信息安全保障管理平台的构架与技术实现课件

1、信息安全保障管理平台的构架与技术实现,1,沉静的力量 可信的保障,Quiet Strength Trusted Assurance,运筹泰合 决胜千里,开放、全方位、客户化的可信安全保障管理平台,信息安全保障管理平台的构架与技术实现,2,可信信息安全保障管理平台,北京启明星辰信息技术有限公司安全咨询中心 咨询总监 赵呈东01062149966280,信息安全保障管理平台的构架与技术实现,3,什么是信息安全？”的演化,数据保密,系统安全,网络安全,信息安全,信息保障,信息安全保障,信息安全保障管理平台的构架与技术实现,4,可信是保障的概念延续,信息保障（信息安全保障） 信息保障包含信息安全、信息

2、完整、信息有效 保障：信心的等级 (Degree of Confidence) 可信的概念 如果一个实体的行为总是以预期的方式发生， 那么说这个实体是可信的。 行为和行为的结果总是预期和可控的,信息安全保障管理平台的构架与技术实现,5,目前主流的可信计算思路,基本思想是认为从一个初始的“信任根”出发，在可信计算的环境下的每一次转换，都保持和传递这种可信而不破坏 也就是信任根和信任链（信任树,信息安全保障管理平台的构架与技术实现,6,可信管理平台的可信架构要求,全局性地整合各个部件的安全能力 全局性地展示整个系统的安全状况 关键字,信息安全保障管理平台的构架与技术实现,7,命名,一个比较流行的名

3、字：SOC SOC是Security Operation Center的简称 中文名称“安全运营/管理中心” 主要强调运营问题，对于其他管理问题涉及比较少 一个比较恰当的名字：TMP 可信信息安全保障管理平台 简称：可信管理平台 Trusted Management Platform-TMP,信息安全保障管理平台的构架与技术实现,8,TMP需求来源,大系统的管理 海量数据（事件） 实际安全工作和高层要求脱节 信息安全目标 全局的可控性/统辖性 风险管理的时效性要求 生物和光电的鸿沟 针对当前突出的信息安全问题 针对最常出现的安全事件 针对专业安全人员的不足 信息安全保障需要量化的管理数据,信息

4、安全保障管理平台的构架与技术实现,9,定位：三观安全论的中观/宏观,宏观,微观,中观,SOC,TMP,信息安全保障管理平台的构架与技术实现,10,定位：27号文的九项任务中的监控体系,系统等级保护和风险管理 基于密码技术的信息保护和信任体系 网络信息安全监控体系 应急处理体系 加强技术研究，推进产业发展 法制建设、标准化建设 人才培养与全民安全意识 保证信息安全资金 加强对信息安全保障工作的领导，建立健全信息安全管理责任制,TMP,TMP,信息安全保障管理平台的构架与技术实现,11,定位：大事件爆发的转折点控制,Advisory typically released,TMP,信息安全保障管理平

5、台的构架与技术实现,12,定位：实时风险评估的系统,TMP,TMP,TMP,TMP,TMP,TMP,信息安全保障管理平台的构架与技术实现,13,定位：整体框架的运营支撑环节,TMP,TMP,信息安全保障管理平台的构架与技术实现,14,定位：主要针对的管理类,TMP,TMP,TMP,TMP,TMP,TMP,信息安全保障管理平台的构架与技术实现,15,定位：PDR技术功能中的DR,TMP,TMP,TMP,信息安全保障管理平台的构架与技术实现,16,资源和配置管理,DaR结构,检测 Detect,分析analyze,响应 Response,检测知识库,分析知识库,响应规则库,显示 visualize

6、,报告 report,信息安全保障管理平台的构架与技术实现,17,TMP的（平面）功能体系结构示意图,信息安全保障管理平台的构架与技术实现,18,TMP关键技术及其实现,信息安全保障管理平台的构架与技术实现,19,TMP关键技术及其实现,信息安全保障管理平台的构架与技术实现,20,数据收集类,安全状态类信息的采集 漏洞扫描系统 风险评估结果的导入 安全事件类信息的采集 IDS 防火墙 防病毒 网络设备和主机操作系统日志 应用系统日志 其他安全设备,信息安全保障管理平台的构架与技术实现,21,数据收集类-典型产品支持表,防火墙系统 Checkpoint NG, NGAI and Provider

7、/1; Cisco PIX; NFR Netscreen; Secure Computing Sidewinder G2,入侵监测系统 启明星辰天阗IDS， Enterasys Dragon, ISS RealSecure, Cisco Secure IDS(v3:POP; v4:RDEP); Snort; Symantec Manhunt; nCircle IP360,信息安全保障管理平台的构架与技术实现,22,数据收集类-典型产品支持表,防病毒系统 Sophos; Symantec Corporate (Norton); McAfee ePO; Trend Micro,漏洞扫描系统 启明星

8、辰天镜Scanner; eEye Retina; nCircle IP360; Nessus; ISS Scanner,； Foundstone Foundscan,信息安全保障管理平台的构架与技术实现,23,数据收集类-典型产品支持表,网管系统 HP OpenView; MicroMuse NetCool; CA UniCenter ； IBM Tivil CISCO WORKS,其他 Windows Event Log; UNIX Syslog; Tripwire; Apache, IIS, iPlanet 启明星辰天清拒绝服务防御系统 SNMP； SNMP Traps,信息安全保障管理平

9、台的构架与技术实现,24,数据收集类安全信息收集,Universal Agent提供新增设备的标准化，通过UA接口能够开发暂时不支持的安全设备，提供系统新增报表、设备安全等级变更，同时通过Java和XML接口降低开发新增代理的技术需求,信息安全保障管理平台的构架与技术实现,25,数据收集类范式化,信息安全保障管理平台的构架与技术实现,26,TMP关键技术及其实现,信息安全保障管理平台的构架与技术实现,27,关联分析,基于规则的事件关联 漏洞关联分析 基于统计的关联分析,信息安全保障管理平台的构架与技术实现,28,漏洞关联分析,信息安全保障管理平台的构架与技术实现,29,统一预警,在综合风险评估

10、的基础上，用户呈现形式为以下两种：实时的风险计算和定期的风险报表，能够根据资产/域风险的状况，对资产/域进行评级并将最后的量化的风险归结到5个风险级别： 红色：表示安全域处于高风险状态，需要立即进行处理； 橙色：表示安全域处于较高风险状态，需要及时进行处理； 黄色：表示安全域面临一定的风险，需要关注； 蓝色：表示安全域处于较为安全的状态； 绿色：表示资产几乎未受到任何威胁，处于安全状况,信息安全保障管理平台的构架与技术实现,30,TMP关键技术及其实现,信息安全保障管理平台的构架与技术实现,31,TMP关键技术及其实现,信息安全保障管理平台的构架与技术实现,32,显示报告类功能,Web门户 集

11、成可视化显示 客户化综合报告,信息安全保障管理平台的构架与技术实现,33,实时监控显示,实时监控内容 监控对象、事件类型、风险级别（5级）、发生时间、源地址、目标地址、协议类型、时间间隔等 显示方式 拓扑链接图 GIS地理图 交互式图表 设备状态视图,信息安全保障管理平台的构架与技术实现,34,报表管理,提供可靠的报告功能，其特性包括事件级和行政级报告（预置250种模型）。 系统可对逐个个案或多组个案生成个案报告。系统可为管理人员和行政主管人员轻松生成个案监控和汇总报告。 除了文字总结还可以用清晰直观的图形化方式将报表呈现给用户,信息安全保障管理平台的构架与技术实现,35,TMP关键技术及其实现,信息安全保障管理平台的构架与技术实现,36,可信管理平台的发展路线,漏洞管理,清单式资产管理,事件监控,告警管理,配置管理,策略配置符合性,域资产管理,业务行为监控,任务管理,工作流管理,可信信息安全保障,合规性 管理,威胁,保障,资产,风险管理,静