保旺达一体化内控内审系统.ppt

* * 内部爆发类 内部重大影响性的蠕虫爆发、大量ARP发包等可能造成网络瘫痪的安全事件 外部入侵攻击类 对外服务业务系统受到黑客攻击和入侵，包括门户、网银等； 内部操作合规类 内部员工或准内部人员对业务系统或IT设备的违规操作； 业务用户异常访问类 对外服务业务系统用户异常访问行为，包括网银、电话银行等； 信息泄露类 客户资料、生产业务、内部管理等敏感信息的泄露行为； 议题 产品功能 4 信息防护 4.6 审计管理 4.5 授权管理 4.4 认证管理 4.3 账号管理 4.2 功能总揽 4.1 影响业务安全的五类安全事故 安全平台日志收集 SYSLOG\FTP\ODBC\JDBC SYSLOG\FTP\ODBC\JDBC SYSLOG\FTP\ODBC\JDBC SYSLOG\SNMP 安全管控平台事件?事故的鉴别流程 采集 爆发类日志 外部入侵类 操作违规类 业务用户异常访问类 信息输出类 全球威胁联动 全球探测网络, 提供联动实时威胁联动 优先级划分 提供用户信息\操作违规信息\数据输出信息的关联分析, 进行优先级划分 关联分析 利用运维经验,提供关联方法, 和关联规则库以及技术参数 归并过滤 大量运维经验对事件进行EMR分类归并 标准化 与业务厂家、4A厂家、安全厂家接口开发，信息预处理 处理 提供更新的知识库提供处理意见 事件 事故 安全信息处理过程 1、安全运行管理系统是一个专注于安全的管理系统 2、以资产为核心，以风险为表征，反映资产的安全状况 3、告警反映与资产相关的安全问题，分一般和严重两个级别 4、以设备安全日志、配置、漏洞为分析的来源 5、分析手段包括标准化、压缩、关联、审计、定损分析、风险计算 服务器日志 安全设备日志 网络设备日志 配置违规检查 防病毒 安全信息审计分析 安全信息关联分析 安全信息归并 安全信息过滤 安全信息标准化 故障管 理平台 工单 系统 告警 呈现 安全信息 统计引擎 统计 分析 资产风 险分析 告警 生成 安全事件源 安全事件处理 安全警告 安全监控 图形化审计与屏幕录像 针对数据库维护以外的图形化操作，如IE、防火墙客户端等 客户登录堡垒主机时自动启动屏幕录像进程 采用图片时间矢量技术，压缩大量录像所占的硬盘空间 根据主账号、登录时间、维护工具、当前窗口名称、键盘命令等关键字段进行检索 屏幕录像播放截图 存储位置包含主账号、主机IP、录像日期等信息 播放窗口 检索窗口 检索窗口“淘宝” 检索“删除文件”窗口 文字输入检索“taobao” 文字输入检索“安全” 报表输出 支持TXT 、EXCEL、WORD、PDF 等 多 种 格 式 议题 产品功能 4 信息防护 4.6 审计管理 4.5 授权管理 4.4 认证管理 4.3 账号管理 4.2 功能总揽 4.1 信息保护解决方案 利用一定规则扫描数据库，发现敏感信息保存在数据库的具体位置（哪个表的哪个字段）； 2.通过堡垒主机细粒度授权功能，限制代维人员对含有敏感信息的字段的访问，如果确实需要访问，必须由室经理进行二次授权；　 3.当用户将敏感信息从数据库拷贝到堡垒主机时，系统及时发现并自动定义该信息的安全级别； 4.通过堡垒主机用户环境WEB页面可以查看到可供下载的数据文件，如果该数据文件不包含敏感信息，可以任意下载；如果该数据文件包含敏感信息，就根据数据文件的安全级别授权（可以下载、二次授权下载、不可下载） 数据库扫描 数据库扫描 电信行业扫描策略 * 类别 子类 内容 检测技术和规则类型 客户基本资料 集团客户资料 集团客户负责人信息、联系人信息、单位成员个人基本信息、业务合同、银行扣费账户、集团客户编号、集团客户名称、所在省市、所在行业、集团签约时间、集团协议到期时间 关键字检测 文档“指纹” 个人客户资料 客户姓名、证件类型、证件号码、证件影印件、客户手机终端信息、客户职业、工作单位、居住地址、联系地址、联系电话、银行扣费账户、客户编号、年龄、性别、归属市县营业厅、兴趣爱好、邮寄信息、大客户标识 正则表达式，如手机号，身份证等 结构化数据“指纹” 各类特殊名单 黑名单、白名单、红名单 黑白名单 客户通信信息 详单 包括语音、短信、彩信和GPRS详单等，内含主叫号码、主叫位置、被叫号码、开始通信时间、时长、流量、金额等信息 正则表达式，如手机号，身份证等 结构化数据“指纹” 账单 每月出账的固定费用、通信费用、数据费用、代收费用 正则表达式，如手机号，身份证等 结构化数据“指纹” 客户当前位置信息 精确位置信息(如小区代码、基站号、基站经纬度坐标等)；大致位置信息(如地区代码等) 正则表达式，如小区代码、基站号等 结构化数据“指纹” 客户消费信息 停开机、入网时间、在网时间、积分、预存款、信用等级、信