体系化推进企业安全操作管理工作.ppt

问题 安全管理中心是一个产品 还是一个解决方案 还是一个完整的体系 怎么定位安全管理中心 安全安全管理中心主要承载的业务功能是什么安全管理中心的建设思路 有什么经验教训 案例 安全管理中心与其他系统的关系借助安全管理中心的工作推进思路 PresentationIdentifierGoesHere 1 2 体系化推进企业安全工作 李本 Presenter sTitleHere PresentationIdentifierGoesHere 概要 PresentationIdentifierGoesHere 3 总体定位 1 业务功能 2 系统关系 3 案例分析 4 工作推进 5 规范依据 1 ISO27001的ISMS体系框架 PresentationIdentifierGoesHere 4 访问控制系统发展及维护信息安全事故管理运营持续性计划符合性 安全政策管理与组织资产管理人力资源安全实体与环境安全通讯及操作安全 规范依据 2 ISO13335 PresentationIdentifierGoesHere 5 PresentationIdentifierGoesHere 5 背景思路 1 PresentationIdentifierGoesHere 6 企业IT系统 背景思路 2 PresentationIdentifierGoesHere 7 防火墙 IDS 主机 身份管理 扫描器 防毒 异常流量 安全管理需求 安全资产管理策略 安全风险评估策略 防病毒管理策略 安全事故处理流程 许可使用策略 问题管理流程 业务连续性管理 安全技术产品 安全工作的困惑 就安全谈安全以风险管理为具体工作导向风险是一个看不见摸不着说不清的东西就通用规范谈安全机械套用理论模型难于落地安全体系建设纯技术化过多依赖与产品功能没有万能的产品安全考核指标绝对化建了这么多系统怎么还出事用什么来衡量和评价安全工作 PresentationIdentifierGoesHere 8 安全运维管理工作的思考 安全保障 管理 能力是IT保障 管理 能力的一部分安全治理是IT治理的一个重要构成安全指标治理是安全管理工作的有效推进手段事件指标治理 安全合规指标治理 操作行为审计管理同比指标 环比指标 各系统 体系 之间的比对指标SOC不是一个即插即用的家电级产品SOC不是一个可批量生产的解决方案套餐三分产品 七分建设建设过程中需要甲乙方共同进行大量基础工作三分建设 七分运维运维人员 运维作业计划和流程 运维知识库 PresentationIdentifierGoesHere 9 概要 PresentationIdentifierGoesHere 10 总体定位 1 业务功能 2 系统关系 3 案例分析 4 工作推进 5 安全管理的工作框架 PresentationIdentifierGoesHere 11 SOC的三大业务功能及其关系 安全监控 合规管理 操作行为审计实现对信息系统全生命周期的安全控制设计 实施 运行 退服全周期的安全控制实现事前 事中 事后的全面安全管理事前检查 事中监控 事后分析改进 PresentationIdentifierGoesHere 12 SOC与整体安全工作的关系 全层面的安全技术防护体系四层模型 查漏补缺实现安全业务管理日常化流程 制度 队伍的建设业务支撑平台逐步建立IT系统的安全知识库合规检查规则库标准事件库关联规则库等 PresentationIdentifierGoesHere 13 安全监控 1 安全监控解决事中安全事件的全程监测解决事后安全问题原因的分析问题安全监控的覆盖范围全范围 全技术手段的监测安全监控主要参考的标准ISO13335模型 安全监控 2 安全监控的难点监什么测什么监测范围 手段的落实以什么标准监测监测规则监测的分析算法关联分析规则安全监控系统的建设开放式的规则库以满足情况发展的需要安全监控与安全管理维护工作的结合 安全监控工作落实思路 第一阶段 梳理与准备 目标 为落实安全监控技术平台 做好技术 管理 流程等方面的铺垫 做到掌握现状 确认关键点 做好必要的补足工作 内容 架构梳理与监控点确认已有安全子系统及平台功能及接口确认必要的信息源 安全产品 补足 做好安全监控工作的基础前提 第二阶段 平台搭建 目标 涵盖从铁道部到路局 车站三级结构下的试点单位完成安全监技术平台的搭建使平台具备完备的安全事件 漏洞 变更情况的全面集中监控功能 内容 基础监测系统的搭建关联分析推进系统融合及客户化的定制条件 要有相对充分的接入数据源要监控到基础设施性的设备 包括必要的安全设备 网络和主机设备 第三阶段 体系建设 目标 建立安全监控体系的策略与制度 以及相应的标准化规范内容 监测体系的策略与制度完善标准化库的建立关联分析的深化条件 各类产品事件 漏洞的梳理和标准化工作需各厂家配合同期需要建设时钟同步系统 第四阶段 优化推广 目标 在全面融合和标准化基础上 形成持续性规则库的补充和完善机制在安全监控系统基础上 利用平台形成维护工作的安全监管形成对事件发生路径的全程跟踪 追溯内容 试点工作的全面推广监控工作考核体系的完善包括 风险KPI和考核KPI的定制深度的优化和定制更为全面的关联分析及事件路径历史记录和分析条件 监控管理 组织和维护体系的基本建立依赖网络全程的事件监测 异常流量 行为审计等产品的部署和提供充分数据源 第五阶段 运行维护 目标 建立和健全安全监控平台的运行维护服务体系内容 通过自身制度和流程确立监控体系的运行和维护机制通过外包服务方式对安全监控平台系统进行日常的运行维护 通过外聘专家服务或者与专业合作伙伴长期合作方式 加强安全监控体系全面的管理和维护 安全监控工作 请参考附件的文档体系安全合规监控的特定场景应用主机进程监控 PresentationIdentifierGoesHere 23 24 合规管理 1 检查基础架构和流程 合规检查 报告 检视风险状况并补救问题 补救 监控并验证已尽责任 定义 确定风险并制定策略 技术控制 管理面板 审计报告 风险评估 风险加权的补救 流程控制 策略和控制 25 合规管理 2 与监控和合规相关的安全知识库 26 预定义关联规则IP监视列表 IPWatchList 动态变化包括蠕虫 恶意IP地址和僵尸网络地址攻击关联数据库 AttackCorrelationDatabase 标准化 Normalization 定义码 将第三方特征码映射成Symantec的特征码39 662Entries漏洞数据库 VulnerabilityDatabase 13 700Entries配置缺陷数据库 Exposuredatabase 641Entries恶意代码数据库 Maliciouscodedatabase 最常见和最近的Viruses MalwareandSpyware6 021Entries AttackDB MaliciousCodeDB ExposureDB VulnerabilityDB MaliciousIPDB 27 基于业界标准的安全合规检查策略 周期性 自动化的控制及分析流程 28 安全管理的三个阶段 29 识别风险尽早处理 SOXPCI DSSISO27001BASEL企业自有规范 帐户权限变更日志 法规 配置策略 事先评估加固 事后审计 发现违规行为及时恢复 阻挡恶意入侵和非法访问 零日攻击违规操作入侵防护操作控制 合规性检查 事中控制 安全性防护 调度任务合规报告修补建议 实时监控 系统监控文件监控权限跟踪 结果审计 用户行为执行命令配置修改文件修改 及时报警 主控台报警邮件通知SNMPTrap 事前评估的实现 30 1 安全策略 2 基于策略基准对系统设定和配置进行详尽的检查 3 详尽的符合性报告 TechnicalControlsandStandards Servers 应用平台 4 修复 事中监控和事后审计的实现 31 Agent Agent 安装在主机上代理程序 文件 注册表 审计信息 操作系统日志 应用系统日志 实时事件 监控管理服务器 主控台报警邮件通知SNMPTrap Agent 运维平台SSIM 历史日志 监控 合规与知识库 1 32 33 监控 合规与知识库 2 34 监控 合规与知识库 1 DeepSightcontent Exposure relatedtoSpamemail 操作行为审计 35 口令猜测系统层面针对不同账号进行口令猜测系统层面针对同一个账号进行口令猜测时间违规用户系统层面非计划时间内变更审计用户网络层面非计划时间内变更审计来源违规面地址段登录生产和测试网段的网络设备桌面地址段登录生产和测试网段的网络设备并更改配置发现桌面地址段到生产和测试网段的成功访问行为访问路径违规绕过USP系统直接登录操作系统用户通过USP登录目标系统后二次跳转行为绕过网络运维平台登录网络设备并更改配置绕过网络运维平台在ACS的账号登录网络远程VPN用户接入后绕过USP登录主机远程VPN用户绕过网络运维平台登录网络设备更改配置用户高危操作用户USP高危操作行为用户敏感操作用户USP敏感操作行为 内部合规性审计 概要 PresentationIdentifierGoesHere 36 总体定位 1 业务功能 2 系统关系 3 案例分析 4 工作推进 5 SOC与其他系统的关系 网管系统OSI的经典概念 性能管理 故障管理 计费管理 配置管理 安全管理ITSM系统 PresentationIdentifierGoesHere 37 安管系统 ITSM系统 网管系统1 网管与安管系统 安管系统与网管系统有相近也有区别安管系统需要处理大量的疑似报警网管系统的告警大多可直接准确定位网管系统的故障告警需要各专业人员处理安管系统的事件告警需要进行准确的筛选分析经常是归并类 趋势类告警安管系统可以与账号口令管理系统及其他安全管理系统集成网管系统与业务网元结合紧密 PresentationIdentifierGoesHere 38 概要 PresentationIdentifierGoesHere 39 总体定位 1 业务功能 2 系统关系 3 案例分析 4 工作推进 5 案例分析 1 经验足够的原始事件源全面的原始事件信息事件收集和关联分析手段运维作业计划运维操作手册运维知识库安全监控和运维人员安全运维和管理机构安全运维和管理考核指标 PresentationIdentifierGoesHere 40 案例分析 2 移动以ISMP 安全管控平台的技术结构推进安全管理工作相关的规范和试点以安全监控 安全合规检查工作思路落实安全管理工作相关的作业计划和指示库联通以宏观管理指标的方式推进安全管理事件源IDS 防毒系统各省排名同比 环比等某银行 PresentationIdentifierGoesHere 41 案例分析 3 移动某省网管系统主机进程监控集团 周期性监控主机中的恶意软件 进程监控是一个常用的办法 正常运行的系统进程状态应该是稳定的UNIX主机进程监控白名单进程甄别后确定例外进程告警僵尸进程告警Windows服务器进程监控白名单进程例外进程告警 PresentationIdentifierGoesHere 42 案例分析 进程监控系统 43 部署一台进程监控系统 通过交换机与各业务系统连接 并有一台监控终端连接进程监控系统进行实时监控 案例分析 进程监控功能展示 44 OracleSshdPsSyslogcron root localhost PS A28583 00 00 00oracle28586 00 00 13sshd28589 00 02 57ps28591 00 00 01syslog28595 00 03 01cron 进程监控系统 告警 监控到WAP业务系统主机10 195 9 19新增异常进程 请核查 操作系统 AIX进程名称 telnetd root localhost PS A28583 00 00 00oracle28586 00 00 13sshd28589 00 02 57ps28591 00 00 01syslog28595 00 03 01cron28596 00 05 02telnetd 白名单列表 1 2 3 案例分析 监控端仪表盘 45 过去30天告警处理情况按照状态显示趋势图24小时告警数量top1024小时内被监控服务器发现告警top10过去30天告警数量top10过去30天内被监控服务器发现告警top10过去30天未关闭告警过去30天中新建 处理中 待处理 案例分析 告警监控界面 46 实时监控系统可以实时监控各被管服务器的进程状态 一旦发现异常进程 立刻告警 刷新间隔1分钟采集到告警时间1分钟内灵活设置告警内容系统告警内容可以根据客户需求进行自定义 案例分析 进程白名单设置 47 系统内置命令集系统内置各操作系统常用命令集灵活设置系统可以针对所有服务器设置一个白名单 也可以为每个服务器设置一个白名单列表 批量导入为便于系统快速部署 系统支持对白名单信息的批量导入和导出功能 列表编辑跟踪系统可以跟踪白名单列表从新建到使用所有编辑历史过程 案例分析 进程告警分析策略设置 1 48 系统内置分析策略系统内置部分分析策略灵活设置系统可以针对所有服务器设置一个分析策略 也可以为每个服务器设置一个分析策略 导入 导出为便于系统快速部署 系统支持对分析策略的导入和导出功能 分析条件设置系统可以设置详细的分析条件 案例分析 进