云安全方案思路20140827

北京煙草云安全建設(shè)項目——云平臺運維安全解決方案思路目標(biāo)原則設(shè)計理念技術(shù)框架規(guī)范體系預(yù)期效果目錄目標(biāo)原則現(xiàn)狀北京煙草多年信息化建設(shè)1.初步打破信息孤島，采用SOA技術(shù)，建立企業(yè)總線，通過WSETL、MQ等方式實現(xiàn)數(shù)據(jù)共享，橫縱慣通；系統(tǒng)安全數(shù)據(jù)安全尤為關(guān)鍵！2.在平臺統(tǒng)一、資源統(tǒng)一的基礎(chǔ)，正在積極構(gòu)建北京煙草私有云；云計算的落地，北京煙草整個資源將成為一個資源池，安全問題已經(jīng)從單獨的設(shè)備應(yīng)用，波及到整個設(shè)備及信息系統(tǒng)。3.移動互聯(lián)網(wǎng)在北京煙草的廣泛應(yīng)用，建立worklight平臺，移動互聯(lián)網(wǎng)的應(yīng)用越來越多，面臨如何解決移動安全。因素三個“忽視”重視安全技術(shù)，忽視安全管理重視外部防護(hù)，忽視內(nèi)部安全重視產(chǎn)品購買，忽視產(chǎn)品使用三個“缺乏”缺乏統(tǒng)一安全架構(gòu)規(guī)劃與協(xié)調(diào)缺乏信息安全組織與治理缺乏信息安全意識教育與培訓(xùn)有點無面不成體系！訪問控制SOC身份認(rèn)證監(jiān)控審計內(nèi)容安全備份恢復(fù)管理制度轉(zhuǎn)變事后安全事前安全被動安全主動安全

通過對人、行為、資源的量化管理，統(tǒng)一規(guī)范，流程再造，通過規(guī)范的運維管理，保證北京煙草私有云平臺的安全，徹底改變目前救火隊員的安全模式。方法云安全方法論

從管理、技術(shù)和運維多個層面，全面提升北京煙草信息系統(tǒng)的安全性。從網(wǎng)絡(luò)、主機、平臺、應(yīng)用、數(shù)據(jù)等層面加強防護(hù)措施，保障信息系統(tǒng)的機密性、完整性和可用性，做到行為跟蹤。事前審批事中監(jiān)控事后審計管理原則云安全管理三要素全方位全流程全要素全要素：云安全體系中的基礎(chǔ)和核心全流程：安全保障運維執(zhí)行工作的行事方法全方位：安全工作的管理手段實現(xiàn)北京煙草服務(wù)與數(shù)據(jù)的安全，有形與無形的安全。全生命周期管理技術(shù)原則云安全I(xiàn)T技術(shù)原則

平臺是IBM解決方案；was、ESB都是IBM；多家產(chǎn)品集成，盡量采用商品化軟件；適當(dāng)采用開源，非關(guān)鍵環(huán)節(jié)適當(dāng)hadoop，前臺界面界面適當(dāng)采用微軟或是設(shè)計制作。資源統(tǒng)一規(guī)范統(tǒng)一架構(gòu)開放技術(shù)簡潔垂直管理設(shè)計理念運維人|操作人安全審計安全魔方信息化資源運維|操作行為流程規(guī)范安全魔方立方體安全服務(wù)資源管理安全魔方日常運維知識庫用戶管理規(guī)范流程資源分類資源登記資源跟蹤統(tǒng)一用戶管理管理指標(biāo)統(tǒng)一授權(quán)管理證書中心強認(rèn)證管理指標(biāo)庫人資源規(guī)范映射關(guān)系事件知識庫運維知識庫合規(guī)檢查安全審計運維任務(wù)驅(qū)動事件驅(qū)動結(jié)果設(shè)備狀態(tài)監(jiān)控系統(tǒng)運行監(jiān)控人員行為監(jiān)控工作流引擎工作流執(zhí)行魔方舉例OA虛擬機擴容魔方舉例網(wǎng)站無法登陸執(zhí)行難點規(guī)范的量化流程的梳理知識庫的建立實施難點角色設(shè)定技術(shù)框架技術(shù)框架基于北京煙草現(xiàn)有技術(shù)路線設(shè)計的技術(shù)框架人員管理業(yè)務(wù)系統(tǒng)用戶的日常操作行為，本期請安成其應(yīng)用系統(tǒng)的安全規(guī)范及介入標(biāo)準(zhǔn)整個信息化運行維護(hù)，其中包括物理設(shè)備運維、中間件及平臺軟件運維以及業(yè)務(wù)系統(tǒng)的日常運行運維人員管理運維人員操作人員主管信息化及安全領(lǐng)分析決策人員，對資源、運維人以及人操作行為分析，全面了解安全級別及隱患等分析決策賬號管理認(rèn)證管理授權(quán)管理證書中心服務(wù)器證書客戶端證書強認(rèn)證雙因素認(rèn)證統(tǒng)一認(rèn)證服務(wù)ESB企業(yè)總線營銷系統(tǒng)OA系統(tǒng)專賣系統(tǒng)LDAP資源管理數(shù)據(jù)中心全部的軟件，包括網(wǎng)絡(luò)防火墻策略、操作系統(tǒng)、中間件平臺、數(shù)據(jù)庫、應(yīng)用軟件、虛擬化、以及人員行為。數(shù)據(jù)中心全部的硬件設(shè)備，包括電源、防火、網(wǎng)絡(luò)、安全、主機、機柜、存儲等等設(shè)備資源管理設(shè)備軟件運行監(jiān)控行為監(jiān)控數(shù)據(jù)中心監(jiān)控管理數(shù)據(jù)中心監(jiān)控管理資源分類管理資源維護(hù)管理資源盤點管理資源統(tǒng)一訪問ESB企業(yè)總線網(wǎng)絡(luò)安全設(shè)備操作系統(tǒng)主機服務(wù)器中間件應(yīng)用軟件規(guī)范管理政府安全法規(guī)安全管理規(guī)范資源申請流程煙草行業(yè)要求安全最佳實踐資源使用流程資源變更流程指標(biāo)庫管理魔方映射安全總線(映射管理)注冊查詢變更人員管理資源管理規(guī)范管理管理魔方工作流引擎查詢監(jiān)控系統(tǒng)查詢映射數(shù)據(jù)庫監(jiān)控管理誰的系統(tǒng)誰監(jiān)控的原則系統(tǒng)設(shè)備運行監(jiān)控機房設(shè)備監(jiān)控人員行為監(jiān)控ESB總線網(wǎng)絡(luò)設(shè)備監(jiān)控主機監(jiān)控虛擬環(huán)境監(jiān)控操作系統(tǒng)監(jiān)控中間件監(jiān)控數(shù)據(jù)庫監(jiān)控虛擬桌面堡壘機隔離RFID卡軌跡跟蹤生物技術(shù)識別機房環(huán)境監(jiān)控RFID機柜監(jiān)控RFID資產(chǎn)監(jiān)控設(shè)備監(jiān)控圖形化展現(xiàn)資產(chǎn)狀況實時定位人員位置身份卡+生物識別技術(shù)RFID標(biāo)簽RFID讀寫器天線RFID手持讀寫器TrackingServer手動掃描特例處理安裝于機房門口安裝于機柜內(nèi)安裝于吊頂內(nèi)資產(chǎn)Tag：安裝在每個設(shè)備上人員Tag：隨身攜帶應(yīng)用展示安全儀表盤立方體數(shù)據(jù)源以數(shù)據(jù)分析為主的安全儀表盤監(jiān)控數(shù)據(jù)系統(tǒng)日志BI報表工具決策儀表盤管理儀表盤監(jiān)控儀表盤ETLOLAP以流程管理為主的安全管理ESB總線服務(wù)和組件流程管理流程編排流程執(zhí)行流程監(jiān)控應(yīng)用功能IP地址修改任務(wù)OA主機巡檢任務(wù)營銷-F5宕機事件交換機宕機事件OA虛擬機內(nèi)存擴充任務(wù)營銷系統(tǒng)巡檢任務(wù)OA-01中間件宕機事件防火墻宕機事件服務(wù)目錄組件目錄規(guī)范體系規(guī)范架構(gòu)規(guī)范模型云安全規(guī)范體系私有云安全規(guī)范體系規(guī)范框架

IBM規(guī)范分類運行維護(hù)規(guī)范操作人員操作規(guī)范設(shè)備規(guī)范系統(tǒng)規(guī)范平臺規(guī)范業(yè)務(wù)系統(tǒng)終端安全北煙安全規(guī)范體系預(yù)期效果后期補充分布實施計劃實施范圍實施內(nèi)容項目方案細(xì)化以資源為核心預(yù)期效果資產(chǎn)統(tǒng)一管理安全統(tǒng)一防范服務(wù)統(tǒng)一總線數(shù)據(jù)統(tǒng)一平臺全生命周期安全生態(tài)圈北京煙草有形、無形資產(chǎn)統(tǒng)一登記、跟蹤、監(jiān)控，以及組織架構(gòu)、業(yè)務(wù)架構(gòu)、IT資產(chǎn)等，統(tǒng)一管理，構(gòu)成三全管理模式；在資產(chǎn)統(tǒng)一管理的前提下，對人、行為和資產(chǎn)進(jìn)行統(tǒng)