信息安全审计监控平台介绍

• 领衔专家
– 徐亚非：项目总负责人，高级工程师。国务院特殊津贴奖励 的信息安全专家、国家“863” 网络安全防护技术攻关课题 组带头人、国务院信息化工作办公室网络安全专家组成员、 中国国防信息化咨询专家委员会委员 – 李京春：高级工程师。曾任解放军信息安全测评认证中心总 工程师，现任国家信息技术安全研究中心总工程师，解放军 总后勤部信息化专家咨询委员会信息安全专业委员会委员， 国家信息安全风险评估推进工作专家组成员。 – 吴源俊：研究员。曾任中国电子信息标准化所所长和顾问， 现任全国信息安全标准化技术委员会 WG7组长，是中国电 子信息标准化所第一代指导企业标准化工作的开创者、实践 者。
项目已取得进展
• 信息审计监管技术“云”化 • 企业私有云审计监管平台建设
项目周期2011年6月——2013年6月
• 云审计与云安全监管标准编制
2011年 2012年 Q4 Q1 Q2 Q3 Q4 2013年 Q1 Q2
ID
1 2 3 4
制订云审计与云安全监管标准 云安全审计接口标准 云安全控制体系标准 云安全审计评价体系标准 标准体系的验证与修订
报告主要内容
项目基本信息 项目单位简介 项目建设背景 项目研发特色
项目应用前景 项目投资规划
国都兴业信息审计系统技术 (北京)有限公司
信息安全审计监管平台
云审计数据采集标准 云审计数据采集引擎 云审计数据存储中心 云审计数据策略中心 云审计数据监管中心 云审计用户服务 云审计企业服务
项目建设思路
– 云审计企业服务平台
• 根据企业需求定期发送审计记录证明 • 根据审计监管数据分析云平台建设中存在的风险，为企业用户 提供云平台改进建议
– 云安全监管服务平台
• 为监管机构提供自动化的、客观的审计监管记录，为监管部门 调整云平台建设监管要求、做出监管决策提供数据支持
项目技术特色
• 建设理念创新
– 国都兴业是云安全审计理念的引领者，是国内外首批提出从监管审计角度解决云计算服 务安全、可信、合规等问题的探路者 – 应用风险的理念管理云计算服务建设和运营中存在或者可能存在的各类问题，为提供商 、用户以及监管机构提供客观、公正的评估参考
云计算服务的安全风险
• 云计算服务存在着七大潜在风险： – 风险一：数据被未知的超级用户访问风险：无 法通过本地部署访问控制，及时发现或阻断超 级用户对数据发起的访问 – 风险二：合规性建设能力未知的风险：云计算 环境下数据被存放在企业外部，难以提供合规 性建设报告对数据安全保护能力提供证明 – 风险三：数据存储位置未知的风险：大量的基 础设施和分布式技术的部署，导致用户对数据 的真实存储位置不可知
国都兴业信息审计系统技术 (北京)有限公司
云计算风险挑战
云计算服务 特色 云计算服务 风险
云计算服务技术应用特征
• 面向大量的软硬件基础资源 • 采用虚拟化、分布式等技术手段 • 按需提供服务
云端对用户透明
• 安全性不可知 • 可信性不可知 • 合规性不可知 • 持续性不可知 • ……
信息安全的传统三大件防火墙、IDS、防病毒面对这些挑战力不从心。 审计监管将成为云应用安全的重点
开始时间
2011-1-10 2011-7-1 2012-1-10 2012-1-10
完成
2011-12-30 2012-6-21 2012-12-31 2014-12-31
持续时间
Q1 Q2 Q3
255d 255d 255d 777d
报告主要内容
项目基本信息 项目单位简介 项目立项背景 项目研发特色
项目研发优势
• 平台优势
– 国都兴业信息审计系统（北京）有限公司：专 业信息审计系统研发公司，掌握信息审计核心 技术 – 国家信息技术安全研究中心：安全专家云集， 提供云监管平台支持 – 中国电子技术标准化研究所：促进云审计相关 标准的开发与制定 – 云基地：云计算技术合作、云审计监管示范
项目研发优势
Biblioteka Baidu
项目承担单位：
牵头单位：国都兴业信息审计系统技术（北京）有限公司
合作单位：国家信息安全技术研究中心、中国电子技术标准化研究所等
国都兴业信息审计系统技术 (北京)有限公司
报告主要内容
项目基本信息 项目单位简介 项目建设背景 项目研发特色
项目应用前景 项目投资规划
国都兴业信息审计系统技术 (北京)有限公司
国都兴业信息审计系统技术 (北京)有限公司
云计算服务的安全风险
• 云计算服务存在着七大潜在风险： – 风险六：增大司法取证困难的风险：多个企业 用户共享相同的云服务，为支持针对某一个特 定用户开展的司法取证活动，从大量的、来自 不同用户的云访问日志中筛选信息，工作难度 之高，操作风险之大可以想象。 – 风险七：长期可用性保证的风险：企业用户保 存在云中的数据是否长期可用，难以得到一个 公正、可靠的风险评价。
云计算后
云应用
服务器在哪里？ 业务流程可靠 吗？ 防火墙架设了 吗？ 还有谁在和我 们在用同一台机 器？ 会不会让竞争 对手看到我们的 资料？ ？？？？？
国都兴业信息审计系统技术 (北京)有限公司
云中
数据在哪里？ 文档在哪里？ 日本有地震吗？ ？？？？
国都兴业信息审计系统技术 (北京)有限公司
云安全审计相关研究现状
• 安全、可信、合规是推进云计算研究和应用的 三大关键问题
– 形成产业联盟，合作解决云安全、可信、合规等问 题
• CSA(云安全联盟)，CCA（中国云计算联盟）,ZCA（中 关村云安全产业联盟）
– 向审计监管领域寻求云安全保护最佳实践
• 云审计理念开始起步，并逐渐被更多的云用户和提供商 认可
– 通过自动化手段持续监控云服务平台建设和运营风险 – 向用户提供监管审计服务，降低云数据安全风险 – 为提供商提供监管记录，证明安全、合规建设云平台以及提 供可信、持续云服务的能力
云安全审计相关研究现状
• 标准是保障云安全建设的必要前提
– NIST
• SP 800-144《云计算安全和隐私管理指南》 • SP 800-145 《 NIST云计算定义》
国都兴业信息审计系统技术 (北京)有限公司
报告主要内容
项目基本信息 项目单位简介 项目建设背景 项目研发特色
项目应用前景 项目投资规划
国都兴业信息审计系统技术 (北京)有限公司
云计算前与后
•企业运营成本下降 •企业运营效率提升 •企业服务、数据从内部转为外部
变迁
云计算前
国都兴业信息审计系统技术 (北京)有限公司
平台预期市场分析
• 服务应用特征
– 分领域提供服务
IaaS
• 慧眼综合审计
PaaS SaaS
项目研发优势
• 用户网络相对完善
– 项目牵头单位以及合作单位的业务用户广泛覆盖政 府、军队、金融、通信等多个机构及重点行业 – 多年来优良的产品及服务质量赢得用户群对本项目 建设单位技术水平和安全理念的认可和支持
• 开展一定程度的部署实践
– 目前本项目已经在部分用户企业中开展小型私有云 安全审计监管平台建设实践，为本项目的顺利开展 奠定了技术基础
– CSA
• 《云计算首要安全威胁》 • 《云计算关键领域安全指南v2.1》
– ISACA
• 与CSA合作开发云计算审计程序，建设云安全控制 矩阵
云计算与安全并行
• 2010年7月北京市启动实施“祥云工程行动计划” 。祥云工程旨在促进北京市战略性新兴产业在新一 轮国际竞争中形成新的优势。据了解，祥云工程已 列入“十二五”软件信息服务业和电子信息发展规 划。北京市希望经过3-5年的发展，使北京中关村成 为我国云计算研究中心和产业基地，力求云应用的 水平居于世界前列，使北京成为世界级云计算产业 基地。 • 国家发改委办公厅颁布的《关于组织实施2009年信 息安全专项有关事项的通知》中明确的将“为基础 信息网络和重要信息系统安全运行提供技术支持的 信息安全专业化服务”做为支持的重点之一。
项目单位简介
国都兴业信息审计系统技术（北京）有限公司是国 内第一家专业从事信息安全审计技术研究与产品开 发的企业，是国内信息安全审计应用的引领者。公 司在不断地探索和实践中，锤炼出了一支从事信息 安全审计的专业团队。
公司建立了信息安全审计技术体系，在信息安全审 计领域具有多项自主知识产权的技术和产品，其中 发明专利5项，软件著作权23项。
• 开发云审计标准
– 研究并云审计与云安全监管标准
• 建立云审计监管平台的标准体系 • 设计并实现云计算审计监管数据采集接口标准
• 搭建云信息安全审计监管平台 • 实施云监管审计
项目建设思路（续）
• 开发云审计标准 • 搭建云信息安全审计监管平台
– 从基础设施、系统平台、应用软件三个层面纵 深建设安全审计监管平台 – 部署两种引擎、两个中心
– 形成一系列标准为平台建设提供理论指导和规范
•
坚持技术自主
– 综合运用具有自主知识产权的技术和产品搭建平台 – 提升相关领域的技术自主研发能力 – 增强平台建设和运营的可控性
项目研发优势
• 技术产品相对成熟
– 多年致力于解决信息系统安全审计问题，在技术研 发和产品建设方面形成经验积累
• • • • • • • 慧眼网络审计 慧眼数据库审计 慧眼主机审计 慧眼业务审计 慧眼运维审计 慧眼日志审计 慧眼恶意代码审计
• • • • 云计算审计监管数据采集引擎 云计算风险分析引擎 云计算审计监管数据存储中心 云计算审计监管的策略管理中心
• 实施云监管审计
项目建设思路（续2）
• 开发云审计标准 • 搭建云信息安全审计监管平台 • 实施云监管审计
– 云审计用户服务平台
• 建立定期自动发送审计报告机制 • 提供用户自助查询审计服务机制 • 提供特色化审计要求订制服务
云计算服务 保障
客观、可信第三方审计监管
• 对云服务平台建设运营以及用户数 据访问操作监管 • 向用户提供云安全审计监管报告； • 为提供商提供安全、合规建设证明 • 为监管机构审计依据
云风险控制的杀手锏
掌控云数据存储 监控云数据访问
跟踪云数据动向 记录云数据变更
云安全需要
提供云数据审计 实现云数据监管 提升云安全感 降低云运营风险
云安全审计监管需要统一的标准
云计算服务 特色
云计算服务技术应用特征
• 面向大量的软硬件基础资源 • 采用虚拟化、分布式等技术手段 • 按需提供服务
云计算服务 风险
云端对用户透明
• 安全性不可知 • 可信性不可知 • 合规性不可知 • 持续性不可知 • ……
云服务保障 基础
形成标准规范相关建设
• 统一规范审计接口 • 构建安全评估体系 • 建立安全风险评估机制 • 规定审计要求及实施指南
国都兴业信息审计系统技术 (北京)有限公司
云计算服务的安全风险
• 云计算服务存在着七大潜在风险： – 风险四：数据隔离保护未知的风险：虚拟化技 术的运用，使用户难以获知正与哪个或者哪些 其他用户共享相同的存储或处理设备，对于提 供商在解决数据隔离保护问题方面部署措施的 有效性更是难以获得充分、可信的信息。 – 风险五：数据恢复能力不可知风险：尽管云提 供者承诺用户数据是安全的、可靠的、不会丢 失，但是由提供商给出的这个承诺的客观性和 公信力受到质疑，其真实性只能在灾难发生的 时刻得到验证
•
实现技术创新
– 在六大关键技术上进行研究、探索和突破
• 云采集分析归并技术、构建全云审计接口平台、云审计策略服务、海量存储快速检索、云数据 访问动态基线自动建立、云风险识别决策算法
•
体系化地规划平台建设
– 探索全面、协调的平台体系架构
• • 建设三大平台、两个中心、两个引擎 规范接口结构、统一审计监管要求，建设云风险评估模型和实施指南
项目应用前景 项目投资规划
国都兴业信息审计系统技术 (北京)有限公司
平台预期市场分析
• 用户群分析
– 三类使用对象
• 云计算平台使用用户 • 云计算服务提供商 • 云安全监管机构
– 用户数量庞大
• 安全、可信、合规和持续性是用户对云计算服务的 普遍担忧 • 云监管审计报告适合云服务提供商和使用用户的共 同需求
国都兴业信息审计系统技术（北京）有限公司
报告主要内容
项目基本信息 项目单位简介 项目建设背景 项目研发特色
项目应用前景 项目投资规划
国都兴业信息审计系统技术 (北京)有限公司
项目基本信息
项目名称：云计算环境下的信息安全审计监管平台 项目所属领域：新一代信息技术 \ 云计算 项目建设周期：2011年6月——2013年6月