《关于在国家层面建立安全管理中心的探讨》由会员分享,可在线阅读,更多相关《关于在国家层面建立安全管理中心的探讨(32页珍藏版)》请在金锄头文库上搜索。
1、关于在国家层面建立安全管理中心的探讨关于在国家层面建立安全管理中心的探讨林平林平 linpingcn.is-Agenda安全管理面临的主要挑战安全管理面临的主要挑战安全管理面临的主要挑战安全管理面临的主要挑战安氏安全运行中心解决方案概述安氏安全运行中心解决方案概述关于在国家层面建立安全管理中心的探讨关于在国家层面建立安全管理中心的探讨缺乏统一的事件管理平台缺乏统一的事件管理平台分散的专用解决方案分散的专用解决方案防火墙、入侵检测、认 证、防毒防火墙、入侵检测、认 证、防毒每个系统有自己的单独 的管理监控系统每个系统有自己的单独 的管理监控系统重复性的事件告警重复性的事件告警管理员负担大大增加管
2、理员负担大大增加海量事件和大量噪音海量事件和大量噪音每日多达上千万的事件量每日多达上千万的事件量重复告警重复告警误报误报真实情况无法反映真实情况无法反映管理员负担严重管理员负担严重缺乏优先级缺乏优先级缺乏智能分析工具缺乏智能分析工具缺乏以资产为核心的风险管理缺乏以资产为核心的风险管理以事件为核心的管理不能 让管理员迅速发现最为关 心和重要的信息以事件为核心的管理不能 让管理员迅速发现最为关 心和重要的信息以安全产品为中心的事件 管理不利于信息的共享和 分配以安全产品为中心的事件 管理不利于信息的共享和 分配以事件为中心的管理仅仅 反映了安全的一个方面, 作为安全管理的核心 风险管理,是结合了资
3、产 、漏洞和威胁以事件为中心的管理仅仅 反映了安全的一个方面, 作为安全管理的核心 风险管理,是结合了资产 、漏洞和威胁/事件来进行 综合计算和评价的事件来进行 综合计算和评价的风险威胁漏洞资产威胁漏洞资产以业务系统/资产方式呈现原有方式SOC方式缺乏日常维护、审计的辅助系统缺乏日常维护、审计的辅助系统日常维护自动化程度需要提高日常维护自动化程度需要提高我们缺乏的维护工具:我们缺乏的维护工具:终端管理终端管理预警管理预警管理任务单管理任务单管理缺乏必要的知识体系缺乏必要的知识体系安全文档安全文档安全讨论组安全讨论组安全漏洞库安全漏洞库病毒库病毒库Agenda安全管理面临的主要挑战安全管理面临的
4、主要挑战安氏安全运行中心解决方案概述安氏安全运行中心解决方案概述安氏安全运行中心解决方案概述安氏安全运行中心解决方案概述关于在国家层面建立安全管理中心的探讨关于在国家层面建立安全管理中心的探讨什么是信息安全的目标?什么是信息安全的目标?C I - AIntegrityAvailabilityConfidentiality风险管理风险管理ISO13335风险风险 防护措施防护措施 信息资产信息资产 威胁威胁 漏洞漏洞 防护需求防护需求 价值价值 降低 增加 增加 利用 暴露 拥有 抗击 增加 引出 被满足 信息安全框架信息安全框架安全策略安全策略安全策略安全策略安全组织管理安全组织管理安全组织管
5、理安全组织管理安全运作管理安全运作管理安全运作管理安全运作管理安全技术框架安全技术框架安全技术框架安全技术框架A Access Control 访问控制C Content Security 内容安全A Audit & Response 审计响应Redundant & Recovery 冗余恢复I Identification & Authentication 鉴别认证什么是安全运行中心(什么是安全运行中心(SOC)?)?安全运行中心是一种安全管理的形式安全运行中心是一种安全管理的形式安全运行中心(安全运行中心(SOC:Security Operation Center)安全运行中 心是协助用户
6、实现安全策略管理、安全组织管理、安全运作管理 和安全技术框架的中心枢纽)安全运行中 心是协助用户实现安全策略管理、安全组织管理、安全运作管理 和安全技术框架的中心枢纽安全管理中心有机连接各个方面安全管理中心有机连接各个方面计算环境 领域计算环境 领域网络基础 设施领域网络基础 设施领域网络边 界领域网络边 界领域Server APP TerminalRouter switchFW IDS VPN资产管理、事件管理、漏洞管理价值分析和关联分析风险管理资产管理、事件管理、漏洞管理价值分析和关联分析风险管理人人技 术技 术管 理管 理知 识 管 理知 识 管 理维 护 管 理维 护 管 理统一 安全
7、 管理统一 安全 管理NTT data安全中心例子安全中心例子1998年,年,NTT data全面修订了其信息管理策略,并且制定 了全新的安全管理策略,以此为基础,任命了一位全面修订了其信息管理策略,并且制定 了全新的安全管理策略,以此为基础,任命了一位CISO(Chief Information Security Officer),并且形成了一个全公司范围的 由各公司和部门领导组成的信息安全委员会(),并且形成了一个全公司范围的 由各公司和部门领导组成的信息安全委员会(Information Security Committee)。)。2001年年1月月1日,日,NTT data建立了建立了
8、IT Security Center,该部 门由,该部 门由100人组成,该部门的主要职责包括:人组成,该部门的主要职责包括:(1) 保证保证NTT DATA提 供的所有系统建立了安全机制,提供足够的安全保障提 供的所有系统建立了安全机制,提供足够的安全保障(2) 管理公司 内部的信息安全管理公司 内部的信息安全(3)为客户提供安全服务为客户提供安全服务2001年年9月月5日,日,NTT data的的IT Security Center通过了通过了 BS7799认证认证安全管理中心整体构建示意图安全管理中心整体构建示意图安全信息管理系统安全信息管理系统安全事件收集(分布式收集、支持标准接口、标
9、准化)安全事件收集(分布式收集、支持标准接口、标准化)关联分析(事件关联、定损关联、产生新事件、重新定级)关联分析(事件关联、定损关联、产生新事件、重新定级)脆弱性分析脆弱性分析风险计算风险计算响应管理响应管理任务调度任务调度存储、备份存储、备份安全运维支撑系统安全运维支撑系统安全管理(风险管理、脆弱性管理、事件管理安全管理(风险管理、脆弱性管理、事件管理)安全保障(任务单管理、预警管理、响应管理安全保障(任务单管理、预警管理、响应管理)知识管理知识管理资源管理(资产管理、业务系统管理资源管理(资产管理、业务系统管理)系统管理(用户管理、参数设定、数据库管理系统管理(用户管理、参数设定、数据库
10、管理)安氏安全管理中心的特点安氏安全管理中心的特点完善的收集功能(支撑面广、灵活的定制功能)完善的收集功能(支撑面广、灵活的定制功能)强大的关联分析能力,实现定损关联强大的关联分析能力,实现定损关联遵循风险理论,分别建立脆弱性和事件遵循风险理论,分别建立脆弱性和事件/威胁的风险分析模型威胁的风险分析模型独特的持续风险分析计算模型独特的持续风险分析计算模型统一的风险表征指示安全状况统一的风险表征指示安全状况以资产为中心,以人员为保障,确保安全问题及时解决以资产为中心,以人员为保障,确保安全问题及时解决安全事件收集、分析和运维支撑相结合安全事件收集、分析和运维支撑相结合风险管理系统风险管理系统支持
11、二种视图支持二种视图地域视图地域视图业务系统视图业务系统视图 支持支持5级风险标识级风险标识支持资产和资产价值管理支持资产和资产价值管理支持漏洞统一管理和分析支持漏洞统一管理和分析支持事件集中收集和关联 分析支持事件集中收集和关联 分析支持统一风险量化支持统一风险量化资产仪表板资产仪表板Agenda安全管理面临的主要挑战安全管理面临的主要挑战安氏安全运行中心解决方案概述安氏安全运行中心解决方案概述关于在国家层面建立安全管理中心的探讨关于在国家层面建立安全管理中心的探讨关于在国家层面建立安全管理中心的探讨关于在国家层面建立安全管理中心的探讨CNCERT/CC需求和传统需求和传统SOC需求的不同需
12、求的不同资产概念不同资产概念不同重点关注流量分析和事件分析重点关注流量分析和事件分析超大规模的数据超大规模的数据注重跨组织的预警、协调和响应注重跨组织的预警、协调和响应注重跨组织的数据采集和交互注重跨组织的数据采集和交互人员组织建设人员组织建设关注和吸纳多种类型的外部成员运营商大型企业专业安全厂商关注和吸纳多种类型的外部成员运营商大型企业专业安全厂商建立有效的数据采集机制建立有效的数据采集机制部署足够的信息采集点按照网络规模和网络效率在运营商网络部署部署足够的信息采集点按照网络规模和网络效率在运营商网络部署IDS、SCANNER和 流量和 流量/时延分析数据采集点时延分析数据采集点通过电信运营
13、商现有系统上传数据个别电信运营商现阶段已经部署了通过电信运营商现有系统上传数据个别电信运营商现阶段已经部署了SOC、流量异常管理、网络 管理中心等产品,可以通过标准接口直接汇总这些系统的数据、流量异常管理、网络 管理中心等产品,可以通过标准接口直接汇总这些系统的数据建立安全运行中心统一的标准和接口建立安全运行中心统一的标准和接口要建立一套这样的系统,最为重要的是建立一套统一的标准和互连 接口。保证互传数据的一致性、保密性和有效性。要建立一套这样的系统,最为重要的是建立一套统一的标准和互连 接口。保证互传数据的一致性、保密性和有效性。安全管理还处于起步阶段,标准的制定有利于国内安全管理的建 设安
14、全管理还处于起步阶段,标准的制定有利于国内安全管理的建 设标准和接口主要规范互传数据的格式、范围、通信方式、加密方 法、身份确认等内容标准和接口主要规范互传数据的格式、范围、通信方式、加密方 法、身份确认等内容前期规范的投入将远远小于系统改造的成本前期规范的投入将远远小于系统改造的成本为全国安全运行中心定制的功能模块为全国安全运行中心定制的功能模块通过通过NTP协议实现全网时钟同步协议实现全网时钟同步风险查看模块功能增强风险查看模块功能增强脆弱性模块功能增强脆弱性模块功能增强建立异常流量分析网络建立异常流量分析网络建立全国统一的知识库、病毒库、补丁库建立全国统一的知识库、病毒库、补丁库跨安全厂
15、商的预警统一合作跨安全厂商的预警统一合作建立统一内容管理、分析和监控体系建立统一内容管理、分析和监控体系通过通过NTP协议实现全网时钟同步协议实现全网时钟同步数据的自动获取和综合分析要求时钟的一致性数据的自动获取和综合分析要求时钟的一致性像建设像建设DNS系统一样完善国内的时钟系统系统一样完善国内的时钟系统整合国内的一些一级整合国内的一些一级NTP作为统一的根作为统一的根强制要求运营商系统时钟保持一致强制要求运营商系统时钟保持一致以地域、以地域、IP范围代替资产的概念、分地域查看风险分布范围代替资产的概念、分地域查看风险分布051 01 52 0051 01 52 0051 01 52 005
16、1 01 52 0051 01 52 0051 01 52 0051 01 52 0051 01 52 0051 01 52 0051 01 52 0051 01 52 0051 01 52 0051 01 52 0051 01 52 0051 01 52 0051 01 52 0051 01 52 0051 01 52 0051 01 52 0051 01 52 0051 01 52 0051 01 52 0051 01 52 0051 01 52 0051 01 52 0051 01 52 0051 01 52 0051 01 52 0051 01 52 0051 01 52 0051 01 52 0051 01 52 0051 01 52 0051 01 52 0051 01 52 0051 01 52 0051 01 52 0051 01 52 0051 01 52 0051 01 52 0051 01 52 0051 01 52 0051 01 52 0051 01
