我理解的安管平台.pptxVIP

我理解的安管平台网络中心 刘媛一、信息安全发展的三个阶段信息安全发展的三个阶段信息安全的发展随着网络建设经历了三个阶段：一是防病毒、防火墙+IDS部署的初级阶段二是随着各种业务的信息化推进，对信息安全产生巨大的需求，包括网关防护、安全审计管理、终端安全和应用安全，大量的使用区域边界防护、脆弱性扫描、用户接入控制等技术，此时的安全技术纷繁复杂，包括防护、监控、审计、认证、扫描等多种体系，称为安全建设阶段。信息安全发展的三个阶段三是随着业务高度信息化，信息安全管理成为信息建设的必要组成部分，把分散的安全设备、安全策略、安全事件进行统一管理、统一运营，称为安全管理阶段，最典型的就是综合性的安全管理中心(Security?Operation?Center)SOC的建设。信息安全发展的三个阶段安全管理中心是安全技术“大集成”过程中产生的二、安全管理中心安全管理中心安全管理中心是安全技术“大集成”过程中产生的 安全管理平台（习惯上称之为SOC）就是把各式各样的设备（网络设备---交换/路由，安全设备----防火墙/IPS，系统设备----win/linux）中的日志信息收集过来，经过SOC系统的处理与分析，在海量数据中挖掘出对于用户来说重要的、危险的、有用的信息。安全管理中心安全管理平台以 IT 资产及业务为核心，以安全事件管理为关键流程，采用安全域划分的思想,建立一套实时的风险模型，实现对各类资产和业务的信息采集、 关联分析、日志审计、事件监控、流量分析、网络攻击防范、态势感知、安全预警和快速响应，做到“集中监控 、统一管理、全面分析、 快速响应。安全管理中心在安全体系中的地位第三层：统一风险管理第二层：安全产品防护第一层：系统自身安全安管平台是信息安全神经中枢安全管理平台（security?management）在国内外有多种多样的称呼：SIM 安全信息管理中心（security?information?management）SIEM 安全信息与事件管理平台（security?information?event?management）SOC 安全运营中心（security?operation?center）……总之其目的是管理安全相关的信息。这里的“信息”，通俗一点说就是日志信息和性能监控信息。三、安管平台的起因分析安管平台的起因分析网络安全产品都存在一定局限性。比如防火墙是一种用来加强网络之间访问控制的互联设备，它对网络之间传输的数据包依照一定的安全策略进行检查，以决定通信是否被允许，从而达到保护内部网络的信息不被外部非授权用户访问，过滤不良信息的目的。安管平台的起因分析但是，防火墙并非万能， NIST(美国国家标准与技术研究院 National Institute of Standards and Technology)就对它做出了客观评价，指出其主要不足：(1)由于防火墙要保证信息安全，采取了很多访问控制机制，从而限制了用户称心如意的服务访问；(2)防火墙不能对抗私有网络中的后门；(3)现在的防火墙很少保护来自内部的攻击。安管平台起因分析入侵检测系统被认为是整个系统中的最后一道防线。入侵是指任何试图危害资源的完整性、保密性和可用性的活动集合，入侵检测就是检测入侵活动，并采取对抗措施。 IDS按照数据来源可分为基于主机的IDS和基于网络的IDS。安管平台起因分析基于主机(Host-based)的IDS关键技术是从庞大的主机安全审计数据中抽取有效数据进行分析。基于网络的IDS(Network-based IDS， NIDS)则一般通过监视网络上的流量来分析攻击者的入侵企图，它存在如下主要缺点：安管平台起因分析(1)易受欺骗。 NIDS不能抵御Insertion、 Evasion的欺骗和攻击,由于NIDS与受监视的系统对网络事件的理解不完全一致，因此易受欺骗；(2)易受拒绝服务攻击(DoS)。 NIDS为了不漏掉攻击，需要尽可能对每一个包进行检测，这样攻击者向内部网发送大量需要NIDS处理的包时，便造成NIDS拒绝服务；(3)当NIDS失效时也失去了对网络的监视 ,因此当它遭到DoS攻击后 , 网络也处于不安全的状态；(4)没有能力控制外部网对内部网的访问。安管平台起因分析 鉴于主流网络安全产品的这些不足，出现了在通用入侵检测模型的框架下建立一个集成防火墙和入侵检测系统的模型，体现了对网络安全产品集成的思想。 其它类似的网络安全产品也不能从整体上解决目前的网络安全问题。因此有必要研究新的网络安全管理技术，能够在一个统一的安全管理平台下对各种网络安全产品实施统一配置、统一策略、统一日志和统一报告，以便动态分析评估网络状况，对平台下集成的所有安全产品实施相应策略，共同确保整个网络系统安全。每日多达上千万的事件量重复告警误报真实情况无法反