《信息安全審計監(jiān)控平臺介紹》由會員分享，可在線閱讀，更多相關《信息安全審計監(jiān)控平臺介紹（43頁珍藏版）》請在裝配圖網上搜索。

1、Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,單擊此處編輯母版標題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,單擊此處編輯母版標題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,國都興業(yè)信息審計系統(tǒng)技術（北京）有限公司,云計算環(huán)境下的,信息安全審計監(jiān)管平臺項目匯報,報告主要內容,項目基本信息,項目單位簡介,項目建設背景,項目研發(fā)特色,項目應用前景,項目投資規(guī)劃

2、,國都興業(yè)信息審計系統(tǒng)技術,(,北京,),有限公司,項目基本信息,項目名稱：,云計算環(huán)境下的信息安全審計監(jiān)管平臺,項目所屬領域：新一代信息技術,云計算,項目建設周期：,2011,年,6,月,2013,年,6,月,項目承擔單位：,牽頭單位：國都興業(yè)信息審計系統(tǒng)技術（北京）有限公司,合作單位：國家信息安全技術研究中心、中國電子技術標準化研究所等,國都興業(yè)信息審計系統(tǒng)技術,(,北京,),有限公司,報告主要內容,項目基本信息,項目單位簡介,項目建設背景,項目研發(fā)特色,項目應用前景,項目投資規(guī)劃,國都興業(yè)信息審計系統(tǒng)技術,(,北京,),有限公司,項目單位簡介,國都興業(yè)信息審計系統(tǒng)技術（北京）有限公司,是

3、國內第一家專業(yè)從事信息安全審計技術研究與產品開發(fā)的企業(yè)，是國內信息安全審計應用的引領者。公司在不斷地探索和實踐中，錘煉出了一支從事信息安全審計的專業(yè)團隊。,公司建立了信息安全審計技術體系，在信息安全審計領域具有多項自主知識產權的技術和產品，其中發(fā)明專利,5,項，軟件著作權,23,項,。,國都興業(yè)信息審計系統(tǒng)技術,(,北京,),有限公司,報告主要內容,項目基本信息,項目單位簡介,項目建設背景,項目研發(fā)特色,項目應用前景,項目投資規(guī)劃,國都興業(yè)信息審計系統(tǒng)技術,(,北京,),有限公司,云計算前與后,國都興業(yè)信息審計系統(tǒng)技術,(,北京,),有限公司,企業(yè)運營成本下降,企業(yè)運營效率提升,企業(yè)服務、數(shù)據(jù)

4、從內部轉為外部,變遷,云計算前,云計算后,云應用,國都興業(yè)信息審計系統(tǒng)技術,(,北京,),有限公司,服務器在哪里？,業(yè)務流程可靠嗎？,防火墻架設了嗎？,還有誰在和我們在用同一臺機器？,會不會讓競爭對手看到我們的資料？,？,云中,國都興業(yè)信息審計系統(tǒng)技術,(,北京,),有限公司,數(shù)據(jù)在哪里？,文檔在哪里？,日本有地震嗎？,？,云計算服務的安全風險,國都興業(yè)信息審計系統(tǒng)技術,(,北京,),有限公司,云計算服務存在著七大潛在風險：,風險一：數(shù)據(jù)被未知的超級用戶訪問風險：,無法通過本地,部署訪問控制，及時發(fā)現(xiàn)或阻斷超級用戶對數(shù)據(jù)發(fā)起的訪問,風險二：合規(guī)性建設能力未知的風險：云計算環(huán)境下數(shù)據(jù)被存放在,企

5、業(yè)外部,，難以提供合規(guī)性建設報告對數(shù)據(jù)安全保護能力提供證明,風險三：數(shù)據(jù),存儲位置未知,的風險：大量的基礎設施和分布式技術的部署，導致用戶對數(shù)據(jù)的真實存儲位置不可知,云計算服務的安全風險,國都興業(yè)信息審計系統(tǒng)技術,(,北京,),有限公司,云計算服務存在著七大潛在風險：,風險四：,數(shù)據(jù)隔離保護未知,的風險：虛擬化技術的運用，使用戶難以獲知正與哪個或者哪些其他用戶共享相同的存儲或處理設備，對于提供商在解決數(shù)據(jù)隔離保護問題方面部署措施的有效性更是難以獲得充分、可信的信息。,風險五：,數(shù)據(jù)恢復能力不可知風險,：盡管云提供者承諾用戶數(shù)據(jù)是安全的、可靠的、不會丟失，但是由提供商給出的這個承諾的客觀性和公信

6、力受到質疑，其真實性只能在災難發(fā)生的時刻得到驗證,云計算服務的安全風險,國都興業(yè)信息審計系統(tǒng)技術,(,北京,),有限公司,云計算服務存在著七大潛在風險：,風險六：增大,司法取證困難,的風險：多個企業(yè)用戶共享相同的云服務，為支持針對某一個特定用戶開展的司法取證活動，從大量的、來自不同用戶的云訪問日志中篩選信息，工作難度之高，操作風險之大可以想象。,風險七：,長期可用性保證,的風險：企業(yè)用戶保存在云中的數(shù)據(jù)是否長期可用，難以得到一個公正、可靠的風險評價。,云計算風險挑戰(zhàn),云計算服務技術應用特征,面向大量的軟硬件基礎資源,采用虛擬化、分布式等技術手段,按需提供服務,云端對用戶透明,安全性不可知,可信

7、性不可知,合規(guī)性不可知,持續(xù)性不可知,云計算服務特色,云計算服務風險,信息安全的傳統(tǒng)三大件防火墻、,IDS,、防病毒面對這些挑戰(zhàn)力不從心。,審計監(jiān)管將成為云應用安全的重點,云安全審計相關研究現(xiàn)狀,安全、可信、合規(guī)是推進云計算研究和應用的三大關鍵問題,形成產業(yè)聯(lián)盟，合作解決云安全、可信、合規(guī)等問題,CSA(,云安全聯(lián)盟,),，,CCA,（中國云計算聯(lián)盟）,ZCA,（中關村云安全產業(yè)聯(lián)盟）,向審計監(jiān)管領域尋求云安全保護最佳實踐,云審計理念開始起步，并逐漸被更多的云用戶和提供商認可,通過自動化手段持續(xù)監(jiān)控云服務平臺建設和運營風險,向用戶提供監(jiān)管審計服務，降低云數(shù)據(jù)安全風險,為提供商提供監(jiān)管記錄，證明

8、安全、合規(guī)建設云平臺以及提供可信、持續(xù)云服務的能力,云安全審計相關研究現(xiàn)狀,標準是保障云安全建設的必要前提,NIST,SP 800-144,云計算安全和隱私管理指南,SP 800-145 NIST,云計算定義,CSA,云計算首要安全威脅,云計算關鍵領域安全指南,v2.1,ISACA,與,CSA,合作開發(fā)云計算審計程序，建設云安全控制矩陣,云計算與安全并行,2010,年,7,月北京市啟動實施“祥云工程行動計劃”。祥云工程旨在促進北京市戰(zhàn)略性新興產業(yè)在新一輪國際競爭中形成新的優(yōu)勢。據(jù)了解，祥云工程已列入“十二五”軟件信息服務業(yè)和電子信息發(fā)展規(guī)劃。北京市希望經過,3-5,年的發(fā)展，使北京中關村成為我

9、國云計算研究中心和產業(yè)基地，力求云應用的水平居于世界前列，使北京成為世界級云計算產業(yè)基地。,國家發(fā)改委辦公廳頒布的關于組織實施,2009,年信息安全專項有關事項的通知中明確的將“為基礎信息網絡和重要信息系統(tǒng)安全運行提供技術支持的信息安全專業(yè)化服務”做為支持的重點之一,。,云安全審計監(jiān)管需要統(tǒng)一的標準,云計算服務技術應用特征,面向大量的軟硬件基礎資源,采用虛擬化、分布式等技術手段,按需提供服務,云端對用戶透明,安全性不可知,可信性不可知,合規(guī)性不可知,持續(xù)性不可知,客觀、可信第三方審計監(jiān)管,對云服務平臺建設運營以及用戶數(shù)據(jù)訪問操作監(jiān)管,向用戶提供云安全審計監(jiān)管報告；,為提供商提供安全、合規(guī)建設證

10、明,為監(jiān)管機構審計依據(jù),形成標準規(guī)范相關建設,統(tǒng)一規(guī)范審計接口,構建安全評估體系,建立安全風險評估機制,規(guī)定審計要求及實施指南,云計算服務特色,云計算服務風險,云計算服務保障,云服務保障基礎,云風險控制的殺手锏,云安全需要,掌控云數(shù)據(jù)存儲,監(jiān)控云數(shù)據(jù)訪問,跟蹤云數(shù)據(jù)動向,記錄云數(shù)據(jù)變更,提供云數(shù)據(jù)審計,實現(xiàn)云數(shù)據(jù)監(jiān)管,提升云安全感,降低云運營風險,報告主要內容,國都興業(yè)信息審計系統(tǒng)技術,(,北京,),有限公司,項目基本信息,項目單位簡介,項目建設背景,項目研發(fā)特色,項目應用前景,項目投資規(guī)劃,信息安全審計監(jiān)管平臺,云審計數(shù)據(jù)采集標準,云審計數(shù)據(jù)采集引擎,云審計數(shù)據(jù)存儲中心,云審計數(shù)據(jù)策略中心,

11、云審計數(shù)據(jù)監(jiān)管中心,云審計用戶服務,云審計企業(yè)服務,項目建設思路,開發(fā)云審計標準,研究并云審計與云安全監(jiān)管標準,建立云審計監(jiān)管平臺的標準體系,設計并實現(xiàn)云計算審計監(jiān)管數(shù)據(jù)采集接口標準,搭建云信息安全審計監(jiān)管平臺,實施云監(jiān)管審計,項目建設思路（續(xù)）,開發(fā)云審計標準,搭建云信息安全審計監(jiān)管平臺,從基礎設施、系統(tǒng)平臺、應用軟件三個層面縱深建設安全審計監(jiān)管平臺,部署兩種引擎、兩個中心,云計算審計監(jiān)管數(shù)據(jù)采集引擎,云計算風險分析引擎,云計算審計監(jiān)管數(shù)據(jù)存儲中心,云計算審計監(jiān)管的策略管理中心,實施云監(jiān)管審計,項目建設思路（續(xù),2,）,開發(fā)云審計標準,搭建云信息安全審計監(jiān)管平臺,實施云監(jiān)管審計,云審計用戶服

12、務平臺,建立定期自動發(fā)送審計報告機制,提供用戶自助查詢審計服務機制,提供特色化審計要求訂制服務,云審計企業(yè)服務平臺,根據(jù)企業(yè)需求定期發(fā)送審計記錄證明,根據(jù)審計監(jiān)管數(shù)據(jù)分析云平臺建設中存在的風險，為企業(yè)用戶提供云平臺改進建議,云安全監(jiān)管服務平臺,為監(jiān)管機構提供自動化的、客觀的審計監(jiān)管記錄，為監(jiān)管部門調整云平臺建設監(jiān)管要求、做出監(jiān)管決策提供數(shù)據(jù)支持,項目技術特色,建設理念創(chuàng)新,國都興業(yè)是云安全審計理念的引領者，是國內外首批提出從監(jiān)管審計角度解決云計算服務安全、可信、合規(guī)等問題的探路者,應用風險的理念管理云計算服務建設和運營中存在或者可能存在的各類問題，為提供商、用戶以及監(jiān)管機構提供客觀、公正的評估

13、參考,實現(xiàn)技術創(chuàng)新,在六大關鍵技術上進行研究、探索和突破,云采集分析歸并技術、構建全云審計接口平臺、云審計策略服務、海量存儲快速檢索、云數(shù)據(jù)訪問動態(tài)基線自動建立、云風險識別決策算法,體系化地規(guī)劃平臺建設,探索全面、協(xié)調的平臺體系架構,建設三大平臺、兩個中心、兩個引擎,形成一系列標準為平臺建設提供理論指導和規(guī)范,規(guī)范接口結構、統(tǒng)一審計監(jiān)管要求，建設云風險評估模型和實施指南,堅持技術自主,綜合運用具有自主知識產權的技術和產品搭建平臺,提升相關領域的技術自主研發(fā)能力,增強平臺建設和運營的可控性,項目研發(fā)優(yōu)勢,技術產品相對成熟,多年致力于解決信息系統(tǒng)安全審計問題，在技術研發(fā)和產品建設方面形成經驗積累,

14、慧眼網絡審計,慧眼數(shù)據(jù)庫審計,慧眼主機審計,慧眼業(yè)務審計,慧眼運維審計,慧眼日志審計,慧眼惡意代碼審計,慧眼綜合審計,IaaS,PaaS,SaaS,項目研發(fā)優(yōu)勢,用戶網絡相對完善,項目牽頭單位以及合作單位的業(yè)務用戶廣泛覆蓋政府、軍隊、金融、通信等多個機構及重點行業(yè),多年來優(yōu)良的產品及服務質量贏得用戶群對本項目建設單位技術水平和安全理念的認可和支持,開展一定程度的部署實踐,目前本項目已經在部分用戶企業(yè)中開展小型私有云安全審計監(jiān)管平臺建設實踐，為本項目的順利開展奠定了技術基礎,項目研發(fā)優(yōu)勢,平臺優(yōu)勢,國都興業(yè)信息審計系統(tǒng)（北京）有限公司：專業(yè)信息審計系統(tǒng)研發(fā)公司，掌握信息審計核心技術,國家信息技術

15、安全研究中心：安全專家云集，提供云監(jiān)管平臺支持,中國電子技術標準化研究所：促進云審計相關標準的開發(fā)與制定,云基地：云計算技術合作、云審計監(jiān)管示范,項目研發(fā)優(yōu)勢,領銜專家,徐亞非：,項目總負責人，高級工程師,。,國務院特殊津貼獎勵的信息安全專家、國家“,863,”網絡安全防護技術攻關課題組帶頭人、國務院信息化工作辦公室網絡安全專家組成員、中國國防信息化咨詢專家委員會委員,李京春：,高級工程師。曾任解放軍信息安全測評認證中心總工程師，現(xiàn)任國家信息技術安全研究中心總工程師，解放軍總后勤部信息化專家咨詢委員會信息安全專業(yè)委員會委員，國家信息安全風險評估推進工作專家組成員。,吳源?。?研究員。曾任中國電

16、子信息標準化所所長和顧問，現(xiàn)任全國信息安全標準化技術委員會,WG7,組長，是中國電子信息標準化所第一代指導企業(yè)標準化工作的開創(chuàng)者、實踐者。,項目已取得進展,信息審計監(jiān)管技術“云”化,企業(yè)私有云審計監(jiān)管平臺建設,項目周期2011年6月2013年6月,云審計與云安全監(jiān)管標準編制,報告主要內容,項目基本信息,項目單位簡介,項目立項背景,項目研發(fā)特色,項目應用前景,項目投資規(guī)劃,國都興業(yè)信息審計系統(tǒng)技術,(,北京,),有限公司,平臺預期市場分析,用戶群分析,三類使用對象,云計算平臺使用用戶,云計算服務提供商,云安全監(jiān)管機構,用戶數(shù)量龐大,安全、可信、合規(guī)和持續(xù)性是用戶對云計算服務的普遍擔憂,云監(jiān)管審計報告適合云服務提供商和使用用戶的共同需求,平臺預期市場分析,服務應用特征,分領域提供服務,適應安全性、合規(guī)性、持續(xù)性等不同風險領域的審計監(jiān)管需求,適應三類用戶各自對于云計算服務平臺建設的審計需求,適應用戶個性化審計監(jiān)管需求,持續(xù)提供服務,持續(xù)監(jiān)控審計云服務平臺建設運營狀態(tài)，完整捕獲云環(huán)境中的數(shù)據(jù)交互異常，識別潛在風險信息,定期向用戶提供審計報告和風險預警,提供定制化服務,依據(jù)要用戶需求調整監(jiān)控重點