《降低信息安全准入系统告警率-QC成果》由会员分享,可在线阅读,更多相关《降低信息安全准入系统告警率-QC成果(22页珍藏版)》请在金锄头文库上搜索。
1、降低信息安全准入系统告警率一、选择课题 (一)选题背景近年来国家对网络安全重视程度愈加提高,公司也将网络信息安全列为与电网安全、设备安全、人身安全并列的四大安全之一,保障网络信息安全至关重要。(二)名词解释信息安全准入系统:信息安全准入系统是公司信息安全管控系统,按照公司要求,内网计算机、打印机、交换机、摄像头等均需要接入准入系统,安全准入系统可对接入设备的安全策略,安全合规性,安全风险等指标进行监控和告警。信息安全准入系统告警率:安全准系统告警终端数/接入终端总数*100%。(三)上级要求公司要求:信息安全准入系统告警率不高于5%。(四)小组现状小组现状:2021年9月-2021年12月信息
2、安全准入系统告警率平均为10%(如图1-1所示),远高于公司要求。因此,小组将课题选定为“降低信息安全准入系统告警率”。表1-1 2021年9月-2021年12月信息安全准入系统告警率时间终端总数(个)告警数(个)告警率2021年9月75607409.8%2021年10月756084611.2%2021年11月75606658.8%2021年12月756077110.2%(五)选定课题小组将课题选定为“降低信息安全准入系统告警率”。二、设定目标:按照公司要求,我们确定此次活动的目标为:信息安全准入系统告警率由10%降低为5%。目标图如图2-1所示。图2-1 QC活动目标柱状图三、目标可行性论证
3、:(一) 查找症结: 为了分析引起告警的具体设备类型,小组成员对2021年9月-12月准入系统告警的设备类型进行统计(见表3-1,图3-1)。在3024个总告警中,计算机终端告警数量为2012个,占比为66.53%,占比最高。表3-1引起告警的设备类型占比统计表引起告警的设备类型告警次数百分比(%)累计百分比(%)计算机终端告警201266.5366.53打印机告警50016.5383.06交换机告警2568.4991.55防火墙告警1003.3094.85摄像头告警913.0197.86其他告警652.14100根据统计表,绘制排列图如图3-1所示。 3-1引起告警的设备类型占比排列图小组成
4、员对2021年9月-2021年12月,计算机终端告警进一步分析(见表3-2,图3-2),在2012个计算机终端告警中,计算机终端病毒告警数为1601个,占到所有告警79.57%,远高于其他告警,“计算机终端病毒告警高”为“信息安全准入系统告警率高”的主要症结。 表3-2 计算机终端告警类型占比统计表计算机终端告警类型告警次数百分比(%)累计百分比(%)计算机终端病毒160179.5779.57计算机终端安全策略不合规23011.4391计算机终端软件不合规告警984.8795.87其他834.13100根据表3-2绘制饼分图,如图3-2所示。图3-2计算机终端告警类型占比饼分图(二)目标值确定
5、依据参考公司制度信息通信专业通用制度手册、网络安全管理方法规定,要求信息安全准入系统告警率不大于5%。小组查询计算机防病毒措施、网络安全分析等多篇文献,均通过对终端病毒查杀,有效减少终端感染病毒数量,从而有效减少告警率。据调查,2020年9-12月,xx公司信息安全准入系统告警率分别为4.8%及4.2%,达到目标值有迹可循。小组在2021年3月及2021年6月,信息安全准入系统告警率分别为4.6%和4.7%。通过分析,小组成员认为能解决主要症结问题的71%,终端告警率=4500(1+1*90%*71%)/4500=95%。目标即可实现。四、原因分析:确定活动目标后,小组成员采用头脑风暴法,针对
6、信息安全准入系统告警率主要症结:由“计算机病毒”引起的告警率高进行讨论和分析,制作系统图。4-1原因分析系统图由关联图,确定7条末端因素,如表4-1所示。 表4-1末端因素汇总表序号末端因素1存在终端漏洞2存在高危端口3计算机终端防火墙未开启4缺少病毒安全警示标签5IP地址MAC地址未绑定6桌面终端管理系统非最新版本7安装盗版软件第 22 页 五、确定主要原因小组成员收集了全部末端因素,并制定了要因确认表,针对末端因素,逐一进行确认,如表5-1所示。表5-1 要因确认计划表序号末端原因确认内容确认方法负责人完成时间1存在终端漏洞进行漏洞扫描,修复漏洞,对比主要症结的影响程度调查分析xxxx2存
7、在高危端口检查高危端口禁用情况,判断高危端口对主要症结的影响程度调查分析xxxx3计算机终端防火墙未开启检查终端计算机防火墙开启情况,判断计算机防火墙对主要症结的影响程度现场验证xxxx4缺少病毒安全警示标签检查公司计算机终端安全警示标签张贴情况,判断安全警示标签对主要症结的影响程度现场验证xxxx5IP地址MAC地址未绑定检查计算机终端IP地址MAC地址绑定情况,判断其对主要症结影响程度调查分析xxxx6桌面终端管理系统非最新版本检查桌面终端管理系统升级情况,判断其对主要症结影响程度现场验证xxxx7安装盗版软件检查终端安装盗版软件情况,判断其对主要症结影响程度现场验证xxxx确认一:存在终
8、端漏洞确认人xx确认时间xx确认方法调查分析确认过程:xx公司计算机终端漏洞存在情况,对扫描出来的漏洞进行修复,对比升级前后计算机病毒感染率。 表5-1漏洞扫描统计表序号部门名称总终端数存在漏洞终端数存在漏洞终端占比处理方法1xx374338.8%进行漏洞修复2xx2652710.1%进行漏洞修复3xx450429.3%进行漏洞修复表5-2漏洞修复前后计算机病毒感染率统计表序号部门名称漏洞修复前病毒感染率(%)漏洞修复后病毒感染率(%)1xx6.52.12xx7.21.53xx7.71.84平均值7.11.8从表中可以看出修复漏洞后,三个部门的病毒感染率平均值由7.1%下降至1.8%,效果显著
9、,漏洞未及时修复对症结影响程度较大。确认结果:要因确认二:存在高危端口确认人xx确认时间xx确认方法调查分析确认过程:公司计算机终端高危端口情况,对存在137、139、445等高危端口进行禁用,对比禁用前后计算机病毒感染率,检查末端因素对主要症结的影响程度。表5-3高危端口未关闭情况统计表序号部门名称存在高危端口终端数处理方法1xx101关闭高危端口2xx52关闭高危端口3xx42关闭高危端口表5-4高危端口关闭前后计算机病毒感染率统计表序号部门名称高危端口关闭前病毒感染率(%)高危端口关闭 后病毒感染率(%)1xx10.21.32xx11.11.43xx14.31.24平均值11.81.3从
10、表中可以看出杀毒软件升级后,三个部门的病毒感染率平均值由11.8%下降至1.3%,效果显著,高危端口关闭前后对症结影响程度较大。确认结果:要因确认三:计算机终端防火墙未开启确认人xx确认时间xx确认方法现场验证确认过程:小检查公司计算机终端防火墙情况,对未开启防火墙的计算机终端打开本地防火墙,对比是否开启本地防火墙的病毒感染率,检查末端因素对主要症结的影响程度。表5-6计算机终端防火墙开启情况统计表序号部门名称计算机终端防火墙未开启数量处理方法1xx25开启本地防火墙2xx73开启本地防火墙3xx18开启本地防火墙表5-7计算机终端防火墙开启前后计算机病毒感染率统计表序号部门名称计算机终端防火
11、墙未开启病毒感染率(%)计算机终端防火墙未开启后病毒感染率(%)1xx9.88.82xx8.99.53xx9.29.64平均值9.39.3从表中可以看出,计算机终端防火墙是否开启对病毒感染率影响不大。确认结果:非要因确认四:缺少病毒安全警示标签确认人xx确认时间xx确认方法调查分析确认过程:检查计算机终端病毒安全警示标签张贴情况,对比有安全警示标签和没有安全警示标签的病毒感染率,检查末端因素对主要症结的影响程度。表5-5有无安全警示标签病毒感染率统计表序号部门名称杀毒软件升级前病毒感染率(%)杀毒软件升级后病毒感染率(%)1xx9.89.72xx11.111.23xx8.59.24平均值9.810从表中可以看出是否张贴安全警示标签对病毒感染率影响不大。确认结果:非要因确认五:IP地址MAC地址未绑定确认人xx确认时间xx确认方法调查分析确认过程:小组检查计算机终端IP地址与MAC地址绑定情况,对未进行绑定的计算机终端在交换机上进行绑定,对比ip地址mac地址是否绑定计算机终端病毒感染情况,检查末端因素对主要症结的影响程度。 表5-6计算机终端绑定情况统计表序号部门名
