体系化推进企业安全操作管理工作

《体系化推进企业安全操作管理工作》由会员分享，可在线阅读，更多相关《体系化推进企业安全操作管理工作（57页珍藏版）》请在装配图网上搜索。

1、问题安全管理中心是一个产品，还是一个解决方案，还是一个完整的体系，怎么定位安全管理中心，安全安全管理中心主要承载的业务功能是什么安全管理中心的建设思路，有什么经验教训（案例）安全管理中心与其他系统的关系借助安全管理中心的工作推进思路 体系化推进企业安全工作李本Presenters Title Here 概要总体定位1业务功能2系统关系3案例分析4工作推进5 规范依据（1） ISO 2 7 0 0 1 的ISMS体系框架访问控制系统发展及维护信息安全事故管理运营持续性计划符合性安全政策管理与组织资产管理人力资源安全实体与环境安全通讯及操作安全 规范依据（2） ISO 1 3 3 3 5 Pres

2、entation Identifier Goes Here 5 背景思路（1）企业IT系统误操作高风险漏洞笔记本/无线网络病毒Denial of Service攻击大量蠕虫传播SARBANES-OXLEY未授权登录来自内部攻击Slammer 攻击防火墙IDS主机网络设备其他管理系统扫描器防毒异常流量企业现在是否安全？ 背景思路（2）防火墙IDS主机 身份管理扫描器 防毒异常流量安全管理需求安全资产管理策略安全风险评估策略防病毒管理策略安全事故处理流程许可使用策略 问题管理流程业务连续性管理安全技术产品安全管理中心Security Operation Center 安全工作的困惑就安全谈安全以风

3、险管理为具体工作导向风险是一个看不见摸不着说不清的东西就通用规范谈安全机械套用理论模型难于落地安全体系建设纯技术化过多依赖与产品功能没有万能的产品安全考核指标绝对化建了这么多系统怎么还出事 用什么来衡量和评价安全工作 安全运维管理工作的思考安全保障（管理）能力是IT保障（管理)能力的一部分安全治理是IT治理的一个重要构成安全指标治理是安全管理工作的有效推进手段事件指标治理，安全合规指标治理，操作行为审计管理同比指标，环比指标，各系统（体系）之间的比对指标 SOC不是一个即插即用的家电级产品 SOC不是一个可批量生产的解决方案套餐三分产品，七分建设建设过程中需要甲乙方共同进行大量基础工作三分建设

4、，七分运维 运维人员，运维作业计划和流程，运维知识库 概要总体定位1业务功能2系统关系3案例分析4工作推进5 安全管理的工作框架 SOC的三大业务功能及其关系安全监控，合规管理，操作行为审计实现对信息系统全生命周期的安全控制设计，实施，运行，退服全周期的安全控制实现事前，事中，事后的全面安全管理事前检查，事中监控，事后分析改进 SOC与整体安全工作的关系全层面的安全技术防护体系四层模型，查漏补缺实现安全业务管理日常化流程，制度，队伍的建设业务支撑平台逐步建立IT系统的安全知识库合规检查规则库标准事件库关联规则库等 安全监控 （1）安全监控解决事中安全事件的全程监测解决事后安全问题原因的分析问题

5、安全监控的覆盖范围全范围，全技术手段的监测安全监控主要参考的标准 ISO1 3 3 3 5模型 安全监控 （2）安全监控的难点监什么测什么监测范围，手段的落实以什么标准监测监测规则监测的分析算法关联分析规则安全监控系统的建设 开放式的规则库以满足情况发展的需要安全监控与安全管理维护工作的结合 安全监控工作落实思路安全监控的标准化建设安全监控的管理建设安全监控的技术建设 关联分析处理事件/漏洞/安全配置的集中化收集监控点必要的事件来源（产品和手段补足)架构梳理监控点确定安全监控的人员和岗位安全监控的策略和制度监控信息源标准化监控人员考核KPI规范安监控工作KPI考核规范标准化规则库安全漏洞标准化

6、安全基线标准化事件的分类分级标准化安全监控服务流程建设事件工单流程变更流程事件的预处理标准化手册安全知识库事件响应处理应急流程安 全 监 控 技 术 平台已有系统融合与客户化定制 第一阶段：梳理与准备目标：为落实安全监控技术平台，做好技术、管理、流程等方面的铺垫。做到掌握现状、确认关键点、做好必要的补足工作。内容：架构梳理与监控点确认已有安全子系统及平台功能及接口确认必要的信息源（安全产品）补足 做好安全监控工作的基础前提 工作角度梳理和准备的内容技术层面管理层面维护层面平台梳理监控系统平台与ITSM等已有系统的关系调研监控系统平台的客户化定制内容建立监控管理制度建立监控管理奖惩手段建立安全监

7、控队伍建立监控维护流程监控所必需的场地，设备专业安全系统利用已有部署的专业安全子系统梳理并补足缺失的专业安全子系统 梳理和利用已有的安全信息库专业安全子系统的管理制度专业安全考核指标。专业安全子系统的维护队伍，维护流程梳理并建立安全监控与专业安全子系统维护对于的关系网元各被监控网元的时钟同步。全面的日志、事件记录。网元自身的知识库。梳理和利用已有的资产管理系统。设备基础维护管理制度设备基础维护流程设备维护岗位的落实设备故障及事件处理的历史知识结构尽量详细的安全域划分，明确的安全域边界（易于理清安全产品，并作必要的补足）必要的安全监控相关人员岗位和组织结构管理，维护，与安全域的对应性 第二阶段：

8、平台搭建目标：涵盖从铁道部到路局、车站三级结构下的试点单位完成安全监技术平台的搭建使平台具备完备的安全事件、漏洞、变更情况的全面集中监控功能。 内容：基础监测系统的搭建关联分析推进系统融合及客户化的定制条件：要有相对充分的接入数据源 要监控到基础设施性的设备，包括必要的安全设备、网络和主机设备 第三阶段：体系建设目标：建立安全监控体系的策略与制度，以及相应的标准化规范内容：监测体系的策略与制度完善标准化库的建立关联分析的深化条件：各类产品事件、漏洞的梳理和标准化工作需各厂家配合同期需要建设时钟同步系统 第四阶段：优化推广目标：在全面融合和标准化基础上，形成持续性规则库的补充和完善机制在安全监控

9、系统基础上，利用平台形成维护工作的安全监管形成对事件发生路径的全程跟踪、追溯内容：试点工作的全面推广监控工作考核体系的完善包括：风险KPI和考核KPI的定制深度的优化和定制 更为全面的关联分析及事件路径历史记录和分析 条件：监控管理、组织和维护体系的基本建立依赖网络全程的事件监测、异常流量、行为审计等产品的部署和提供充分数据源 第五阶段：运行维护目标：建立和健全安全监控平台的运行维护服务体系内容：通过自身制度和流程确立监控体系的运行和维护机制通过外包服务方式对安全监控平台系统进行日常的运行维护。通过外聘专家服务或者与专业合作伙伴长期合作方式，加强安全监控体系全面的管理和维护。 安全监控工作请参

10、考附件的文档体系安全合规监控的特定场景应用主机进程监控 合规管理（1）检查基础架构和流程合规检查报告 检视风险状况并补救问题补救监控并验证已尽责任定义确定风险并制定策略 技术控制管理面板审计报告 风险评估风险加权的补救流程控制 策略和控制 合规管理（2） 与监控和合规相关的安全知识库预定义关联规则 IP监视列表（IP Watch List）动态变化包括蠕虫, 恶意IP地址和僵尸网络地址攻击关联数据库(Attack Correlation Database)标准化（Normalization）定义码，将第三方特征码映射成Symantec的特征码 3 9 ,6 6 2 Entries 漏洞数据库(

11、Vulnerability Database) 1 3 ,7 0 0 Entries配置缺陷数据库(Exposure database) 6 4 1 Entries恶意代码数据库（Malicious code database）最常见和最近的Viruses, Malware and Spyware 6 ,0 2 1 EntriesAttack DBMalicious Code DBExposure DBVulnerability DBMalicious IP DB 基于业界标准的安全合规检查策略合规检查策略构成标准 ISO/IEC 17799:2000 (BS 7799 Part 1) ISO

12、/IEC 17799:2005 Revised SANS Top 20 CIS Benchmark for Solaris CIS Benchmarks for Windows 2000 Server & Workstation NSA for MS Exchange Server ESM Phase 1, 2, 3abc规章 Sarbanes-Oxley Act Section 404 (COSO, COBIT) SOX for OS/400 Basel II Capital Accord (ISO 17799:2000) Basel II Capital Accord (ISO 17799

13、:2005) FISMA (NIST 800-53 Draft) VISA CISP PCI DSS NERC Standard 1200 GLBA (Gramm-Leach-Bliley Act of 1999) HIPAA 周期性、自动化的控制及分析流程弱点/漏洞的定义是由第三方信息导入,如： (Symantec, CVE, Cert, SANS)检查所有适用系统的弱点/漏洞查看弱点/漏洞的纠正情况风险评估 区分优先级应用安全措施&创建任务 定义企业安全策略或采用相关安全标准 如: SOX, Basel II, PCI, ISO 17799检查安全策略遵从 查看违背策略的纠正情况修改策略应

14、用安全措施&创建任务漏洞管理策略遵从风险评估 区分优先级 安全管理的三个阶段 识别风险尽早处理SOXPCI-DSSISO27001BASEL企业自有规范帐户权限变更日志法规配置策略事先评估加固事后审计发现违规行为及时恢复 阻挡恶意入侵和非法访问零日攻击违规操作入侵防护操作控制合规性检查事中控制安全性防护调度任务合规报告修补建议实时监控系统监控文件监控权限跟踪结果审计用户行为执行命令配置修改文件修改及时报警主控台报警邮件通知SNMP Trap 事前评估的实现1)安全策略 Standards ISO 17799 HIPAA GLBA Controls Passwords Permissions S

15、ervices Files 2)基于策略基准对系统设定和配置进行详尽的检查-Windows- UNIX- Linux- Netware- VMS- AS/400 -Database- Web3）详尽的符合性报告(Technical Controls and Standards) Servers应用平台4）修复 事中监控和事后审计的实现 AgentAgent安装在主机上代理程序文件注册表审计信息操作系统日志应用系统日志实时事件监控管理服务器主控台报警邮件通知SNMP Trap Agent运维平台SSIM历史日志 监控，合规与知识库（1） 监控，合规与知识库（2） 监控，合规与知识库（1） Dee

16、pSight content (“Exposure”) related to Spam email. 操作行为审计口令猜测系统层面针对不同账号进行口令猜测系统层面针对同一个账号进行口令猜测时间违规用户系统层面非计划时间内变更审计用户网络层面非计划时间内变更审计来源违规面地址段登录生产和测试网段的网络设备桌面地址段登录生产和测试网段的网络设备并更改配置发现桌面地址段到生产和测试网段的成功访问行为访问路径违规 绕过USP系统直接登录操作系统用户通过USP登录目标系统后二次跳转行为绕过网络运维平台登录网络设备并更改配置绕过网络运维平台在ACS的账号登录网络远程VPN用户接入后绕过USP登录主机远程V

17、PN用户绕过网络运维平台登录网络设备更改配置用户高危操作用户USP高危操作行为用户敏感操作用户USP敏感操作行为内部合规性审计 概要总体定位1业务功能2系统关系3案例分析4工作推进5 SOC与其他系统的关系网管系统 OSI的经典概念：性能管理，故障管理，计费管理，配置管理，安全管理 ITSM系统安管系统ITSM系统网管系统1 网管与安管系统安管系统与网管系统有相近也有区别安管系统需要处理大量的疑似报警网管系统的告警大多可直接准确定位网管系统的故障告警需要各专业人员处理安管系统的事件告警需要进行准确的筛选分析经常是归并类，趋势类告警安管系统可以与账号口令管理系统及其他安全管理系统集成网管系统与业

18、务网元结合紧密 概要总体定位1业务功能2系统关系3案例分析4工作推进5 案例分析（1）经验足够的原始事件源全面的原始事件信息事件收集和关联分析手段运维作业计划运维操作手册运维知识库安全监控和运维人员安全运维和管理机构 安全运维和管理考核指标 案例分析（2）移动以ISMP，安全管控平台的技术结构推进安全管理工作相关的规范和试点以安全监控，安全合规检查工作思路落实安全管理工作相关的作业计划和指示库联通以宏观管理指标的方式推进安全管理事件源 IDS，防毒系统各省排名同比，环比等某银行 案例分析（3）移动某省网管系统主机进程监控集团：周期性监控主机中的恶意软件（进程监控是一个常用的办法）正常运行的系统

19、进程状态应该是稳定的 UNIX主机进程监控白名单进程甄别后确定例外进程告警僵尸进程告警 Windows服务器进程监控白名单进程 例外进程告警 案例分析进程监控系统 部署一台进程监控系统，通过交换机与各业务系统连接，并有一台监控终端连接进程监控系统进行实时监控 案例分析进程监控功能展示OracleSshdPsSyslogcronrootlocalhost PS A2 8 5 8 3 ? 0 0 :0 0 :0 0 oracle2 8 5 8 6 ? 0 0 :0 0 :1 3 sshd2 8 5 8 9 ? 0 0 :0 2 :5 7 ps2 8 5 9 1 ? 0 0 :0 0 :0 1 sy

20、slog 2 8 5 9 5 ? 0 0 :0 3 :0 1 cron进程监控系统告警:监控到WAP业务系统主机1 0 .1 9 5 .9 .1 9新增异常进程，请核查！操作系统：AIX进程名称：telnetd2 8 5 8 3 0 0 0 0 0 02 8 5 8 6 0 0 0 0 1 32 8 5 8 9 0 0 0 2 5 72 8 5 9 1 0 0 0 0 0 12 8 5 9 5 0 0 0 3 0 12 8 5 9 6 ? 0 0 :0 5 :0 2 telnetd白名单列表1 23 案例分析监控端仪表盘过去3 0天告警处理情况 按照状态显示趋势图2 4小时告警数量top1 0

21、 2 4小时内被监控服务器发现告警top1 0过去3 0天告警数量top1 0 过去3 0天内被监控服务器发现告警top1 0过去3 0天未关闭告警 过去3 0天中新建、处理中、待处 理 案例分析告警监控界面实时监控 系统可以实时监控各被管服务器的进程状态，一旦发现异常进程，立刻告警。刷新间隔 1分钟采集到告警时间 1分钟内灵活设置告警内容 系统告警内容可以根据客户需求 进行自定义 案例分析进程白名单设置系统内置命令集 系统内置各操作系统常用命令集灵活设置 系统可以针对所有服务器设置一个白名单，也可以为每个服务器设置一个白名单列表。批量导入 为便于系统快速部署，系统支持对白名单信息的批量导入和

22、导出功能。列表编辑跟踪 系统可以跟踪白名单列表从新建到使用所有编辑历史过程。 案例分析进程告警分析策略设置（1）系统内置分析策略 系统内置部分分析策略灵活设置 系统可以针对所有服务器设置一个分析策略，也可以为每个服务器设置一个分析策略。导入、导出 为便于系统快速部署，系统支持对分析策略的导入和导出功能。分析条件设置 系统可以设置详细的分析条件 案例分析进程告警分析策略设置（2）设置告警级别 系统可以根据服务器重要级别设置不同的告警级别说明 系统可以灵活设置告警说明。告警通知功能 为及时通知相关系统管理员进程告警，系统支持邮件、syslog、snmptrap等通知方式。 案例分析统计报表-2 4

23、小时告警数量TOP1 0 2 4小时TOP1 0柱状图2 4小时TOP1 0详细信息 统计报表-过去3 0天告警数量TOP1 0 过去3 0天告警数量TOP1 0统计 统计报表-过去3 0天告警数量趋势分析 过去3 0天告警数量趋势分析 统计报表-过去3 0天告警处理趋势分析（1）过去3 0天告警处理趋势分析 按照不同处理状态每天数量情况给出相应的趋势分析图 统计报表-过去3 0天告警处理趋势分析（2）过去3 0天告警处理趋势分析 按照每天各种状态告警数量进行统计，并给出未关闭告警的详细信息。 概要总体定位1业务功能2系统关系3案例分析4工作推进5 安全管理工作推进思路技术视角的安全事件业务视角的安全事件告警率，合规率指标治理指标动态更新，同比环比比对循环推进运维和管理体系的建设 Presenters NamePresenters EmailPresenters Phone