信息安全实验室集中安全管理平台

集中安全管理平台 Global Security Management Center(GSMCenter) P C E A 中国计算机软件与技术服务总公司 信息安全博士后科研工作站 信息安全实验室 2004-06-11 中国软件第一品牌 世界知名软件企业 Infosec Innovation Laboratory Chinasoft Corporation Limited 2内容安排 第一部分：需求分析 第二部分：技术方案 第三部分：中软安全实验室 结束语 第一部分：需求分析 中国软件第一品牌 世界知名软件企业 Infosec Innovation Laboratory Chinasoft Corporation Limited 4 信息化呼唤信息安全（ OA， E-gov， E-biz) 安全意识增强（媒体、商家、威胁的驱动下） 病毒入侵提高了人们对安全的重视程度 安全技术与产品的广泛应用 (防火墙、入侵检测、身份认证、防病毒 ) 对安全系统进行配置和管理 对安全事件进行应急响应 定期检查日志（操作系统、应用系统、安全系统） 安全问题越来越得到重视 中国软件第一品牌 世界知名软件企业 Infosec Innovation Laboratory Chinasoft Corporation Limited 5安全组件的复杂性困扰着管理者 安全组件种类、数量越来越多，布控的规模越来越大；（数量） 不能有效的保证企业统一安全策略的一致性；（策略） 分散地对安全系统的策略配置管理越来越麻烦；（配置） 人工地对多个安全系统的大量日志进行审计、分析流于形式；（日志） 大量的模糊安全事件存在，不能有效的确定一个真正的安全事件；（事故 ） 对于真正的安全事件（事故）如何做到规范、快速的处理 ；（应急响应） 中国软件第一品牌 世界知名软件企业 Infosec Innovation Laboratory Chinasoft Corporation Limited 6 如何对企业安全策略进行统一管理？ 如何将企业统一安全策略规则化到每一个安全组件中去？ 如何对全部安全组件进行集中的统一配置和管理？ 如何对安全组件的互动关系进行管理和配置； 如何对全部安全组件的安全事件进行集中的审计、分析和报告？ 如何对安全事件进行统一的应急响应管理？ 解决方案 集中安全管理平台 有效的解决办法就是建立集中安全管理平台，实现安全策略、系统配置、安全事件、应急响应的集中管理。 第二部分：技术方案 中国软件第一品牌 世界知名软件企业 Infosec Innovation Laboratory Chinasoft Corporation Limited 8技术方案 整体结构设计 功能 结构 部署 安全策略管理平台设计 PD 功能设计 结构设计 系统配置管理平台设计 CM 功能设计 结构设计 安全事件审计平台 EA 功能设计 结构设计 安全事故应急响应中心 AR 功能设计 结构设计 系统安全设计 关键技术研究 集中安全管理平台 Global Security Management Center,GSMCenter 安全策略管理 系统配置管理 事件审计管理 应急响应管理 P C E A 整体结构设计 GSMCenter 中国软件第一品牌 世界知名软件企业 Infosec Innovation Laboratory Chinasoft Corporation Limited 10 概述 企业信息与网络系统安全策略统一管理（ 安全策略 ）； 安全设备与安全系统配置的集中管理（ 系统配置 ）； 安全设备与系统的日志的集中审计、分析与报告（ 安全事件 ）；以及 实现企业安全事件应急响应管理（ 应急响应 ）的综合平台。 集中安全管理平台是 中国软件第一品牌 世界知名软件企业 Infosec Innovation Laboratory Chinasoft Corporation Limited 11 主要功能 集中管理企业统一的安全策略（ Policy）。 即通过统一的平台，对系统内的安全设备与系统的安全策略进行管理，实现全系统的安全策略的统一配置、分发与管理。 集中管理全部的安全设备与系统配置（ Configures and Options）。 即管理企业网络系统所有的安全设备与系统，实现安全设备与系统的集中管理，起到安全网管的作用。在统一的管理平台上，配置、管理全网安全设备与系统的配置和参数。 集中管理安全事件和日志（ Events） 。 通过统一的技术方法，将全系统中的安全日志，安全事件集中收集管理，实现日志的集中、审计、分析与报告。同时，通过集中的分析审计，发现潜在的攻击征兆和安全发展趋势。 集中管理安全事件的应急响应流程（ Accidents）。 安全事件 /事故处理流程管理，处理过程的监督管理。确保任何安全事件 /事故得到及时的响应和处理。 中国软件第一品牌 世界知名软件企业 Infosec Innovation Laboratory Chinasoft Corporation Limited 12 安全系统的四个核心安全要素 P C E A PD - Policy Director - 安全策略管理平台 CM - Configure Manager - 安全配置管理平台 AR - Accident Responsor - 安全事故响应中心 EA - Events Auditor - 安全事件审计平台 集中安全管理平台系统 (GSMCenter， SOC) M 中国软件第一品牌 世界知名软件企业 Infosec Innovation Laboratory Chinasoft Corporation Limited 13 系统构成 安全知识库KMis 日志 /事件 /事故 数据库 Events/Accidents 集中安全管理平台 GSMCenter 系统配置管理平台 GSCManager 安全事件应急响应中心 GSAResponsor 安全策略管理平台 GSPDirector 安全事件审计平台 GSEAuditor 安全组件 信息资产 信息库 ASMan 基于 PKI技术 CA认证中心 Global Security Policy Director 安全策略起草 策略修改 策略维护 策略培训 生命周期保障 安全策略管理平台 P GSPDirector 分项系统设计 1 中国软件第一品牌 世界知名软件企业 Infosec Innovation Laboratory Chinasoft Corporation Limited 15 安全策略文档 安全策略发布 安全策略修正 安全策略版本控制 安全策略模板 基于 Web发布 安全策略的规则化 主要功能 中国软件第一品牌 世界知名软件企业 Infosec Innovation Laboratory Chinasoft Corporation Limited 16 GSPDirector 安全策略创建 安全策略编辑 安全策略发布 安全策略培训 安全策略模板 基于 Web访问 安全策略规则化 安全策略管理流程 中国软件第一品牌 世界知名软件企业 Infosec Innovation Laboratory Chinasoft Corporation Limited 17 安全策略管理平台 PD 安全策略管理平台 广域网 IE IE IE 管理员 策略培训、修改 安全运行中心 安全策略 数据库 系统配置管理平台 安全策略管理平台 Policy 区域信息中心 安全配置管理平台 Global Security Configure Manager, GSCManager 安全策略管理 系统配置管理 事件审计管理 应急响应管理 C GSCManager 分项系统设计 2 中国软件第一品牌 世界知名软件企业 Infosec Innovation Laboratory Chinasoft Corporation Limited 19 配置提出（制定） 配置讨论 配置修改 配置修改审核 配置发布 教育培训 查询统计 跟踪部署 打印控制 主要功能 中国软件第一品牌 世界知名软件企业 Infosec Innovation Laboratory Chinasoft Corporation Limited 20 系统配置管理平台 广域网 IE IE IE 管理员 培训、修改 安全运行中心 配置和选项 数据库 系统配置管理平台 Configures 区域信息中心 Options 系统配置管理中心 CM 安全事件审计平台 事件收集 冗余处理 事件关联分析 事件可视化处理 综合审计报告 趋势分析 E GSEAuditor Global Security Event Auditor， GSEAuditor 分项系统设计 3 中国软件第一品牌 世界知名软件企业 Infosec Innovation Laboratory Chinasoft Corporation Limited 22 集中安全管理平台的最重要组成部分 集中的收集安全事件 集中收集安全事件； 不同时间、不同区域、不同安全组件； 网络设备、系统、应用系统； 集中的综合分析安全事件 过滤、规整、综合分析安全事件信息； 减少冗余事件信息，分析出真正的安全事件 ； 集中的安全事件报告 综合分析报告； 安全现状报告； 安全趋势报告； 集中的安全事件预警 集中预警分析； 区域间预警信息发布； 时间域预警信息发布。 主要功能 中国软件第一品牌 世界知名软件企业 Infosec Innovation Laboratory Chinasoft Corporation Limited 23 安全设备 /软件 防火墙，病毒，入侵检测，完整性检查，认证系统 , etc 网络设备 路由器，交换机，拨号服务器 操作系统 NT/2000, UNIX 专用设备 Cache, Mail, RMON Probe, UPS 应用程序 DNS, WEB server, Arcserver, 服务监控系统， etc. 网管系统 HP OV, cisco works, CA TNG, BMC patrol, etc. 安全事件源 中国软件第一品牌 世界知名软件企业 Infosec Innovation Laboratory Chinasoft Corporation Limited 24 标准支持 syslog trapd（ SNMP v3） OS Agent 运行在 OS（ NT, UNIX） 监视运行进程 监视指定的日志文件内容 发出告警 （ syslog, trapd） 特殊 agent 各种网管系统 各种应用系统 各种安全组件 安全事件收集方式 中国软件第一品牌 世界知名软件企业 Infosec Innovation Laboratory Chinasoft Corporation Limited 25 Syslog/trapd 数据分析 规则文件处理 综合分析（ 核心算法 ） 原始事件 安全事件源 安全事件过滤、规整与分析 真正的安全事件 中国软件第一品牌 世界知名软件企业 Infosec Innovation Laboratory Chinasoft Corporation Limited 26 安全事件关联分析（核心） 减少事件数量 确定事件根源 基于时间的时间关联分析 （时序事件规约） 基于部署结构（地域）的事件关联（地址转换事件规约） 基于知识的事件关联 分析（协议深度关联事件分析） 中国软件第一品牌 世界知名软件企业 Infosec Innovation Laboratory Chinasoft Corporation Limited 27 安全事件报告与预警 预警信息 取证信息 安全事件综合分析报告系统； 基于 Web界面； 报告设计器，客户化的、可定制的报告形式支持； 按严重程度报告 按时间段报告 按系统功能报告 按对象报告 按地区报告 综合分析报告 安全现状报告 安全趋势报告 中国软件第一品牌 世界知名软件企业 Infosec Innovation Laboratory Chinasoft Corporation Limited 28 安全事件报告（事件可视化） 中国软件第一品牌 世界知名软件企业 Infosec Innovation Laboratory Chinasoft Corporation Limited 29 安全事件审计平台的结构 Siswitch UNIX/NTServer+ agent Routers Firewall IDS console 防病毒 服务器 Syslogd/trapd EVENTS 事件审计平台 事件 数据库 审计报告 Web client 响应 Center 网络备份 服务器 应急响应中心 事件源 安全运行中心 安全事故应急响应中心 事故接收与处理流程开始 事故处理工单分发 事故处理过程学习 事故处理过程跟踪 事故处理方法登录 知识库 资产信息库 A GSAResponsor Global Security Accident Responser, GSAResponsor 分项系统设计 4 中国软件第一品牌 世界知名软件企业 Infosec Innovation Laboratory Chinasoft Corporation Limited 31 事故处理流程管理； 事故分发管理；（确定响应工程师） 事故处理过程交互管理；（过程交互） 事故处理状态控制与管理（状态监控）； 资产信息库查询（事故定位）； 知识库查询（处理技术方法信息）； 事故处理报告管理；（回登处理过程、方法等信息） 自我服务（基于 Web的帮助系统） 主要功能 以安全事件开始的事故处理 按照事件的严重程度和影响的业务定义安全事故 安全事件类型确定安全事故类型 中国软件第一品牌 世界知名软件企业 Infosec Innovation Laboratory Chinasoft Corporation Limited 32 GSARCenter 工作流支持平台： AR system 事故处理系统： Help Desk 通过 Web使用 help desk ： GSARCenter Web 事故处理的服务质量： GSARCenter SLA 资产管理系统集（快速定位故障）： ASMan 知识管理系统： KMis 系统组成 中国软件第一品牌 世界知名软件企业 Infosec Innovation Laboratory Chinasoft Corporation Limited 33 安全事故中心结构 Web 安全事件审计平台 IE 工作流 事件通知单 事故应急响应平台 （基于工作流的管理） 支持工程师 事项请求 安全主管 厂商支持 SMS gateway 支持工程师 多种告知方式 事件处理备案 数据库 应急响应中心 G 知识库 信息资产信息库 系统本身安全设计 安全设计 中国软件第一品牌 世界知名软件企业 Infosec Innovation Laboratory Chinasoft Corporation Limited 35 集中安全管理平台必须建立自身的用户身份认证机制 ， 确保集中安全管理平台操作安全 。 对系统的使用者进行管理：分权 、 分级管理 ， 用户被分为超级用户 ，安全管理员 ， 操作员三个级别 ， 不同级别的用户 ， 赋予不同的权限 。 集中安全管理平台启动和关闭都需要经过身份认证 ， 只有合法用户 ，适当的使用权限的用户 ， 才能启动或操作系统不同的功能 。 系统必须对用户身份认证失败进行处理 ， 三次失败后 ， 系统退出 ，并记录日志 。 系统的工作过程 ， 必须记录在日志数据库中 。 基于 PKI技术的 CA中心的对接； 证书介质： IC卡 。 强身份认证机制 中国软件第一品牌 世界知名软件企业 Infosec Innovation Laboratory Chinasoft Corporation Limited 36 集中安全管理平台应设计加密机制 ， 保护相关文件 集中安全管理平台的设计与开发过程中 ， 必须涉及系列加密技术 ，保护相关文件 。 集中安全管理平台必须采用数字签名的加密技术保护系统的主要执行文件； 集中安全管理平台必须采用数字签名的加密技术保护系统的主要数据文件 、 配置文件 、 日志文件 。 基于 PKI技术的 CA中心的对接； 证书介质： IC卡 。 事件数据库加密保护机制 中国软件第一品牌 世界知名软件企业 Infosec Innovation Laboratory Chinasoft Corporation Limited 37 集中安全管理平台的设计开发必须保证系统通讯过程的安全 ， 无论是 B/S模式 ， 还是 C/S模式 ， 必须采取下列方法保证通讯安全： 通信双方通信会话的建立 ， 必须经过认证 ， 如采取证书方式认证； 必须采取安全的通信协议 ， 如： SSL,SSH,SHTTP等协议 ，建立通信关系； 通信过程中 ， 通信数据必须是加密的 ， 禁止以明文方式在网上传输 。 系统组件间通信安全机制 中国软件第一品牌 世界知名软件企业 Infosec Innovation Laboratory Chinasoft Corporation Limited 38 集中安全管理平台必须建立严格的日志记录机制 ， 记录系统启动与关闭情况和系统工作情况 。 集中安全管理平台必须采取对系统的配置文件 、 临时文件 、 工作数据文件 、 日志文件进行了加密处理 ， 增强系统的安全性 。 系统工作文件安全机制 关键技术研究 关键技术研究 中国软件第一品牌 世界知名软件企业 Infosec Innovation Laboratory Chinasoft Corporation Limited 40 安全管理，协议是关键 集中安全管理协议 ,Security Management Protocol, SMP 实现安全组件的集中管理与监控的前提条件就是通信协议 ， 我们将它称为 “ 安全组件交互通信协议 ” ， 这一协议和基于这一安全协议的管理代理程序的研究与开发是本系统实现的关键技术 。 SNMP Syslog 自定义协议 SSL/SSH API 集中安全管理协议研究 中国软件第一品牌 世界知名软件企业 Infosec Innovation Laboratory Chinasoft Corporation Limited 41 安全策略作为文档，如何在系统中进行表述？ Security Policy Rules, SPR 安全策略的规范描述定义和表示是系统进行集中策略管理的核心 本项研究将详细研究并且予以实现 。 安全策略规范定义研究 中国软件第一品牌 世界知名软件企业 Infosec Innovation Laboratory Chinasoft Corporation Limited 42 如何从大量的事件中 ， 综合分析出真正的安全事件 E 事故 A 集中安全事件审计 、 分析 、 报告技术； (Auditor) 集中的日志收集和审计 、 分析与报告是日志管理的关键 。 传统的日志分析方法是对单一日志进行简单统计与汇总分析 ， 本平台系统的日志来源广泛 ，他们来源于不同的主机与设备 、 不同的网段 。 对这些日志的相关性分析是准确把握安全事件的关键 ， 也是准确分析安全事件的基础 。 趋势分析 。 安全事件关联性分析技术研究 Events 事件关联分析 Accidents 中国软件第一品牌 世界知名软件企业 Infosec Innovation Laboratory Chinasoft Corporation Limited 43 安全运行中心 SOC最终界面 PD CM EA AR SOC 第三部分：中软安全实验室 中国软件第一品牌 世界知名软件企业 Infosec Innovation Laboratory Chinasoft Corporation Limited 45 中软安全实验室简介 信息安全博士后科研工作站 多年来积累了丰富的技术和经验 承担了大量的国家攻关项目 为党、政、军和企事业单位提供了大量的技术服务和优秀产品 集研究、开发、生产于一体 大批经验丰富的工程技术人员 由博士、博士后、硕士组成的强大的科研开发能力。 目前专业技术人员 40名，正在不断扩充。 先后研制了 11个自主知识产权的产品 拥有先进的开发、测试设备 标准化的开发管理 中国软件第一品牌 世界知名软件企业 Infosec Innovation Laboratory Chinasoft Corporation Limited 46 物理安全 应用安全 网络安全 系统安全 层次性 动态性 可管理性 生