审计分析
提供系统日志、认证日志、报警日志等等多种水晶报表格式的统计分析报告,为管理员提供安全分析依据。日志划分为7个级别(紧急、警报、严重、错误、警告、通知、提示),可选择多种告警方式(声音、邮件、Windows消息等)。
1.3 应用安全解决方案
在第2章里,我们对应用安全的风险及需求进行了详细的分析与定义。在我们整体解决方案中从以下的两个方面来完善应用安全解决方案。
1.3.1 身份认证
1.4 安全管理解决方案
在第2章的安全管理的风险及需求分析中,我们主要从技术层面和行政层面两个方面来进行了阐述。实际上,安全管理是一个复杂而渐进的过程,因为作为管理能力,是需要通过不断的改进和提高。在公司的安全管理解决方案中,我们先从技术和行政这两个层面对的安全管理进行一个基本设计,先建立一个基础的安全管理平台,然而我们会进一步如何建立有效的安全管理体系(SOC),实现可管理的安全进行初步的论述。
1.4.1 安全管理平台的建立
1.4.1.1 技术层面
作为信息安全管理平台所要求的高效和安全应用,是离不开尖端的计算机技术作为基础,当然也离不开企业的行政管理手段,因为没有系统的管理措施,那么再新的技术也无法在系统中得到更好的应用。
在技术方面通过专业的网络综合管理系统来建立一个基本安全管理中心的技术平台。通过专业的网络综合管理系统来实现对网络设备、主机设备、安全设备和应用系统的安全管理。
由于公司的信息系统建设是分步进行的,网络设备、应用系统以及安全设备、用户平台等具有多样性,因此对管理平台或系统的要求也比较高,必须采用专业的网络综合管理系统,对网络中的所有设备以及系统平台都能够统一集中管理,获取所有设备的工作状态和网络负载状态,同时可以看到网络活动的日志信息,用它来对网络状态进行分析,提供更有效的安
全策略,同时网管系统能够监测客户端系统状态,能够接管客户端系统,当网络中的么一用户系统出现问题而自己却无法诊断,这时可以通过网管系统进行远程接管,来协助用户解决问题。
1.4.1.2 行政层面
在行政层面公司必须成立信息安全管理小组,通过小组会议确立信息安全政策总则、信息安全管理政策、信息安全审计考核及信息安全政策。 信息安全政策总则
主要是确定公司信息安全总体原则,明确今后的安全目标,有组织、有计划的为信息安全建设给出总体方向,是其它政策和标准的依据。 信息安全管理政策
主要是制定信息安全政策和标准流程、管理规范、推广实施、定期维护;设置安全组织管理体系的结构;规定领导层对信息安全的责任、考核。 信息安全策略
主要是明确公司内部所有用户、所有应用的明确的安全细则,它是作为公司领导对所有用户考核的依据。
其具体信息安全政策应包括以下内容: 安全事件监测和响应 员工信息安全管理 开发维护内部软件 数据和文档管理 商业软件的购买和维护 网站、电子邮件 硬件设备和物理安全 信息系统的访问控制
网络、系统操作和管理 防御病毒和防御攻击 信息安全审计
指定审计和考核标准的目的是为了考察信息安全政策和标准的执行情况,及时发现问题,纠正问题。这有助于信息安全政策的改进和完善。政策中应该包含审计考核的标准、审计考核时间、方法、结果的处理。
在行政层面部分内容,如信息系统安全策略设计、详细的安全策略制订等可以通过外部专业的安全咨询公司进行咨询,然后结合企业的信息安全建设来制订。此部分内容我们将在下一部分安全服务解决方案里进行进一步的阐述。
1.4.2 安全运营中心(SOC)
信息安全管理的发展,随着安全需求的提升也不断的发展。近几年以来,安全运营中心(SOC)的概念及技术发展的也越来越成熟。部分涉足比较早的企业和服务商已经有了比较成功的实施案例。
在公司的安全管理解决方案中,我们在基础的安全管理平台之上,也提出关于建立有效的安全运营中心(SOC),实现可管理的安全服务。
1.4.2.1 SOC基础
传统的安全管理方式是将分散在各地、不同种类的安全防护系统分别管理,这样导致安全信息分散互不相通,安全策略难以保持一致,这种传统的管理运行方式因此成为许许多多安全隐患形成的根源。安全运营中心(Security Operation Center)是针对传统管理方式的一种重大变革。它将不同位置、不同安全系统中分散且海量的单一安全事件进行汇总、过滤、收集和关联分析,得出全局角度的安全风险事件,并形成统一的安全决策对安全事件进行响应和处理。总体来说SOC的根本模型就是PDR模型,而SOC系统就是实现其中的D(Detection,检测)和R(Response,响应)。SOC的需求主要是从以下几个方面得到体现: 大系统的管理
通常安全系统是分别独立逐步的建立起来的,比如防病毒系统、防火墙系统、入侵检测系统等,各个系统都有单独的管理员或者管理控制台。这种相对独立的部署方式带来的问题是各个设备独立的配置、各个引擎独立的事件报警,这些分散独立的安全事件信息难以形成
全局的风险观点,导致了安全策略和配置难于统一协调。这种对于大规模系统的安全管理也正是SOC的需求根源,就是说只有大系统、拥有复杂应用的系统才有SOC的需求。 海量信息数据
随着安全系统建设越来越大,除了需要协调各个安全系统之间的问题之外,由于安全相关的数据量越来越大,有些关键的安全信息和告警事件常常被低价值或无价值的告警信息所淹没,一些全局性的、影响重大的问题很难被分析和提炼出来。为了从大量的、孤立的单条事件中准确的发现全局性的、整体的安全威胁行为,需要SOC这样一个平台使得整个安全体系的检测能力更加准确,更加集中于影响重大的焦点问题。 信息安全目标
我们知道传统的信息安全有7个属性,即保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、真实性(Authenticity)、不可否认性(Nonreputiation)、可追究性(Accountability)和可控性/可治理性(Controllability/Governability)。信息安全的目标是要确保全局的掌控,确保整个体系的完整性,而不仅限于局部系统的完整性;对于安全问题、事件的检测要能够汇总和综合到中央监控体系,确保可追究性是整个体系的可追究性。SOC的出现就是为了确保对全局的掌控,实现全面支撑信息安全管理目标。 全局可控性
可控性是信息安全7个属性中最重要的一个,可控性最重要的体现是全局监控、预警能力和应急响应处理能力。全局预警就是要建立全局性的安全状况收集系统,对于新的安全漏洞和攻击方法的及时了解,针对体系内局部发生的安全入侵等事件进行响应。我们通常用水桶效应来描述分布式系统的安全性问题,认为整个系统的安全性取决于水桶中最薄弱的一块木条。SOC就像是这个水桶的箍,有了这个箍,水桶就很难崩溃,即使出现个别的漏洞,也不至于对整个体系造成灾难性的破坏。SOC充分利用所掌握的空间、时间、知识、能力等资源优势,形成全局性的资源协调体系,为系统的全局可控性提供有力的保障。
1.4.2.2 SOC的基本实施
有关SOC的基本实施,不同的供应商与实施方都有着不同的理解,其实施的具体方式与结果均不尽相同。在此我们结合启明星辰SOC理论来进行安全管理运营解决方案论述。
1.4.2.2.1 SOC的体系结构
这里的安全管理运营解决方案是由“四个中心、三个平台”组成的统一安全管理平台。
“四个中心”是弱点评估中心、事件监控中心、风险管理中心和应急响应中心;“三个平台”是策略和配置平台、知识管理平台和资源管理平台。 四个中心
事件监控中心 监控各个网络设备、操作系统等日志信息,以及安全产品的安全事件报警信息等,以便及时发现正在和已经发生的安全事件,例如网络蠕虫攻击事件、非授权漏洞扫描事件、远程口令暴力破解事件等,及时协调和组织各级安全管理机构进行处理,及时采取积极主动措施,保证网络和业务系统的安全、可靠运行。
弱点评估中心 通过弱点评估中心可以掌握全网各个系统中存在的安全漏洞情况,结合当前安全的安全动态和预警信息,有助于各级安全管理机构及时调整安全策略,开展有针对性的安全工作,并且可以借助弱点评估中心的技术手段和安全考核机制可以有效督促各级安全管理机构将安全工作落实。
风险管理中心 整个风险管理中心的运作可以通过事件监控中心和弱点评估中心所掌握的全网安全动态,有针对性指导各级安全管理机构做好安全防范工作,特别是针对当前发生频率较高的攻击做好预警和防范工作。本中心是从检测到响应的中枢环节,汇总和分析也是在这里实现的。
应急响应中心 仅仅及时检测到安全事件是不够的,必须做出即时的、正确的响应才能保证网络的安全。应急响应中心作为安全管理运营解决方案的重要组成部分之一为应急响应服务实现工具化、程序化、规范化提供了管理平台。应急响应中心主要是通过工单管理系统来实现的。应急响应中心接收由风险管理中心根据安全威胁事件生成的事件通知单,并对事件通知单的处理过程进行管理,将所有事件响应过程信息存入后台数据库,并可生成事件处理和分析报告。 三个平台
策略和配置管理平台 网络安全的整体性要求需要有统一安全策略的管理。通过为全网安全管理人员提供统一的安全策略,指导各级安全管理机构因地制宜的做好安全策略的部署工作,有利于在全网形成安全防范的合力,提高全网的整体安全防御能力,同时通过安全管理运营解决方案策略和配置管理平台的建设可以进一步完善整个IP网络的安全策略体系建设,为指导各项安全工作的开展提供行动指南,有效解决目前因缺乏口令、认证、访问控制等方面策略而带来到安全风险问题。
知识管理平台 统一的安全策略、安全知识库信息等信息的发布,不仅可以充分共享各种安全信息资源,而且也会成为各级安全管理机构之间进行安全经验交流的平台,有助于提高全网的安全技术水平和能力。足够的安全知识和信息是各个角色正确工作的基础。
信息安全建设方案建议书
