我理解的安管平台PPT课件

我理解的安管平台,网络中心刘媛,1,.,一、信息安全发展的三个阶段,2,.,信息安全发展的三个阶段,信息安全的发展随着网络建设经历了三个阶段：一是防病毒、防火墙+IDS部署的初级阶段,3,.,二是随着各种业务的信息化推进，对信息安全产生巨大的需求，包括网关防护、安全审计管理、终端安全和应用安全，大量的使用区域边界防护、脆弱性扫描、用户接入控制等技术，此时的安全技术纷繁复杂，包括防护、监控、审计、认证、扫描等多种体系，称为安全建设阶段。,4,.,信息安全发展的三个阶段,三是随着业务高度信息化，信息安全管理成为信息建设的必要组成部分，把分散的安全设备、安全策略、安全事件进行统一管理、统一运营，称为安全管理阶段，最典型的就是综合性的安全管理中心(SecurityOperationCenter)SOC的建设。,5,.,信息安全发展的三个阶段,安全管理中心是安全技术“大集成”过程中产生的,6,.,二、安全管理中心,7,.,安全管理中心是安全技术“大集成”过程中产生的安全管理平台（习惯上称之为SOC）就是把各式各样的设备（网络设备-交换/路由，安全设备-防火墙/IPS，系统设备-win/linux）中的日志信息收集过来，经过SOC系统的处理与分析，在海量数据中挖掘出对于用户来说重要的、危险的、有用的信息。,8,安全管理中心,.,安全管理平台以IT资产及业务为核心，以安全事件管理为关键流程，采用安全域划分的思想,建立一套实时的风险模型，实现对各类资产和业务的信息采集、关联分析、日志审计、事件监控、流量分析、网络攻击防范、态势感知、安全预警和快速响应，做到“集中监控、统一管理、全面分析、快速响应。,9,安全管理中心,.,安全管理中心在安全体系中的地位,第一层：系统自身安全,第二层：安全产品防护,第三层：统一风险管理,.,安管平台是信息安全神经中枢,安全管理平台（securitymanagement）在国内外有多种多样的称呼：SIM安全信息管理中心（securityinformationmanagement）SIEM安全信息与事件管理平台（securityinformationeventmanagement）SOC安全运营中心（securityoperationcenter）总之其目的是管理安全相关的信息。这里的“信息”，通俗一点说就是日志信息和性能监控信息。,11,.,三、安管平台的起因分析,12,.,安管平台的起因分析,网络安全产品都存在一定局限性。比如防火墙是一种用来加强网络之间访问控制的互联设备，它对网络之间传输的数据包依照一定的安全策略进行检查，以决定通信是否被允许，从而达到保护内部网络的信息不被外部非授权用户访问，过滤不良信息的目的。,13,.,安管平台的起因分析,但是，防火墙并非万能，NIST(美国国家标准与技术研究院NationalInstituteofStandardsandTechnology)就对它做出了客观评价，指出其主要不足：(1)由于防火墙要保证信息安全，采取了很多访问控制机制，从而限制了用户称心如意的服务访问；(2)防火墙不能对抗私有网络中的后门；(3)现在的防火墙很少保护来自内部的攻击。,14,.,安管平台起因分析,入侵检测系统被认为是整个系统中的最后一道防线。入侵是指任何试图危害资源的完整性、保密性和可用性的活动集合，入侵检测就是检测入侵活动，并采取对抗措施。IDS按照数据来源可分为基于主机的IDS和基于网络的IDS。,15,.,安管平台起因分析,基于主机(Host-based)的IDS关键技术是从庞大的主机安全审计数据中抽取有效数据进行分析。基于网络的IDS(Network-basedIDS，NIDS)则一般通过监视网络上的流量来分析攻击者的入侵企图，它存在如下主要缺点：,16,.,安管平台起因分析,(1)易受欺骗。NIDS不能抵御Insertion、Evasion的欺骗和攻击,由于NIDS与受监视的系统对网络事件的理解不完全一致，因此易受欺骗；(2)易受拒绝服务攻击(DoS)。NIDS为了不漏掉攻击，需要尽可能对每一个包进行检测，这样攻击者向内部网发送大量需要NIDS处理的包时，便造成NIDS拒绝服务；(3)当NIDS失效时也失去了对网络的监视,因此当它遭到DoS攻击后,网络也处于不安全的状态；(4)没有能力控制外部网对内部网的访问。,17,.,安管平台起因分析,鉴于主流网络安全产品的这些不足，出现了在通用入侵检测模型的框架下建立一个集成防火墙和入侵检测系统的模型，体现了对网络安全产品集成的思想。其它类似的网络安全产品也不能从整体上解决目前的网络安全问题。因此有必要研究新的网络安全管理技术，能够在一个统一的安全管理平台下对各种网络安全产品实施统一配置、统一策略、统一日志和统一报告，以便动态分析评估网络状况，对平台下集成的所有安全产品实施相应策略，共同确保整个网络系统安全。,18,.,19,海量安全事件需要花费维护者很多时间和精力，因此系统需要具备主动性和智能性，对系统内重要信息的安全状态进行重点监控、科学分析，从而快速有效定位非法事件，使工作人员从繁杂的评估工作中解放出来。,每日多达上千万的事件量重复告警误报真实情况无法反映管理员负担严重缺乏优先级缺乏智能分析工具,.,安管平台的起因,在SOC的管理体系中，将所有的安全产品和事件通过统一界面关联起来，给管理者提供工具，把日常的分析过程通过机器自动化的方式来帮助管理员完成大部分的工作。而安全管理员和系统管理员只要注重针对性的分析，日常的繁琐工作都可以通过智能去完善。,20,.,安管平台的起因,SOC大大缩短了响应的时间，把一些无用、根本不存在的、“误报”的攻击抛弃掉，可视化的界面很容易让每个人都能参与到安全建设当中，同时也让可以明了自己的安全状态。也就是说，在复杂的安全管理中，SOC构筑的是一个动态的、持续性的管理。,21,.,四、安管平台建设覆盖范围,22,.,安管平台覆盖范围1)主机：Unix主机、Windows主机；2)数据库：Oracle、Sqlserver；3)中间件：weblogic、websphereMQ、tomcat；4)存储设备5)网络设备：路由器、交换机等；6)安全设备：防火墙、入侵检测、IPS等7)安全管理系统：防病毒、终端管理等；8)主要应用系统：财税重要业务系统、网络管理系统,23,.,五、安管平台的架构,24,.,25,安管平台总体架构图,安全管理平台由监控中心、分析中心、处理中心和安全资源库组成。,.,安管平台架构,监控中心收集全网IT资源的运行状态和它们产生的事件信息，进行统一实时监控。监控中心产生的各类告警信息可以送入处理中心触发事件响应流程,各种IT资源的状态和事件信息可以送入分析中心,为进一步进行安全态势分析及风险评估提供数据。,26,.,安管平台架构,分析中心将收集到的数据进行关联分析、挖掘,发现隐藏在独立事件背后的规律与事实；通过风险评估过程和风险计算方法实现风险的定量计算,获得可衡量的安全风险,并进行相应的风险控制；让监控人员对业务系统安全状况有明确感知。,27,.,安管平台架构,处理中心引入成熟的业务处理流程去响应风险,消减风险,并帮助管理人员建立一套例行化、常态化的风险管理机制。,28,.,安管平台架构,安全资源库包括知识库、资产库、漏洞库、补丁库、策略库、规则库、辅助决策库、关联场景库、经验库、人员库、组织机构库等。安全资源库存储了安全管理平台正常运转所需的基础数据。对于安全管理平台而言,应该具备安全资源库信息的维护功能,例如增删改查、安全知识的管理等等,29,.,安管平台的系统组成与功能,30,.,安管平台的系统组成与功能特点安管平台是由中央策略管理软件集中智能管理的，集成了防病毒、防火墙、入侵检测系统等功能各异的网络安全产品的开放式平台。通过分析我们认为平台应由以下几大基本模块组成:(1)协议标准集(2)中央策略管理软件(3)各种网络安全产品(4)平台需要的硬件产品,31,.,安管平台的系统组成与功能特点(1)协议标准集：包括一组公开的API(ApplicationProgrammingInterface,应用程序编程接口)和一组工业标准接口和协议，API由于隐藏了协议和网络中的复杂技术可使编程工作变得较为简单；而工业标准接口和协议则提供详细的规范保证多厂商产品之间的互操作性和认证标准。(2)中央策略管理软件：这是平台的核心，应该具有统一管理、综合评估决策、统一调动各安全部件的功能，它的编制水平决定了平台所表现出的综合性能。,32,.,安管平台的系统组成与功能特点(3)各种网络安全产品：包括网管系统、防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、访问控制系统、CA系统、集中风险评估系统等。(4)平台需要的硬件产品：包括即插即用的安全平台、互联网设备、服务器等。,33,.,安管平台的系统组成与功能特点这些模块中最重要的是中央策略管理软件，它的作用就在于避免安管平台仅仅是安全产品的堆积，从而充分发挥各集成产品的作用，并使它们能够联动互操作，最终起到1+12的作用。,34,.,安管平台的系统组成与功能特点网络安全需要综合解决方案，木桶原理在网络安全领域同样适用：网络安全最薄弱之处就好比木桶上那块最短的木板，也就是黑客攻击的首选之处，所以就要求网络安全各方面防护措施强度应相对平衡。况且随着网络安全威胁的加强和用户安全需要的增加，依靠单一的防范产品已经很难解决现有的网络安全问题，于是综合了多种安全产品和安全策略的安管平台应运而生。,35,.,建设安管平台需要实现的管理功能,36,.,建设安管平台需要实现的管理功能,37,1)实时对网络设备、服务器、安全设备、数据库、中间件、应用系统的安全状况进行统一监控；2)采集安全事件和日志信息，进行整合和关联分析；3)评估安全风险；4)审计用户行为；5)产生安全事件告警；,.,建设安管平台需要实现的管理功能6)接收并处理相关单位发来的安全预警；7)生成各种安全报告并及时进行应急响应；8)进行安全知识管理；9)确保相关系统的业务持续运行，协助管理人员排除安全隐患和安全故障；10)为相关部门的信息安全审计和考核提供技术手段和依据，实现全网的安全集中监控、审计和应急响应，全面提升企业的信息安全保障能力。,38,.,安管平台应具备的功能,(1)高度安全可靠性：保证网络边界到网络内部的高安全性，同时还要保证内部从桌面到桌面的传输的安全，并且系统中的设备间还要建立高强度安全通道。(2)高性能：不仅要使平台中每个安全产品良好地发挥自身的核心功能，还要尽量减小无关系统开销以提高系统整体性能。(3)高扩展性：平台可实现与各种安全设备之间的互通与联动，对新出现的安全技术和产品也保留了开放的扩展接口。,39,.,安管平台应具备的功能,(4)高可控性：平台能够对应用范围内的产品进行基本配置，并具有良好的信息收集功能，能够收集各集成安全产品的告警事件、系统日志等数据，这些数据经平台中央策略管理软件综合分析输出，使用户能在整体上掌握系统的综合安全状况。(5)良好的互操作性：平台要能实现应用范围内的安全产品间的互操作，这也是目前的技术难点。,40,.,安管平台与网管平台,41,.,安全管理与网管系统的关系,安全管理阶段把信息安全推演到核心的业务安全这一新的台阶，为业务提供持续性保障BCM(BusinessContinuityManagement)成为安全评价的重点。网络的建设中，网络管理中心NOC(NetworkOperationCenter)的发展起到重要的作用，那么新兴的安全管理中心SOC与网络管理中心NOC是怎样的关系呢？,42,.,安全管理与网络管理,一种观点认为SOC就是安全设备的运营管理，无非是增加一些安全特性的管理与策略，SOC是NOC的一个组成部分。但是网络管理本身也需要安全管理的支持，安全管理中心不仅要保障网络支撑系统的安全，还要为业务应用提供安全保障，比如身份认证、授权系统等基础安全设施。从功能的角度看，SOC应该是NOC与业务管理的共同支撑系统，比如NOC中的日常维护，同样要接受SOC中人员身份确认、安全行为审计的管理。,43,.,安全管理与网络管理,44,1、SOC与NOC一起成为IT服务基础设施规划的重点，网络管理侧重系统本身的管理，为业务提供通路；安全管理侧重业务安全的保障，解除外来的与内部的威胁，两者的信息是互通的，只是实现技术与管理重点不同。2、安全管理是从业务发生的起点到业务完成的整个生命周期的安全保障。,.,安管平台不等于SOC,45,.,安管平台不等于SOC,在国际上，对SOC的一般性描述定义为一支团队在一个相对固定的场所内，按照既定的流程和方法对网络基础设施及其承载的业务安全运行状况进行持续的监测与维护。显然，SOC（SecurityOperationsCenter，安全运营中心）包括了人、处所、管理对象、管理的方法、流程和工具。SOC更多地的是指代一个处所，就类似XX信息中心，XX网络中心，看到这类称呼首先想到的应该是一个大楼，然后是一个组织机构。其实，不管国内国外，对于SOC的定义都是一样的，国内的定义也是如上所述。,46,.,安管平台不等于SOC,而安全管理平台的定义，一般性的指以资产为核心，以安全事件处理为关键流程，以安全风险管理为指导的一个面向信息资产的安全运行监测、风险度量和安全运维的技术平台。安全管理平台更多的指代的是SOC中的技术和工具部分的内容。如果说SOC有PPT（人、流程和技术）三部分的话，安管平台仅仅是其中的T，甚至连T的全集都盖不住。SOC中的T不仅是一个平台，还有一组配套的工具包。,47,.,安管平台不等于SOC,总而言之，安管平台不等于SOC！你可以将安管平台理解为SOC的一个部分，SOC的技术支撑平台。很不幸，在SOC引入中国的过程中，由于误解和简化，渐渐的将两者等价了起来。现在我们有时候直接称呼安管平台为SOC，我想这也没有什么，只要明白他们的真正差别，怎么说都进行。,48,.,安管平台不等于SOC,解决信息安全问题不应仅从技术方面着手，同时更应加强信息安全的管理，通过建立正规的信息安全管理体系，系统地解决信息安全问题。现在，SOC的传统定义也在发生改变，SOC指代的固定处所也变得不是那么明显，有人提出了VirtualSOC的概念；而安管平台的传统定义也在发生变化，但是无论如何，安管平台不等于SOC，未来也是如此。,49,.,SOC的发展,50,.,SOC的发展,第一代SOC,由事件/信息收集器演变而来的。作为信息集中管理的平台，多数厂家只是支持自己的产品日志格式，国内都定义为：日志收集器。国内安全/网络设备生产厂家都有各自的日志收集器，并附带管理自己设备的功能；,51,.,SOC的发展-第二代SOC,由于第一代SOC能做到的工作只是收集信息，并不能对其收集的各项事件信息进行分析和处理，所以第二代SOC在2005年左右在各厂家兴起。其核心技术就是加入了国外流行的概念：关联分析；关联分析的核心技术是“状态机”：通过定义资产信息和分析事件状态的变化来对信息进行深入的分析和对攻击/异常行为的判断。,52,.,关联分析,安管平台中众多的安全产品产生了海量事件,如果不对这些数据进行合理处理,管理员将无法得到整个平台的总体安全态势,难以做出正确的决策或应急响应，因此对安全事件进行关联分析是非常重要的。通过关联分析，找出安全设备上报的安全事件之间的相关程度(这些事件已经规范化为统一格式，也叫范式化)，挖掘出有效信息,剔除虚假、重复的告警信息，发现潜在威胁告警。,53,.,关联分析,关联方法运用于安管平台的关联模块，算法设计的好，就能够准确定位告警来源，重构整个攻击场景，从而提高告警信息的利用率，降低误报率，并帮助管理员分析出系统存在的安全隐患。,54,.,关联分析,现有的关联分析算法有基于概率相似度的关联方法、基于机器学习的关联方法、基于Bayesian分类器的关联方法及基于先决条件的关联方法等。,55,.,关联分析,基于机器学习的关联方法只能对存在于线程中的数据进行关联,无法对未知数据进行关联,导致最后的分析结果存在较大的误差。基于Bayesian分类器的关联方法虽然时效性很好,但关联需要的知识依赖于知识库,无法获得计算所需的先验概率和条件概率。这两种算法无法满足安全管理平台中安全设备产生的大量告警和多样性告警的关联分析。,56,.,关联分析,基于概率相似度的关联方法是一种实时的关联分析方法,利用相似度计算的方法来对事件进行关联。这种关联方法对事件关联的过程如下:1)计算事件不同属性间的相似度。2）当新的事件到来时,与已有的安全事件的相应属性值进行比较,计算两者之间的相似度3）如果新事件与已有事件相似度超过了设定的阈值，则认为它们是相似的,将其融合到已有安全事件中区;若未超过设定的阈值,则作为新的事件加入到已有事件中。,57,.,关联分析,基于先决条件的关联方法一次成功的入侵通常需要一系列的行为来完成,这些行为之间往往不是相互独立的,他们相互关联,前面行为的成功入侵产生的结果是后面行为发生的必要条件。通过对较早发生安全事件的行为的结果和较晚发生安全事件的行为的先决条件进行比较,对两个安全事件进行关联。,58,.,关联分析,可以将先进的算法进行混合，优化计算和匹配的效率，应用与海量的告警数据处理。,59,.,SOC的发展-第三代SOC从现实情况来看，第二代SOC并没有得到国内大部分用户的认可和信任。于是，第三代SOC的诞生引起了大家的兴趣。在原有第二代SOC的基础之上，各厂家纷纷对SOC进行了“改装”，有的加入了网络管理模块，有的加入运维管理模块，还有的加入各式各样能嵌入的信息系统，导致现在第三代SOC越来越庞大，越来越臃肿。其中大肆宣传的概念从“关联分析”转变为“业务导向”。为了商业目的，捆绑所有的模块（“AllInOne”），在项目中限制竞争对手。最后第三代SOC能否成功只有通过时间和客户来验证了。,60,.,安管平台的关键技术,61,.,安管平台的关键技术-联动互操作,联动互操作功能是指在安管平台集成的产品之间，当某一产品根据一定的策略侦测到了某些安全事件，若该安全事件可以通过修改另一产品的安全策略或访问规则等来解决，则联动互操作功能可以通过安管平台自动修改另一产品的策略或规则，并且用户可以从界面看到这种联动互操作的发生。,62,.,安管平台的关键技术-联动互操作,联动互操作在平台上有两种功能需求：(1)与安全设备无关的联动互操作功能：这类联动互操作是指当安全设备之间没有通信渠道时，安管平台将收集到的某一设备的安全事件，根据安管平台的配置功能完成针对该事件的策略信息，形成对另一安全设备的配置或更改，通过安管平台本身的配置信息流对安全设备进行配置。,63,.,安管平台的关键技术-联动互操作,2)安全设备相关的联动互操作：这类联动互操作是指某些安全设备之间原本已具有一定的联动能力，能根据某设备发生的安全事件，对另一设备进行配置或配置更改。此时，平台的联动互操作性已通过安全设备自行解决，安管平台只负责实时收集具有联动互操作能力的安全设备各自对该事件的数据，以及针对事件的配置信息等数据,并进行关联。,64,.,安管平台的关键技术-联动互操作,联动互操作功能充分体现了安管平台的技术水平。良好的联动互操作性可以较好地形成资源整合以组成网络安全体系，从整体上避免木桶效应的产生，它还能在最大程度上保障用户利益，根据用户需要调整、建设安全的网络系统。当网络改造时，还可以通过模块的增减完成安全功能的升级，避免了一体化结构可能造成的功能浪费。,65,.,安管平台的关键技术-联动互操作,从技术角度看，联动互操作帮助安全体系有效组合并提升性能。例如防火墙与防病毒联动，可以提供网关查杀病毒能力，保证了内部系统与外部网络信息流的纯洁性；防火墙与认证系统联动，将认证与防火墙剥离，可以采用专有设备完成身份认证工作，提高了认证的可靠性与安全性，也减轻了防火墙的负担；防火墙与入侵检测系统联动，使防护体系由静态到动态，提升了防火墙的机动性和实时反应能力，也增强了入侵检测系统的阻断功能等。,66,.,安管平台的关键技术-联动互操作,联动互操作能力的强弱体现了安管平台的技术水平，由于其牵涉的技术较为复杂，使得它仍然成为安管平台中的最大技术难点。,67,.,安管平台的发展趋势和建议,68,.,69,安管平台的发展趋势与建议,一、平台集成商采用不同厂商的优秀安全产品优化组合构成自己的安管平台，这种做法在集成了最优秀的安全产品的