SOC介绍.ppt

1、安氏领信安全管理中心,产品介绍,议程,为什么需要安全管理中心 安氏领信安全管理中心体系架构 安氏领信安全管理中心功能介绍 安全管理中心的建设和使用,企业IT系统,你的企业安全吗？,安全管理需求和安全产品之间的鸿沟,防火墙,IDS,主机,身份管理,扫描器,防毒,异常流量,安全管理需求,安全资产管理策略,安全风险评估策略,防病毒管理策略,安全事故处理流程,许可使用策略,问题管理流程,业务连续性管理,安全技术产品,为什么需要SOC缺乏统一的事件管理平台,分散的专用解决方案 防火墙、入侵检测、认证、防毒 每个系统有自己的单独的管理监控系统 重复性的事件告警 管理员负担大大增加,为什么需要SOC海量事件

2、和大量噪音,每日多达上千万的事件量 重复告警 误报 真实情况无法反映 管理员负担严重 缺乏优先级 缺乏智能分析工具,议程,为什么需要安全管理中心 安氏领信安全管理中心体系架构 安氏领信安全管理中心功能介绍 安全管理中心的建设和使用,安全管理中心遵从ISO13335风险管理模型,安全管理中心管理以BS7799为指导,安全策略 安全组织 资产分类及控制 人员安全 物理和环境安全,信息安全管理纲要 Code of practice for information security management,通信和操作管理 系统访问控制 系统开发与维护 业务连续性规划 符合性,什么是安全管理中心（SOC）

3、？,安全管理中心是一种安全管理的形式，包括组织、策略和技术平台 安全管理中心（SOC：Security Operation Center）是协助用户实现安全策略管理、安全组织管理、安全运作管理和安全技术框架的中心枢纽 自动的、动态的风险评估系统 安全管理中心使安全运维管理日常化、自动化 安全决策辅助系统,安全管理中心在安全体系中的地位,第一层：系统自身安全,第二层：安全产品防护,第三层：统一风险管理,SOC在企业内部IT管理中的地位,SOC体系结构,接口,SOC Web Portal,安全对象,防火墙,IDS/IPS,网络设备,应用,防毒,补丁管理,终端管理,主机,专业安全系统,风险展现,服务

4、支撑管理,服务管理,SOC manager接口,网管系统接口,工单系统接口,其他系统接口,风险分析和计算,基本关联分析,数据采集管理,响应 管理,风险管理平台体系结构,安全对象,防火墙,IDS/IPS,网络设备,应用,防毒,补丁管理,终端管理,主机,风险展现,风险分析和计算,基本关联分析,数据采集管理,响应管理,通知：Email、短信等,处理：防火墙联动、TCP Reset、Guard、路由器ACS、自定义等,IT服务管理,安全信息处理流程,安全风险管理,安全信息管理,信息资产和安全设备,安装于主机的agent,漏洞扫描器,安全信息标准化,安全信息过滤,安全信息归并,安全信息关联分析,安全信息

5、审计分析,传统资产风险分析,KPI分析,安全信息统计引擎,告警生成,风险计算和管理,工单等流程管理,议程,为什么需要安全管理中心 安氏领信安全管理中心体系架构 安氏领信安全管理中心功能介绍 安全管理中心的建设和使用,SOC风险管理功能模块,统一登录门户 总体风险概览 风险管理 资产管理 安全事件管理 日志审计管理 脆弱性管理 安全指标管理 完整性检查,安全工单管理 安全预警管理 安全产品运行管理 报表管理 安全知识管理 异常流量管理* 帐号口令管理* 垃圾邮件投诉处理*,集中的统一登录门户,展现个人管理范围内风险状况 统一安全管理子系统入口 集中待办事宜面板,告警管理,系统种各种告警经过归并后

6、可以统一进行查看和处理 可以查看告警详情 可以查看有类似告警设备 可以转发工单 可以确认并填写确认原因 长时间未处理告警可以自动确认 支持查询已确认告警,集中的整体风险概览,地域和业务系统风险管理,资产风险管理,基于资产和区域的风险管理,地域和业务系统风险,告警,地域和业务系统KPI,资产风险状态,资产风险,资产风险,告警,资产KPI,事件,脆弱性,配置信息,扫描漏洞,配置脆弱性,运行状态,风险资产列表,补丁,防毒,端口,文件,基于地域和业务系统的风险管理,资产风险管理,风险概览：包括KPI和告警信息,威胁信息：包括原始日志、事件,脆弱信息：包括扫描漏洞、配置脆弱性、配置变更,资产管理,信息资

7、产定义：基于IP的可管理设备,信息资产,IT属性,一般属性,安全属性,资产编号,资产名称,标准系统（多个）,资产类别,资产IP和网关（多个）,响应人/责任人,所属业务系统,地域,存放地点,型号,序列号,用途,可用性/完整性/保密性,风险阀值,配置安全基线（可选）,端口服务登记（可选）,资产管理功能,支持资产自动发现和纳入管理 支持手工资产录入 支持基于业务系统的树状维护 支持资产导入、导出 支持资产基线设置，便于进行配置脆弱性检查 支持资产变动期，工程期间资产不计算风险 支持横向比较 支持资产变更检查,安全事件管理,实现对安全事件、日志的集中管理与审计 实现对设备日志的分布式收集 实现对安全事

8、件、日志进行标准化的 实现对安全事件、日志进行关联分析的 实现基于审计策略的实时审计 实现对日志集中存储、取证,事件管理模块体系结构,事件管理-日志采集程序collector,部署在被采集主机上（Unix或Windows系统） 监控操作系统、应用系统的日志变化 实时向安全审计系统发送日志 适用于无法主动向外部发送日志的操作系统、应用系统，如Windows系统、IIS服务器,被监控资源层,标准化处理层,核心处理层,WEB和应用服务,Collector,事件管理-标准化处理层,以主动或被动方式接收各种日志原始信息 由agent根据解析脚本进行原始日志的解析，转换为统一的标准化格式 支持agent对

9、已标准化的日志进行过滤 解析脚本基于XML格式定义 支持多种日志接收方式：syslog，SNMP trap，ODBC，OPSEC，本地文件，控制台标准输出，TCP Socket等 解析脚本集中保存在数据库中，通过浏览器的web页面进行下发,被监控资源层,标准化处理层,核心处理层,WEB和应用服务,Collector,事件管理-核心处理层,接收各agent已标准化的日志信息 对日志信息进行调整和归并，并保存至集中日志数据库 审计引擎根据已定义的审计策略对标准化的日志进行实时审计 针对实时审计结果触发响应动作：邮件、Syslog、SNMP Trap、保存审计告警事件、执行外部程序 基于浏览器实时查

10、看日志收集情况及审计告警信息,被监控资源层,标准化处理层,核心处理层,WEB和应用服务,Collector,事件管理-核心处理层 (续),对历史日志进行检索、追踪与审计 基于审核流程的审计事件处理机制 各种统计分析报表，包括与合规性审计相关的报表 基于浏览器管理审计策略、解析脚本、过滤规则等 提供完备的日志备份机制 系统自身的运行日志,被监控资源层,标准化处理层,核心处理层,WEB和应用服务,Collector,事件管理-安氏Syslog服务器,安氏自主开发的高性能Syslog服务器 用于接收Syslog、SNMP Trap方式的日志 与SEM Agent无缝集成，实时完成日志的解析 通过SE

11、M门户网站进行Syslog服务器的管理,设备支持情况,Unix操作系统 IBM AIX Sun Solaris HP-UX SuSe Linux RedHat Enterprise Linux SCO Unix Free BSD Windows操作系统 Windows NT/2000/XP/2003 防火墙 Cisco Pix Checkpoint Nokia Microsoft ISA Firewall Juniper NetScreen 安氏Cyberwall 数据库 Oracle Informix DB2 Sybase Microsoft SQLServer mysql,IDS Gnu

12、Snort ISS RealSecure RadWare 安氏LinkTrust IDS 绿盟冰之眼IDS 邮件服务器 Microsoft Exchange Sendmail Web服务器和应用服务器 IBM WebSphere Bea WebLogic Microsoft IIS Apache Tomcat 防病毒软件 Trend Micro TMCM Symantec 网络设备 Cisco路由器、交换机 Juniper路由器、交换机 华为路由器、交换机,VPN CheckPoint VPN 帐号口令管理 RSAACE 安氏APMS UTM 安氏LinkTrust UTM 访问控制网关 Sy

13、mark 安氏Unix访问控制网关 SOC 安氏SOC,更多agent解析脚本正在开发中,Coming Soon!,SOC审计管理功能,日志收取接口,Telnet/ SSH网关,数据库操作日志,应用操作日志,其它日志,帐号信息,基于规则的自动审计和预警通告,丰富的预定义规则库,支持丰富的日志接口，支持各种日志抓取设备 具备强大的分类分析能力，将日志分为8大类，超过31小类，允许更细分子类 支持基于所有字段匹配和运算的日志分析规则设置 预置丰富的审计规则规则库，帮助用户快速上手 支持自动通知、预警、触发流程 支持更为高级的关联分析、KPI管理功能 支持丰富的SOX审计报表,日志信息库,脆弱性管理

14、,扫描漏洞管理 使用扫描器发现漏洞 配置脆弱性管理 配置和管理要求比较存在的符合性问题 配置变更管理 和系统自动建立基线进行比较，发现变更,漏洞管理运作体系示意,漏洞资产 匹配处理,任务管理,配置/配置脆弱性收集Agent,安氏扫描器扫描引擎,扫描结果收集Agent,扫描结果XML文件目录,第三方 扫描器,扫描器 管理,SOC核心服务器,漏洞管理,从漏洞扫描到漏洞管理,漏洞扫描,漏洞管理,手工扫描漏洞,生成报告,手工修补漏洞,分布式定期自动扫描漏洞,漏洞关联资产,基于资产价值调整优先级,自动流程处理：触发/通知/检验,漏洞变化跟踪/生命周期管理,漏洞KPI管理,符合性管理,安氏漏洞扫描器实现分

15、布式扫描,直接通过SOC界面调度扫描器，支持分布式自动扫描 支持对指定资产、业务进行扫描 帮助资产发现和变更管理，帮助端口变更管理 针对指定资产自动选择适合的策略 通过soc对扫描器状态进行管理，扫描器发生故障可以快速通知管理员 支持资产漏洞和非资产漏洞管理 支持基于业务系统树的查看,安氏SOC支持启明、绿盟、ISS等业界主流扫描器厂商产品，并有成功案例,强大的配置脆弱性管理,支持远程agent方式和本地agent方式 本地agent采用Perl，便于用户控制 支持安氏人工评估服务中检查的各种项目 支持用户自定义配置脆弱性并生成自己的agent,完整性检查,支持对以下项目变更进行监控和通知：

16、目录 二进制文件 配置文件 进程 端口 启动项 注册表 自定义（例如脚本执行结果）,完整性检查,通过管理变更，可以迅速发现潜在问题,指标管理为什么要引入KPI体系,有些事件的出现并不代表问题 例如：病毒被清除 有些事件积累才代表问题 例如某一主机的访问被防火墙大量deny和drop Upd flood大量告警短时间内出现 有些问题比较才能得出结论 例如流量异常、事件量的异常 有些问题靠事件和漏洞无法觉察 例如终端防毒软件安装比例,KPI体系概述,KPI体系是从日常安全管理需求的角度出发， 制定出若干安全信息分析方法，并提供进一步的安全风险等级 KPI是安氏对安全事件分析方法的总结，可以根据用户

17、需求，进行灵活启用和定义 KPI的核心在于以下几个方面： 从管理需求出发，而非从事件等安全信息出发 必须得出有效的等级，每个等级对应一个改进措施 不同类型的事件采用不同的分析方法（即不同KPI计算方法） KPI适用于资产和业务系统,KPI内容介绍,SOC3.0初始KPI共45个 综合指标（2个） 防火墙（8个） 入侵检测（4个） 帐号口令管理（4个） 操作审计（4个） 防毒管理（8个） 漏洞管理（5个） 配置审计和变更管理（10个）,KPI特性,KPI可以基于资产、业务系统和地域进行计算（目前地域和业务系统仅对第一级进行计算） 用户可以自己定义KPI偏高是否触发安全告警 KPI可以基于模版进行

18、自定义，选择部署合适的KPI和KPI基线，建议通过安全管理服务来实现 不同地域、业务系统和资产可以选择不同的KPI定义,KPI内容举例,TOP10 WELF端口流量异常 监测防火墙记录的WELF流量事件，发现TOP10端口中是否出现一些平常不出现的或者非业务的端口流量，如果出现，即产生安全告警 WELF带宽流量异常 监测防火墙记录的WELF流量事件，对常见端口流量进行跟踪，并根据流量波动异常产生安全告警 DENY/DROP/REJECT源地址、目的地址异常 集中统计每日deny、drop、reject事件，如果同一源地址或者目的地址被过多deny、drop、reject，则产生安全告警 入侵检

19、测事件敏感端口异常 入侵监测事件中出现大量预定义的敏感端口告警（如1433），则产生高级别的告警,KPI内容举例（续）,资产登记率 定期进行资产发现，比较资产数据库中登记的资产，从而提供一个管理指标，指明资产登记完整度 终端防毒安装率 通过比较防毒集中管理软件中登记的终端情况和SOC中登记终端资产状况，给出终端资产防毒软件安装比例，指明防毒软件安装比例，防毒第一步就是要保证较高的安装率 单一病毒集中发作指标 某一单一病毒发作超过某一阈值，则表明该病毒正在普遍发作 启动文件和启动项变化 关键服务器的启动文件或者启动项发生异常，则提示用户进行检查，是否受到木马和后门的侵袭,新增KPI管理模块,集中

20、查看各种KPI状况，包括KPI偏高的地域、资产和业务系统,异常端口流量图示,KPI管理功能,KPI规则定义：KPI规则需要定义规则文件内容、规则适用资产地域和业务系统范围、规则顺序,KPI规则内容：以XML文件形式存放，可以根据语法进行自由定义，可以方便地导入导出,安全工单管理/安全预警管理,完整的工单管理流程 支持外部接口，支持REMEDY、东信网管、浪潮网管等接口 支持定制开发 安氏提供业界领先的安全管理咨询服务作为支撑,安全产品运行管理,支持基于SNMP query的产品管理 支持可定制的telnet/SSH接口 通过开发支持第三方API,安全产品运行管理设备健康情况,健康值,可达性,时

21、延,CPU情况,内存情况,接口up/down,=,+,+,+,+,健康值过低会触发告警!,报表管理,专门统计引擎用于报表数据分析统计，保证高速报表查询 支持资产报表、漏洞报表、风险报表、威胁报表、工单报表五大类21小类报表 支持周报/月报等各种综合性报表 支持各种格式的导入导出，支持按计划生成和发送报表 方便地帮助用户定制各类报表,安全知识管理,从SOC风险管理、事件管理、漏洞管理可以关联到知识库 知识库内容包括漏洞库、事件知识库、案例知识库、病毒知识库、补丁知识库五大类 超过6000条知识 可以自行导入导出，支持自行管理 安氏提供不断更新服务,SOC3.0提供更加安全的解决方案,支持密钥中心进程，用户可以为SOC加密数据设置初始化密钥，该密钥需要在SOC系统启动的时候由密钥中心进程输入，保证所有加密信息只能被用户掌控，即使厂商技术人员也无法进行解密 支持双要素