互联网威胁管理体系.ppt

互联网威胁管理体系 2005. 04. 27 互联网威胁管理体系 互联网威胁管理体系 互联网威胁管理体系 互联网威胁管理体系 互联网威胁管理体系 互联网威胁管理体系 互联网威胁管理体系 * * 零日(Zero-day)攻击威胁， 发送大量邮件的蠕虫，病毒 网络安全产品的易用性以及加强对异常现象的安全监控能够减少新的威胁所造成的危害程度 零日(Zero-day)攻击威胁，DOS(拒绝服务)/DDOS(分散拒绝服务)， 新型恶意代码 必须监控基于全球/局部网络上的所有单位系统以及建立响应体系 建立新概念的互联网管理体系的必要性 加强迅速响应体系 加强早期预/警报体系 加强监控体系 建立互联网威胁管理体系 加强预先预防活动以及早期预警报体系 对互联网威胁征兆加强实时监测 加强迅速响应以及 防止扩散能力 为建立互联网威胁管理体系的战略 * NIST SP800-61, Computer Security Incident Handing Guide(’04.1) 安全控制 执行互联网威胁管理业务步骤 Preparation Detection Analysis Containment Eradication Recovery Learn Computer Security Incident Handling Cycle 执行安全控制业务步骤 Operation Policy Technical Support “What” “When” “How” 365日, 24小时 对互联网威胁征兆进行检测/分析/响应 Policy (What) - 统一管理控制对象机关信息 : 控制对象机关组织体系图，IP 带宽，DNS 地址，WEB 网址等等 - 管理实时报警阶段 Technical (How) 导出控制技术以及系统化 (建立控制矩阵MATRIX) - 对互联网威胁信息详细分析 : 对IP地址，端口，检测规则，DNS/WEB现状信息进行统计分析 Operation (When) - 执行被Policy和Technical从属的安全控制 : 控制对象按机关实时警报以及基于矩阵（MATRIX）的事件处理 Support - 维持基于互联网威胁信息收集方式 : 维持系统的可靠性和一贯性 - 保障一年四季系统的正常安全运行 应用 TESS TAS/TMS 后改善的内容 按机关/类型分类收集资料并监控 按收集Agent监控 Support 基于含义发生/响应报警 基于临界值发生报警 Operation 基于趋势定义含义 基于资料量的临界值 Technical 控制对象机关资产为中心 资料收集所为中心 Policy 改善后体系 现有体系 区分 *