1、信息安全管理与运维,电话:010-84603568-615手机:13601369882邮件:guo_网址:http:/,安全推进应用.服务提升安全,郭志峰,信息安全现状国内外信息安全政策法律常见的信息安全问题?安全运营与管理技术-SOC常用的信息安全服务,提 纲,BISS 调查显示,IT事故中:,数据与事实 - IT事故产生原因,90%的系统安装有防病毒软件,但这些系统中依然有85%感染了计算机病毒,89%的系统安装有防火墙,但这些系统中依然有90%有安全漏洞,60%的系统安装有入侵检测系统,但这些系统中依然有40%遭受了外来的入侵,来自计算机安全研究院近期的一项调查,数据与事实 - 安全现状
2、调查,信息安全现状国内外信息安全政策法律信息安全指导政策常见的信息安全问题?安全运营与管理技术-SOC常用的信息安全服务,提 纲,中办27号文件 - 信息保障的主要工作,我国信息安全保障的主要工作(三个方面,九项工作)第一个方面就是关于建立健全信息安全责任制就是要加强信息安全的领导,建立健全信息安全责任制第二个方面就是基础性工作第一:实行信息安全等级保护,重视信息安全风险评估。 (评估服务的政策依据)第二:是加强以密码技术为基础的信息安全保护和网络信任体系建设 。第三:就是建设和完善信息安全监控体系。(SOC建设的政策依据)第四:就是重视信息安全应急处理工作(灾备与应急服务的政策依据)第三个方
3、面是支撑性工作第一是加强信息安全技术研究开发,推进信息安全产业发展 。第二是加强信息安全法制建设和标准化建设 。第三是加强信息安全人才培养, 增强全民信息安全意识 。第四是保证信息安全的资金,66号文:等级保护的原则明确责任,共同保护;依照标准,自行保护;同步建设,动态调整;指导监督,重点保护;66号文:等级保护制度的基本内容等级保护分五级(自主保护、指导保护、监督保护、强制保护、专控保护),同时对产品的使用分等级管理,对信息安全事件分等级处置与响应66号文:等级保护制度的职责与分工公安负责等级保护工作的监督、检察、指导;保密负责等级保护有关保密工作的监督、检察、指导;密码管理部门负责有关密码
4、的监督、检察、指导;使用单位按照规范与标准建设与运营66号文:实施等级保护工作的要求第一:完善标准,分类指导第二:科学定级,严格备案第三:建设整改,落实措施第四:自查自纠,落实要求第五:建立制度,加强管理第六:监督检查,完善保护 66号文件:等级保护实施计划准备阶段:用一年左右的时间做准备工作(2005年):加强领导,落实责任;完善标准与规范建设;管理队伍建设与技术支撑体系建设;做好等级保护试点工作;加强宣传与培训(北京、上海、黑龙江、云南;人行、税总、电网公司)重点实行阶段:用一年左右时间做好国家重要信息系统的等级保护建设(2006年)全面实行阶段:用一年时间在全国全面推行等级保护制度(20
5、07年),66号文件 - 摘要,董事会成员的责任,风险管理和控制,职业操守和公司守法,透明度和信息披露,SOX法案对于在美国上市公司的规定与影响,信息安全现状国内外信息安全政策法律常见的信息安全问题?安全运营与管理技术-SOC常用的信息安全服务,提 纲,拨号用户 B,拨号用户 C,拨号用户 A,拨号用户 D,Internet,调 研,规 划,设 计,选 型,实 施,验 收,人手不足?,经验不多?,专业性不强?,效率不高?,效果不好?,业务类安全问题-IT 系统建设面临的问题,拨号用户 B,拨号用户 C,拨号用户 A,拨号用户 D,Internet,垃圾邮件,病毒破坏,黑客攻击,资源滥用,信息泄
6、密,DOS攻击,不良信息,终端安全,信息丢失,未授权接入,非法外联监控,安全事件处理,技术类安全问题-IT 系统运维面临的问题,Internet,内部威胁(非法设备接入与非法外联)-你该怎么办?,未经安全检查与过滤,违规接入内部网络,私自拨号上网,Internet,病毒泛滥-你该怎么办?,怎样定位病毒源或者攻击源,怎样实时监控病毒 与攻击,病毒是一种恶意的程序,能自我复制、传播,传播源,传播途径,易感主机,防御措施,垃圾邮件,病毒破坏,黑客攻击,资源滥用,信息泄密,DOS攻击,不良信息,终端安全,信息丢失,未授权访问,业务连续性,安全事件频发,如何解决这些问题-消除烦恼,人手不足?,经验不多?
7、,专业性不强?,效率不高?,效果不好?,最佳实践,IT外包,法律法规符合,业务系统托管,国外标杆企业,(脆弱性、补丁管理)托管,FW/IDS托管,特点,集中在某一行业核心系统如信用卡系统符合性将专业深度纳入行业背景中,不仅提供专业的弱点评估,还帮助实施加固、补丁管理。集中在某一领域,如RSA的身份鉴别等。突出专业的深度,提供安全设备、网络设备、系统(如Microsoft)的运营支持以量取胜,突出规模(如数千台设备、海量事件等),通过安全运营提供专业性、业务系统、规模化安全服务,信息安全现状国内外信息安全政策法律常见的信息安全问题?安全运营与管理技术-SOC常用的信息安全服务,提 纲,系统设计与
8、建设阶段,系统管理与运维阶段,怎样制定安全管理政策? 怎样设计安全防御措施? 怎样制定安全应急预案?,系统内发生那些安全活动?这些活动是否可控? 安全管理政策是否得到有效执行?如何动态调整? 安全防御措施是否发挥作用!发挥多大作用? 安全应急预案的实际演练与执行?,生命周期轴,安全服务内容轴,信息系统生命周期的两个阶段,面对的是静态信息安全问题,面对的是动态信息安全问题,安全设计与建设阶段完成以后.该部署的设备部署了!防火墙、IDS、VPN、病毒网关该建立的制度都建立起来了!管理制度、操作文件、安全策略该做的服务都做了!技术评估、安全加固、补丁更新下一步你关心什么、你准备还做点什么?效果如何安
9、全设计与建设完成之后你不得不面临的问题系统内到底发生那些安全活动?这些安全活动是否违背安全政策?那些安全活动危害很大需要抑制?我的系统到底有多安全?什么地方不安全?每天发生多少安全事件、那些攻击已被阻断?已经部署的设备是否发生作用?到底发挥了多少作用?阻断了多少攻击?那些攻击没有挡住?已经建立起来的管理制度是否都在执行?那些制度没有被执行?那些执行效果不好?什么原因导致?安全政策是否得到了有效的贯彻执行?你还需要增加那些产品与服务?为什么要增加这些产品与服务?你必须要解决这些问题!可是怎么去解决?谁能给你提供帮助?客观上看,安全运营与管理比安全设计与建设更加重要、更加复杂你的领导关注那些安全运
10、营问题?你的技术人员关注那些安全运营问题?你的业务人员关注那些安全运营问题?安全运营中心就是应上述需要而产生的。它综合了安全管理与技术手段,是保障信息系统动态安全必不可少的环节。,不同阶段的不同需求,通过安全运营与管理,全面实时掌握信息系统内的安全状况(解决领导关心的问题)系统内实时发生的安全活动?这些活动的危害程度?对这些活动如何有效控制?系统每天发生多少安全攻击?都发生那些类型的攻击?那些攻击已经被成功阻断?这些攻击主要针对那些业务系统?这些攻击来自于那些地区、那些部门?系统每天发生多少违规事件?那些违规需要重点审查?这些违规来自于那些部门、那些人?那些安全制度没有很好的被执行?都是那些部
11、门、那些人没有执行?你还缺少那些安全制度?通过安全运营与管理,全面动态管理你信息系统内部的资源(解决技术人员关心的问题)业务系统是否被合法使用(规定的人员在规定的时间、规定的地点、通过规定的路径、访问规定的业务系统)内部脆弱性的有效管理(那些业务系统有哪些脆弱性?那些已经采取措施弥补?)IP地址资源、带宽资源的合法使用通过安全运营与管理,对组织安全政策的执行情况进行有效的监督与审计对所有访问违规行为的审计、跟踪、分析、处理、报告、惩戒通过安全运营与管理,对安全威胁进行有效的预警,减少安全事故造成的损失早发现、早处理、早惩戒、早反思通过安全运营与管理,为组织制定安全规划、编制安全投入预算提供充分
12、的数据支撑SOC提供的强大分析报表是组织制定安全规划、编制安全预算的重要依据,安全运营中心重点解决那些问题?,SOC 技术平台模型 - 风险、资产、弱点、威胁、事件、事故、案例,安 全 威 胁,信 息 资 产,安 全 控 制,安 全 弱 点,事 件(Event),安 全 风 险,风险评估,风险管理,风险评价,事 故(Incident),知识库Knowledge DB,案 例(Case),不发生安全事故,少发生安全事故,发生事故减少损失,响 应,报 告,发 现,定 义,评 价,预 警,惩 戒,运维知识管理,安 全 需 求 分 析,安全运维目标确定(安全策略),人员,流程,技术,资产管理,规则制定
13、/安全事故处理,安全态势报表生成,定期审核改进,资产活动监控,安全运营中心建设流程,安 全 需 求 分 析,风险分析与评估,依据标准:ITIL服务管理, BS7799流程设计人员管理知识库管理,资产管理,资产类别,资产属性,资产价值,你有哪些资产?,资产的价值?,资产的相关属性?,安全评估工程师,安全评估工程师对设备进行统计、评估、安全检测等,并将相关数据输入安全管理平台数据库,资产目前的安全状况?,第一步 - 信息资产的分类与标识,Internet,Oracle, DB2JDBC,EnterpriseDatabase,Manager,Unix, NT/2000, Linux,A,Workst
14、ationConsole,BrowserConsole,A,通过海量事件处理发现真正的安全威胁,SOC,第二步 - 原始安全数据的收集,将事件与资产、业务、时间、规则等进行关联,得到期望的结果,9/10/01 5:05:29 PM,10.10.10.1 %PIX-6-106015:Deny TCP(no connection)from 20.97.173.18/2182 to10.10.10.10/63228 flags SYN RST PSH ACK on interface outside,2001-08-20 16:12:56|doldrgn1|dragonserver|10.10.10
15、.240|11711|10.10.10.241|1031|-AP-|6|Tcp,sp=11711,dp=1031,flags=-AP-|,PIX Firewall standard syslog format,Dragon IDS Data Items separated by pipes,EVENTS Table,Normalization,Business Relevance,第三步 - 统一安全数据的格式,9/10/01 5:05:29 PM,2001-08-20 16:12:56,20.97.173.18,2182,10.10.10.10,63228,10.10.10.240,1171
16、1,10.10.10.241,1031,SOC 技术平台,Oracle, DB2JDBC SQL,EnterpriseDatabase,Archive,A,Agent,WorkstationConsole,BrowserConsole,Manager,Unix, NT/2000, Linux,A,syslog,syslog,syslog,syslog,syslog,NT Event,syslog,syslog,统一时间戳(Timestamp),第四步 - 统一数据的时间,Raw Events,Denial of Service,Worm,antivirus,Normal/Benign,Norm
17、alization and filtering,Correlate and analyze,Threat,Events sources,Event category,表示一个事件,第五步 - 对安全数据进行过滤与归并,过滤冗余处理归纳分类绑定环境,杂乱的事件,长短一致,颜色分类,攻击场景匹配安全政策匹配,Internet,A,第六步 - 编写技术类安全规则-W32.Sasser(震荡波病毒攻击),感染病毒,利用漏洞 Microsoft Security Bulletin MS04-011,1.运行一个蠕虫进程,2.自身拷贝到%Windir%avserve.exe,3.修改注册表,让蠕虫开机自动
18、运行,4.调用系统意外中断错误重启函数,让系统重新启动,5.在该机TCP 5554 端口开启FTP服务,7.若成功则在该IP-TCP-9996上创建远程SHELL,8. SHELL执行命令从攻击IP-TCP- 5554通过FTP下载蠕虫并执行,9.被感染机器发起128个线程对同类地址进行扫描,6.产生随机IP,并尝试连接随机IP的TCP 445端口,TCP 445,TCP 445,TCP 445,TCP 445,TCP 445,TCP 445,TCP 445,TCP 445,TCP 445,TCP 445,TCP 445,TCP 5554,TCP 9996,Normalization,Aggr
19、egation,攻击场景库规则库,Correlation匹配攻击场景,发现遭受震荡波病毒攻击报警并按照策略自动响应,震荡波,冲击波,DOS攻击,垃圾邮件,资源滥用,Internet,CRM Server,工作时间:9:00 - 17:30,IP : 192.168.8.12,Router,Firewall,Switch,User : Allen,Internet,CRM Server,工作时间:9:00 - 17:30,IP : 192.168.8.12,Router,Firewall,Switch,User : Allen,Internet,CRM Server,工作时间:9:00 - 17
20、:30,IP : 192.168.8.12,Router,Firewall,Switch,User : Allen,Internet,CRM Server,工作时间:9:00 - 17:30,IP : 192.168.8.12,Router,Firewall,Switch,User : Allen,指定时间,指定IP,指定路径,指定标识,第七步 - 编写业务类与管理类安全规则,Report,Action,Notification,ISO 17799,SOX,HIPAA,制定信息安全管理政策,实时收集分析上述设备输出的日志(活动),SOC 分析引擎,Compliance,管理规则、技术规则、业务
21、规则,各种设备输出的日志与报警信息,第八步 - 对安全数据进行关联分析,网络设备,安全设备,操作系统,应用系统,第九步 - 安全活动(攻击)可视化,可视化便于监控与管理,Internet,突然出现故障,C20040911-110,李俊为,电脑运行缓慢,2004-09-13,陈梅芳,刘晓利,案例库,普通工程师,高级工程师,安全专家,控制中心,第十步 - 安全活动(攻击)的响应(工单与流程),Raw Data,Information,Key Information,Action,Expert,EVM 1,EVM 2,Advisor,Knowledge,Collect,Normalization,R
22、eal-time Analysis,Respond,Reporting,Console,呼叫中心,安全管理员,Filter Aggregate Normalize,100万 Events,1 万 Events,1百 Events,SOC的整个工作原理 - 综合前面十步,案例一: 防范来自内网的威胁,对每项活动作日志记录监视和告警分层保护,案例二: DoS/DDoS 事件实时发现,案例三: 实时监控关键资源访问,及时发现高风险事件,对关键业务(CRM)的监控内容:某个人某月某日某时从哪个IP地址访问做了什么操作从监控内容中分析潜在风险: 是否在冒用别人的账号是否在他人的机器上使用自己账号存在账号
23、失窃的风险,在美国上市的公司需要满足Sarbanes-Oxley法案非常严格的财务审计要求。 天融信通过自身SOC强大的安全审计和报表功能,从容面对未来上市的技术门槛!例如:,1。通过对整个财务信息系统设备的状态、操作的行为等进行严格的审计和监控,充分保证其安全级别。,2。由于SOX每年要内部和外部的审计师进行一次繁琐的审核,SOC能根据其要求直接生成所需要的数据和信息,从而彻底摆脱海量的工作。,案例四: 符合指定的法律法规,案例四(接上): 安全运营中心建设符合COSO风险管理整体框架,风险评估控制环境控制活动信息与沟通监控,组织战略目标,依据COBIT进行IT 治理,People, App
24、lication, Tech, Data, Facility,规划与组织(PO),IT资产,获取与实施(AI),交付与支持(DS),监控(M),信息,案例四(接上): 安全运营中心建设符合COBIT治理要求,信息安全现状国内外信息安全政策法律常见的信息安全问题?安全运营与管理技术-SOC常用的信息安全服务,提 纲,信息系统设计与建设阶段提供的服务类型风险评估服务等级化保障体系设计服务信息系统管理与运维阶段提供的服务类型安全检测评估服务安全加固服务策略优化服务日志分析服务7*24小时安全管家服务SOC 建设咨询服务,天融信将传统安全服务纳入实时监控体系中,最小化安装手册,重要操作系统,定期检测评
25、估,定期安全加固,定期策略维护,定期日志分析,重要网络设备,重要安全设备,重要数据库系统,重要应用系统,YES,YES,YES,YES,YES,NO,YES,YES,YES,YES,NO,NO,NO,YES,YES,YES,YES,YES,YES,YES,YES,YES,YES,YES,YES,运行维护服务介绍,服务对象,服务内容,安全管家服务,SOC建设服务,应急响应服务,Internet,A 客户被管理网络,B 客户被管理网络,C 客户被管理网络,D 客户被管理网络,SOC - 数据中心,SOC - 监控中心,SOC - 安全专家组,安全专家 -运维工程师- SOC 核心平台 - 运维流程 - 知识库 - 应急预案 - Call Center,010,010,010,010,010,010,010,010,010,010,010,010,010,010,010,010,010,010,010,010,010,010,010,010,010,010,010,010,010,010,010,010,Agent,Agent,Agent,Agent,安全管家服务的运作原理,Master Manager,Database,A,A,A,A,T-SOC,谢谢!,
