信息安全审计监控平台介绍

《信息安全审计监控平台介绍》由会员分享，可在线阅读，更多相关《信息安全审计监控平台介绍（43页珍藏版）》请在装配图网上搜索。

1、Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,国都兴业信息审计系统技术（北京）有限公司,云计算环境下的,信息安全审计监管平台项目汇报,报告主要内容,项目基本信息,项目单位简介,项目建设背景,项目研发特色,项目应用前景,项目投资规划

2、,国都兴业信息审计系统技术,(,北京,),有限公司,项目基本信息,项目名称：,云计算环境下的信息安全审计监管平台,项目所属领域：新一代信息技术,云计算,项目建设周期：,2011,年,6,月,2013,年,6,月,项目承担单位：,牵头单位：国都兴业信息审计系统技术（北京）有限公司,合作单位：国家信息安全技术研究中心、中国电子技术标准化研究所等,国都兴业信息审计系统技术,(,北京,),有限公司,报告主要内容,项目基本信息,项目单位简介,项目建设背景,项目研发特色,项目应用前景,项目投资规划,国都兴业信息审计系统技术,(,北京,),有限公司,项目单位简介,国都兴业信息审计系统技术（北京）有限公司,是

3、国内第一家专业从事信息安全审计技术研究与产品开发的企业，是国内信息安全审计应用的引领者。公司在不断地探索和实践中，锤炼出了一支从事信息安全审计的专业团队。,公司建立了信息安全审计技术体系，在信息安全审计领域具有多项自主知识产权的技术和产品，其中发明专利,5,项，软件著作权,23,项,。,国都兴业信息审计系统技术,(,北京,),有限公司,报告主要内容,项目基本信息,项目单位简介,项目建设背景,项目研发特色,项目应用前景,项目投资规划,国都兴业信息审计系统技术,(,北京,),有限公司,云计算前与后,国都兴业信息审计系统技术,(,北京,),有限公司,企业运营成本下降,企业运营效率提升,企业服务、数据

4、从内部转为外部,变迁,云计算前,云计算后,云应用,国都兴业信息审计系统技术,(,北京,),有限公司,服务器在哪里？,业务流程可靠吗？,防火墙架设了吗？,还有谁在和我们在用同一台机器？,会不会让竞争对手看到我们的资料？,？,云中,国都兴业信息审计系统技术,(,北京,),有限公司,数据在哪里？,文档在哪里？,日本有地震吗？,？,云计算服务的安全风险,国都兴业信息审计系统技术,(,北京,),有限公司,云计算服务存在着七大潜在风险：,风险一：数据被未知的超级用户访问风险：,无法通过本地,部署访问控制，及时发现或阻断超级用户对数据发起的访问,风险二：合规性建设能力未知的风险：云计算环境下数据被存放在,企

5、业外部,，难以提供合规性建设报告对数据安全保护能力提供证明,风险三：数据,存储位置未知,的风险：大量的基础设施和分布式技术的部署，导致用户对数据的真实存储位置不可知,云计算服务的安全风险,国都兴业信息审计系统技术,(,北京,),有限公司,云计算服务存在着七大潜在风险：,风险四：,数据隔离保护未知,的风险：虚拟化技术的运用，使用户难以获知正与哪个或者哪些其他用户共享相同的存储或处理设备，对于提供商在解决数据隔离保护问题方面部署措施的有效性更是难以获得充分、可信的信息。,风险五：,数据恢复能力不可知风险,：尽管云提供者承诺用户数据是安全的、可靠的、不会丢失，但是由提供商给出的这个承诺的客观性和公信

6、力受到质疑，其真实性只能在灾难发生的时刻得到验证,云计算服务的安全风险,国都兴业信息审计系统技术,(,北京,),有限公司,云计算服务存在着七大潜在风险：,风险六：增大,司法取证困难,的风险：多个企业用户共享相同的云服务，为支持针对某一个特定用户开展的司法取证活动，从大量的、来自不同用户的云访问日志中筛选信息，工作难度之高，操作风险之大可以想象。,风险七：,长期可用性保证,的风险：企业用户保存在云中的数据是否长期可用，难以得到一个公正、可靠的风险评价。,云计算风险挑战,云计算服务技术应用特征,面向大量的软硬件基础资源,采用虚拟化、分布式等技术手段,按需提供服务,云端对用户透明,安全性不可知,可信

7、性不可知,合规性不可知,持续性不可知,云计算服务特色,云计算服务风险,信息安全的传统三大件防火墙、,IDS,、防病毒面对这些挑战力不从心。,审计监管将成为云应用安全的重点,云安全审计相关研究现状,安全、可信、合规是推进云计算研究和应用的三大关键问题,形成产业联盟，合作解决云安全、可信、合规等问题,CSA(,云安全联盟,),，,CCA,（中国云计算联盟）,ZCA,（中关村云安全产业联盟）,向审计监管领域寻求云安全保护最佳实践,云审计理念开始起步，并逐渐被更多的云用户和提供商认可,通过自动化手段持续监控云服务平台建设和运营风险,向用户提供监管审计服务，降低云数据安全风险,为提供商提供监管记录，证明

8、安全、合规建设云平台以及提供可信、持续云服务的能力,云安全审计相关研究现状,标准是保障云安全建设的必要前提,NIST,SP 800-144,云计算安全和隐私管理指南,SP 800-145 NIST,云计算定义,CSA,云计算首要安全威胁,云计算关键领域安全指南,v2.1,ISACA,与,CSA,合作开发云计算审计程序，建设云安全控制矩阵,云计算与安全并行,2010,年,7,月北京市启动实施“祥云工程行动计划”。祥云工程旨在促进北京市战略性新兴产业在新一轮国际竞争中形成新的优势。据了解，祥云工程已列入“十二五”软件信息服务业和电子信息发展规划。北京市希望经过,3-5,年的发展，使北京中关村成为我

9、国云计算研究中心和产业基地，力求云应用的水平居于世界前列，使北京成为世界级云计算产业基地。,国家发改委办公厅颁布的关于组织实施,2009,年信息安全专项有关事项的通知中明确的将“为基础信息网络和重要信息系统安全运行提供技术支持的信息安全专业化服务”做为支持的重点之一,。,云安全审计监管需要统一的标准,云计算服务技术应用特征,面向大量的软硬件基础资源,采用虚拟化、分布式等技术手段,按需提供服务,云端对用户透明,安全性不可知,可信性不可知,合规性不可知,持续性不可知,客观、可信第三方审计监管,对云服务平台建设运营以及用户数据访问操作监管,向用户提供云安全审计监管报告；,为提供商提供安全、合规建设证

10、明,为监管机构审计依据,形成标准规范相关建设,统一规范审计接口,构建安全评估体系,建立安全风险评估机制,规定审计要求及实施指南,云计算服务特色,云计算服务风险,云计算服务保障,云服务保障基础,云风险控制的杀手锏,云安全需要,掌控云数据存储,监控云数据访问,跟踪云数据动向,记录云数据变更,提供云数据审计,实现云数据监管,提升云安全感,降低云运营风险,报告主要内容,国都兴业信息审计系统技术,(,北京,),有限公司,项目基本信息,项目单位简介,项目建设背景,项目研发特色,项目应用前景,项目投资规划,信息安全审计监管平台,云审计数据采集标准,云审计数据采集引擎,云审计数据存储中心,云审计数据策略中心,

11、云审计数据监管中心,云审计用户服务,云审计企业服务,项目建设思路,开发云审计标准,研究并云审计与云安全监管标准,建立云审计监管平台的标准体系,设计并实现云计算审计监管数据采集接口标准,搭建云信息安全审计监管平台,实施云监管审计,项目建设思路（续）,开发云审计标准,搭建云信息安全审计监管平台,从基础设施、系统平台、应用软件三个层面纵深建设安全审计监管平台,部署两种引擎、两个中心,云计算审计监管数据采集引擎,云计算风险分析引擎,云计算审计监管数据存储中心,云计算审计监管的策略管理中心,实施云监管审计,项目建设思路（续,2,）,开发云审计标准,搭建云信息安全审计监管平台,实施云监管审计,云审计用户服

12、务平台,建立定期自动发送审计报告机制,提供用户自助查询审计服务机制,提供特色化审计要求订制服务,云审计企业服务平台,根据企业需求定期发送审计记录证明,根据审计监管数据分析云平台建设中存在的风险，为企业用户提供云平台改进建议,云安全监管服务平台,为监管机构提供自动化的、客观的审计监管记录，为监管部门调整云平台建设监管要求、做出监管决策提供数据支持,项目技术特色,建设理念创新,国都兴业是云安全审计理念的引领者，是国内外首批提出从监管审计角度解决云计算服务安全、可信、合规等问题的探路者,应用风险的理念管理云计算服务建设和运营中存在或者可能存在的各类问题，为提供商、用户以及监管机构提供客观、公正的评估

13、参考,实现技术创新,在六大关键技术上进行研究、探索和突破,云采集分析归并技术、构建全云审计接口平台、云审计策略服务、海量存储快速检索、云数据访问动态基线自动建立、云风险识别决策算法,体系化地规划平台建设,探索全面、协调的平台体系架构,建设三大平台、两个中心、两个引擎,形成一系列标准为平台建设提供理论指导和规范,规范接口结构、统一审计监管要求，建设云风险评估模型和实施指南,坚持技术自主,综合运用具有自主知识产权的技术和产品搭建平台,提升相关领域的技术自主研发能力,增强平台建设和运营的可控性,项目研发优势,技术产品相对成熟,多年致力于解决信息系统安全审计问题，在技术研发和产品建设方面形成经验积累,

14、慧眼网络审计,慧眼数据库审计,慧眼主机审计,慧眼业务审计,慧眼运维审计,慧眼日志审计,慧眼恶意代码审计,慧眼综合审计,IaaS,PaaS,SaaS,项目研发优势,用户网络相对完善,项目牵头单位以及合作单位的业务用户广泛覆盖政府、军队、金融、通信等多个机构及重点行业,多年来优良的产品及服务质量赢得用户群对本项目建设单位技术水平和安全理念的认可和支持,开展一定程度的部署实践,目前本项目已经在部分用户企业中开展小型私有云安全审计监管平台建设实践，为本项目的顺利开展奠定了技术基础,项目研发优势,平台优势,国都兴业信息审计系统（北京）有限公司：专业信息审计系统研发公司，掌握信息审计核心技术,国家信息技术

15、安全研究中心：安全专家云集，提供云监管平台支持,中国电子技术标准化研究所：促进云审计相关标准的开发与制定,云基地：云计算技术合作、云审计监管示范,项目研发优势,领衔专家,徐亚非：,项目总负责人，高级工程师,。,国务院特殊津贴奖励的信息安全专家、国家“,863,”网络安全防护技术攻关课题组带头人、国务院信息化工作办公室网络安全专家组成员、中国国防信息化咨询专家委员会委员,李京春：,高级工程师。曾任解放军信息安全测评认证中心总工程师，现任国家信息技术安全研究中心总工程师，解放军总后勤部信息化专家咨询委员会信息安全专业委员会委员，国家信息安全风险评估推进工作专家组成员。,吴源俊：,研究员。曾任中国电

16、子信息标准化所所长和顾问，现任全国信息安全标准化技术委员会,WG7,组长，是中国电子信息标准化所第一代指导企业标准化工作的开创者、实践者。,项目已取得进展,信息审计监管技术“云”化,企业私有云审计监管平台建设,项目周期2011年6月2013年6月,云审计与云安全监管标准编制,报告主要内容,项目基本信息,项目单位简介,项目立项背景,项目研发特色,项目应用前景,项目投资规划,国都兴业信息审计系统技术,(,北京,),有限公司,平台预期市场分析,用户群分析,三类使用对象,云计算平台使用用户,云计算服务提供商,云安全监管机构,用户数量庞大,安全、可信、合规和持续性是用户对云计算服务的普遍担忧,云监管审计报告适合云服务提供商和使用用户的共同需求,平台预期市场分析,服务应用特征,分领域提供服务,适应安全性、合规性、持续性等不同风险领域的审计监管需求,适应三类用户各自对于云计算服务平台建设的审计需求,适应用户个性化审计监管需求,持续提供服务,持续监控审计云服务平台建设运营状态，完整捕获云环境中的数据交互异常，识别潜在风险信息,定期向用户提供审计报告和风险预警,提供定制化服务,依据要用户需求调整监控重点