云安全方案思路20140827

1、北京煙草云安全建設項目云平臺運維安全解決方案思路目標原則設計理念技術(shù)框架規(guī)范體系預期效果目錄目標原則現(xiàn)狀北京煙草多年信息化建設1.初步打破信息孤島，采用SOA技術(shù)，建立企業(yè)總線，通過WS ETL、MQ等方式實現(xiàn)數(shù)據(jù)共享，橫縱慣通；系統(tǒng)安全數(shù)據(jù)安全尤為關(guān)鍵！2.在平臺統(tǒng)一、資源統(tǒng)一的基礎，正在積極構(gòu)建北京煙草私有云；云計算的落地，北京煙草整個資源將成為一個資源池，安全問題已經(jīng)從單獨的設備應用，波及到整個設備及信息系統(tǒng)。3.移動互聯(lián)網(wǎng)在北京煙草的廣泛應用，建立worklight平臺，移動互聯(lián)網(wǎng)的應用越來越多，面臨如何解決移動安全。因素 三個“忽視” 重視安全技術(shù)，忽視安全管理 重視外部防護，忽視內(nèi)

2、部安全 重視產(chǎn)品購買，忽視產(chǎn)品使用 三個“缺乏” 缺乏統(tǒng)一安全架構(gòu)規(guī)劃與協(xié)調(diào) 缺乏信息安全組織與治理 缺乏信息安全意識教育與培訓有點無面 不成體系！訪問控制SOC身份認證監(jiān)控審計內(nèi)容安全備份恢復管理制度轉(zhuǎn)變事后安全事前安全被動安全主動安全 通過對人、行為、資源的量化管理，統(tǒng)一規(guī)范，流程再造，通過規(guī)范的運維管理，保證北京煙草私有云平臺的安全，徹底改變目前救火隊員的安全模式。方法云安全方法論 從管理、技術(shù)和運維多個層面，全面提升北京煙草信息系統(tǒng)的安全性。從網(wǎng)絡、主機、平臺、應用、數(shù)據(jù)等層面加強防護措施，保障信息系統(tǒng)的機密性、完整性和可用性，做到行為跟蹤。管理原則云安全管理三要素全要素：云安全體系中

3、的基礎和核心全流程：安全保障運維執(zhí)行工作的行事方法全方位：安全工作的管理手段 實現(xiàn)北京煙草服務與數(shù)據(jù)的安全，有形與無形的安全。技術(shù)原則云安全IT技術(shù)原則 平臺是IBM解決方案；was、ESB都是IBM；多家產(chǎn)品集成，盡量采用商品化軟件；適當采用開源，非關(guān)鍵環(huán)節(jié)適當hadoop，前臺界面界面適當采用微軟或是設計制作。資源統(tǒng)一資源統(tǒng)一規(guī)范統(tǒng)一規(guī)范統(tǒng)一架構(gòu)開放架構(gòu)開放技術(shù)簡潔技術(shù)簡潔垂直管理垂直管理設計理念安全審計安全魔方資源管理安全魔方日常運維知識庫用戶管理規(guī)范流程資源分類資源登記資源跟蹤統(tǒng)一用戶管理管理指標統(tǒng)一授權(quán)管理證書中心強認證管理指標庫事件知識庫運維知識庫合規(guī)檢查安全審計運維任務驅(qū)動事件驅(qū)

4、動設備狀態(tài)監(jiān)控系統(tǒng)運行監(jiān)控人員行為監(jiān)控工作流引擎工作流執(zhí)行魔方舉例OA虛擬機擴容魔方舉例網(wǎng)站無法登陸執(zhí)行難點規(guī)范的量化流程的梳理知識庫的建立實施難點角色設定技術(shù)框架技術(shù)框架基于北京煙草現(xiàn)有技術(shù)路線設計的技術(shù)框架人員管理業(yè)務系統(tǒng)用戶的日常操作行為，本期請安成其應用系統(tǒng)的安全規(guī)范及 介入標準整個信息化運行維護，其中包括物理設備運維、中間件及平臺軟件運維以及業(yè)務系統(tǒng)的日常運行運維運維人員操作人員主管信息化及安全領分析決策人員，對資源、運維人以及人操作行為分析，全面了解安全級別及隱患等分析決策賬號管理認證管理授權(quán)管理證書中心服務器證書客戶端證書強認證雙因素認證統(tǒng)一認證服務ESB企業(yè)總線營銷系統(tǒng)OA系統(tǒng)

5、專賣系統(tǒng)LDAP資源管理數(shù)據(jù)中心全部的軟件，包括網(wǎng)絡防火墻策略、操作系統(tǒng)、中間件平臺、數(shù)據(jù)庫、應用軟件、虛擬化、以及人員行為。數(shù)據(jù)中心全部的硬件設備，包括電源、防火、網(wǎng)絡、安全、主機、機柜、存儲等等設備設備軟件運行監(jiān)控行為監(jiān)控數(shù)據(jù)中心監(jiān)控管理數(shù)據(jù)中心監(jiān)控管理資源分類管理資源維護管理資源盤點管理資源統(tǒng)一訪問ESB企業(yè)總線網(wǎng)絡安全設備操作系統(tǒng)主機服務器中間件應用軟件規(guī)范管理政府安全法規(guī)安全管理規(guī)范 資源申請流程煙草行業(yè)要求安全最佳實踐資源使用流程資源變更流程指標庫管理魔方映射安全總線(映射管理)注冊查詢變更人員管理資源管理規(guī)范管理管理魔方工作流引擎查詢監(jiān)控系統(tǒng)查詢映射數(shù)據(jù)庫監(jiān)控管理誰的系統(tǒng)誰監(jiān)控的

6、原則系統(tǒng)設備運行監(jiān)控機房設備監(jiān)控人員行為監(jiān)控ESB總線網(wǎng)絡設備監(jiān)控主機監(jiān)控虛擬環(huán)境監(jiān)控操作系統(tǒng)監(jiān)控中間件監(jiān)控數(shù)據(jù)庫監(jiān)控虛擬桌面堡壘機隔離RFID卡軌跡跟蹤生物技術(shù)識別機房環(huán)境監(jiān)控RFID 機柜監(jiān)控RFID資產(chǎn)監(jiān)控設備監(jiān)控 圖形化展現(xiàn)資產(chǎn)狀況 實時定位人員位置 身份卡+生物識別技術(shù) RFID標簽RFID讀寫器天線RFID手持讀寫器Tracking Server 手動掃描 特例處理 安裝于機房門口 安裝于機柜內(nèi) 安裝于吊頂內(nèi) 資產(chǎn)Tag：安裝在每個設備上 人員Tag：隨身攜帶應用展示安全儀表盤立方體數(shù)據(jù)源以數(shù)據(jù)分析為主的安全儀表盤監(jiān)控數(shù)據(jù)系統(tǒng)日志BI報表工具決策儀表盤管理儀表盤監(jiān)控儀表盤ETLOL

7、AP以流程管理為主的安全管理ESB 總線服務和組件流程管理流程編排流程執(zhí)行 流程監(jiān)控應用功能IP地址修改任務OA主機巡檢任務營銷-F5宕機事件交換機宕機事件OA虛擬機內(nèi)存擴充任務營銷系統(tǒng)巡檢任務OA-01中間件宕機事件防火墻宕機事件服務目錄 組件目錄規(guī)范體系 規(guī)范架構(gòu)規(guī)范模型云安全規(guī)范體系私有云安全規(guī)范體系規(guī)范框架 IBM規(guī)范分類預期效果后期補充 分布實施計劃 實施范圍 實施內(nèi)容 項目方案細化 以資源為核心預期效果l北京煙草有形、無形資產(chǎn)統(tǒng)一登記、跟蹤、監(jiān)控，以及組織架構(gòu)、業(yè)務架構(gòu)、IT資產(chǎn)等，統(tǒng)一管理，構(gòu)成三全管理模式；l在資產(chǎn)統(tǒng)一管理的前提下，對人、行為和資產(chǎn)進行統(tǒng)一的安全防范，提升北京煙草的安全等級 ；l云