IBM信息化安全解决方案 TheSecuredEnterprise 李凯 CISSP,CISA,CISM,BS7799LA 高级IT架构师 IBM全球技术服务，上海 互联网安全：“外忧内患” IBMISS从1997年开始对漏洞进行分析、研究、分类以来，已积累超过 33000个漏洞，是全球最大的漏洞库。2007年上半年发现3273个漏洞，是十 年来的首次下降 ----IBM《2007年中期安全攻击分析报告》 互联网安全：“外忧内患” 其中有90%漏洞是可通过网络从远程利用的。51.6%的漏洞在攻击成功后， 可获得系统权限 互联网安全：“外忧内患” 互联网安全：“外忧内患” 2007上半年，前20位被钓鱼网站攻击的公司（按字母顺序）。 •BankofTheWest •BankofAmerica •BranchBanking&Trust •Chase •Citibank •DeutscheBank •E*TradeFinancial •Ebay •FifthThirdBank •NationalCity •NorthForkBank •PNCBank •PayPal •Postbank •RegionsBank •Sparkasse •U.S.Bank •VolksbankenRaiffeisenbanken •WashingtonMutual •WesternUnion “紧箍咒”：国内外的安全法规越来越多，力度越来越大。 示例 ¾美国公众上市公司需要遵循的萨班斯（SarbanesOxley）法案 –IT治理（ITGovernance）和IT控制框架（ITControlFramework） –用户帐号管理和权限管理、保护组织记录、信息系统的安全审计、文档、邮件的归档 ¾针对服务组织的要求 –由美国注册公共会计师协会(AICPA)发起的评估服务组织内部控制和安全措施是否充分的SAS70标准 –BS7799/ISO27001标准，要求企业以安全风险管理为基础，建立信息系统安全管理系统ISMS ¾国信办的《关于开展信息安全风险评估工作的意见》2006年元月 –《信息安全风险评估指南》、《信息安全风险管理指南》，2006年4月18日正式成为国标，由国家测评中心颁布 ¾公安部2004年9月《关于信息安全等级保护工作的实施意见》66号文，等级保护 –关于开展全国重要信息系统安全等级保护定级工作的通知（公信安[2007]861号） –安全等级保护国家颁布的安全等级保护技术要求 ¾公安部2005年12月颁布《互联网安全保护技术措施规定》82号令 ¾行业 –中国电信2008年1月18日《CTG-MBOSS安全规范》、中国移动颁布多项安全规范 –人民银行：支付清算组织管理办法及实施细则 –银监会《电子银行安全评估指引》、《银行业金融机构信息系统风险管理指引》；银监会313号文件：全面开展信息科技 评价审计、[2007]监会关于印发《商业银行操作风险管理指引》的通知；[2007]银监办发134号关于做好网上银行风险管 理和服务的通知 –巴塞尔新资本协议、PCI认证 –深交所信息安全评估准则 CIO/CSO的烦恼：企业内越来越多的“围墙” 任何时间，任何地点，无缝的基础服务 合作伙伴和供应商之间的业务合作IT 外部安全威胁 不断增长的数据 控制成本：提高运行效率 保护关键资产的安全 和个人隐私 移动办公需求 CEO希望看到信息和应用新的安全标准和合规法规 的全景视图 CIO/CSO的烦恼：IT风险管理和IT安全管理的“断层” 信息安全 ¾你的安全策略是否完整？是否满足你的 战略层业务要求？ ¾人员角色和责任是否合理？ 人员层 ¾安全流程是否合理并且有效？ 流程层 ¾敏感信息和关键信息是否受到必要的安 数据全保护？ 应用层 ¾如何保证IT基础架构安全性和系统可用 性？ 技术层 ¾是否也恰当的考虑了物理安全措施？ 物理层 需要适当转换思路，以适应企业信息安全的新挑战 单一产品风险控制系统 安全功能需求安全运维需求 分散独立管理模式集成管理模式 技术创新业务创新 企业的信息安全管理过程是风险管理的过程， 选择正确方向和持续遵守是难点。 从业务出发 才能了解企业的风险 风险分析关注安全遵守 Risk才能降低企业的风险 Analysis安全策略 Security Policy 应急计划残余风险 EmergencyResidual PlanRisk 预防保护缓解接受 PreventProtectMitigateAccept IBM企业信息安全风险评估和能力评估咨询服务 全面的安全风险评估和安全能力评估，可以帮助企业制定合 理的安全建设目标和计划，“选择正确方向”。 IBM企业信息安全框架 治