技术与管理的融合之道-东软安全运维管理平台.ppt

技术的进步使得防火墙成了“放火墙” 有多少种安全产品，现在很难用一双手来数清，我们认为真的有用的呢，打算用几个指头~ FW、IDS、防病毒、IPS、CA、PKI、漏洞扫描、身份认证、4A审计…… 管理其实是追求人的和谐进步 管理的标准远不如技术的标准实施的容易，过于西化的标准看起来虽然严谨漂亮但未必真的适用我们。 中国式的企业管理被很多人成功的应用，今天“中国式的信息安全管理”也被越来越多的人所关注。 好的管理是一种成功的企业文化的延伸，管理不应该是简单的允许哪些与禁止哪些那么简单。 黑客最高兴的看到的就是---管理制度的一成不变 今天我们所处的环境，各种新兴的安全攻击手段与威胁因素层出不穷，可惜管理制度的变化非常缓慢。 我分别用Microsoft Office Word 2003与Windows 2003系统的密码来举例。 7分管理也有7分不足 缺乏全面的安全管理策略制度（很多缺少网络应急策略、业务系统代码开发安全设计要求等） 管理策略与操作人员的“通道”没有打通，很多人不知道单位的安全管理策略制度是什么，不知道自己该负起什么责任。 策略制度没有生命力，大部分写完以后就从来没有更新过了。 策略制度没有执行力，很多策略制度没有写明白该如何去做，怎么做。 缺少专门的管理制度维护部门来执行和推广。 安全管理运维平台---技术与管理的未来融合 安全管理运维平台是对传统风险管理三要素的统一（资产、威胁、弱点） 是对安全等级保护等各种安全标准合规性的最好体现 从收集安全产品状态，到驱动安全产品工作 事件驱动人的技巧 高效的工作模式，大大提高了传统的人为工作的极限与工作效果。 东软公司作为安全管理运维平台厂商在实施过程中的的最佳切入点 NetEye安全运维平台的体系结构 资产管理 资产管理实现组织内信息资产共享，它是整个安全管理的重要“基石”。 资产管理参照国内相关标准（如：信息系统安全等级保护规范）中关于资产管理的要求，实现资产登记、资产的所有权、资产的分类、标识和处理，并结合组织的特殊情况进行调整；也可参照国际相关标准（如：ISO 17799）来划分和标识资产。 安全信息监控 对各类安全信息进行收集、分析、归并处理，根据安全信息的紧急程度并结合资产价值进行集中告警。 安全信息监控的对象至少包括了路由器、交换机、防火墙、IDS、漏洞扫描设备、主机系统、服务器系统等。其功能是根据安全信息收集策略中定义的信息位置、类型和内容进行信息收集，并根据定义的信息传输目的地对收集的信息进行传输。 NetEye SOC通过SNMP Trap、SYSLOG、ODBC/JDBC、HTTP/XML、文件以及其他扩充协议等方式从网络设备、安全设备、主机系统等多种数据源收集安全信息，经过过滤、汇总和关联分析后，标识其紧急程度，一方面以规定的格式存储到数据库内，另一方面以多种方式实时响应。 提供了界面显示报警、手机短信息、E-mail、SYSLOG、SOAP、与防火墙互动等多种响应方式。 脆弱性管理 NetEye SOC利用内置扫描系统对于各种资产进行主动的网络弱点评估，本地主机弱点分析、管理问卷调查评估与自动策略执行状况评估。 对每一个发现的问题依据资产库信息数据做好“再确认”工作。 风险管理 风险管理主要是把当前SOC所监控的网络中所存在的风险以宏观的方式呈现给用户，让用户对网络中所出现的问题有一个初步的了解。 风险管理主要功能有：区域地理图、安全趋势图、历史统计图、安全事件列表、安全信息雷达图、资产信息列表等功能。 安全事件处理 安全事件处理也称为工单管理， NetEye SOC在事件驱动设计中充分考虑并融入了“中国式网络安全管理”的技巧。 实时跟踪每个工单任务的状态、处理过程和最终结果。 安全事件工单有分发、跟踪、完成、回收站和处理等系列处理状态。 安全状况评估 站在系统全局高度，描述系统部署期间内的安全状况变化情况，方便组织管理层人员更好的了解系统的实际情况与运维情况汇总。 更好的为企业组织未来高级安全决策给出合理化的建议，安全状况评估可以真正为企业的管理成本减压。 安全知识管理 组织内统一的安全知识发布、安全工具下载和安全交流的平台。 知识管理是相对独立的系统，提供安全信息发布的平台，包括安全技术交流、安全案例库、系统管理知识、安全维护管理知识、安全新闻等相关信息以及系统补丁库、常用安全维护工具、工具软件等工具下载。 预警管理 根据实时发现的安全事件以及安全事件的处理结果对当前的网络状况进行实时分析，并进行相应的预警。 安全预警从保密性、完整性、可用性三方面进行，预警结果的展示，紧密参照信息系统安全等级保护规范，采用3级告警机制，并结合资产分类、配置情况，根据安全事件分析损害可能造成的威胁范围，以及对安全事件进行溯源追踪分析。 报表