信息安全保障管理平台的构架与技术实现.ppt

 可信信息安全保障管理平台 “什么是信息安全？”的演化 可信是保障的概念延续 信息保障（信息安全保障） 信息保障包含信息安全、信息完整、信息有效 保障：信心的等级 (Degree of Confidence) 可信的概念 如果一个实体的行为总是以预期的方式发生， 那么说这个实体是可信的。 行为和行为的结果总是预期和可控的 目前主流的可信计算思路 基本思想是认为从一个初始的“信任根”出发，在可信计算的环境下的每一次转换，都保持和传递这种可信而不破坏 也就是信任根和信任链（信任树） 可信管理平台的可信架构要求 全局性地整合各个部件的安全能力 全局性地展示整个系统的安全状况 关键字 命名 一个比较流行的名字：SOC SOC是Security Operation Center的简称 中文名称“安全运营/管理中心” 主要强调运营问题，对于其他管理问题涉及比较少 一个比较恰当的名字：TMP 可信信息安全保障管理平台 简称：可信管理平台 Trusted Management Platform---TMP TMP需求来源 大系统的管理 海量数据（事件） 实际安全工作和高层要求脱节 信息安全目标 全局的可控性/统辖性 风险管理的时效性要求 生物和光电的鸿沟 针对当前突出的信息安全问题 针对最常出现的安全事件 针对专业安全人员的不足 信息安全保障需要量化的管理数据 定位：三观安全论的中观/宏观 定位：27号文的九项任务中的监控体系 系统等级保护和风险管理 基于密码技术的信息保护和信任体系 网络信息安全监控体系 应急处理体系 加强技术研究，推进产业发展 法制建设、标准化建设 人才培养与全民安全意识 保证信息安全资金 加强对信息安全保障工作的领导，建立健全信息安全管理责任制 定位：大事件爆发的转折点控制 定位：实时风险评估的系统 定位：整体框架的运营支撑环节 定位：主要针对的管理类 定位：PDR技术功能中的DR DaR结构 TMP的（平面）功能体系结构示意图 TMP关键技术及其实现 TMP关键技术及其实现 数据收集类 安全状态类信息的采集 漏洞扫描系统 风险评估结果的导入 安全事件类信息的采集 IDS 防火墙 防病毒 网络设备和主机操作系统日志 应用系统日志 其他安全设备 数据收集类-典型产品支持表 防火墙系统 Checkpoint NG, NGAI and Provider/1; Cisco PIX; NFR Netscreen; Secure Computing Sidewinder G2 入侵监测系统 启明星辰天阗IDS， Enterasys Dragon, ISS RealSecure, Cisco Secure IDS(v3:POP; v4:RDEP); Snort; Symantec Manhunt; nCircle IP360 数据收集类-典型产品支持表 防病毒系统 Sophos; Symantec Corporate (Norton); McAfee ePO; Trend Micro 漏洞扫描系统 启明星辰天镜Scanner; eEye Retina; nCircle IP360; Nessus; ISS Scanner,； Foundstone Foundscan 数据收集类-典型产品支持表 网管系统 HP OpenView; MicroMuse NetCool; CA UniCenter ； IBM Tivil CISCO WORKS 其他 Windows Event Log; UNIX Syslog; Tripwire; Apache, IIS, iPlanet 启明星辰天清拒绝服务防御系统 SNMP； SNMP Traps 数据收集类－安全信息收集 Universal Agent提供新增设备的标准化，通过UA接口能够开发暂时不支持的安全设备，提供系统新增报表、设备安全等级变更，同时通过Java和XML接口降低开发新增代理的技术需求。 数据收集类－范式化 TMP关键技术及其实现 关联分析 基于规则的事件关联 漏洞关联分析 基于统计的关联分析 漏洞关联分析 统一预警 在综合风险评估的基础上，用户呈现形式为以下两种：实时的风险计算和定期的风险报表，能够根据资产/域风险的状况，对资产/域进行评级并将最后的量化的风险归结到5个风险级别： 红色：表示安全域处于高风险状态，需要立即进行处理； 橙色：表示安全域处于较高风险状态，需要及时进行处理； 黄色：表示安全域面临一定的风险，需要关注； 蓝色：表示安全域处于较为安全的状态； 绿色：表示资产几乎未受到任何威胁，处于安全状况。 TMP关键技术及其实现 TMP关键技术及其实现 显示报告类功能 Web门户 集