SRCB_DLV_安全技术框架规划报告_V2.0.pptVIP

收集到的事件往往是海量事件，因此需要根据一定的规则对事件进行过滤、汇聚、归并以及关联分析，以最终能够总结出可使用的安全信息 安全事件过滤 过滤掉严重程度较低的原始事件信息 通过指定事件影响的设备、事件采用协议、事件类别、事件标题等事件属性进行过滤 对事件数据过滤的开启状态进行手工设定 安全事件汇聚——减少网络流量与事件量 根据攻击源进行汇聚 根据攻击目标进行汇聚 根据受攻击的设备类型进行汇聚 根据受攻击的操作系统类型及版本信息进行汇聚 根据安全事件类型进行汇聚 根据安全事件的其他属性或属性的组合进行汇聚 安全事件关联分析——降低误报、降低漏报 基于规则的关联分析 ：DDOS攻击、蠕虫、木马等 基于统计的关联分析 基于资产脆弱性的关联分析 Page * 在对处理后事件进行告警等处理后，安全事件管理系统还能够基于安全运行周期以及分析规则针对不同的报告对象产生安全事件总结报告 重要资产风险 安全处理工单 重要事件报告 系统级风险统计 周安全总结 事件统计分析 历史数据分析报告 安全趋势分析报告 业务安全运行报告 月报表 周报表 日报表 汇报 总结 工单 决策层： 了解业务安全运行趋势 便于安全建设的决策 管理层： 准确掌握系统运行状况 便于安排安全运维工作 维护层： 主动发现风险点 便于快速排除故障 Page * 未来上海农商银行可以在安全事件管理的基础之上，建立安全运行监控系统，从而对全集团安全状态进行统一监控的，是实现安全运行状态“可视化”的重要手段以及管理方式 安全事件处理 集中安全管理平台 网络、系统、应用 安全信息管理（审计/事件管理） 用户与权限管理 资产与风险管理 威胁管理 登陆 口令 帐号 系统 网络 WebAPP. 病毒 入侵 漏洞 企业信息系统基础架构 事件管理平台 知识库 配置库 Page * 集中安全事件管理/集中安全审计系统部署架构 主要功能组件 部署位置 作用 集中事件管理系统/集中安全审计服务器 数据中心运维管理服务器区域 制订日志管理策略、事件过滤策略、事件存储策略、事件分析及告警管理策略以及报告功能等集中管理功能 安全事件存储数据库 数据中心部署基础服务器区域（业务三区） 集中存储所有安全日志及事件 安全事件采集器（Syslog、SNMP、OPSEC等） 数据中心部署基础服务器区域（业务三区），根据事件数据量，可依据事件来源、事件类型等部署多台采集器 对各种安全事件进行采集，包括操作系统、网络设备、安全产品、应用系统等 安全事件采集代理（非标准日志，常指自行开发应用系统） 采集对象服务器上 针对自行开发应用系统，其日志格式及采集形式不统一，需要针对此类应用进行定制开发采集器 Page * 集中安全事件管理/集中安全审计系统实施步骤 Page * 序号 任务 说明 1 开启所有系统及设备的安全审计功能 2 部署集中安全事件管理/集中安全审计管理服务器 3 部署安全事件采集器，配置安全事件采集策略及采集规则 4 部署非标准日志采集器 报告正文结束2011.12 * * * * * * 应用信息安全测试，终端保护，信息安全知识库，业务持续性管理，移动介质的使用，网络完整性保护，无线接入信息安全？？ 用户身份与信任凭证管理：关注信任凭证(credential)的生命周期管理，信任凭证的生成、分发、状态管理、注销 （在用户身份中建立信任，用于IT资源的访问） 访问控制：使用凭证（credential)和其它属性进行identification, authentication, authorization，以控制对于IT资源的访问 信息流控制：信息在企业内传递的门禁（gating） 完整性保护：用以维护系统关键组件和进程能够正确可靠的运行。 信息安全监控与审计： * * * * * * * 经过对上海农商银行IT基础架构安全评估，将各维度发现的安全问题进行总结分析可以得到上海农商银行目前IT基础架构的整体安全状况 Page * 安全技术领域 存在的主要问题 优化建议 后期规划设计重点 用户管理 未建立集中用户库，帐号管理不统一存在缺省角色及默认帐号无统一口令管理策略 尽快明确口令管理策略并建立定期检查制度，待集中用户管理系统建立完善后在系统中实现集中口令管理； 新一代系统整体上线进入稳定期后，逐步建立集中用户管理系统，对所有用户和角色、帐号进行集中管理 集中用户管理（安全技术框架） 访问控制 缺少统一认证机制存在缺省角色，容易导致权限滥用不够清晰的安全域划分导致访问控制策略设置不统一 优化网络架构，明确安全分区，根据等级保护原则进行安全防护； 新一代系统整体上线进入稳定期后，与集中用户管理系统配合进行统一认证机制的实现 统一认证（安全技术框架） 安全审计 未建立集中审计机