如何建立信息安全运维体系.ppt

SOC模式-方案1 SSL加密传输 SSL加密传输 SSL加密传输 SOC模式-方案1 对于有SOC需求的客户,并且还没有做SOC的客户,我们提供了一整套的完美的SOC解决方案 稳定快速的SOC 日志存储服务器群,保证了用户数据的安全性和高可用性. 稳定的SOC服务器群,提供了实施数据的分析查询平台. 7×24小时的监控平台. 专业的安全事件分析服务. 紧急事件可以享受我们的安全响应服务. 客户人员实施的相关报表查询. 及时的短信,邮件安全告警通知. 同时可以协助客户开发SOC与现有的工单系统的接口.实现事件的统一处理. SOC模式-方案2 针对已经建立SOC系统的客户,我们向他们推荐我们的 7X24小时的监控平台. 专业的安全事件分析服务. 紧急事件可以享受我们的安全响应服务. SSL加密传输 SOC_Service的结构 一线:事件监控中心提供的服务 二线:安全分析中心提供的服务 三线:紧急响应中心提供的服务 四线:安全审计中心提供的服务 安全标准和法规符合性服务 一线:事件监控中心的服务 7×24监控防火墙 7×24监控入侵监控系统 7×24监控防病毒系统 7×24监控网页保护系统 7×24监控服务器及应用服务作用 二线:安全分析中心的服务 防火墙的事件分析 入侵监测的事件分析 网页保护系统的事件分析 防病毒的事件分析 其他安全事件分析 安全事件预报和业务案例传送服务； 三线:紧急响应中心的服务 建立入侵响应小组 制定一个紧急响应和报告流程 入侵分析 消除被破坏的和非法的文件 恢复正常操作 对系统的安全进行重新评估与系统加固 四线:安全审计中心的服务 通过定期的审计和服务，对系统的安全状况进行检查，发现潜在的安全问题并及时处理 审计工作能够从大量的安全日志中提取出具有较强针对性的安全数据。安全专家通过长期的安全工作经验从这些数据中发掘出各类安全的问题和隐患。 审计工作是对前面监控,分析响应工作的有利监督。也真实的反映了现在企业的安全现状及安全趋势. 安全标准和法规符合性服务 ITIL标准符合性服务 SOC系统可以方便ITIL服务流程的实现 ITIL高级咨询顾问辅导服务 SOX法案符合性辅导服务 SOC系统可以增加SOX法案符合程度 SOX高级咨询顾问辅导服务 ISO 27001标准符合性辅导服务 SOC系统增强ISO 27001标准符合性 ISO 27001高级咨询顾问辅导服务 业务案例：用户私加帐号的违规操作 用户审计系统：能够审计用户帐号创建（新员工入职）、修改（员工的工作调动）、密码重置（员工忘记密码）、删除（员工的离职）等； SOC能够接收审计系统用户的记录； 用户在创建帐号时，需要部门领导的审批，审批之后才能创建，发送到工单系统，工单发送到SOC中心； SOC接收工单系统发送的领导审批后的结果； SOC针对没有审批私自创建帐号的违规操作，通过审计系统和工单系统进行报警； 业务案例：违规创建未经审批帐号 身份认证系统 业务系统 身份审计系统 SOC系统 领导审批 工单系统 用户申请需要增加帐号 审批通过 发送审批通过信息 发送用户添加帐号信息 SOC系统当接收到添加帐号信息时，检查该帐号是否通过审批，没有审批将进行报警，属于违规操作 添加帐号 业务案例：蠕虫事件监控 监控中心由风险评估中心、性能监控中心、事件监控中心、事件处理中心、知识库、安全设备监控组成，在监控中心发现网络流量异常 IDS报警发现短时间内发送大量数据包（内容长度376字节的特殊格式的UDP 1434端口，蠕虫王）的主机 在风险分析中心发现主机弱点 能够准确及时的定位中毒机器，然后进行封杀该主机，进行SQL server的补丁修补，并进行杀毒 确认主机系统无毒时再入网 监控中心网络恢复流量正常 确认这种解决方法有效 导入知识库，已被以后使用该方法解决蠕虫王病毒； 业务案例：SOC对蠕虫王监控和处理 风险评估中心 事件处理中心 事件监控中心 SOC监控中心 病毒管理员 被感染蠕虫王病毒的主机 安全分析中心 修复中毒主机，接入网络 进行关联交给事件处理中心 确认无异常流量时，将解决方法导入知识库 通知病毒管理员修复他所管理的中毒主机 监控IDS和流量分析系统的报警，发送“网络流量异常，某主机发送内容长度376字节的特殊格式的UDP 1434端口”信息 发送“某主机的SQLserver防止感染蠕虫王的补丁未打，容易收到蠕虫王病毒感染”信息 业务案例：关联资产弱点决定事件优先级 SOC接到事件优先级为1－10，优先值越高越优先； 安全事件和资产弱点关联，决定安全事件优先级 案例1：提升优先级； 安全事件 优先级提升到10 事件监控中心 优先级为8 目标主机有CVE端口为80的漏洞 针对80端口的缓存溢出“Web IIS探