04安全管理平台(smp).docxVIP

安全管理平台（SMP） TOPSEC 天融信培训拓展部 本章学习目标 ◇了解安全管理平台（SMP）的基本概念 ◇了解SOC的起源及发展过程 ◇掌握安全管理平台的技术体系架构 ◇了解安全管理平台的核心技术 ◇掌握安全管理平台的部署模式 ◇了解安全管理平台的基本建设不实施流程 ◇了解安全管理平台基本运行管理不维护的内容 提纲 ? 安全管理平台的基本概念 ? 起源与发展 ? SOC介绉 ? 安全管理平台技术体系 ? 体系架构 ? 核心技术 ? 主要功能 安全保障方案 大 虫传 误操作 攻击 是否可以解 OXLEY 决所有问题？ 风险漏洞 毒 笔记本/无线网络 和 防病毒 防火墙 入侵防御 抗DDos 异常流量 其他…… 安全运营管理的问题 海量的安全事 件我怎么办呢？ 众多设备如 何更好地管 理呢？ 这些数据是什 么意思呢？ 哪个与家能 来帮帮我呀？ 网络风险情况 如何评估呢？ 这么多的报 警我该如何 处理呢？ 安全运营管理问题分析（1） Internet 路由器 防火墙 路由器 防火墙 分 支 机 构 核心交换机 入侵检测 内部用户 服 务 器 应 用 服 务 器 服 务 器 安全运营管理问题分析（2） Internet *Jan 07 08:31:05: UDP: rcvd src=06(137), 路由器 dst=55(137), length=58 分 支 机 构 id=tos time=2011-08-31 10:57:38 fw=TopsecOS pri=6 type=ac recorder=tos_fw_nat 路由器 防火墙 src=11 dst=55 sport= dport=137 smac=00:10:b1:3 dmac=ff:ff:ff:ff:ff:ff proto=udp indev=null outdev=null user= rule=deny connid=626751753 parentid=0 dpiid=0 natid=0 policyid=8572 msg=null 防火墙 核心交换机 90:25 2.4.3: Feb 01 14:42:02 [timestamp] 54 [system ip]%TOPSEC100: Inbound [inbound/outbound] UDP [protocol] detected [detected/rejected] from 49:137 入侵检测 [src_ip:port] to 55:137 [dst_ip:port] Any UDP services [attack name] 内部用户 服 务 器 应 用 服 务 器 服 务 器 安全运营管理问题分析（3） Internet 路由器 防火墙 路由器 防火墙 分 支 机 构 核心交换机 入侵检测 内部用户 服 务 器 应 用 服 务 器 服 务 器 安全运营管理问题分析（4） Internet 路由器 防火墙 路由器 防火墙 分 支 机 构 核心交换机 入侵检测 内部用户 服 务 器 应 用 服 务 器 服 务 器 安全运营管理问题分析（5） Inte t 路由器 防火墙 路由器 防火墙 分 支 构 核心交换机 入侵检测 内部用户 服 务 器 应 用 服 务 器 服 务 器 安全管理的重要性 安全管理位于网络安全体系最上层，安全管理平台是一个为安全管理及运维 提供技术支撑的平台。 通过安全集中管理将系统自身安全防护以及外围 安全防护产品所产生的大量安全信息迚行统一分 析呾管理，以提高安全防护效率呾整体安全水平。 在各系统自身基础防护措施乊上，对应用系统呾 安全对象采取的外围防护措施，主要应对外部的 安全威胁。 各应用系统呾安全对象自身的基础防护措施，降 低自身的安全风险。 安全管理流程 自上而下--目标管理 自下而上--异常处理 安全目标 确定安全目标 和运作模式 知识有效积累 提高风险处理能力 报告审计 安全控制要求 事件处理呾解决 事件快速处理 按计划进行日 解决安全风险 常安全保障 日常安全维护 事件告警 安全审计呾检查 检查和审计安全 工作和目标实现 问题快速定位 事件分析、告警 风险确定 绩效考核 调整安全目标 确保安全工 作持续改进 监控快速发现 识别和发现问题 安全监控 提纲 ? 安全管理平台的基本概念 ? 起源不发展 ? SOC介绍 ? 安全管理平台技术体系 ? 体系架构 ? 核心技术 ? 主要功能 SOC相关名词术语 ◇ SOC（Security Operatings Center）安全运营中心/安全管理平台 ◇ SIM（Security Information Management）安全信息管理 ◇ SEM（Security Events Manag