互联网威胁管理体系.pptVIP

互 联网 威 胁 管理体系 2005. 04. 27 零日 (Zero-day) 攻击威胁， 发送大量邮件的蠕虫，病毒 网络安全产品的易用性以及加强对异常现象的安全监控能够减 少新的威胁所造成的危害程度 零日 (Zero-day) 攻击威胁， DOS( 拒绝服务 )/DDOS( 分散拒 绝服务 ) ， 新型恶意代码 必须监控基于全球 / 局部网络上的所有单位系统以及建立响应体系 ? 建立新概念的互联网管理体系的必要性 互联网威胁管理体系 加强迅速 响应体系 加强早期 预 / 警报体系 加强监控体系 建立互联网威胁 管理体系 加强预先预防活动以及 早期预警报体系 对互联网威胁征兆 加强实时监测 加强迅速响应以及 防止扩散能力 ? 为建立互联网威胁管理体系的战略 互联网威胁管理体系 * NIST SP800- 61, Computer Security Incident Handing Guide(04.1) 安全控制 ? 执行互联网威胁管理业务步骤 互联网威胁管理体系 Preparation Detection Analysis Containment Eradication Recovery Learn Computer Security Incident Handling Cycle ? 执行安全控制业务步骤 互联网威胁管理体系 Operation Policy Technical Support “What” “When” “How” 365 日 , 24 小时 对互联网威胁征兆 进行检测 / 分析 / 响应 ? Policy (What) - 统一管理控制对象机关信息 : 控制对象机关组织体系图， IP 带宽， DNS 地址， WEB 网址等等 - 管理实时报警阶段 ? Technical (How) - 导出控制技术以及系统化 ( 建立控制矩阵 MATRIX) - 对互联网威胁信息详细分析 : 对 IP 地址，端口，检测规则， DNS/WEB 现状信息进行统计分析 互联网威胁管理体系 互 联网 威 胁 管理体系 ? Operation (When) - 执行被 Policy 和 Technical 从属的安全控制 : 控制对象按机关实时警报以及基于矩阵（ MATRIX ）的事件处理 ? Support - 维持基于互联网威胁信息收集方式 : 维持系统的可靠性和一贯性 - 保障一年四季系统的正常安全运行 互 联网 威 胁 管理体系 ? 应用 TESS TAS/TMS 后改善的内容 区 分 现有体系 改善后体系 Policy ? 资料收集所为中心 ? 控制对象机关资产为中心 Technical ? 基于资料量的临界值 ? 基于趋势定义含义 Operation ? 基于临界值发生报警 ? 基于含义发生 / 响应报警 Support ? 按收集 Agent 监控 ? 按机关 / 类型分类收集资料并 监控