安全架构

Copyright©2007AccentureAllRightsReserved.1安全能力蓝图设计参考框架：全面、有机的安全组件定义高阶安全保障框架为安全能力蓝图规划提供了指南，为总体架构设计提供了检查架构设计完整性、功能组件定义和选择的框架。©2007Accenture.Allrightsreserved.I-25.7安全架构框三年安全能力蓝图安全管理安全基础设施与防护安全运维应用安全I&AM服务认证服务加密服务授权服务抗抵赖服务日志服务WEB安全数据库安全目录服务无线网安全基施全设安础AAAAPKI/CA灾难备份冗余恢复物理和环境安全网站防篡改漏洞扫描集中安全审计服务器安全I&AM服务认证服务日志服务授权服务服务器防病毒补丁管理主机IDS主机安全审计终端安全终端防病毒PC防火墙补丁管理内容安全终端接入控制上网行为控制网络安全安全域划分防DDOS攻击防病毒网关网络IDS/IPSIPSEC/SSLVPN防火墙网络协议审计异常流量管理终端安全加固网络设备安全加固服务器安全加固应用系统安全加固安全策略安全组织人员安全规范和制度安全手册流程细则安全培训安全对象监控安全事件管理主动安全评估安全考核安全风险管理资产管理流程管理安全管理平台©2007Accenture.Allrightsreserved.3©版权所有,注意保密埃森哲安全能力框架Organization&PersonnelOrganizationAccountabilitySecurityEducationandTrainingPersonnelSecuritySecurityOversightInternalAuditandAssessmentExternalAuditProgramSecurityComplianceMonitoringPrivacyComplianceMonitoringStrategySecurityStrategyandMissionSecurityPlanningSecurityRiskManagementBusinessCases&BudgetingPolicy,Procedure,andStandardsPolicyFrameworkDocumentationPolicyLifeCycleManagementSecurityBlueprintandArchitectureSecurityResearchandDevelopmentSecureSoftwareDevelopmentSecurityProjectManagementBusinessContinuityPlanningDisasterRecoveryPlanningSecurityManagementOrganization&PersonnelOrganizationAccountabilitySecurityEducationandTrainingPersonnelSecuritySecurityOversightInternalAuditandAssessmentExternalAuditProgramSecurityComplianceMonitoringPrivacyComplianceMonitoringStrategySecurityStrategyandMissionSecurityPlanningSecurityRiskManagementBusinessCases&BudgetingPolicy,Procedure,andStandardsPolicyFrameworkDocumentationPolicyLifeCycleManagementSecurityBlueprintandArchitectureSecurityResearchandDevelopmentSecureSoftwareDevelopmentSecurityProjectManagementBusinessContinuityPlanningDisasterRecoveryPlanningSecurityManagementConfiguration&AssetMgmt.PatchmanagementOS&ApplicationHardeningMedia&SystemInventoryVirusUpdateProcessSystemDocumentationprocessChangemanagementprocessBusinessContinuity&DRBackupprocessDisasterRecoveryprocess&testingSystemandapplicationcriticalityDataclassificationandsensitivityTestingApplicationdevelopmentandtestingTestingofsecuritycontrolsMonitoring&ResponseLogMonitoring&AnalysisVulnerabilityAssessmentOperationalMonitoringIncidentResponseAccountManagementRegistrationActivationTerminationUsersupportPasswordmanagementSecurityProcessesConfiguration&AssetMgmt.PatchmanagementOS&ApplicationHardeningMedia&SystemInventoryVirusUpdateProcessSystemDocumentationprocessChangemanagementprocessBusinessContinuity&DRBackupprocessDisasterRecoveryprocess&testingSystemandapplicationcriticalityDataclassificationandsensitivityTestingApplicationdevelopmentandtestingTestingofsecuritycontrolsMonitoring&ResponseLogMonitoring&AnalysisVulnerabilityAssessmentOperationalMonitoringIncidentResponseAccountManagementRegistrationActivationTerminationUsersupportPasswordmanagementSecurityProcessesNetwork&PerimeterTrafficFilteringVirus&ContentControlIntrusionMonitoring&PreventionRemoteAccessIdentity&AccessMgmt.Identification&RegistrationAuthenticationAuthorization&AccessControlSecurityDataRepositoriesAdministration&ProvisioningMonitoringToolsAuditing&LoggingAnalysis&CorrelationVulnerabilityAssessmentScannersForensicsToolsPatch&ConfigurationMgmtApplicationServicesEmbeddedSecurityFunctionsIntegrationInterfacesWebServicesSecurityTransactionSecurityData&PrivacyProtectionCommunicationsEncryptionDataencryptionNon-repudiationSecureMessaging&FileTransferTechnicalSecurityArchitectureNetwork&PerimeterTrafficFilteringVirus&ContentControlIntrusionMonitoring&PreventionRemoteAccessIdentity&AccessMgmt.Identification&RegistrationAuthenticationAuthorization&AccessControlSecurityDataRepositoriesAdministration&ProvisioningMonitoringToolsAuditing&LoggingAnalysis&CorrelationVulnerabilityAssessmentScannersForensicsToolsPatch&ConfigurationMgmtApplicationServicesEmbeddedSecurityFunctionsIntegrationInterfacesWebServicesSecurityTransactionSecurityData&PrivacyProtectionCommunicationsEncryptionDataencryptionNon-repudiationSecureMessaging&FileTransferTechnicalSecurityArchitecture©2007Accenture.Allrightsreserved.xx银行信息安全框架蓝图（续）基础架构安全应用安全控制安全管理业务连续性参照信息安全最佳实践，结合银行业监管要求，以及xx银行信息安全管理的实际需求，将信息安全防护架构进行细化。网络安全主机安全物理安全PC和终端安全无线安全数据库安全安全组织安全意识和技能培训安全策略标准体系安全风险管理安全漏洞监控安全事件响应管理安全事件监控业务连续性策略业务影响分析方案制定和实施演习、维护和培训持续更新安全考核身份认证日志记录PKI服务行为抗抵赖授权控制数据加密WEB安全©2007Accenture.Allrightsreserved.信息安全管理与信息技术的一体化蓝图信息安全组件/解决方案政策、程序、步骤企业信息安全指引,信息安全操作标准程序与步骤环控设备储存媒消磁柜网络取存管理(NAC)Log搜集入侵防护(FW,IDP,AF/W)数字数据版权IAM弱点管理(系统,程序代码)4.信息安全管理系统(ISMS)5.管理阶层责任6.ISMS的内部稽核7.ISMS的管理阶层审查8.ISMS的改进A.6信息安全的组织A.5信息安全政策A.15合规性A.14业务连续性管理A.7资产管理A.8人力资源安全A.9物理与环境安全A.10通讯与操作管理A.11取存控制A.12系统发展与维护A.13信息安全事故管理治理管理操作A.10.10.1稽核日志A.10.10.2监视系统的使用A.10.10.4管理者与操作者日志A.10.10.5错误日志A.13.1.1通报信息安全事件A.13.1.2通报安全弱点A.13.2.3证据的收集A.15.2.1安全政策与标准的合规性A.15.2.2技术合规性查核指引回报DLP恶意软件整体解决方案远程连网与虚拟专用网内容传输安全存取与识别管理5©2010，德勤华永会计师事务所有限公司©2007Accenture.Allrightsreserved.业务流程应用系统数据库管理操作平台网络环境物理环境信息安全不仅有「技术」，需要结合「营运现况」及「信息技术」，作为信息安全风险管理的架构：机房、交换器、路由器、网络布线、电信讯号等防火墙、IDS、负载平衡、流量监控、通讯协议等操作系统（如：Windows2000、UNIX主机等）访问控制、数据库、数据库效能及数据模型与DW等各类支持前后台业务的应用系统等信息应用金融行业Know-How、内部营运程序、产品／服务事件监控技术解决