欢迎来到天天文库
浏览记录
ID:50280562
大小:2.07 MB
页数:44页
时间:2020-03-11
《安全域划分与策略制定.ppt》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、安全域划分与策略制定1安全域设计原理3安全改造2安全策略及规范目录安全域设计原理思路、方法安全域的定义网络安全域:指同一系统内根据信息的性质、使用主体、安全目标和策略等元素的不同来划分的不同逻辑子网或网络,每一个逻辑区域内部有相同的安全保护需求、互相信任、具有相同的安全访问控制和边界控制策略,且相同的网络安全域共享一样的安全策略。安全域:安全域是由在同一工作环境中、具有相同或相似的安全保护需求和保护策略、相互信任、相互关联或相互作用的IT要素的集合。安全域设计原理以业务为中心,以业务安全为根本出发点基于业务数据流、数据处理活动从各种
2、业务功能、管理、控制功能出发,梳理其数据流、刻画构成数据流的各种数据处理活动/行为,分析数据流、数据处理活动的安全需求;基于业务信息系统的结构,根据目标和安全需求进行安全域防护策略设计和优化;基于业务系统外部环境、总体安全防护策略要求进行防护规范设计。安全需求→安全策略→安全域划分→防护规范安全域设计原理安全需求来自于三个方面政策、法规、标准及规范:SOX、COSO、ITIL、等保、27001等等系统风险控制:风险评估业务属性安全:来自于?业务数据流程安全域设计原理业务属性安全要求分析业务数据流程管理/控制数据流程业务数据处理活动业
3、务功能管理/控制功能业务数据流程管理/控制数据处理活动数据流数据处理活动业务层面管理/控制层面技术层面调研评估思路安全域设计原理业务需求安全分析的基本单元:数据处理活动数据处理活动模型:用户角色、访问策略、过程、数据/信息安全域设计原理功能类型业务功能管理功能控制功能信息系统中的数据类型业务/用户数据管理数据控制数据信息系统{业务功能、管理功能、控制功能}{业务数据、管理数据、控制数据}安全域设计原理功能和数据的分布分析安全域设计原理安全需求分析步骤信息系统刻画安全域设计原理安全需求分析步骤信息系统刻画信息系统分析安全域设计原理安全
4、需求分析步骤信息系统刻画信息系统分析安全需求分析安全域设计原理信息系统模型支撑域网络域计算域用户域安全域基本类型安全域设计原理安全域细分何处入手?网络域?计算域?用户域?支撑域?安全域划分的依据?如何把握分寸?数据应用系统终端网络安全域设计原理安全域划分依据导致安全需求、安全策略差异化的因素考虑。一般包括现状结构、威胁、目标要求等。不同的安全域基本类型具有不同的差异化因素。思路:结构、功能、数据流、数据处理活动、威胁安全域划分要求安全域单元层次功能简单、边界清晰、便于定级和防护及策略部署;安全域集合的层次规范及优化网络结构、应用结构
5、、系统结构;便于进行纵深和有效防护;便于进行数据流(业务)隔离和控制;便于规范和优化安全域的边界通信;系统层次清晰刻画系统边界;覆盖了系统内的所有IT要素;符合管理组织架构。安全域设计原理计算域设计依据保障业务安全,优化结构系统结构:Browser/WEB/APP/DB、Client/APP/DB、Agent/Broker/Server、Peer/Proxy/Peer、B/S、C/S、Peer/Peer层此模型安全域设计原理实际的系统结构一般是这些应用结构的集合体计算域子域安全域设计原理用户域依据?功能,数据,用户主体,位置分析功能
6、本地远程内部用户第三方用户内部用户第三方用户业务本地内部业务远程内部业务管理本地内部管理本地第三方管理远程内部管理安全域设计原理支撑域依据?功能和服务,安全呢?合规呢?运行维护中心或系统管理中心(OMC/SMC)、网络管理中心(NMC)、安全服务中心(SOC)安全、合规需求,细分的依据CA、安全保护、监测与相应部分对等等安全域设计原理网络域依据?结构?层次?安全域设计原理分布式系统安全策略及规范安全策略及规范安全管理审计制度安全策略制定与参考模型思路识别和分析目标环境识别和分析安全威胁确定安全需求(安全服务及其强度)规划安全保护策略
7、规划安全防护规范安全模型PPDRRFIAARCWPDRR网络安全防护体系系统安全防护体系应用安全防护体系数据安全防护体系安全技术体系安全组织方面安全管理方面安全管理体系安全技术体系安全技术体系身份鉴别访问控制安全审计系统保护入侵防范恶意代码防范系统资源控制结构安全网络访问控制拨号访问控制网络安全审计边界完整性检查网络入侵防范恶意代码防范网络设备防护数据完整性数据保密性数据备份和恢复身份鉴别访问控制安全审计通信完整性通信保密性抗抵赖软件容错资源控制代码安全网络安全防护体系系统安全防护体系应用安全防护体系数据安全防护体系典型安全技术机制
8、安全预警安全评估:安全评估服务、漏洞扫描设备安全防护身份认证:双因素动态口令认证访问控制:防火墙、ACL防病毒终端管理:网络准控、补丁管理安全加固抗拒绝服务安全监控入侵监测:NIDS、HIDS日志审计:系统日志审计系统、行为审计系统应
此文档下载收益归作者所有