SOC安全运维平台.ppt

1、信息安全管理与运维,电话615 手机邮件：guo_ 网址：,安全推进应用.服务提升安全,郭志峰,信息安全现状 国内外信息安全政策法律 常见的信息安全问题？ 安全运营与管理技术-SOC 常用的信息安全服务,提 纲,BISS 调查显示，IT事故中：,数据与事实 - IT事故产生原因,90%的系统安装有防病毒软件， 但这些系统中依然有85%感染 了计算机病毒,89%的系统安装有防火墙， 但这些系统中依然有90%有安全漏洞,60%的系统安装有入侵检测系统， 但这些系统中依然有40%遭受了外来的入侵,来自计算机安全研究院近期的一项调查,数据与事实 -

2、 安全现状调查,信息安全现状 国内外信息安全政策法律信息安全指导政策 常见的信息安全问题？ 安全运营与管理技术-SOC 常用的信息安全服务,提 纲,中办27号文件 - 信息保障的主要工作,我国信息安全保障的主要工作（三个方面，九项工作） 第一个方面就是关于建立健全信息安全责任制 就是要加强信息安全的领导，建立健全信息安全责任制 第二个方面就是基础性工作 第一：实行信息安全等级保护，重视信息安全风险评估。 （评估服务的政策依据） 第二：是加强以密码技术为基础的信息安全保护和网络信任体系建设 。 第三：就是建设和完善信息安全监控体系。（SOC建设的政策依据） 第四：就是重视信息安全应急处理工作（灾

3、备与应急服务的政策依据） 第三个方面是支撑性工作 第一是加强信息安全技术研究开发，推进信息安全产业发展 。 第二是加强信息安全法制建设和标准化建设 。 第三是加强信息安全人才培养， 增强全民信息安全意识 。 第四是保证信息安全的资金,66号文：等级保护的原则 明确责任，共同保护；依照标准，自行保护；同步建设，动态调整；指导监督，重点保护； 66号文：等级保护制度的基本内容 等级保护分五级（自主保护、指导保护、监督保护、强制保护、专控保护），同时对产品的使用分等级管理，对 信息安全事件分等级处置与响应 66号文：等级保护制度的职责与分工 公安负责等级保护工作的监督、检察、指导；保密负责等级保护有

4、关保密工作的监督、检察、指导； 密码管理部门负责有关密码的监督、检察、指导；使用单位按照规范与标准建设与运营 66号文：实施等级保护工作的要求 第一：完善标准，分类指导 第二：科学定级，严格备案 第三：建设整改，落实措施 第四：自查自纠，落实要求 第五：建立制度，加强管理 第六：监督检查，完善保护 66号文件：等级保护实施计划 准备阶段：用一年左右的时间做准备工作（2005年）：加强领导，落实责任；完善标准与规范建设；管理队伍建设与技术支撑体系建设；做好等级保护试点工作；加强宣传与培训（北京、上海、黑龙江、云南；人行、税总、电网公司） 重点实行阶段：用一年左右时间做好国家重要信息系统的等级保护

5、建设（2006年） 全面实行阶段：用一年时间在全国全面推行等级保护制度（2007年）,66号文件 - 摘要,董事会成员的责任,风险管理和控制,职业操守和公司守法,透明度和信息披露,SOX法案对于在美国上市公司的规定与影响,信息安全现状 国内外信息安全政策法律 常见的信息安全问题？ 安全运营与管理技术-SOC 常用的信息安全服务,提 纲,拨号用户 B,拨号用户 C,拨号用户 A,拨号用户 D,Internet,调 研,规 划,设 计,选 型,实 施,验 收,人手不足？,经验不多？,专业性不强？,效率不高？,效果不好？,业务类安全问题-IT 系统建设面临的问题,拨号用户 B,拨号用户 C,拨号用户

6、 A,拨号用户 D,Internet,垃圾邮件,病毒破坏,黑客攻击,资源滥用,信息泄密,DOS攻击,不良信息,终端安全,信息丢失,未授权 接入,非法外 联监控,安全事 件处理,技术类安全问题-IT 系统运维面临的问题,Internet,内部威胁(非法设备接入与非法外联)-你该怎么办？,未经安全检查与过滤， 违规接入内部网络,私自拨号上网,Internet,病毒泛滥-你该怎么办？,怎样定位病毒源 或者攻击源，怎 样实时监控病毒 与攻击,病毒是一种恶意的程序，能自我复制、传播,传播源,传播途径,易感主机,防御措施,垃圾邮件,病毒破坏,黑客攻击,资源滥用,信息泄密,DOS攻击,不良信息,终端安全,信

7、息丢失,未授权 访问,业务连 续性,安全事 件频发,如何解决这些问题-消除烦恼,人手不足？,经验不多？,专业性不强？,效率不高？,效果不好？,最佳实践,IT外包,法律法规符合,业务系统托管,国外标杆企业,（脆弱性、补丁管理）托管,FW/IDS 托管,特点,集中在某一行业核心系统 如信用卡系统符合性 将专业深度纳入行业背景中,不仅提供专业的弱点评估，还帮助实施加固、补丁管理。 集中在某一领域，如RSA的身份鉴别等。 突出专业的深度,提供安全设备、网络设备、系统（如Microsoft）的运营支持 以量取胜，突出规模（如数千台设备、海量事件等）,通过安全运营提供专业性、业务系统、规模化安全服务,信息

8、安全现状 国内外信息安全政策法律 常见的信息安全问题？ 安全运营与管理技术-SOC 常用的信息安全服务,提 纲,系统设计与建设阶段,系统管理与运维阶段,怎样制定安全管理政策？ 怎样设计安全防御措施？ 怎样制定安全应急预案？,系统内发生那些安全活动？这些活动是否可控？ 安全管理政策是否得到有效执行？如何动态调整？ 安全防御措施是否发挥作用！发挥多大作用？ 安全应急预案的实际演练与执行？,生命周期轴,安全服务内容轴,信息系统生命周期的两个阶段,面对的是静态信息安全问题,面对的是动态信息安全问题,安全设计与建设阶段完成以后. 该部署的设备部署了！防火墙、IDS、VPN、病毒网关 该建立的制度都建立起

9、来了！管理制度、操作文件、安全策略 该做的服务都做了！技术评估、安全加固、补丁更新 下一步你关心什么、你准备还做点什么？效果如何 安全设计与建设完成之后你不得不面临的问题 系统内到底发生那些安全活动？这些安全活动是否违背安全政策？那些安全活动危害很大需要抑制？ 我的系统到底有多安全？什么地方不安全？每天发生多少安全事件、那些攻击已被阻断？ 已经部署的设备是否发生作用？到底发挥了多少作用？阻断了多少攻击？那些攻击没有挡住？ 已经建立起来的管理制度是否都在执行？那些制度没有被执行？那些执行效果不好？什么原因导致？ 安全政策是否得到了有效的贯彻执行？ 你还需要增加那些产品与服务？为什么要增加这些产品

10、与服务？ 你必须要解决这些问题！可是怎么去解决？谁能给你提供帮助？ 客观上看，安全运营与管理比安全设计与建设更加重要、更加复杂 你的领导关注那些安全运营问题？ 你的技术人员关注那些安全运营问题？ 你的业务人员关注那些安全运营问题？ 安全运营中心就是应上述需要而产生的。它综合了安全管理与技术手段， 是保障信息系统动态安全必不可少的环节。,不同阶段的不同需求,通过安全运营与管理，全面实时掌握信息系统内的安全状况（解决领导关心的问题） 系统内实时发生的安全活动？这些活动的危害程度？对这些活动如何有效控制？ 系统每天发生多少安全攻击？都发生那些类型的攻击？那些攻击已经被成功阻断？这些攻击主要针对那些业

11、务系统？这些攻击来自于那些地区、那些部门？ 系统每天发生多少违规事件？那些违规需要重点审查？这些违规来自于那些部门、那些人？ 那些安全制度没有很好的被执行？都是那些部门、那些人没有执行？你还缺少那些安全制度？ 通过安全运营与管理，全面动态管理你信息系统内部的资源（解决技术人员关心的问题） 业务系统是否被合法使用（规定的人员在规定的时间、规定的地点、通过规定的路径、访问规定的业务系统） 内部脆弱性的有效管理（那些业务系统有哪些脆弱性？那些已经采取措施弥补？） IP地址资源、带宽资源的合法使用 通过安全运营与管理，对组织安全政策的执行情况进行有效的监督与审计 对所有访问违规行为的审计、跟踪、分析、

12、处理、报告、惩戒 通过安全运营与管理，对安全威胁进行有效的预警，减少安全事故造成的损失 早发现、早处理、早惩戒、早反思 通过安全运营与管理，为组织制定安全规划、编制安全投入预算提供充分的数据支撑 SOC提供的强大分析报表是组织制定安全规划、编制安全预算的重要依据,安全运营中心重点解决那些问题？,SOC 技术平台模型 - 风险、资产、弱点、威胁、事件、事故、案例,安 全 威 胁,信 息 资 产,安 全 控 制,安 全 弱 点,事 件（Event）,安 全 风 险,风险评估,风险管理,风险评价,事 故（Incident）,知识库 Knowledge DB,案 例（Case）,不发生安全事故,少发生

13、安全事故,发生事故减少损失,响 应,报 告,发 现,定 义,评 价,预 警,惩 戒,运维知识管理,安 全 需 求 分 析,安全运维目标确定(安全策略),人员,流程,技术,资产管理,规则制定/安全事故处理,安全态势报表生成,定期审核改进,资产活动监控,安全运营中心建设流程,安 全 需 求 分 析,风险分析与评估,依据标准:ITIL服务管理, BS7799 流程设计 人员管理 知识库管理,资产管理,资产类别,资产属性,资产价值,你有哪些资产？,资产的价值？,资产的相关属性？,安全评估工程师,安全评估工程师对设备进行统计、评估、安全检测 等，并将相关数据输入安全管理平台数据库,资产目前的安全状况？,

14、第一步 - 信息资产的分类与标识,Internet,Oracle, DB2 JDBC,Enterprise Database,Manager,Unix, NT/2000, Linux,A,Workstation Console,Browser Console,A,通过海量事件处理 发现真正的安全威胁,SOC,第二步 - 原始安全数据的收集,将事件与资产、业务、时间、规则等进行关联，得到期望的结果,9/10/01 5：05：29 PM， %PIX-6-106015：Deny TCP（no connection）from 8/2182 to 10.10.1

15、0.10/63228 flags SYN RST PSH ACK on interface outside,2001-08-20 16:12:56|doldrgn1|dragonserver|40|11711|41|1031|-AP-|6| Tcp,sp=11711,dp=1031,flags=-AP-|,PIX Firewall standard syslog format,Dragon IDS Data Items separated by pipes,EVENTS Table,Normalization,Business Relevance,第三步

16、 - 统一安全数据的格式,9/10/01 5：05：29 PM,2001-08-20 16:12:56,8,2182,0,63228,40,11711,41,1031,SOC 技术平台,Oracle, DB2 JDBC SQL,Enterprise Database,Archive,A,Agent,Workstation Console,Browser Console,Manager,Unix, NT/2000, Linux,A,syslog,syslog,syslog,syslog,syslog,NT Even

17、t,syslog,syslog,统一时间戳（Timestamp）,第四步 - 统一数据的时间,Raw Events,Denial of Service,Worm,antivirus,Normal/Benign,Normalization and filtering,Correlate and analyze,Threat,Events sources,Event category,表示一个事件,第五步 - 对安全数据进行过滤与归并,过滤 冗余处理 归纳分类 绑定环境,杂乱的事件,长短一致,颜色分类,攻击场景匹配 安全政策匹配,Internet,A,第六步 - 编写技术类安全规则-W32.Sas

18、ser（震荡波病毒攻击）,感染病毒,利用漏洞 Microsoft Security Bulletin MS04-011,1.运行一个蠕虫进程,2.自身拷贝到%Windir%avserve.exe,3.修改注册表，让蠕虫开机自动运行,4.调用系统意外中断错误重启函数，让系统重新启动,5.在该机TCP 5554 端口开启FTP服务,7.若成功则在该IP-TCP-9996上创建远程SHELL,8. SHELL执行命令从攻击IP-TCP- 5554通过FTP下载蠕虫并执行,9.被感染机器发起128个线程对同类地址进行扫描,6.产生随机IP，并尝试连接随机IP的TCP 445端口,TCP 445,TCP

19、 445,TCP 445,TCP 445,TCP 445,TCP 445,TCP 445,TCP 445,TCP 445,TCP 445,TCP 445,TCP 5554,TCP 9996,Normalization,Aggregation,攻击场景库 规则库,Correlation 匹配攻击场景,发现遭受震荡波病毒攻击 报警并按照策略自动响应,震荡波,冲击波,DOS攻击,垃圾邮件,资源滥用,Internet,CRM Server,工作时间：9:00 - 17:30,IP : 2,Router,Firewall,Switch,User : Allen,Internet,C

20、RM Server,工作时间：9:00 - 17:30,IP : 2,Router,Firewall,Switch,User : Allen,Internet,CRM Server,工作时间：9:00 - 17:30,IP : 2,Router,Firewall,Switch,User : Allen,Internet,CRM Server,工作时间：9:00 - 17:30,IP : 2,Router,Firewall,Switch,User : Allen,指定时间,指定IP,指定路径,指定标识,第七步 - 编写业务类与管理

21、类安全规则,Report,Action,Notification,ISO 17799,SOX,HIPAA,制定信息安全管理政策,实时收集分析上述设备输出的日志（活动）,SOC 分析引擎,Compliance,管理规则、技术规则、业务规则,各种设备输出的日志与报警信息,第八步 - 对安全数据进行关联分析,网络设备,安全设备,操作系统,应用系统,第九步 - 安全活动（攻击）可视化,可视化便于监控与管理,Internet,突然出现故障,C20040911-110,李俊为,电脑运行缓慢,2004-09-13,陈梅芳,刘晓利,案例库,普通工程师,高级工程师,安全专家,控制中心,第十步 - 安全活动（攻击

22、）的响应（工单与流程）,Raw Data,Information,Key Information,Action,Expert,EVM 1,EVM 2,Advisor,Knowledge,Collect,Normalization,Real-time Analysis,Respond,Reporting,Console,呼叫中心,安全管理员,Filter Aggregate Normalize,100万 Events,1 万 Events,1百 Events,SOC的整个工作原理 - 综合前面十步,案例一: 防范来自内网的威胁,对每项活动作日志记录 监视和告警 分层保护,案例二: DoS/DDo

23、S 事件实时发现,案例三: 实时监控关键资源访问，及时发现高风险事件,对关键业务(CRM)的监控内容: 某个人某月某日某时从哪个IP地址访问 做了什么操作 从监控内容中分析潜在风险： 是否在冒用别人的账号 是否在他人的机器上使用自己账号存在账号失窃的风险,在美国上市的公司需要满足Sarbanes-Oxley法案非常严格的财务审计要求。 天融信通过自身SOC强大的安全审计和报表功能，从容面对未来上市的技术门槛！例如：,1。通过对整个财务信息系统设备的状态、操作的行为等进行严格的审计和监控，充分保证其安全级别。,2。由于SOX每年要内部和外部的审计师进行一次繁琐的审核，SOC能根据其要求直接生成所需要的数据和信息，从而彻底摆脱海量的工作。,案例四: 符合指定的法律法规,案例四(接上): 安全运营中心建设符合COSO风险管理整体框架,风险评估 控制环境 控制活动 信息与沟通 监控,组织战略目标,依据COBIT进行IT 治理,People, Application, Tech, Data, Facility,规划与组织(PO),IT资产,获取与实施(AI),交付与支