《浅淡SOC平台的安全事件管理.ppt》由会员分享,可在线阅读,更多相关《浅淡SOC平台的安全事件管理.ppt(24页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、1,Module und Variations_E,浅淡安全管理平台(SOC)中的 信息安全事件管理 中国长城资产管理公司王代潮, November 2009,2,Module und Variations_E,Contents:,A.信息安全事件管理需求背景 (why?) B.如何实现信息安全事件有效管理(HOW?) C.信息安全事件管理发展的趋势(WILL?) Annex: 案例。,3,Module und Variations_E,信息安全发展-从单机安全到整体安全,A. Why? 安全事件管理需求,4,Module und Variations_E,1,2,3,4,Factor 2:海
2、量安全事件不可人为管理,Factor 4:高层无法获得对安全态势的全局观,Factor 3:安全保障措施与业务没有有效的关联,A. Why?信息安全事件管理需求,Factor 1:异构的安全措施导致风险,101,135,+34%,29%,18%,GE Wind (US),14%,Enercon (GE),13%,Gamesa (SP),6%,Siemens (GE),3%,Repower (GE)1),3%,Nordex (GE),2%,Ecotecnia (SP),6%,Suzlon (IN),Others,3,580,1,745,1,300,B. HOW?如何实现信息安全事件有效管理,模块
3、化(Componentization) 统一化(Normalization) 整合化(Aggregation) 关联化(Correlation) 可视化(Visualization),安全事件管理是安全管理平台(SOC)的核心! 安全事件管理则代表了安全系统的动态模型,是系统智能的主要体现!,6,Module und Variations_E,B. HOW?模块化,安全事件统一化采集?,B. HOW?统一化,8,Module und Variations_E,B. HOW?整合化,安全事件如何整合?,9,Module und Variations_E,基于规则的事件关联,是由厂商、用户预先制定
4、的规则对两个或两个以上的事件进行关联,以得出安全事件是否发生的准确判断。它基于较小的时间窗,实时性较强,但需要预先设定模式。 基于统计学的事件关联,是将系统在某一时间段内的信息进行统一,并参照一个阀值进行判断,最终得出对安全态势的一种判断。基于大时间窗,实时性较差,但不需要预先设定模式,较完整地反映系统的安全性。 定义一些大的安全事件类别,将出现的事件先归类,然后再根据大类出现的事件的安全级别和数量来估计发生的攻击,B. HOW?关联化,10,Module und Variations_E,B. HOW?可视化,数据挖掘实现风险的可视化,11,Module und Variations_E,C
5、. WILL?信息安全事件管理的发展趋势,Protocol Independent FrameworkPIF,12,Module und Variations_E,安全事件管理技术的创新在于能够实时的分析来自于计算、网络、存储、安全等设备的与安全相关的事件,其优势在于信息来源的广泛。通过关联来自于不同地点、不同层次、不同类型的安全事件,发现真正的安全风险,提高安全报警的信噪比,从而可以准确的、实时的评估当前的安全态势和风险,并根据预先制定策略作出快速的响应。,C. WILL?信息安全事件管理技术创新关键点,13,Module und Variations_E,C. WILL?信息安全事件管理远
6、景目标风险管理的“可知-可识-可知识”,分析 优先级,制定计划 确定时间,跟踪 报告,控制,关键风 险列表,TOP N 风险展示,知晓,识别,风险 状况,学习,1,2,3,4,5,6,7,可知资产管理 方便快捷,可识综合的风险监控,可识安全事件实时监控,可识异构设备事件的关联分析,可识风险评估工具的管理与漏洞查询,可识-安全预警,人工预警 发布一条预警 分析预警的影响 关闭预警 蠕虫预警 发布一条蠕虫预警 分析蠕虫的影响 事件预警,可识-资源状态监控,可识-数据库状态监控,可识-节点/组件连接状态,可知识安全知识库,24,Module und Variations_E,Thank You !,