安全信息及事件管理解决方案和身份与存取管理解决方案报告-台湾网威股份.pptVIP

站在資安制高點安全資訊及事件管理解決方案 (SIEM)身份與存取管理解決方案 (IAM) 陳學智(Barry Chen) 總經理 台灣網威股份有限公司 Novell Taiwan 簡報大綱 安全資訊及事件管理概觀 SIEM在學校的重要性 Novell的技術方法與架構 校園身份安全管理概觀 IAM在學校的應用 Novell的技術方法與架構 Novell在中信局的產品 校園今日面臨的資安挑戰 來自網際網路, 各校區間, 宿舍網路, 各電腦教室… 的內外安全風險 太多的專屬系統、設備要佈署 太多的日誌、事件要收集與分析 太多的事故要通報與處理 安全資訊及事件管理系統 SIEM，Security Information and Event Management 名稱：安全資訊及事件管理、資安事件管理、資安事件關聯分析管理。 功能：跨設備資訊收集，跨時間事件關聯分析，事故即時反應，處理追蹤。 運用：網路安全事件分析，應用系統日誌稽核，安全營運中心，法規遵循。 安全管理演進 市場現況研究 Novell於2006年5月收購e-Security 立法院於8月採用 成為資安領導廠商 同時兼顧發展願景與實際業務執行力 Novell 的解決方案 Novell Sentinel 5 技術架構 廣泛支援資料來源 成功要件1: 資料收集 資料收集的方法和規格 可收集的來源 資安設備、網路系統、作業系統、評估系統、資料庫、應用系統等 資料格式和支援的標準 Syslog、ODBC、JDBC、OPSEC、Socket、Logfiles、SSH、 SSL、SNMP v1、SNMP v3、HTTP、HTTPS 資料收斂（Aggregation） 將多筆相關事件紀錄（log、Event）歸納到同一事件 資料正規（Normalization） 不同來源的事件記錄（log、Event）資料化為一致的格式 成功要件2:資料探勘 資料探勘 處理技術 Sentinel Message Bus（iSCALE）將所有從 Collector 傳送來的資料，立即在記憶體中高速運算進行資料探勘處理。同時也將資訊寫入資料庫以供後續資料存取服務（DAS），連接資料庫進行資料存取及鑑識分析。 其他的產品則是採用不同的方式，通常是先寫入資料庫，然後透過過濾的機制取回，如此，其關聯式分析就不是做到即時，或是僅能做到近乎即時。甚而有些產品將資訊存放到資料庫以供後續取回，這將影響後續辨識分析的能力。 成功要件3: 事件關聯 即時事件關聯分析 針對跨系統、跨時間的資料事件 規則式（Rule）關聯性分析引擎提供彈性與延展性。 即時關聯分析，視覺化產生分析趨勢威脅。 詳細攻擊事件歷史統計。 即時事件追蹤及入侵途徑分析。 顯示完整的攻擊來源、目的、手法等資訊。 成功要件4: 事故處理 視覺化的過程引導 視覺化作業流程管理介面，可執行事故程序處理 事故案件的問題處理 儲存、隨時調閱所有問題處理記錄，追蹤問題處理進展 最佳化的作業實踐 預先作業的模板（根據SANS） 或配置專屬法規作業如HIPPA、SOX、BS7799、Basel II 支援外部工作流程系統 BMC Remedy、HP ServiceDesk 成功要件5: 分析報告 豐富的管理報表功能 報表類型 概略儀表板 用戶存取和認證活動 趨勢分析 資產的安全狀態 攻擊類型 前十大事故報告 詳細的事件和事故報告 法規稽核及驗證報告 即時性的報告 透過即時報表（Real-time Reports）協助分析「何種攻擊正在進行？」、「那些重要的資產正遭受攻擊？ 」 持續性的評估 進行週期性的法規稽核及驗證 管理作業展示：即時事件監控 管理作業展示：法規稽核及驗證報告 相關法規驗證使用者或部門符合性調查報告。 事件與重要資產的關聯分析報告，測量事件管理效率。 提供使用者認證和登入事件的控制規則關聯分析。 提供政策稽核和驗證進展追蹤趨勢的資訊。 我們的全球客戶 (+ 立法院) 簡報大綱 透過Portal存取各種校園服務的困境 Portal在整合上的挑戰 修改舊有應用程式之認證機制，改為轉向到LDAP Server認證 Novell解決部署Portal最根本的困難 身份管理與資安事件監控平台完全整合 Novell的方案在Identity在市場地位 選擇Novell的客戶 簡報大綱 安全資訊及事件管理概觀 SIEM在學校的重要性 Novell的技術方法與架構 校園身份安全管理概觀 IAM在學校的應用 Novell的技術方法與架構 Novell在中信局的產品 Novell在中信局提供的產品 2006年 Novell Identity Manager and Access Manager (iChain) SUSE Linux Enterprise Serv