1、1,Module und Variations_E,浅淡安全管理平台(SOC)中的信息安全事件管理中国长城资产管理公司王代潮, November 2009,2,Module und Variations_E,Contents:,A.信息安全事件管理需求背景 (why?)B.如何实现信息安全事件有效管理(HOW?)C.信息安全事件管理发展的趋势(WILL?)Annex: 案例。,3,Module und Variations_E,信息安全发展-从单机安全到整体安全,A. Why? 安全事件管理需求,4,Module und Variations_E,1,2,3,4,Factor 2:海量安全事件
2、不可人为管理,Factor 4:高层无法获得对安全态势的全局观,Factor 3:安全保障措施与业务没有有效的关联,A. Why?信息安全事件管理需求,Factor 1:异构的安全措施导致风险,101,135,+34%,29%,18%,GE Wind (US),14%,Enercon (GE),13%,Gamesa (SP),6%,Siemens (GE),3%,Repower (GE)1),3%,Nordex (GE),2%,Ecotecnia (SP),6%,Suzlon (IN),Others,3,580,1,745,1,300,B. HOW?如何实现信息安全事件有效管理,模块化(Com
3、ponentization)统一化(Normalization)整合化(Aggregation)关联化(Correlation)可视化(Visualization),安全事件管理是安全管理平台(SOC)的核心!安全事件管理则代表了安全系统的动态模型,是系统智能的主要体现!,6,Module und Variations_E,B. HOW?模块化,安全事件统一化采集?,B. HOW?统一化,8,Module und Variations_E,B. HOW?整合化,安全事件如何整合?,9,Module und Variations_E,基于规则的事件关联,是由厂商、用户预先制定的规则对两个或两个以
4、上的事件进行关联,以得出安全事件是否发生的准确判断。它基于较小的时间窗,实时性较强,但需要预先设定模式。基于统计学的事件关联,是将系统在某一时间段内的信息进行统一,并参照一个阀值进行判断,最终得出对安全态势的一种判断。基于大时间窗,实时性较差,但不需要预先设定模式,较完整地反映系统的安全性。定义一些大的安全事件类别,将出现的事件先归类,然后再根据大类出现的事件的安全级别和数量来估计发生的攻击,B. HOW?关联化,10,Module und Variations_E,B. HOW?可视化,数据挖掘实现风险的可视化,11,Module und Variations_E,C. WILL?信息安全事
5、件管理的发展趋势,Protocol Independent FrameworkPIF,12,Module und Variations_E,安全事件管理技术的创新在于能够实时的分析来自于计算、网络、存储、安全等设备的与安全相关的事件,其优势在于信息来源的广泛。通过关联来自于不同地点、不同层次、不同类型的安全事件,发现真正的安全风险,提高安全报警的信噪比,从而可以准确的、实时的评估当前的安全态势和风险,并根据预先制定策略作出快速的响应。,C. WILL?信息安全事件管理技术创新关键点,13,Module und Variations_E,C. WILL?信息安全事件管理远景目标风险管理的“可知-可识-可知识”,分析优先级,制定计划确定时间,跟踪报告,控制,关键风险列表,TOP N风险展示,知晓,识别,风险状况,学习,1,2,3,4,5,6,7,可知资产管理 方便快捷,可识综合的风险监控,可识安全事件实时监控,可识异构设备事件的关联分析,可识风险评估工具的管理与漏洞查询,可识-安全预警,人工预警发布一条预警分析预警的影响关闭预警蠕虫预警发布一条蠕虫预警分析蠕虫的影响事件预警,可识-资源状态监控,可识-数据库状态监控,可识-节点/组件连接状态,可知识安全知识库,24,Module und Variations_E,Thank You !,
