1. 构建信息安全保障体系 ——使命、原则、框架、执行和实践 2006 年 11 月

2. 三观论 宏观 微观 中观 实现层 运营层 技术 人员 过程 决策层

4. 使命

12. 原则

16. ISO13335 中的风险管理的关系图

17. ISO13335 以风险为核心的安全模型 风险 防护措施 信息资产 威胁 漏洞 防护需求 价值 一般风险评估的 理论基础 降低 增加 增加 利用 暴露 拥有 抗击 增加 引出 被满足

18. 风险评估的国家标准

19. 国信办报告中的风险９要素关系图 安全管理平台中 实时风险监控 的理论基础

20. 德国 ITBPM

21. 最精简的风险管理３要素

23. 了解威胁

27. 了解资产和业务

29. 机构典型的 ITA 及其安全思维 公共网络 广域网络 对外发布 对外业务渠道 核心业务 内部业务 OA 、财务等 业务支撑 安全保障 异地内网 异地灾备 机构内网

30. ITA 分析初探 - 层次 物理和环境 网络与通信 主机和系统 应用和业务 数据和介质 人员和组织 使命和价值

33. 通过安全域理解 6 个试点项目的安排 安全域划分与边界整合 服务与端口管理 生产终端统一管理 安全帐号口令 安全补丁与版本管理 安全预警 边界接入域 互联网接入区 计算环境 一般服务区 计算环境域 计算环境 核心区 网络基础设施域 支撑性设施域 骨干区 汇集区 接入区 安全系统 网管系统 其它支撑系统 外联网接入区 内联网接入区 计算环境 重要服务区 内部网接入区

34. 运营商的业务特色 承载网 支撑系统 经营分析决策系统 内部后勤式系统

35. 电力系统二次安防的思路

39. 了解保障措施

40. 保障体系的实际组成

43. 安全管理平台成为一个值得考虑的选择 漏洞评估中心 事件监控中心 风险分析 决策支持 与预警系统 响 应 管 理 系 统 显示 报告 Scanner IDS FW AV 主机与网 络设备 人工审计 外部响应 系统 （ 安全设 备管理系 统与网 管 ） 策略管理平台 资源管理平台 其他事件 检测系统 其他状态 检测系统 资产管理平台 知识库 外部 协同 用户管理 安全知识管 理平台 自身安全

45. 框架

46. 框架

47. 最精简的风险管理３要素： R3-AST

51. 技术功能是 T3-PDR 的衍生

53. 保障框架 - 措施

54. 27 号文的框架分析 等级保护 风险评估 监控体系 应急体系 信任体系 技术和产业 法制建设 标准化建设 人才培养 全民意识 保证资金 责任制

55. 产品的框架分析 IDS 应用审计 防火墙 SAN 防垃圾 安全管理中心 Scanner 远程数据热备 IPS 防病毒 加密机 双因子 PKI

56. 安全服务体系的框架分析 评估加固 教育培训 MSS 应急响应 安全集成 风险评估 管理咨询

57. 体系设计方案的框架分析 安全监控体系 安全审计体系 安全防护体系 应急恢复体系 网络信任体系 安全管理体系

59. 执行

62. 案例分析：瑞士联合银行 UBS 的风险观点

63. 瑞士联合银行 UBS 的风险观点 UBS 风险包 原始风险 间接风险 信用风险 市场风险 流动性和 融资风险 交易过程风险 合规风险 法律风险 税收风险 安全风险 责任风险

64. UBS －将机构安全问题组织化

65. UBS －策略和组织的保证

66. UBS －风险管理组织

67. UBS －风险报告

68. 合规性管理——需求驱动力的变化 合规性 C ompliance 问题型 P roblem 被动要求 政策性 P olicy 体系化 S ystematic 主动引导 来自外部 来自内部 需求筐架

74. 企业信息安全保障能力成长阶段划分 成熟度 时间 盲目自信 阶段 认知阶段 改进阶段 卓越运营 阶段 福布斯 2000 强企业在不同阶段的百分比分布 来源： Gartner Inc. 2006 年 1 月 30% 50% 15% 5%

76. 各个阶段的主要工作任务 基本安全产品部署 主要人员的培训教育 建立 安全团队 制定安全方针政策 评估并 了解现状 成熟度 时间 盲目自信 阶段 认知阶段 改进阶段 卓越运营 阶段 福布斯 2000 强企业在不同阶段的百分比分布 来源： Gartner Inc. 2006 年 1 月 30% 50% 15% 5%

77. 各个阶段的主要工作任务 启动信息安全战略项目 设计信息安全架构 建立信息安全流程 完成信息安全改进项目 成熟度 时间 盲目自信 阶段 认知阶段 改进阶段 卓越运营 阶段 福布斯 2000 强企业在不同阶段的百分比分布 来源： Gartner Inc. 2006 年 1 月 30% 50% 15% 5%

78. 各个阶段的主要工作任务 信息安全流程的持续改进 追踪技术和业务的变化 成熟度 时间 盲目自信 阶段 认知阶段 改进阶段 卓越运营 阶段 福布斯 2000 强企业在不同阶段的百分比分布 来源： Gartner Inc. 2006 年 1 月 30% 50% 15% 5%

79. 需求驱动力向“合规性”的转化 带来客户价值和产业机会 合规性 C ompliance 问题型 P roblem 被动要求 政策性 P olicy 体系化 S ystematic 主动引导 来自外部 来自内部 需求筐架

80. 实践

86. 域

88. 资产结构化 - 安全域 安全域方法归根到底就是用结构将微观的大量资产和其他安全要素，有序地展现在宏观层面

89. 美国 NSA 的 IATF

90. 启明星辰的 3+1 安全域方法 边界接入域 网络互联域 管理支撑域（网络管理和安全管理等） 计算服务域

93. 鸟瞰图

95. 安全管理平台成为承上启下的技术手段 安全管理平台成为检测和响应能力的汇总点

97. 功能体系结构 漏洞评估中心 事件 / 流量 / 运行 监控中心 风险分析 决策支持 与预警系统 响 应 管 理 系 统 显示 报告 体系结构示意图 Scanner IDS FW AV 主机与网 络设备 人工审计 外部响应 系统 （ 安全设 备管理系 统与网 管 ） 策略管理平台 资源管理平台 其他事件 检测系统 其他状态 检测系统 资产管理平台 统一信息 知识库 外部 协同 用户管理 安全知识管 理平台 自身安全

99. 报表管理

100. 状态监控 - 客户实景

101. 某客户安全管理平台的实景

104. 四象限法则 合规性 C ompliance 问题型 P roblem 被动要求 政策性 P olicy 体系化 S ystematic 主动引导 来自外部 来自内部 需求筐架

105. 谢谢