外在需求
全面契合等级保护及ISO27001的要求 符合国家法律、行业法规、企业规定 切实可行的内控、信息安全风险管理 合规审计
本质原因
我们处于危 险中么？
发生了什么？
有漏洞ቤተ መጻሕፍቲ ባይዱ？
我下一步该 做什么？
•孤立的管理手段 •分离的安全防御体系 •分散的IT安全设备 •复杂的业务信息系统
防火墙 IDS
安全事件
• 收集各类安全事件： Syslog, Snmp, Windows, Linux, UNIX, Oracle, SQL 等
收集解析
安全区域
事件关联
• 针对安全区域的事件关联和分析处理
******安全监测解决方案
19
3. 建立基于P2DR的安全监测模型-监测流程
预处理
关联分析
规则响应
安全告警
本地响应 R 响应 安全部门处理 运维部门支持
第三方响应 远程监测 现场服务
审计部门调查
事件通告
******安全监测解决方案
16
3. 建立基于P2DR的安全监测模型-SOC概念
SOC1.0
SOC2.0
从业务出发，通过业务需求分析、业务建模、
Security Operations Center以资产为核心， 以安全事件管理为关键流程，采用安全域划分 的思想，建立一套实时的资产风险模型，协劣 管理员进行事件分析、风险分析、预警管理和 应急响应处理的集中安全管理系统。
完整性 1.文件篡改监测 2.应用挂马监测 3.XSS蠕虫监测 4.身份绕过审计 可问责性 1.安全日志存储 2.海量日志分析 3.司法取证溯源 4.合规性分析
******安全监测解决方案
10
2. 为什么需要安全监测-企业信息安全架构(EISA)
业务环境层: 安全愿景描述 安全概念层: 定义安全目标&规则 安全逡辑层: 建立执行规则的方法
******安全监测解决方案
3
1. 企业应用系统安全威胁
商业利益驱劢
团体性犯罪
攻击手段高
隐蔽性好
影响范围广
损失大
******安全监测解决方案
4
1. 企业应用系统安全威胁
OWASP TOP10 2010
1.注入
攻击者
攻击媒介 攻击
安全漏洞 漏洞 漏洞 漏洞 漏洞
安全控制 控制 控制
技术影响
业务影响 影响
√ 从分散走向集中(NOC) √ 从资产转为业务 √ 集成ITIL+MSSP
******安全监测解决方案
17
3. 建立基于P2DR的安全监测模型-接入部署
Web应用防火墙 安全事件管理系统 安全事件采集数据流 VPN加密通道
互联网
******安全监测解决方案
18
3. 建立基于P2DR的安全监测模型-监测对象
面向业务 的安全域和资产管理、业务连续性监
控、业务价值分析、业务风险和影响性分析、 业务可视化等各个环节，采用主劢、被劢相结 合的方法采集来自企业和组织中构成 业务系统 的各种IT资源的安全信息，从业务的角度进行
归一化、监控、分析、审计、报警、响应、存
储和报告。
√ 丌是产品是系统 √ 人员+流程+技术 √ 基于日志的分析系统
重要资产安全状况无法监测
主 机 交换机 应 用 防病毒 VPN DNS
******安全监测解决方案
9
2. 为什么需要安全监测-能解决哪些问题
保密性 1.账户安全审计 2.越权访问监测 3.非法登陆监测 4.数据泄露审计 可用性 1.应用服务监测 2.设备负载监测 3.网络通信监测 4.系统宕机监测
R 响应
7×24
安全事件管理 风险评估
D 检测
P 策略
企业安全策略
应用安全需求
P 防护
WAF+DLP
******安全监测解决方案 14
3. 建立基于P2DR的安全监测模型
信息安全策略 企业信息安全体系文件 P 策略 企业内部信安审计要求 ISO27001策略文件 国家法律法规（等保）
应用安全需求 7层攻击防护 用户行为审计 数据防泄漏 高可用性
安全风险
重要数据篡改 应用系统挂马 XSS蠕虫钓鱼 身份绕过
I 完整性
A 可用性
******安全监测解决方案
7
目
彔
1
企业应用系统安全威胁 为什么需要安全监测
2
3 4
建立基于P2DR的监测模型
客户收益
******安全监测解决方案
8
2. 为什么需要安全监测-需求分析 内在需求
全局应用系统安全态势监控 系统整体运行状态监控 便捷、高效的安全日志关联分析 集中化的监控、审计、预警、响应和报告
****** 应用系统安全监测解决方案
By:Eric /sunw3i
1
目
彔
1
企业应用系统安全威胁 为什么需要安全监测
2
3 4
建立基于P2DR的监测模型
客户收益
******安全监测解决方案
2
1. 企业应用系统安全威胁 SONY被全球两大黑客组织Anonymous和LulzSec攻击，导致1亿名用户 信息被盗，2011年4月20日，索尼关闭了PSN网络，影响全球7700万用户， 分析师称此次攻击造成SONY公司10亿美元的损失。
单向传输 加密传输 执行权限
• 安全事件数据单向传输(无逆向入口) • 经过许可的信息，加密传输到SOC(SSL)
• 监控幵提供解决方案，无需授权更改 • 可通过相关合同条款保障双方合法利益 • 国内首批MSS安全公司，有技术、有能力
法律保障 技术支撑
******安全监测解决方案
22
3. 建立基于P2DR的安全监测模型-安全告警
企业信息安全策略 目标安全架构 推荐安全架构 安全架构模式
公司环境 用户环境 身份管理 漏洞管理 安全监测
安全技术层: 应用上述建立的方法
支 持 流 程
企业安全架构丌可 缺少的一部分！！
PKI架构
网络架构
架构
设计 安全执行层: 应用该模式至具体实施工具
安全设计模式
******安全监测解决方案
11
2. 为什么需要安全监测-安全风险管理
1.弱认证 2.无加密 3.共享账户 4.无数据 校验
1.物理 2.过程 3.技术 4.法律 /合规 性
1.保密性 2.完整性 3.可用性 4.可问责 性
1.经济损失 2.信誉破坏 3.隐私暴露 4.违犯法律
******安全监测解决方案
5
1. 企业应用系统安全威胁
1.IDS无法检测大部分 WEB攻击 2.海量告警无人处理 1.传统FW无法检测和阻 止L7攻击 2.反向连接未阻止 1.内外部人员恶意攻击 2.SSL导致攻击不可见
Web应用防火墙 Web攻击防护
数据防泄漏 应用系统通信加密 文件加密 数据丢失防护
P 防护
网页防篡改 网页防挂马
正向安全模型
******安全监测解决方案
15
3. 建立基于P2DR的安全监测模型
安全事件管理 7×24 D 检测 SIEM系统 可用性监测 日志审计
风险评估 安全核查 渗透测试 代码审计 合规检查
安全架构分析
1.系统描述
识别信息流和确 定风险敏感度
2.安全需求
确定基本和增强 的安全层次
3.选择控制
选择合适的安全 控制
9.监测&审计
持续追踪、监测和 审计系统风险的变化
4.风险值分析 安全风险 管理流程
计算当前的信息流 的安全风险值 若验证失败 回到步骤2
8.评估
测试系统以确保真 实的风险值匹配记 彔的风险级别
多视角展示平台 完整的监控运维记彔
******安全监测解决方案
24
目
彔
1
企业应用系统安全威胁 为什么需要安全监测 建立基于P2DR的监测体系
2
3 4
客户收益
******安全监测解决方案
25
4. 客户收益
降低成本 全天候监控 风险监控 发现和解决问题 趋势分析
• 人员配置，技能要求，场地需求 • 7×24全天候监控服务
******安全监测解决方案
20
3. 建立基于P2DR的安全监测模型-业务范围
安全监控
• 安全设备 • 系统服务 • Web服务
安全分析
• 事件收集
• 事件关联 • 事件存储
安全报警
• 可用性报警
• 事件报警
运维报告
• 可用性报告
• 事件报告
• 风险监控
******安全监测解决方案
21
3. 建立基于P2DR的安全监测模型-可靠性
• 有效监控安全风险，第一时间提供解决方案
• 及时发现和解决可能存在的安全问题 • 与业的安全趋势分析，月、季、年安全分析报告 • 日志有效存储和备份、快速查询定位
日志存储/查询
******安全监测解决方案
26
Q&A
27
5.验证控制
验证控制幵确定控 制的位置
7.实施
对系统实施特殊 的控制
6.记彔
确定风险判断和例外
******安全监测解决方案
12
目
彔
1
企业应用系统安全威胁 为什么需要安全监测 建立基于P2DR的监测体系
2
3 4
客户收益
******安全监测解决方案
13
3. 建立基于P2DR的安全监测模型
本地+第三方
2.跨站脚本(XSS)
3.失效的认证不会话管理 4.丌安全的直接对象应用 5.跨站请求伪造(CSRF) 6.安全配置错误 7.限制URL访问失效 8.未验证的重定向不转发 9.丌安全的密码储存 10.传输层保护丌足