密处理电脑被攻击技术支持电脑无法正常工作技术支持电脑操作安全电脑个人安全配置电脑软件使用配合电脑重要文件泄密处理电脑使用异常上报授权安全业务系统账号设置业务系统账号授权业务系统账号注销账号被盗用快速处理业务系统数据泄密处理业务系统数据被篡改处理业务系统密码设置业务系统账号使用业务系统数据保护账号被盗用上报配合业务系统数据泄密处理配合业务系统数据被篡改处理文档安全业务文档定义业务文档使用授权业务文档操作审批电子文档泄密处理电子文档解密异常处理重要文档加密文档解密申请外发

16、文档保护配合电子文档泄密处理防病毒安全防病毒策略配置病毒防护病毒查杀电脑感染病毒技术支持病毒大面积爆发应急响应防病毒软件使用（安装、升级、实时防护开启）使用电脑防病毒软件查杀病毒配合集团病毒大面积爆发应急响应上网安全上网行为策略配置违规上网行为处理违反法律法规上网行为处理网络下载浏览网站法律法规遵循配合违规上网行为处理配合违反法律法规上网行为处理安全运行中心对管理体系和责任体系的支撑与协同集中管控安全综合态势动态管控安全管理报告事件管理安全事件响应实时监测通知预警与相关人员的协同安全事件上报安全事件管理安全动态控制台协同管理防病毒安全上网安全文

17、档安全授权安全其他 .桌面安全快速响应桌面安全授权安全文档安全防病毒安全上网安全电脑基本安全配置电脑软件应用管理电脑网络接入管理电脑操作安全电脑个人安全配置电脑软件使用账号授权账号设置账号注销密码设置账号使用病毒查杀防病毒软件使用病毒防护网络下载文档外发文档解密浏览网站违反法律法规上网控制策略配置业务文档配置文档操作审批文档加密防病毒策略配置电脑重要文件泄密电脑被攻击账号被盗用业务系统数据泄露电脑无法正常工作业务系统数据篡改违规上网行为电脑感染病毒病毒大面积爆发文档泄密类解密异常违反法律法规业务部门管理者员工 (事件责任人 )安全管理员集团信息安全领导安全运行中心所要求具备

18、的核心能力前瞻性能够支撑集团化运作的管理模式代表信息安全管理的发展趋势配置灵活支持多层次的组织结构定义支持多种系统部署方式具备实时监控、通知预警、应急响应以及全面详细的安全报告功能功能全面能够与主流的信息安全技术产品集成能够支撑集团未来信息安全管理发展的需要兼容与扩展具备大型企业实践的应用能力稳定性项目效果通过建设安全运行中心来实现让安全管理体系成为员工的行为指引和约束从侧重 IT设备的安全管控扩展到为对信息和人员的行为管控对关键行为准则、安全隐患、安全事件进行动态管控体系有效动态管控行为合规实施安排任务子任务内容或备注责任方配合参与方项目规划负责项目前期可行性

19、报告、解决方案、汇报材料等文档的编制和项目总体思路汇报咨询顾问组用户方项目组项目立项集团内部项目立项流程用户方项目组管理体系有效性梳理管理责任梳理将安全运行中心规划的内容在集团、板块、企业三个层次进行责任分解咨询顾问组、用户方项目组管理责任汇报专门针对三个层次的管理责任，向领导汇报用户方项目组咨询顾问组管理责任沟通（板块企业、多中心多层次架构）与板块企业沟通集团板块企业将来要使用的功能和要承担的责任，同时兼顾考虑多中心多层次的架构用户方项目组管理责任明确召开一次会议，明确在安全运行中心中三个层次明确的管理责任用户方项目组部署及定制开发详细的需求分析和系

20、统设计根据目前项目的总体思路、前期实现功能的评估、与板块的沟通结果、以及对模块化和可配置的具体分析，重新从整体上对整个系统进行需求分析需求分析与系统设计组用户方项目组定制编码基于需求分析和系统设计内容完成系统开发系统开发组用户方项目组系统测试对系统进行全面细致的测试对系统部署软、硬件环境进行调试用户方项目组系统实施组上线准备原有安全系统软件优化调整数据迁移 /导入系统测试组项目实施组用户方项目组试运行包含功能测试、性能测试、效果确认等内容用户方项目组系统实施组优化完善收集对产品完成情况的意见和建议，并由开发人员进行修改、调整需求分析与系统设计组系统开发组用户方项目组全面部署和运行系统全面推广、正式上线运行提供全面的技术培训用户方项目组项目实施组用户培训组项目验收对系统实施的过程和结果进行全面细致的验收工作软件供应商、用户集团信息部

展开阅读全文