《体系化推进企业安全操作管理工作课件》由会员分享,可在线阅读,更多相关《体系化推进企业安全操作管理工作课件(57页珍藏版)》请在金锄头文库上搜索。
1、问题问题安全管理中心是一个产品,还是一个解决方案,还是一个完整的体系,怎么定位安全管理中心,安全安全管理中心主要承载的业务功能是什么安全管理中心的建设思路,有什么经验教训(案例)安全管理中心与其他系统的关系借助安全管理中心的工作推进思路1体系化推进企业安全操作管理工作体系化推进企业安全工作体系化推进企业安全工作李本李本Presenters Title Here2体系化推进企业安全操作管理工作概要概要总体定位1业务功能2系统关系3案例分析4工作推进53体系化推进企业安全操作管理工作规范依据(规范依据(1)ISO 27001 的ISMS体系框架访问控制系统发展及维护信息安全事故管理运营持续性计划符
2、合性安全政策管理与组织资产管理人力资源安全实体与环境安全通讯及操作安全4体系化推进企业安全操作管理工作规范依据(规范依据(2)ISO 13335Presentation Identifier Goes Here55体系化推进企业安全操作管理工作背景思路(背景思路(1)企业企业IT系统系统误操作误操作高风险漏洞高风险漏洞笔记本笔记本/无线网络无线网络病毒病毒Denial of Service攻击攻击大量蠕虫传播大量蠕虫传播SARBANES-OXLEY未授权登录未授权登录来自内部攻击来自内部攻击Slammer 攻击攻击防火墙IDS 主机网络设备其他管理系统扫描器防毒异常流量企业现在是企业现在是否安
3、全?否安全?6体系化推进企业安全操作管理工作背景思路(背景思路(2)防火墙IDS主机身份管理扫描器防毒异常流量安全管理需求安全资产管理策略安全风险评估策略防病毒管理策略安全事故处理流程许可使用策略问题管理流程业务连续性管理安全技术产品安全管理中心Security Operation Center7体系化推进企业安全操作管理工作安全工作的困惑安全工作的困惑就安全谈安全以风险管理为具体工作导向风险是一个看不见摸不着说不清的东西就通用规范谈安全机械套用理论模型难于落地安全体系建设纯技术化过多依赖与产品功能没有万能的产品安全考核指标绝对化建了这么多系统怎么还出事用什么来衡量和评价安全工作8体系化推进企
4、业安全操作管理工作安全运维管理工作的思考安全运维管理工作的思考安全保障(管理)能力是IT保障(管理)能力的一部分安全治理是IT治理的一个重要构成安全指标治理是安全管理工作的有效推进手段事件指标治理,安全合规指标治理,操作行为审计管理同比指标,环比指标,各系统(体系)之间的比对指标SOC不是一个即插即用的家电级产品SOC不是一个可批量生产的解决方案套餐三分产品,七分建设建设过程中需要甲乙方共同进行大量基础工作三分建设,七分运维运维人员,运维作业计划和流程,运维知识库9体系化推进企业安全操作管理工作概要概要总体定位1业务功能2系统关系3案例分析4工作推进510体系化推进企业安全操作管理工作安全管理
5、的工作框架安全管理的工作框架11体系化推进企业安全操作管理工作SOC的三大业务功能及其关系的三大业务功能及其关系安全监控,合规管理,操作行为审计实现对信息系统全生命周期的安全控制设计,实施,运行,退服全周期的安全控制实现事前,事中,事后的全面安全管理事前检查,事中监控,事后分析改进12体系化推进企业安全操作管理工作SOC与整体安全工作的关系与整体安全工作的关系全层面的安全技术防护体系四层模型,查漏补缺实现安全业务管理日常化流程,制度,队伍的建设业务支撑平台逐步建立IT系统的安全知识库合规检查规则库标准事件库关联规则库等13体系化推进企业安全操作管理工作安全监控安全监控 (1)安全监控解决事中安
6、全事件的全程监测解决事后安全问题原因的分析问题安全监控的覆盖范围全范围,全技术手段的监测安全监控主要参考的标准ISO13335模型体系化推进企业安全操作管理工作安全监控安全监控 (2)安全监控的难点监什么测什么监测范围,手段的落实以什么标准监测监测规则监测的分析算法关联分析规则安全监控系统的建设开放式的规则库以满足情况发展的需要安全监控与安全管理维护工作的结合体系化推进企业安全操作管理工作安全监控工作落实思路安全监控工作落实思路安全监控的标准化建设安全监控的标准化建设安全监控的管理建设安全监控的管理建设安全监控的技术建设安全监控的技术建设关联分析处理关联分析处理事件事件/漏洞漏洞/安全配安全配
7、置的集中化收集置的集中化收集监控点必要的事件来监控点必要的事件来源(产品和手段补足源(产品和手段补足)架构梳理监控点确定架构梳理监控点确定安全监控的人员和岗安全监控的人员和岗位位安全监控的策略和制安全监控的策略和制度度监控信息源标准化监控信息源标准化监控人员考核监控人员考核KPI规范规范安监控工作安监控工作KPI考核规考核规范范标准化标准化规则库规则库安全漏洞标准化安全漏洞标准化安全基线标准化安全基线标准化事件的分类分级标准事件的分类分级标准化化安全监控服务流程建设安全监控服务流程建设事件工单流事件工单流程程变更流程变更流程事件的预处理事件的预处理标准化手册标准化手册安全安全知识库知识库事件响
8、应处理事件响应处理应急流程应急流程安全监控技术平安全监控技术平台台已有已有系统系统融合融合与客与客户化户化定制定制体系化推进企业安全操作管理工作第一阶段:梳理与准备第一阶段:梳理与准备目标:为落实安全监控技术平台,做好技术、管理、流程等方面的铺垫。做到掌握现状、确认关键点、做好必要的补足工作。内容:架构梳理与监控点确认已有安全子系统及平台功能及接口确认必要的信息源(安全产品)补足体系化推进企业安全操作管理工作做好安全监控工作的基础前提做好安全监控工作的基础前提 工作工作角度角度梳理和准备的内容梳理和准备的内容技术层面技术层面管理层面管理层面维护层面维护层面平台平台梳理监控系统平台与梳理监控系统
9、平台与ITSM等等已有系统的关系已有系统的关系调研监控系统平台的客户化定调研监控系统平台的客户化定制内容制内容建立监控管理制度建立监控管理制度建立监控管理奖惩手段建立监控管理奖惩手段建立安全监控队伍建立安全监控队伍建立监控维护流程建立监控维护流程监控所必需的场地,设备监控所必需的场地,设备专业安全系统专业安全系统利用已有部署的专业安全子系利用已有部署的专业安全子系统统梳理并补足缺失的专业安全子梳理并补足缺失的专业安全子系统系统梳理和利用已有的安全信息库梳理和利用已有的安全信息库专业安全子系统的管理专业安全子系统的管理制度制度专业安全考核指标。专业安全考核指标。专业安全子系统的维护队专业安全子系
10、统的维护队伍,维护流程伍,维护流程梳理并建立安全监控与专梳理并建立安全监控与专业安全子系统维护对于的业安全子系统维护对于的关系关系网元网元各被监控网元的时钟同步。各被监控网元的时钟同步。全面的日志、事件记录。全面的日志、事件记录。网元自身的知识库。网元自身的知识库。梳理和利用已有的资产管理系梳理和利用已有的资产管理系统。统。设备基础维护管理制度设备基础维护管理制度设备基础维护流程设备基础维护流程设备维护岗位的落实设备维护岗位的落实设备故障及事件处理的历设备故障及事件处理的历史知识史知识结构结构尽量详细的安全域划分,明确尽量详细的安全域划分,明确的安全域边界(易于理清安全的安全域边界(易于理清安
11、全产品,并作必要的补足)产品,并作必要的补足)必要的安全监控相关人必要的安全监控相关人员岗位和组织结构员岗位和组织结构管理,维护,与安全域的管理,维护,与安全域的对应性对应性体系化推进企业安全操作管理工作第二阶段:平台搭建第二阶段:平台搭建目标:涵盖从铁道部到路局、车站三级结构下的试点单位完成安全监技术平台的搭建使平台具备完备的安全事件、漏洞、变更情况的全面集中监控功能。内容:基础监测系统的搭建关联分析推进系统融合及客户化的定制条件:要有相对充分的接入数据源要监控到基础设施性的设备,包括必要的安全设备、网络和主机设备体系化推进企业安全操作管理工作第三阶段:体系建设第三阶段:体系建设目标:建立安
12、全监控体系的策略与制度,以及相应的标准化规范内容:监测体系的策略与制度完善标准化库的建立关联分析的深化条件:各类产品事件、漏洞的梳理和标准化工作需各厂家配合同期需要建设时钟同步系统体系化推进企业安全操作管理工作第四阶段:优化推广第四阶段:优化推广目标:在全面融合和标准化基础上,形成持续性规则库的补充和完善机制在安全监控系统基础上,利用平台形成维护工作的安全监管形成对事件发生路径的全程跟踪、追溯内容:试点工作的全面推广监控工作考核体系的完善包括:风险KPI和考核KPI的定制深度的优化和定制更为全面的关联分析及事件路径历史记录和分析条件:监控管理、组织和维护体系的基本建立依赖网络全程的事件监测、异
13、常流量、行为审计等产品的部署和提供充分数据源体系化推进企业安全操作管理工作第五阶段:运行维护第五阶段:运行维护目标:建立和健全安全监控平台的运行维护服务体系内容:通过自身制度和流程确立监控体系的运行和维护机制通过外包服务方式对安全监控平台系统进行日常的运行维护。通过外聘专家服务或者与专业合作伙伴长期合作方式,加强安全监控体系全面的管理和维护。体系化推进企业安全操作管理工作安全监控工作安全监控工作请参考附件的文档体系安全合规监控的特定场景应用主机进程监控23体系化推进企业安全操作管理工作合规管理(合规管理(1)检查基础架构检查基础架构和流程和流程合规检查合规检查报告报告 检视风检视风险状况险状况
14、并补救问题并补救问题补救补救监控并验证监控并验证已尽责任已尽责任定义定义确定风险确定风险并制定策略并制定策略技术控制技术控制管理面板管理面板审计报告审计报告 风险评估风险评估风险加权的补救风险加权的补救流流程控制程控制 策略和控制策略和控制24体系化推进企业安全操作管理工作合规管理(合规管理(2)25体系化推进企业安全操作管理工作与监控和合规相关的安全知识库与监控和合规相关的安全知识库预定义关联规则IP监视列表(IPWatchList)动态变化包括蠕虫, 恶意IP地址和僵尸网络地址攻击关联数据库(AttackCorrelationDatabase)标准化(Normalization)定义码,将
15、第三方特征码映射成Symantec的特征码39,662 Entries漏洞数据库(VulnerabilityDatabase)13,700 Entries配置缺陷数据库(Exposuredatabase)641 Entries恶意代码数据库(Maliciouscodedatabase)最常见和最近的Viruses, Malware and Spyware6,021 EntriesAttack DBMalicious Code DBExposure DBVulnerability DBMalicious IP DB26体系化推进企业安全操作管理工作基于业界标准的安全合规检查策略基于业界标准的安全
16、合规检查策略合规检查策略构成标准标准ISO/IEC 17799:2000 (BS 7799 Part 1)ISO/IEC 17799:2005 RevisedSANS Top 20CIS Benchmark for SolarisCIS Benchmarks for Windows 2000 Server & WorkstationNSA for MS Exchange ServerESM Phase 1, 2, 3abc规章规章Sarbanes-Oxley Act Section 404 (COSO, COBIT)SOX for OS/400Basel II Capital Accord (
17、ISO 17799:2000)Basel II Capital Accord (ISO 17799:2005)FISMA (NIST 800-53 Draft)VISA CISPPCI DSSNERC Standard 1200GLBA (Gramm-Leach-Bliley Act of 1999)HIPAA27体系化推进企业安全操作管理工作周期性、自动化的控制及分析流程周期性、自动化的控制及分析流程弱点弱点/漏洞的定义漏洞的定义是由第三方信息是由第三方信息导入导入,如:如: (Symantec, CVE, Cert, SANS)检查检查所有适用系统所有适用系统的的弱点弱点/漏洞漏洞查看查看
18、弱点弱点/漏洞漏洞的纠正情况的纠正情况风险评估风险评估 区分优先级区分优先级应用应用安全措施安全措施&创建任务创建任务定义企业安全策略或定义企业安全策略或采用相关安全标准采用相关安全标准 如如: SOX, Basel II, PCI, ISO 17799检查检查安全策略安全策略遵从遵从 查看查看违背策略违背策略的纠正情况的纠正情况修改策略修改策略应用应用安全措施安全措施&创建任务创建任务漏洞管理漏洞管理策略遵从策略遵从风险评估风险评估 区分优先区分优先级级28体系化推进企业安全操作管理工作安全管理的三个阶段安全管理的三个阶段识别风险尽早处理识别风险尽早处理SOXPCI-DSSISO27001B
19、ASEL企业自有规范帐户权限变更日志法规法规配置策略配置策略事先评估加固事先评估加固事后审计事后审计发现违规行为及时恢复发现违规行为及时恢复 阻挡恶意入侵和非法访问阻挡恶意入侵和非法访问零日攻击违规操作入侵防护操作控制合规性检查合规性检查事中控制事中控制安全性防护安全性防护调度任务合规报告修补建议实时监控实时监控系统监控文件监控权限跟踪结果审计结果审计用户行为执行命令配置修改文件修改及时报警及时报警主控台报警邮件通知SNMP Trap29体系化推进企业安全操作管理工作事前评估的实现事前评估的实现1)安全策略安全策略 Standards ISO 17799 HIPAA GLBA Controls
20、 Passwords Permissions Services Files 2)基于策略基准基于策略基准对系统设定和配对系统设定和配置进行详尽的检置进行详尽的检查查- -Windows- UNIX- Linux- Netware- VMS- AS/400- -Database- Web3)详尽的)详尽的符合性报符合性报告告( (Technical Controls and Standards)Servers应用平台应用平台4)修复)修复30体系化推进企业安全操作管理工作事中监控和事后审计的实现事中监控和事后审计的实现AgentAgent安装在主机上代理程序安装在主机上代理程序文件注册表审计信息
21、操作系统日志应用系统日志实时事件实时事件监控管理服务器监控管理服务器主控台报警主控台报警邮件通知邮件通知SNMP TrapAgent运维平台运维平台SSIM历史日志历史日志31体系化推进企业安全操作管理工作监控,合规与知识库(监控,合规与知识库(1)32体系化推进企业安全操作管理工作监控,合规与知识库(监控,合规与知识库(2)33体系化推进企业安全操作管理工作监控,合规与知识库(监控,合规与知识库(1)DeepSight content (“Exposure”) related to Spam email.34体系化推进企业安全操作管理工作操作行为审计操作行为审计口令猜测系统层面针对不同账号进
22、行口令猜测系统层面针对同一个账号进行口令猜测时间违规用户系统层面非计划时间内变更审计用户网络层面非计划时间内变更审计来源违规面地址段登录生产和测试网段的网络设备桌面地址段登录生产和测试网段的网络设备并更改配置发现桌面地址段到生产和测试网段的成功访问行为访问路径违规绕过USP系统直接登录操作系统用户通过USP登录目标系统后二次跳转行为绕过网络运维平台登录网络设备并更改配置绕过网络运维平台在ACS的账号登录网络远程VPN用户接入后绕过USP登录主机远程VPN用户绕过网络运维平台登录网络设备更改配置用户高危操作用户USP高危操作行为用户敏感操作用户USP敏感操作行为内部合规性审计35体系化推进企业安
23、全操作管理工作概要概要总体定位1业务功能2系统关系3案例分析4工作推进536体系化推进企业安全操作管理工作SOC与其他系统的关系与其他系统的关系网管系统OSI的经典概念:性能管理,故障管理,计费管理,配置管理,安全管理ITSM系统安管系统ITSM系统网管系统137体系化推进企业安全操作管理工作网管与安管系统网管与安管系统安管系统与网管系统有相近也有区别安管系统需要处理大量的疑似报警网管系统的告警大多可直接准确定位网管系统的故障告警需要各专业人员处理安管系统的事件告警需要进行准确的筛选分析经常是归并类,趋势类告警安管系统可以与账号口令管理系统及其他安全管理系统集成网管系统与业务网元结合紧密38体
24、系化推进企业安全操作管理工作概要概要总体定位1业务功能2系统关系3案例分析4工作推进539体系化推进企业安全操作管理工作案例分析(案例分析(1)经验足够的原始事件源全面的原始事件信息事件收集和关联分析手段运维作业计划运维操作手册运维知识库安全监控和运维人员安全运维和管理机构安全运维和管理考核指标40体系化推进企业安全操作管理工作案例分析(案例分析(2)移动以ISMP,安全管控平台的技术结构推进安全管理工作相关的规范和试点以安全监控,安全合规检查工作思路落实安全管理工作相关的作业计划和指示库联通以宏观管理指标的方式推进安全管理事件源IDS,防毒系统各省排名同比,环比等某银行41体系化推进企业安全
25、操作管理工作案例分析(案例分析(3)移动某省网管系统主机进程监控集团:周期性监控主机中的恶意软件(进程监控是一个常用的办法)正常运行的系统进程状态应该是稳定的UNIX主机进程监控白名单进程甄别后确定例外进程告警僵尸进程告警Windows服务器进程监控白名单进程例外进程告警42体系化推进企业安全操作管理工作案例分析进程监控系统案例分析进程监控系统部署一台进程监控系统,通过交换机与各业务系统连接,并有一台监控终端连接进程监控系统进行实时监控43体系化推进企业安全操作管理工作案例分析进程监控功能展示案例分析进程监控功能展示OracleSshdPsSyslogcronrootlocalhost PS
26、A28583 ? 00:00:00 oracle28586 ? 00:00:13 sshd28589 ? 00:02:57 ps28591 ? 00:00:01 syslog28595 ? 00:03:01 cron进程监控系统告警:监控到WAP业务系统主机10.195.9.19新增异常进程,请核查!操作系统:AIX进程名称:telnetdrootlocalhost PS A28583 ? 00:00:00 oracle28586 ? 00:00:13 sshd28589 ? 00:02:57 ps28591 ? 00:00:01 syslog28595 ? 00:03:01 cron2859
27、6 ? 00:05:02 telnetd白名单列表12344体系化推进企业安全操作管理工作案例分析监控端仪表盘案例分析监控端仪表盘过去30天告警处理情况 按照状态显示趋势图24小时告警数量top10 24小时内被监控服务器发现告警top10过去30天告警数量top10 过去30天内被监控服务器发现告警top10过去30天未关闭告警 过去30天中新建、处理中、待处理45体系化推进企业安全操作管理工作案例分析告警监控界面案例分析告警监控界面实时监控 系统可以实时监控各被管服务器的进程状态,一旦发现异常进程,立刻告警。刷新间隔 1分钟采集到告警时间 1分钟内灵活设置告警内容 系统告警内容可以根据客户
28、需求进行自定义46体系化推进企业安全操作管理工作案例分析进程白名单设置案例分析进程白名单设置系统内置命令集 系统内置各操作系统常用命令集灵活设置 系统可以针对所有服务器设置一个白名单,也可以为每个服务器设置一个白名单列表。批量导入 为便于系统快速部署,系统支持对白名单信息的批量导入和导出功能。列表编辑跟踪 系统可以跟踪白名单列表从新建到使用所有编辑历史过程。47体系化推进企业安全操作管理工作案例分析进程告警分析策略设置(案例分析进程告警分析策略设置(1)系统内置分析策略 系统内置部分分析策略灵活设置 系统可以针对所有服务器设置一个分析策略,也可以为每个服务器设置一个分析策略。导入、导出 为便于
29、系统快速部署,系统支持对分析策略的导入和导出功能。分析条件设置 系统可以设置详细的分析条件48体系化推进企业安全操作管理工作案例分析进程告警分析策略设置(案例分析进程告警分析策略设置(2)设置告警级别 系统可以根据服务器重要级别设置不同的告警级别说明 系统可以灵活设置告警说明。告警通知功能 为及时通知相关系统管理员进程告警,系统支持邮件、syslog、snmptrap等通知方式。49体系化推进企业安全操作管理工作案例分析统计报表案例分析统计报表-24小时告警数量小时告警数量TOP1024小时TOP10柱状图24小时TOP10详细信息50体系化推进企业安全操作管理工作统计报表统计报表-过去过去3
30、0天告警数量天告警数量TOP10过去30天告警数量TOP10统计51体系化推进企业安全操作管理工作统计报表统计报表-过去过去30天告警数量趋势分析天告警数量趋势分析过去30天告警数量趋势分析52体系化推进企业安全操作管理工作统计报表统计报表-过去过去30天告警处理趋势分析(天告警处理趋势分析(1)过去30天告警处理趋势分析 按照不同处理状态每天数量情况给出相应的趋势分析图53体系化推进企业安全操作管理工作统计报表统计报表-过去过去30天告警处理趋势分析(天告警处理趋势分析(2)过去30天告警处理趋势分析 按照每天各种状态告警数量进行统计,并给出未关闭告警的详细信息。54体系化推进企业安全操作管理工作概要概要总体定位1业务功能2系统关系3案例分析4工作推进555体系化推进企业安全操作管理工作安全管理工作推进思路安全管理工作推进思路技术视角的安全事件业务视角的安全事件告警率,合规率指标治理指标动态更新,同比环比比对循环推进运维和管理体系的建设56体系化推进企业安全操作管理工作Presenters NamePresenters EmailPresenters Phone57体系化推进企业安全操作管理工作
