信息安全统一管理平台最佳实践介绍.pptVIP

3 Sept. 2008 ? NEUSOFT SECRET 东软信息安全统一管理平台最佳实践介绍 “平台化”思路下的安全运维创新之路 Copyright 2010 By Neusoft Corporation All rights reserved 东软集团股份有限公司 大型网络信息系统核心就是事件信息的管理 95%的网络安全事件可以通过流量或者各种告警信息察觉到明显异常。 如果告警事件可以在5分钟内发现确认并分析定位，72%的安全事故可以避免。 45%的系统安全故障事件发生在夜间无人值班期间。 运维的焦点是不能一味要求所有运维人员都24小时面对着监视器工作。 传统安全管理产品的最大设计确实在于缺少全面的监控理念 国内大部分安全管理厂商的产品设计仅仅关注安全产品的安全事件收集分析，力图在安全产品告警中找出当前网络风险的真实变化。但这样的设计模式忽略不同事件在不同用户组网环境中的特异性。而且也没有根本上解决传统安全产品如入侵检测等产品告警过于敏感的问题。 这样的设计模式总结来说就是由于安全产品告警信息的不准确性，在基于不准确性信息之上的分析处理同样不能保证分析结果的准确性。 这样设计的问题： 安全事件分析依然孤立，没有真正的应用环境结合。 仅看到安全的告警信息，安全管理员还是要登录应用服务器或者联系其他应用运维人员一起才能判断故障情况，没有直接加快实际工作效率。 传统的信息安全告警事件信息准确率普遍非常低，仅依据这些事件难以建立真正的可信分析基础，结果信服力过低。 安全运维管理平台的需求评估路线 运维难点 将单纯的人员经验分析用先进的数据库和计算公式取代，使得我们对于关键问题和主要变化趋势把握的更为清晰。 最后将过去只能停留在纸面的运维思想真正的运转起来，为实现先进的PDCA的信息系统管理完成最重要的基础。 网络、系统主机、应用以及安全管理员，往往工作内容出现交叉。 避免了一个人成为安全事件处理的瓶颈，要实现全员一致共同参与的工作模式，需要将所有的安全工作统一到一个大平台之中，利用程序化流程代替了传统管理的单一人员负责制。 防火墙、UTM、入侵检测、漏洞扫描等成熟产品进行细粒度检测时每天会产生大量的日志信息需要进行处理分析。 具体处置某个问题的时候需要从网络、系统、应用、安全产品以及后台数据库多个角度才能完整判断故障成因。 采集 分析 展现 积累 改善 完整的收录各种系统资产信息，建立关联分析与权责工单的分析基础。 通过多种协议手段采集 安全运维采集的信息不能局限在安全设备层面。 尽可能的多采集IT系统中各个层面的系统资源数据。 首先要看得懂不同设备厂家之家的沟通语言，并将其翻译为格式化的“普通话”。 构建基于统计、规则、状态的关联分析技术。 “宽进严出”的本环节需要辅助专业的安全服务现场工作分析后进行进一步的规则调优。 好的展现应该是尽量减少内部的沟通和重复协作，合理加快工作效率。 确保不同技术层面人员都可以看到自己关注的信息以及合适的信息量。 针对每一个事件都可以做到针对历史资源数据溯源。 多种自定义报表，满足使用者的各种分析展现需求。 为所有资产建立信息安全健康状况体检表，且为终身建档。 所有事件成为工单进行处理后都会成为知识库数据长期积累保存。 分支机构人员可以方便的在知识库中找到以往类似事件的处理步骤。 符合各种安全管理合规要求。 通过内置分析引擎针对历史数据的定期检索，给出网络设备、系统主机、安全产品、应用软件以及数据库的升级建议以及策略调整建议。 通过针对工单处理响应速度给出技术人员后续技术能力培训提升建议。 安全运维管理平台 – 完整体系 东软网络安全运维管理平台设计思路 针对系统服务平台应用特点，将主机、网络、系统、安全、流量与应用系统健康度监控工作统一纳入到该平台的工作内容中。 平台采用多种方式定期轮询系统运行性能数据和收集告警信息。 平台核心关联分析设计采用创新设计，将网管与安管系统合二为一。例如一次攻击行为对于网络是否带来了异常流量，对于系统是否带来了性能占用异常，对于中间件和数据库是否带来了进程错误等等，真正的将风险分析和系统应用摆在了一起进行统一关联分析。 资产信息采集管理 资产管理参照等级保护规范中关于资产管理的要求，实现资产登记、资产的所有权、资产的分类、标识和处理，并结合组织的特殊情况进行调整；也可参照相关资产划分标准来进行标识。 资产信息的录入可通过自动发现、人工录入和第三方导入等方式实现。 资产价值按照信息系统所属类型、业务信息所属类型、信息系统服务类型、业务系统依赖程度四个属性来定义。 资产管理是信息安全风险管理的重要基础，它建立了统一的分析平台判断依据，从根本上解决了传统威胁事件管理的不足。 驱动扫描系统自动完成资产域漏洞检测工作 根据系统设定好的资产域，自动周期性调