天融信可信的安全支撑平台-SOC解决方案

1可信的网络安全支撑平台－SOC解决方案2安全运营中心（SOC）的发展相关人员安全策略IT设施安全产品安全资源我们现在的网络安全吗？我们的安全投资有价值吗？我们下一步应该怎样做？业务需求安全导向设计部署运行保障企业3安全运营中心（SOC）的发展分散的专业解决方案•防火墙、入侵检测系统、防病毒系统、异常流量防御系统；•每个系统都有独立的管理监控系统；•非安全产品也有安全相关的事件；4安全运营中心（SOC）的发展海量事件＆安全噪音•每日多达上千万的事件量•技术人力的局限•较高的安全误报率（重复、无用及错误！）•真正安全风险的无法可视•缺乏业务优先级的安全保障5安全运营中心（SOC）的发展心预警防护检测响应恢复反制.如何事先了解安全问题和安全趋势；.如何调整安全防护策略应对蠕虫病毒？.病毒感染源在哪里？业务系统影响情况？.要清除和防止蠕虫病毒我们应该怎么做？.如何恢复被蠕虫攻击的信息系统？.如何取证、定位来规范相关人员和流程？安全蠕虫攻击安全保障是闭环的吗？在过去的安全事故里，资源滥用是企业信息安全中最为头疼的问题之一；如蠕虫病毒的安全防护。6以业务去导向和驱动安全体系结构的设计、部署与运行，并能有效降低安全体系结构的总拥有成本为目标的安全基础性支撑设施，就是SOC(SecurityOperationCenter)SOC的定义电信业务应用相关人员安全技术安全策略安全设施实现了一致性、灵活性、可视性隔离了底层技术复杂性、异构性安全资源复杂性易变性一致性不可见性安全总成本SOC平台安全导向设计部署运行保障只需关注业务应用技术支撑的高效管理开放架构与开放参与用户7什么是安全运营中心（SOC）？安全运营中心（SOC:SecurityOperationCenter）是以风险管理为核心，由人、技术和流程三个元素构成的安全管理组织形式。8安全运营中心（SOC）的发展日志审计统计事件关联分析（事件威胁特征）资产关联分析、业务角度进行展现（风险3要素）第1阶段第3阶段第2阶段第4阶段确定IT治理目标、整合IT服务流程、贯彻IT风险管理、实现IT安全运营。数据管理信息管理知识管理运营管理单一的安全设备传统的IT网络安全设备关联业务资产的整个IT设备以运营为核心的IT系统（人、流程等）安全管理对象较高IT成熟度9安全风险信息资产信息管理系统信息存储系统信息传输系统信息处理系统信息威胁弱点影响安全事件形成安全事件A安全事件B信息事件业务损失业务损失业务损失业务损失业务损失发生不发生安全事故少发生安全事故发生事故减少损失安全事故造成业务损失安全目标SOC的管理模型事件跟踪事件根除事件准备事件检测事件抑制事件恢复SOC管理模型业务管理资产管理10统一化（Normalization）整合化（Aggregation）关联化（Correlation）可视化（Visualization）SOC管理模型1－事件管理首先我们先来了解作为SOC管理模型的底层纽带－“事件管理”。“事件管理”在对安全事件进行管理时，主要涉及到四个核心的处理过程：11InternetSOC管理模型2－资产管理你有哪些资产？资产的价值？资产的相关属性？风险评估资产目前的安全状况？资产管理资产属性资产价值资产类别SOC的资产管理主要是通过风险评估进行资产初始化的，然后在SOC运维过程中通过其相关流程（如：配置管理等流程）进行不断地持续性改进。SOC的资产管理不仅仅涉及传统资产管理中基本特征的统计，如：资产名称、IP地址等，由于SOC最终帮助用户实现的是业务管理，所以我们需要资产具备相关的业务属性：1.区域特征；2.资产交互特征；3.脆弱性特征等；天融信部分资产列表12SOC管理模型3－业务管理InternetCRMServer工作时间：9:00---17:30IP:192.168.8.12RouterFirewallSwitchUser:AllenSOC的“业务管理”是帮助用户从业务的角度去审视和管理整个企业的安全状况，例如：1.从业务底层的数据角度;2.从业务周期的时间角度；3.从业务运行的流程角度；4.从业务相关的商务角度等多个方面。时间特性数据特性流程特性商务特性业务管理13封装可信网络架构技术规范SOC平台应用NSOC平台安全中间件组件业务安全建模SOC的平台架构业务应用应用1应用2应用3应用4基于服务的交换核心安全业务系统响应恢复反制防护预警检测安全资源安全策略安全技术安全设施安全专家其他资源安全资源管理模块运营策略管理模块业务需求管理模块需求14SOC平台的生命周期主要目的：构建以等级保护为核心的支撑平台政策标准：中办17号文件、27号文件和66号文件管理标准：选择ISO27001/27002、ITIL、COBIT等技术标准：选择符合ISO15408标准的产品工程标准：选择SSE-CMM规定的过程控制设计思路：可信网络架构设计模型：PDCA{Plan--Do--Check--Action}对SOC运营进行全面的稽核，从而优化和保障SOC.认证机构对SOC的安全保障能力进行认证.ISO27002描述了11个方面，根据业务需要去选择.DoCheckActionSOC运营（运行、维护和管理）建立SOC的安全策略组织技术流程SOC所选的控制措施SOC安全稽核SOC安全认证风险管理风险评价SOC建设SOC运营SOC定级持续改进确定SOC安全业务等级风险评估Plan15SOC体系规划预警管理威胁管理弱点管理资产管理SOC的管理范围SOC的运维流程外部合作类流程安全稽核类流程响应处理类流程监控运行类流程组织管理类流程SOC的功能结构外部系统整合接口安全知识系统SOC运营管理系统事件收集管理系统主控台界面业务持续运营降低安全风险基于“2-4-5-5”设计架构16防护管理安全信息管理4A管理SOC平台－技术规划终端管理病毒管理策略配置补丁管理报表管理用户管理授权管理鉴别管理预警管理知识管理事件管理监控管理安全运营中心响应管理资产管理风险管理审计管理ProcessPeoplePeople补丁自动检测补丁自动测试补丁自动更新补丁自动分发补丁自动通知补丁策略制定事件收集事件格式化事件分类事件关联分析事件可视化自动响应报表输出事件定位资产添加资产属性修改资产删除资产分配资产价值评估资产分类资产入网统计资产精确定位单位部门联系电话联系mail用户名称帐户信息17SOC平台－组织规划安全技术团队18SOC平台－组织建议高层领导的有效参与和支持！安全文化的融入与推广！人才外聘和组织合作！.“充分的授权”－“企业加强安全的决心”.“文化的融入”－“信息的传递”.“效果的评估”－“KPI的稽核”.“人员的外聘”－“规避了内部人力的限制”.“顾问的善用”－“专业经验的分享”.“组织的合作”－“业务、市场的互补”19SOC平台－人员规划人员这部份需要相当时间来筛选或培训其合适的人才，有些组织则外聘适合的安全顾问与安全分析师，分阶段的进行内部技术转移，不论是内部或外部资源，良好的管理是不二法门。同时人员组织架构图，人员的编制可依各组织的特别要求而异，例如：7x24服务等级的人员编制也许是5x8服务等级的2~4倍；另外，编制人员的数量也与被监控的安全设备成正比成长。背景调查:包含了学经历，资历,专业技能，专业证照，语言等项目。人员外部聘用合约。员工保密合约的签定职位鉴定，任用，升迁与绩效评估。教育训练计划。人员轮调计划。忠诚查核:包含其过往经历的道德评价，警政机关的良好纪录证明，周边诱因评估等项目。20SOC平台－人员培训一高阶管理人员培训计划：IT/Operation经理:SOC控制台管理SOC安全事件收集配置管理SOC安全事故处理管理SOC安全应用实施管理SOC安全运维策略管理SOC基于业务应用的安全策略管理SOCIT设备策略管理SOCIT设备性能管理SOCBCP和DCP的管理......安全分析师:SOC控制台管理SOC安全事件收集配置管理SOC安全事故处理管理SOC安全应用实施管理SOC安全运维策略管理SOC基于业务应用的安全策略管理安全支持团队培训计划:安全运维工程师：SOC安全事件收集配置管理SOC安全应用实施管理SOC安全运维策略管理......21SOC平台－人员培训二安全运营中心（SOC）ISMSPDCA教育训练:Module-1：信息安全与信息安全管理简介信息安全的现实面与应用面RiskAssessment介绍与实务Module-2：ISO17799/BS7799标准的历史与发展信息安全的范围界定、环境与其它相关标准ISMS标准:ISO17799/BS7799/CNS17800ISO17799/BS7799/CNS17800标准的条文架构ISO17799/BS7799Part1-信息安全标准实践信息安全十大要项CNS17800/BS7799Part2-信息安全认证规范Module-3：ISMS相关工具(ToolKits)ISMS维运(OperationandMaintenance)InformationSecurityManagerEXAM22SOC平台－流程规划23SOC平台－流程建议基于ITIL服务支持模型流程梳理实施计划24SIM的发展简介全球SIEM市场份额大概18亿美金，其中SEM部分大致3亿美金左右；SIEM一般分为三大类：.事件异常管理，如：BI等应用.事件策略管理，如：法规遵从性.事件风险管理，如：安全管理25SIM的2005统计26SIM的2007统计