體系化推進企業(yè)安全操作管理工作

問題平安管理中心是一個產(chǎn)品，還是一個解決方案，還是一個完整的體系，怎么定位平安管理中心，平安平安管理中心主要承載的業(yè)務功能是什么平安管理中心的建設思路，有什么經(jīng)驗教訓〔案例〕平安管理中心與其他系統(tǒng)的關系借助平安管理中心的工作推進思路1.體系化推進企業(yè)平安工作李本Presenter’sTitleHere2.概要總體定位1業(yè)務功能2系統(tǒng)關系3案例分析4工作推進53.標準依據(jù)〔1〕ISO27001的ISMS體系框架訪問控制系統(tǒng)開展及維護信息平安事故管理運營持續(xù)性方案符合性平安政策管理與組織資產(chǎn)管理人力資源平安實體與環(huán)境平安通訊及操作平安4.標準依據(jù)〔2〕ISO13335PresentationIdentifierGoesHere55.背景思路〔1〕企業(yè)IT系統(tǒng)誤操作高風險漏洞筆記本/無線網(wǎng)絡病毒DenialofService攻擊大量蠕蟲傳播SARBANES-OXLEY未授權登錄來自內(nèi)部攻擊Slammer攻擊防火墻IDS主機網(wǎng)絡設備其他管理系統(tǒng)掃描器防毒異常流量企業(yè)現(xiàn)在是否安全？6.背景思路〔2〕防火墻IDS主機身份管理掃描器防毒異常流量平安管理需求平安資產(chǎn)管理策略平安風險評估策略防病毒管理策略平安事故處理流程許可使用策略……問題管理流程業(yè)務連續(xù)性管理平安技術產(chǎn)品安全管理中心SecurityOperationCenter7.平安工作的困惑就平安談平安以風險管理為具體工作導向風險是一個看不見摸不著說不清的東西就通用標準談平安機械套用理論模型難于落地平安體系建設純技術化過多依賴與產(chǎn)品功能沒有萬能的產(chǎn)品平安考核指標絕對化建了這么多系統(tǒng)怎么還出事用什么來衡量和評價平安工作8.平安運維管理工作的思考平安保障〔管理〕能力是IT保障〔管理)能力的一局部平安治理是IT治理的一個重要構成平安指標治理是平安管理工作的有效推進手段事件指標治理，平安合規(guī)指標治理，操作行為審計管理同比指標，環(huán)比指標，各系統(tǒng)〔體系〕之間的比對指標SOC不是一個即插即用的家電級產(chǎn)品SOC不是一個可批量生產(chǎn)的解決方案套餐三分產(chǎn)品，七分建設建設過程中需要甲乙方共同進行大量根底工作三分建設，七分運維運維人員，運維作業(yè)方案和流程，運維知識庫9.概要總體定位1業(yè)務功能2系統(tǒng)關系3案例分析4工作推進510.平安管理的工作框架11.SOC的三大業(yè)務功能及其關系平安監(jiān)控，合規(guī)管理，操作行為審計實現(xiàn)對信息系統(tǒng)全生命周期的平安控制設計，實施，運行，退服全周期的平安控制實現(xiàn)事前，事中，事后的全面平安管理事前檢查，事中監(jiān)控，事后分析改進12.SOC與整體平安工作的關系全層面的平安技術防護體系四層模型，查漏補缺實現(xiàn)平安業(yè)務管理日?；鞒?，制度，隊伍的建設業(yè)務支撐平臺逐步建立IT系統(tǒng)的平安知識庫合規(guī)檢查規(guī)那么庫標準事件庫關聯(lián)規(guī)那么庫等13.平安監(jiān)控〔1〕平安監(jiān)控解決事中平安事件的全程監(jiān)測解決事后平安問題原因的分析問題平安監(jiān)控的覆蓋范圍全范圍，全技術手段的監(jiān)測平安監(jiān)控主要參考的標準ISO13335模型.平安監(jiān)控〔2〕平安監(jiān)控的難點監(jiān)什么測什么監(jiān)測范圍，手段的落實以什么標準監(jiān)測監(jiān)測規(guī)那么監(jiān)測的分析算法關聯(lián)分析規(guī)那么平安監(jiān)控系統(tǒng)的建設開放式的規(guī)那么庫以滿足情況開展的需要平安監(jiān)控與平安管理維護工作的結合.平安監(jiān)控工作落實思路安全監(jiān)控的標準化建設安全監(jiān)控的管理建設安全監(jiān)控的技術建設關聯(lián)分析處理事件/漏洞/安全配置的集中化收集監(jiān)控點必要的事件來源（產(chǎn)品和手段補足)架構梳理監(jiān)控點確定安全監(jiān)控的人員和崗位安全監(jiān)控的策略和制度監(jiān)控信息源標準化監(jiān)控人員考核KPI規(guī)范安監(jiān)控工作KPI考核規(guī)范標準化規(guī)則庫安全漏洞標準化安全基線標準化事件的分類分級標準化安全監(jiān)控服務流程建設事件工單流程……變更流程事件的預處理標準化手冊安全知識庫事件響應處理應急流程安全監(jiān)控技術平臺已有系統(tǒng)融合與客戶化定制.第一階段：梳理與準備目標：為落實平安監(jiān)控技術平臺，做好技術、管理、流程等方面的鋪墊。做到掌握現(xiàn)狀、確認關鍵點、做好必要的補足工作。內(nèi)容：架構梳理與監(jiān)控點確認已有平安子系統(tǒng)及平臺功能及接口確認必要的信息源〔平安產(chǎn)品〕補足.做好平安監(jiān)控工作的根底前提

工作角度梳理和準備的內(nèi)容技術層面管理層面維護層面平臺梳理監(jiān)控系統(tǒng)平臺與ITSM等已有系統(tǒng)的關系調(diào)研監(jiān)控系統(tǒng)平臺的客戶化定制內(nèi)容建立監(jiān)控管理制度建立監(jiān)控管理獎懲手段建立安全監(jiān)控隊伍建立監(jiān)控維護流程監(jiān)控所必需的場地，設備專業(yè)安全系統(tǒng)利用已有部署的專業(yè)安全子系統(tǒng)梳理并補足缺失的專業(yè)安全子系統(tǒng)梳理和利用已有的安全信息庫專業(yè)安全子系統(tǒng)的管理制度專業(yè)安全考核指標。專業(yè)安全子系統(tǒng)的維護隊伍，維護流程梳理并建立安全監(jiān)控與專業(yè)安全子系統(tǒng)維護對于的關系網(wǎng)元各被監(jiān)控網(wǎng)元的時鐘同步。全面的日志、事件記錄。網(wǎng)元自身的知識庫。梳理和利用已有的資產(chǎn)管理系統(tǒng)。設備基礎維護管理制度設備基礎維護流程設備維護崗位的落實設備故障及事件處理的歷史知識結構盡量詳細的安全域劃分，明確的安全域邊界（易于理清安全產(chǎn)品，并作必要的補足）必要的安全監(jiān)控相關人員崗位和組織結構管理，維護，與安全域的對應性.第二階段：平臺搭建目標：涵蓋從鐵道部到路局、車站三級結構下的試點單位完成平安監(jiān)技術平臺的搭建使平臺具備完備的平安事件、漏洞、變更情況的全面集中監(jiān)控功能。內(nèi)容：根底監(jiān)測系統(tǒng)的搭建關聯(lián)分析推進系統(tǒng)融合及客戶化的定制條件：要有相對充分的接入數(shù)據(jù)源要監(jiān)控到根底設施性的設備，包括必要的平安設備、網(wǎng)絡和主機設備.第三階段：體系建設目標：建立平安監(jiān)控體系的策略與制度，以及相應的標準化標準內(nèi)容：監(jiān)測體系的策略與制度完善標準化庫的建立關聯(lián)分析的深化條件：各類產(chǎn)品事件、漏洞的梳理和標準化工作需各廠家配合同期需要建設時鐘同步系統(tǒng).第四階段：優(yōu)化推廣目標：在全面融合和標準化根底上，形成持續(xù)性規(guī)那么庫的補充和完善機制在平安監(jiān)控系統(tǒng)根底上，利用平臺形成維護工作的平安監(jiān)管形成對事件發(fā)生路徑的全程跟蹤、追溯內(nèi)容：試點工作的全面推廣監(jiān)控工作考核體系的完善包括：風險KPI和考核KPI的定制深度的優(yōu)化和定制更為全面的關聯(lián)分析及事件路徑歷史記錄和分析條件：監(jiān)控管理、組織和維護體系的根本建立依賴網(wǎng)絡全程的事件監(jiān)測、異常流量、行為審計等產(chǎn)品的部署和提供充分數(shù)據(jù)源.第五階段：運行維護目標：建立和健全平安監(jiān)控平臺的運行維護效勞體系內(nèi)容：通過自身制度和流程確立監(jiān)控體系的運行和維護機制通過外包效勞方式對平安監(jiān)控平臺系統(tǒng)進行日常的運行維護。通過外聘專家效勞或者與專業(yè)合作伙伴長期合作方式，加強平安監(jiān)控體系全面的管理和維護。.平安監(jiān)控工作請參考附件的文檔體系平安合規(guī)監(jiān)控的特定場景應用主機進程監(jiān)控23.合規(guī)管理〔1〕檢查根底架構和流程合規(guī)檢查報告

檢視風險狀況并補救問題補救監(jiān)控并驗證

已盡責任定義確定風險

并制定策略

技術控制管理面板審計報告

風險評估風險加權的補救流程控制

策略和控制24合規(guī)管理〔2〕25.與監(jiān)控和合規(guī)相關的平安知識庫預定義關聯(lián)規(guī)那么IP監(jiān)視列表〔IPWatchList〕動態(tài)變化包括蠕蟲,惡意IP地址和僵尸網(wǎng)絡地址攻擊關聯(lián)數(shù)據(jù)庫(AttackCorrelationDatabase)標準化〔Normalization〕定義碼，將第三方特征碼映射成Symantec的特征碼39,662Entries漏洞數(shù)據(jù)庫(VulnerabilityDatabase)13,700Entries配置缺陷數(shù)據(jù)庫(Exposuredatabase)641Entries惡意代碼數(shù)據(jù)庫〔Maliciouscodedatabase〕最常見和最近的Viruses,MalwareandSpyware6,021EntriesAttackDBMaliciousCodeDBExposureDBVulnerabilityDBMaliciousIPDB26.基于業(yè)界標準的平安合規(guī)檢查策略合規(guī)檢查策略構成標準ISO/IEC17799:2000(BS7799Part1)ISO/IEC17799:2005RevisedSANSTop20CISBenchmarkforSolarisCISBenchmarksforWindows2000Server&WorkstationNSAforMSExchangeServerESMPhase1,2,3abc規(guī)章Sarbanes-OxleyActSection404(COSO,COBIT)SOXforOS/400BaselIICapitalAccord(ISO17799:2000)BaselIICapitalAccord(ISO17799:2005)FISMA(NIST800-53Draft)VISACISPPCIDSSNERCStandard1200GLBA(Gramm-Leach-BlileyActof1999)HIPAA27周期性、自動化的控制及分析流程弱點/漏洞的定義是由第三方信息導入,如：(Symantec,CVE,Cert,SANS)檢查所有適用系統(tǒng)的弱點/漏洞查看弱點/漏洞的糾正情況風險評估

區(qū)分優(yōu)先級應用安全措施&創(chuàng)建任務定義企業(yè)安全策略或采用相關安全標準如:SOX,BaselII,PCI,ISO17799檢查安全策略遵從查看違背策略的糾正情況修改策略應用安全措施&創(chuàng)建任務漏洞管理策略遵從風險評估

區(qū)分優(yōu)先級28.平安管理的三個階段識別風險盡早處理SOXPCI-DSSISO27001BASEL企業(yè)自有標準帳戶權限變更日志…法規(guī)配置策略事先評估加固事后審計發(fā)現(xiàn)違規(guī)行為及時恢復

阻擋惡意入侵和非法訪問零日攻擊違規(guī)操作入侵防護操作控制…合規(guī)性檢查事中控制üüüü平安性防護調(diào)度任務合規(guī)報告修補建議…üü實時監(jiān)控系統(tǒng)監(jiān)控文件監(jiān)控權限跟蹤…結果審計用戶行為執(zhí)行命令配置修改文件修改…及時報警主控臺報警郵件通知SNMPTrap…29.事前評估的實現(xiàn)1)平安策略

StandardsISO17799HIPAAGLBA…ControlsPasswordsPermissionsServicesFiles…2)基于策略基準對系統(tǒng)設定和配置進行詳盡的檢查-Windows-UNIX-Linux-Netware-VMS-AS/400-Database-Web3〕詳盡的符合性報告(TechnicalControlsandStandards)Servers應用平臺4〕修復30.事中監(jiān)控和事后審計的實現(xiàn)AgentAgent安裝在主機上代理程序文件注冊表審計信息操作系統(tǒng)日志應用系統(tǒng)日志實時事件監(jiān)控管理效勞器主控臺報警郵件通知SNMPTrapAgent運維平臺SSIM歷史日志31.監(jiān)控，合規(guī)與知識庫〔1〕32.監(jiān)控，合規(guī)與知識庫〔2〕33.監(jiān)控，合規(guī)與知識庫〔1〕DeepSightcontent(“Exposure〞)relatedtoSpamemail.34操作行為審計口令猜測系統(tǒng)層面針對不同賬號進行口令猜測系統(tǒng)層面針對同一個賬號進行口令猜測時間違規(guī)用戶系統(tǒng)層面非方案時間內(nèi)變更審計用戶網(wǎng)絡層面非方案時間內(nèi)變更審計來源違規(guī)面地址段登錄生產(chǎn)和測試網(wǎng)段的網(wǎng)絡設備桌面地址段登錄生產(chǎn)和測試網(wǎng)段的網(wǎng)絡設備并更改配置發(fā)現(xiàn)桌面地址段到生產(chǎn)和測試網(wǎng)段的成功訪問行為訪問路徑違規(guī)繞過USP系統(tǒng)直接登錄操作系統(tǒng)用戶通過USP登錄目標系統(tǒng)后二次跳轉行為繞過網(wǎng)絡運維平臺登錄網(wǎng)絡設備并更改配置繞過網(wǎng)絡運維平臺在ACS的賬號登錄網(wǎng)絡遠程VPN用戶接入后繞過USP登錄主機遠程VPN用戶繞過網(wǎng)絡運維平臺登錄網(wǎng)絡設備更改配置用戶高危操作用戶USP高危操作行為用戶敏感操作用戶USP敏感操作行為內(nèi)部合規(guī)性審計35.概要總體定位1業(yè)務功能2系統(tǒng)關系3案例分析4工作推進536.SOC與其他系統(tǒng)的關系網(wǎng)管系統(tǒng)OSI的經(jīng)典概念：性能管理，故障管理，計費管理，配置管理，平安管理ITSM系統(tǒng)安管系統(tǒng)ITSM系統(tǒng)網(wǎng)管系統(tǒng)137.網(wǎng)管與安管系統(tǒng)安管系統(tǒng)與網(wǎng)管系統(tǒng)有相近也有區(qū)別安管系統(tǒng)需要處理大量的疑似報警網(wǎng)管系統(tǒng)的告警大多可直接準確定位網(wǎng)管系統(tǒng)的故障告警需要各專業(yè)人員處理安管系統(tǒng)的事件告警需要進行準確的篩選分析經(jīng)常是歸并類，趨勢類告警安管系統(tǒng)可以與賬號口令管理系統(tǒng)及其他平安管理系統(tǒng)集成網(wǎng)管系統(tǒng)與業(yè)務網(wǎng)元結合緊密38.概要總體定位1業(yè)務功能2系統(tǒng)關系3案例分析4工作推進539.案例分析〔1〕經(jīng)驗足夠的原始事件源全面的原始事件信息事件收集和關聯(lián)分析手段運維作業(yè)方案運維操作手冊運維知識庫平安監(jiān)控和運維人員平安運維和管理機構平安運維和管理考核指標40.案例分析〔2〕移動以ISMP，平安管控平臺的技術結構推進平安管理工作相關的標準和試點以平安監(jiān)控，平安合規(guī)檢查工作思路落實平安管理工作相關的作業(yè)方案和指示庫聯(lián)通以宏觀管理指標的方式推進平安管理事件源IDS，防毒系統(tǒng)各省排名同比，環(huán)比等某銀行41.案例分析〔3〕移動某省網(wǎng)管系統(tǒng)主機進程監(jiān)控集團：周期性監(jiān)控主機中的惡意軟件〔進程監(jiān)控是一個常用的方法〕正常運行的系統(tǒng)進程狀態(tài)應該是穩(wěn)定的UNIX主機進程監(jiān)控白名單進程甄別后確定例外進程告警僵尸進程告警Windows效勞器進程監(jiān)控白名單進程例外進程告警42.案例分析－進程監(jiān)控系統(tǒng)部署一臺進程監(jiān)控系統(tǒng)，通過交換機與各業(yè)務系統(tǒng)連接，并有一臺監(jiān)控終端連接進程監(jiān)控系統(tǒng)進行實時監(jiān)控43.案例分析－－進程監(jiān)控功能展示OracleSshdPsSyslogcron[root@localhost]PS–A28583?00:00:00oracle28586?00:00:13sshd28589?00:02:57ps28591?00:00:01syslog28595?00:03:01cron進程監(jiān)控系統(tǒng)告警:監(jiān)控到WAP業(yè)務系統(tǒng)主機10.195.9.19新增異常進程，請核查！操作系統(tǒng)：AIX進程名稱：telnetd[root@localhost]PS–A28583?00:00:00oracle28586?00:00:13sshd28589?00:02:57ps28591?00:00:01syslog28595?00:03:01cron28596?00:05:02telnetd白名單列表12344.案例分析－監(jiān)控端儀表盤過去30天告警處理情況按照狀態(tài)顯示趨勢圖24小時告警數(shù)量top1024小時內(nèi)被監(jiān)控效勞器發(fā)現(xiàn)告警top10過去30天告警數(shù)量top10過去30天內(nèi)被監(jiān)控效勞器發(fā)現(xiàn)告警top10過去30天未關閉告警過去30天中新建、處理中、待處理45.案例分析－告警監(jiān)控界面實時監(jiān)控系統(tǒng)可以實時監(jiān)控各被管效勞器的進程狀態(tài)，一旦發(fā)現(xiàn)異常進程，立刻告警。刷新間隔1分鐘采集到告警時間1分鐘內(nèi)靈活設置告警內(nèi)容系統(tǒng)告警內(nèi)容可以根據(jù)客戶需求進行自定義46.案例分析－進程白名單設置系統(tǒng)內(nèi)置命令集系統(tǒng)內(nèi)置各操作系統(tǒng)常用命令集靈活設置系統(tǒng)可以針對所有效勞器設置一個白名單，也可以為每個效勞器設置一個白名單列表。批量導入為便于系統(tǒng)快速部署，系統(tǒng)支持對白名單信息的批量導入和導出功能。列表編輯跟蹤系統(tǒng)可以跟蹤白名單列表從新建到使用所有編輯歷史過程。