M系列ESC企业安全管控中心功能简介.ppt

用户的价值2 提高综合管理能力 提高风险评估能力 提高安全运维能力 保障用户业务安全 隋锋 电话：186-6160-8779 热线：400-6686-123 邮箱：4006686123@ 信 息 安 全 最 佳 应 用 实 践 核心技术 ● 专业产品 ● 全面方案 ● 咨询实施 ● 教育培训 * * * * * 事件通过收集、归并、关联分析、响应、处理、恢复等等过程，完成信息采集-安全分析-报警响应。 收购产品，公司 * * 企业安全管控中心 Enterprise security center （ESC）功能简介 隋锋 需求与价值 功能介绍 目录 安全管控中心特点 需求与价值 用户需求分析 网络和系统 误操作 高风险漏洞 笔记本/无线网络 病毒 Denial of Service攻击 大量蠕虫传播 SARBANES-OXLEY 未授权登录 来自内部攻击 Slammer 攻击 防毒墙 入侵防御 抗DDos 其他…… 防火墙 异常流量 用户需求分析 Internet Anti-Virus id=tos time=2011-08-31 10:57:38 fw=TopsecOS pri=6 type=ac recorder=tos_fw_nat src=11 dst=55 sport=137 dport=137 …………. dport=137 smac=00:10:b1:3a:65:34 dmac=ff:ff:ff:ff:ff:ff proto=udp indev=null outdev=null user= rule=deny connid=626751753 parentid=0 dpiid=0 natid=0 policyid=8572 msg=null 90:25 2.4.3: Feb 01 14:42:02 [timestamp] 54 [system ip]%TOPSEC100: Inbound [inbound/outbound] UDP [protocol] detected [detected/rejected] from 49:137 [src_ip:port] to 55:137 [dst_ip:port] Any UDP services [attack name] 内部业务 系统的安全 大量的安全事件 如何处理？ 告警该如何 处置？ 整体 风险状态？ 如何制定 安全策略？ ？？？ 有个专家 来帮我就好了 有些事件 什么意思？ 安全管控中心功能介绍 安全管控中心的功能架构 被监控对象层：为安全管控中心所监控的对象，包括安全设备、网络设备、主机设备、中间件、数据库、应用系统。 数据采集层：该层采集被监控对象层的数据，并将该数据上传到核心处理层。数据在数据采集层进行过滤、标准化和归并。 核心处理层：在安全管控中心核心处理层实现对安全事件的处理，主要功能为信息资产管理、安全事件管理、安全风险管理、安全知识管理、安全评价管理、安全预警管理、流程管理、关联分析。 事件展示层：安全管控中心的事件呈现为统计分析、告警实时监控、其他展示功能。 安全对象管理 管理变更 拓扑变更 软件及补丁更新 物理位置变更 配置管理 资产录入 资产退役 安全属性更新 安全对象现状管理、安全对象生命周期管理 安全管理平台事件处理流程 Event Database Agent VPN Virus HIDS NIDS Firewall Database Router Switch Server Knowledge Database Raw Data 原始数据 Information 问询处 Key Information 关键信息 Action 行动 Expert Manager 1 Manager 2 Advisor Knowledge 知识 Console 呼叫中心 安全管理员 归一化 过滤 归并 100万 Events 1 万 Events 1百 Events 基于状态机的关联分析 Internet Oracle, DB2 JDBC Enterprise Database Manager Unix, NT/2000, Linux A Workstation Console Browser Console A 通过海量事件处理 发现真正的安全威胁 ESC 将事件与资产、业务、时间、规则等进行关联，得到期望的结果 IP Address Ports 80 OS Windows Services http Vulnerabilities xForce 1448 B