信息安全实验室集中安全管理平台.ppt

集中安全管理平台,Global Security Management Center(GSMCenter),中国计算机软件与技术服务总公司信息安全博士后科研工作站信息安全实验室2004-06-11,内容安排,第一部分：需求分析第二部分：技术方案第三部分：中软安全实验室结束语,第一部分：需求分析,信息化呼唤信息安全（OA，E-gov，E-biz)安全意识增强（媒体、商家、威胁的驱动下）病毒入侵提高了人们对安全的重视程度 安全技术与产品的广泛应用(防火墙、入侵检测、身份认证、防病毒)对安全系统进行配置和管理 对安全事件进行应急响应 定期检查日志（操作系统、应用系统、安全系统）,安全问题越来越得到重视,安全组件的复杂性困扰着管理者,安全组件种类、数量越来越多，布控的规模越来越大；（数量）不能有效的保证企业统一安全策略的一致性；（策略）分散地对安全系统的策略配置管理越来越麻烦；（配置）人工地对多个安全系统的大量日志进行审计、分析流于形式；（日志）大量的模糊安全事件存在，不能有效的确定一个真正的安全事件；（事故）对于真正的安全事件（事故）如何做到规范、快速的处理;（应急响应）,如何对企业安全策略进行统一管理？如何将企业统一安全策略规则化到每一个安全组件中去？如何对全部安全组件进行集中的统一配置和管理？如何对安全组件的互动关系进行管理和配置；如何对全部安全组件的安全事件进行集中的审计、分析和报告？如何对安全事件进行统一的应急响应管理？,解决方案集中安全管理平台,有效的解决办法就是建立集中安全管理平台，实现安全策略、系统配置、安全事件、应急响应的集中管理。,第二部分：技术方案,技术方案,整体结构设计功能结构部署安全策略管理平台设计PD功能设计结构设计系统配置管理平台设计CM功能设计结构设计安全事件审计平台EA功能设计结构设计安全事故应急响应中心AR功能设计结构设计系统安全设计关键技术研究,集中安全管理平台,Global Security Management Center,GSMCenter,安全策略管理系统配置管理事件审计管理应急响应管理,整体结构设计,GSMCenter,概述,企业信息与网络系统安全策略统一管理（安全策略）；安全设备与安全系统配置的集中管理（系统配置）；安全设备与系统的日志的集中审计、分析与报告（安全事件）；以及实现企业安全事件应急响应管理（应急响应）的综合平台。,集中安全管理平台是,主要功能,集中管理企业统一的安全策略（Policy）。即通过统一的平台，对系统内的安全设备与系统的安全策略进行管理，实现全系统的安全策略的统一配置、分发与管理。集中管理全部的安全设备与系统配置（Configures and Options）。即管理企业网络系统所有的安全设备与系统，实现安全设备与系统的集中管理，起到安全网管的作用。在统一的管理平台上，配置、管理全网安全设备与系统的配置和参数。集中管理安全事件和日志（Events）。通过统一的技术方法，将全系统中的安全日志，安全事件集中收集管理，实现日志的集中、审计、分析与报告。同时，通过集中的分析审计，发现潜在的攻击征兆和安全发展趋势。集中管理安全事件的应急响应流程（Accidents）。安全事件/事故处理流程管理，处理过程的监督管理。确保任何安全事件/事故得到及时的响应和处理。,安全系统的四个核心安全要素,P,C,E,A,PD-Policy Director-安全策略管理平台,CM-Configure Manager-安全配置管理平台,AR-Accident Responsor-安全事故响应中心,EA-Events Auditor-安全事件审计平台,集中安全管理平台系统(GSMCenter，SOC),M,系统构成,安全知识库KMis,日志/事件/事故数据库Events/Accidents,集中安全管理平台GSMCenter,系统配置管理平台GSCManager,安全事件应急响应中心GSAResponsor,安全策略管理平台GSPDirector,安全事件审计平台GSEAuditor,安全组件,信息资产信息库ASMan,基于PKI技术CA认证中心,Global Security Policy Director,安全策略起草策略修改策略维护策略培训生命周期保障,安全策略管理平台,P,GSPDirector,分项系统设计1,安全策略文档 安全策略发布 安全策略修正 安全策略版本控制 安全策略模板 基于Web发布 安全策略的规则化,主要功能,GSPDirector,安全策略创建 安全策略编辑 安全策略发布 安全策略培训 安全策略模板 基于Web访问 安全策略规则化,安全策略管理流程,安全策略管理平台PD,安全配置管理平台,Global Security Configure Manager,GSCManager,安全策略管理系统配置管理事件审计管理应急响应管理,C,GSCManager,分项系统设计2,配置提出（制定）配置讨论 配置修改 配置修改审核 配置发布 教育培训 查询统计 跟踪部署 打印控制,主要功能,广域网,IE,IE,IE,管理员,培训、修改,安全运行中心,系统配置管理平台,Configures,区域信息中心,Options,系统配置管理中心CM,安全事件审计平台,事件收集冗余处理事件关联分析事件可视化处理综合审计报告趋势分析,E,GSEAuditor,Global Security Event Auditor，GSEAuditor,分项系统设计3,集中安全管理平台的最重要组成部分 集中的收集安全事件 集中收集安全事件；不同时间、不同区域、不同安全组件；网络设备、系统、应用系统；集中的综合分析安全事件过滤、规整、综合分析安全事件信息；减少冗余事件信息，分析出真正的安全事件;集中的安全事件报告 综合分析报告；安全现状报告；安全趋势报告；集中的安全事件预警集中预警分析；区域间预警信息发布；时间域预警信息发布。,主要功能,安全设备/软件 防火墙，病毒，入侵检测，完整性检查，认证系统,etc网络设备 路由器，交换机，拨号服务器操作系统 NT/2000,UNIX专用设备 Cache,Mail,RMON Probe,UPS应用程序 DNS,WEB server,Arcserver,服务监控系统，etc.网管系统 HP OV,cisco works,CA TNG,BMC patrol,etc.,安全事件源,标准支持 syslog trapd（SNMP v3）OS Agent 运行在OS（NT,UNIX）监视运行进程 监视指定的日志文件内容 发出告警（syslog,trapd）特殊agent 各种网管系统 各种应用系统 各种安全组件,安全事件收集方式,Syslog/trapd,数据分析,规则文件处理,综合分析（核心算法）,安全事件过滤、规整与分析,真正的安全事件,安全事件关联分析（核心）,减少事件数量 确定事件根源 基于时间的时间关联分析（时序事件规约）基于部署结构（地域）的事件关联（地址转换事件规约）基于知识的事件关联 分析（协议深度关联事件分析）,安全事件报告与预警,预警信息,取证信息,安全事件综合分析报告系统；基于Web界面；报告设计器，客户化的、可定制的报告形式支持；按严重程度报告 按时间段报告 按系统功能报告 按对象报告 按地区报告 综合分析报告 安全现状报告 安全趋势报告,安全事件报告（事件可视化）,安全事件审计平台的结构,switch,UNIX/NTServer+agent,Routers,Firewall,IDS console,防病毒服务器,Syslogd/trapd,EVENTS,Web client,响应,Center,网络备份服务器,事件源,安全运行中心,安全事故应急响应中心,事故接收与处理流程开始事故处理工单分发事故处理过程学习事故处理过程跟踪事故处理方法登录知识库资产信息库,A,GSAResponsor,Global Security Accident Responser,GSAResponsor,分项系统设计4,事故处理流程管理；事故分发管理；（确定响应工程师）事故处理过程交互管理；（过程交互）事故处理状态控制与管理（状态监控）；资产信息库查询（事故定位）；知识库查询（处理技术方法信息）；事故处理报告管理；（回登处理过程、方法等信息）自我服务（基于Web的帮助系统）,主要功能,以安全事件开始的事故处理 按照事件的严重程度和影响的业务定义安全事故安全事件类型确定安全事故类型,GSARCenter,工作流支持平台：AR system事故处理系统：Help Desk通过Web使用help desk：GSARCenter Web事故处理的服务质量：GSARCenter SLA资产管理系统集（快速定位故障）：ASMan知识管理系统：KMis,系统组成,安全事故中心结构,安全事件审计平台,IE,事件通知单,事故应急响应平台,（基于工作流的管理）,支持工程师,事项请求,安全主管,SMS gateway,支持工程师,多种告知方式,应急响应中心,G,系统本身安全设计,安全设计,集中安全管理平台必须建立自身的用户身份认证机制，确保集中安全管理平台操作安全。对系统的使用者进行管理：分权、分级管理，用户被分为超级用户，安全管理员，操作员三个级别，不同级别的用户，赋予不同的权限。集中安全管理平台启动和关闭都需要经过身份认证，只有合法用户，适当的使用权限的用户，才能启动或操作系统不同的功能。系统必须对用户身份认证失败进行处理，三次失败后，系统退出，并记录日志。系统的工作过程，必须记录在日志数据库中。基于PKI技术的CA中心的对接；证书介质：IC卡。,强身份认证机制,集中安全管理平台应设计加密机制，保护相关文件集中安全管理平台的设计与开发过程中，必须涉及系列加密技术，保护相关文件。集中安全管理平台必须采用数字签名的加密技术保护系统的主要执行文件；集中安全管理平台必须采用数字签名的加密技术保护系统的主要数据文件、配置文件、日志文件。基于PKI技术的CA中心的对接；证书介质：IC卡。,事件数据库加密保护机制,集中安全管理平台的设计开发必须保证系统通讯过程的安全，无论是B/S模式，还是C/S模式，必须采取下列方法保证通讯安全：通信双方通信会话的建立，必须经过认证，如采取证书方式认证；必须采取安全的通信协议，如：SSL,SSH,SHTTP等协议，建立通信关系；通信过程中，通信数据必须是加密的，禁止以明文方式在网上传输。,系统组件间通信安全机制,集中安全管理平台必须建立严格的日志记录机制，记录系统启动与关闭情况和系统工作情况。集中安全管理平台必须采取对系统的配置文件、临时文件、工作数据文件、日志文件进行了加密处理，增强系统的安全性。,系统工作文件安全机制,关键技术研究,关键技术研究,安全管理，协议是关键集中安全管理协议,Security Management Protocol,SMP实现安全组件的集中管理与监控的前提条件就是通信协议，我们将它称为“安全组件交互通信协议”，这一协议和基于这一安全协议的管理代理程序的研究与开发是本系统实现的关键技术。SNMPSyslog自定义协议SSL/SSH API,集中安全管理协议研究,安全策略作为文档，如何在系统中进行表述？Security Policy Rules,SPR安全策略的规范描述定义和表示是系统进行集中策略管理的核心本项研究将详细研究并且予以实现。,安全策略规范定义研究,如何从大量的事件中，综合分析出真正的安全事件E事故A 集中安全事件审计、分析、报告技术；(Auditor)集中的日志收集和审计、分析与报告是日志管理的关键。传统的日志分析方法是对单一日志进行简单统计与汇总分析，本平台系统的日志来源广泛，他们来源于不同的主机与设备、不同的网段。对这些日志的相关性分析是准确把握安全事件的关键，也是准确分析安全事件的基础。趋势分析。,安全事件关联性分析技术研究,Events,事件关联分析,Accidents,安全运行中心SOC最终界面,PD,CM,EA,AR,SOC,第三部分：中软安全实验室,中软安全实验室简介,信息安全博士后科研工作站多年来积累了丰富的技术和经验承担了大量的国家攻关项目为党、政、军和企事业单位提供了大量的技术服务和优秀产品集研究、开发、生产于一体大批经验丰富的工程技术人员由博士、博士后、硕士组成的强大的科研开发能力。目前专业技术人员40名，正在不断扩充。先后研制了11个自主知识产权的产品拥有先进的开发、测试设备标准化的开发管理,层次性,动态性,可管理性,生命周期性,全面性,相对性,中软信息安全理念,INSIDE,拨号接入服务器,企业内部网络,WAN,INTERNET,企业广域网络,Web Server,Mail Server,DNS Server,AAA Server,企业合作伙伴网络,Internet出口,PSTN,INTERNET,企业部门,数据中心,数据库服务器,数据库服务器,木桶原理,安全理念-全面性,层次化风险缓释论,安全理念-层次性,安全策略,螺旋式上升论,安全理念-生命周期性（过程性）,时间Time,安全理念-动态性,P2DR2模型,安全理念-相对性,集中安全管理,安全理念-可管理性,安全理念-安全产品国家队,中国自己的信息安全的主力军自主知识产权的系列安全产品国家行政机关、国有企事业单位可以信赖的合作伙伴,中软的安全技术,多年的技术积累完整的安全解决方案提供者覆盖主要要素的信息与网络安全技术行为监测内容管理身份认证漏洞扫描信息保密集中安全管理平台第一个提出并解决信息泄露的整体方案,中软安全产品,安全系列产品：防水墙(Water Box)入侵检测(Intrusion Detection System)集中安全管理平台(Global Security Manager)网络监测(Net monitor)网络巡警(IS Ranger)统一身份认证（Single Sign-on）中软高性能防火墙中软VPN安全网关,结束语,中软安全实验室与国际、国内的知名学者、专家、教授、科研机构、大专院校有着广泛的联系和交流。逐步建设成为“国内一流、国际知名”的安全产品研发机构，民族安全软件产品的旗舰。,谢谢！,