信息安全和容災(zāi)備份提綱背景概述安全理念和模型安全關(guān)鍵技術(shù)安全運(yùn)營(yíng)管理體系背景概述《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)）要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級(jí)保護(hù)制度，制定信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南“積極防御，綜合防范”的方針關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)信息安全等級(jí)保護(hù)的核心是對(duì)信息安全分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督四、指導(dǎo)監(jiān)督，重點(diǎn)保護(hù)。國(guó)家指定信息安全監(jiān)管職能部門(mén)通過(guò)備案、指導(dǎo)、檢查、督促整改等方式，對(duì)重要信息和信息系統(tǒng)的信息安全保護(hù)工作進(jìn)行指導(dǎo)監(jiān)督。國(guó)家重點(diǎn)保護(hù)涉及國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)，主要包括：國(guó)家事務(wù)處理信息系統(tǒng)（黨政機(jī)關(guān)辦公系統(tǒng)）；財(cái)政、金融、稅務(wù)、海關(guān)、審計(jì)、工商、社會(huì)保障、能源、交通運(yùn)輸、國(guó)防工業(yè)等關(guān)系到國(guó)計(jì)民生的信息系統(tǒng)；教育、國(guó)家科研等單位的信息系統(tǒng)；公用通信、廣播電視傳輸?shù)然A(chǔ)信息網(wǎng)絡(luò)中的信息系統(tǒng)；網(wǎng)絡(luò)管理中心、重要網(wǎng)站中的重要信息系統(tǒng)和其他領(lǐng)域的重要信息系統(tǒng)。信息安全等級(jí)保護(hù)制度的原則（2）第一級(jí)為自主保護(hù)級(jí)，適用于一般的信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)公民、法人和其他組織的權(quán)益有一定影響，但不危害國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益。

第二級(jí)為指導(dǎo)保護(hù)級(jí)，適用于一定程度上涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成一定損害。信息安全等級(jí)保護(hù)制度的等級(jí)（1）第三級(jí)為監(jiān)督保護(hù)級(jí)適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成較大損害。第四級(jí)為強(qiáng)制保護(hù)級(jí)適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成嚴(yán)重?fù)p害。第五級(jí)為?？乇Ｗo(hù)級(jí)適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成特別嚴(yán)重?fù)p害。信息安全等級(jí)保護(hù)制度的原則（2）P2DR動(dòng)態(tài)安全模型

Policy（安全策略）、Protection（防護(hù)）、Detection（檢測(cè)）和Response（響應(yīng)）。PADIMEE模型（安氏企業(yè)信息系統(tǒng)安全生命周期模型）Policy（安全策略）、Assessment（安全評(píng)估）、Design（設(shè)計(jì)/方案）、Implementation（實(shí)施/實(shí)現(xiàn)）、Management/Monitor（管理/監(jiān)控）、EmergencyResponse（緊急響應(yīng)）和Education（安全教育）ISAF模型(安氏信息安全保障模型)InformationSecurity&AssureFramework信息安全模型

網(wǎng)絡(luò)安全建設(shè)模型-P2DR模型

信息安全生命周期-PADIMEE?模型（2）ISAF模型用三維來(lái)描述信息安全保障體系結(jié)構(gòu)第一維是安全需求維，主要闡述信息安全需求的不斷變化和演進(jìn)，以及當(dāng)前主要的安全需求；第二維維安全對(duì)象描述，提供將安全對(duì)象按類型和層次劃分方法論，達(dá)到能夠更清晰和系統(tǒng)地描述客觀安全對(duì)象地安全需求；第三維為能力來(lái)源維，主要描述能夠提供滿足安全對(duì)象相關(guān)安全需求的防護(hù)措施的種類和級(jí)別ISAF模型三維描述安全產(chǎn)品與ISAF的關(guān)系網(wǎng)絡(luò)邊界網(wǎng)絡(luò)基礎(chǔ)設(shè)施計(jì)算環(huán)境支持性基礎(chǔ)設(shè)施FirewallUTMNetworkbasedUTMHostbasedIDSSOCSecurityservices保密性誰(shuí)能擁有信息保證秘密和敏感信息僅為授權(quán)者享有。完整性擁有的信息是否正確保證信息從真實(shí)的信源發(fā)往真實(shí)的信宿，傳輸、存儲(chǔ)、處理中未被刪改、增添、替換。可用性信息和信息系統(tǒng)是否能夠使用保證信息和信息系統(tǒng)隨時(shí)可為授權(quán)者提供服務(wù)而不被非授權(quán)者濫用?？煽匦允欠衲軌虮O(jiān)控管理信息和系統(tǒng)保證信息和信息系統(tǒng)的授權(quán)認(rèn)證和監(jiān)控管理。不可否認(rèn)性：為信息行為承擔(dān)責(zé)任保證信息行為人不能否認(rèn)其信息行為。ISAF安全需求ISAF安全需求安全對(duì)象按照所處網(wǎng)絡(luò)的具體位置和面臨威脅的類型橫向分成四個(gè)安全域：網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、計(jì)算環(huán)境和支撐性基礎(chǔ)設(shè)施網(wǎng)絡(luò)邊界企業(yè)內(nèi)不同安全域間的邊界與Internet的邊界與第三方合作伙伴的互連邊界與電信專用網(wǎng)（DDN、FR等）的邊界與傳統(tǒng)電話網(wǎng)（撥號(hào)用戶、ADSL用戶等）的邊界與無(wú)線網(wǎng)的邊界網(wǎng)絡(luò)基礎(chǔ)設(shè)施網(wǎng)絡(luò)的體系結(jié)構(gòu)網(wǎng)絡(luò)的容量和可用性網(wǎng)絡(luò)與網(wǎng)絡(luò)間的通信設(shè)備與設(shè)備間的通信設(shè)備的管理與維護(hù)用戶數(shù)據(jù)接口網(wǎng)絡(luò)管理中心（NMC）的遠(yuǎn)程管理設(shè)備到NMC的通信NMC的安全I(xiàn)SAF安全需求能力來(lái)源該維描述的是為了使特定的安全對(duì)象達(dá)到安全策略中要求的安全需求，可以在哪些方面選擇控制措施，給大家在解決方案上提供思考空間。安氏公司使用以下PTM（People－Technology－Management）模型來(lái)描述：安全意識(shí)安全組織安全技能職責(zé)定義和區(qū)分第三方人員管理與執(zhí)法機(jī)構(gòu)的聯(lián)系危機(jī)處理一般企業(yè)的解決思路：外包集中能力來(lái)源-人員能力來(lái)源-技術(shù)（IAARC模型）MicroaiM認(rèn)為主要的安全技術(shù)都可以歸結(jié)到下面5個(gè)安全行為：1、鑒別和認(rèn)證Identification&Authentication2、訪問(wèn)控制AccessControl3、審計(jì)和跟蹤AuditTrail4、響應(yīng)和恢復(fù)Response&Recovery5、內(nèi)容安全ContentSecurity能力來(lái)源-技術(shù)（IAARC模型）能力來(lái)源－管理提綱背景概述安全理念和模型安全關(guān)鍵技術(shù)（網(wǎng)絡(luò)層的）安全運(yùn)營(yíng)管理體系電信運(yùn)營(yíng)商主要采用的網(wǎng)絡(luò)安全技術(shù)電信實(shí)現(xiàn)網(wǎng)絡(luò)安全的主要技術(shù)思路是采用AAA技術(shù)，實(shí)現(xiàn)可溯源，具體的技術(shù)如下：PPPOE撥號(hào)技術(shù)（中國(guó)電信ADSL寬帶用戶使用）DHCP+WEB技術(shù)（中國(guó)電信WLAN接入使用）VPN技術(shù)（中國(guó)電信移動(dòng)辦公和企業(yè)網(wǎng)絡(luò)使用）uRPF技術(shù)Netflow技術(shù)DDOS攻擊防御技術(shù)PPPOE接入（LAN接入，RFC2516）GEIP網(wǎng)絡(luò)接入服務(wù)器（BRAS）以太網(wǎng)絡(luò)IPPPP以太幀PPP以太幀PhyPhy發(fā)起PPP連接：用戶名，密碼PPPPhy以太幀PPP以太幀PhyPhy二層幀IPIPIPIP1、這種模式下PC直接接到樓道交換機(jī)，PPP包直接封裝在二層以太包中，樓道交換機(jī)完成以太幀的幀頭變化。RADIUS服務(wù)器用戶認(rèn)證通過(guò)：得到IP地址PPPOE接入控制技術(shù)PPPOE撥號(hào)實(shí)現(xiàn)了一下功能：第一：AAA功能，也就是認(rèn)證（authentication）、授權(quán)、（authorization和記賬（accounting）功能第二：實(shí)現(xiàn)了IP地址的分配第三：RADIUS系統(tǒng)記錄了如下信息用戶名、密碼用戶MAC地址和IP地址用戶上網(wǎng)時(shí)間和下網(wǎng)時(shí)間用戶的接入端口號(hào)或者VLAN用戶上網(wǎng)流量所有這些信息為安全審計(jì)提供了基本的保障秋后算賬能夠有力減少安全事件的發(fā)生DHCP+WEB技術(shù)基本實(shí)現(xiàn)了PPPOE的功能標(biāo)準(zhǔn)以太幀結(jié)構(gòu)46~1500字節(jié)DASATypeDataCRC6B6B2B4B0800：表示數(shù)據(jù)為IP數(shù)據(jù)報(bào)0806：表示數(shù)據(jù)為ARP請(qǐng)求/應(yīng)答數(shù)據(jù)報(bào)8035：表示數(shù)據(jù)為RARP請(qǐng)求/應(yīng)答數(shù)據(jù)報(bào)1、標(biāo)準(zhǔn)以太幀使用Type字段來(lái)表示數(shù)據(jù)部分承載何種協(xié)議數(shù)據(jù)2、標(biāo)準(zhǔn)以太幀最大的長(zhǎng)度為1518字節(jié)(6+6+2+1500+4=1518)PPP幀格式(RFC1331)標(biāo)志地址控制協(xié)議數(shù)據(jù)幀校驗(yàn)和標(biāo)志1Byte1Byte1Byte2ByteUpto1500Byte1或2Byte1Byte標(biāo)志：01111110地址：TheAddressfieldisasingleoctetandcontainsthebinarysequence11111111(hexadecimal0xff),theAll-Stationsaddress.PPPdoesnotassignindividualstationaddresses.TheAll-StationsaddressMUSTalwaysberecognizedandreceived.Theuseofotheraddresslengthsandvaluesmaybedefinedatalatertime,orbyprioragreement.FrameswithunrecognizedAddressesSHOULDbesilentlydiscarded,andreportedthroughthenormalnetworkmanagementfacility.PPP幀結(jié)構(gòu)（續(xù)）控制：ControlFieldTheControlfieldisasingleoctetandcontainsthebinarysequence00000011(hexadecimal0x03),theUnnumberedInformation(UI)commandwiththeP/Fbitsettozero.FrameswithotherControlfieldvaluesSHOULDbesilentlydiscarded.協(xié)議：表示PPP幀中數(shù)據(jù)部分承載的協(xié)議數(shù)據(jù)包 其中有代表性的值是： c021 LinkControlProtocol（用以PPP協(xié)商的） c023 PasswordAuthenticationProtocol（PPP認(rèn)證） c025 LinkQualityReport 8021 NetworkControlProtocol c223 ChallengeHandshakeAuthenticationProtocol

兩個(gè)階段:Discovery

PPPPPPOE幀結(jié)構(gòu)分析EthernetFrameDASACRCTypeEthernetFramepayload46~1500Byte642B60x0800IP數(shù)據(jù)報(bào)0x0806ARP請(qǐng)求/應(yīng)答0x8035RARP請(qǐng)求/應(yīng)答0x8863發(fā)現(xiàn)階段0x8864PPP會(huì)話階段VER0x1

TYPE

0x1

CODESESSION_ID

LENGTH

PAYLOAD4b4b8b16b16b用以區(qū)分Discovery階段中不同類型的包以及session階段的包類型PADI:0x09PADO:0x07PADR:0x19PADS:0x65PADT:0xa7Session:0x00DiscoverySessionPPPSession凈載的格式根據(jù)不同階段而定TAG_TYPE

TAG_LENGTH

TAG_VALUEPPPPROTOCOL=0xc021PPPPayLoad16b16b16b最大1492字節(jié)可變PPPOEActiveDiscoveryInitiationPPPOEActiveDiscoveryOfferPPPOEActiveDiscoveryRequestPPPOEActiveDiscoverySession-confirmationLCP/IPCPConcentrator具體參考:RFC2516–AMethodforTransmittingPPPoverEthernet(PPPoE)RFC1483–MultiprotocolEncapsulationoverATMAdaptationLayer5廣播單播單播單播,BAS生成Session_ID，通知PC指出以太報(bào)上層承載了ppp包PPPOEmaxMTU1494ByteuRPF技術(shù)GEIP網(wǎng)絡(luò)接入服務(wù)器（BRAS）以太網(wǎng)絡(luò)IPPPP以太幀PPP以太幀PhyPhyPPPPPPPhy以太幀PPP以太幀PhyPhy二層幀IPIPIPIP1、uRPF技術(shù)：反向地址路徑查找技術(shù)，保證所有數(shù)據(jù)包的地址是真實(shí)的，杜絕了偽造的IP地址2、結(jié)合Radius系統(tǒng)信息，很容易實(shí)現(xiàn)溯源RADIUS服務(wù)器開(kāi)啟uRPF功能uRPF和ACL技術(shù)StrictuRPFisdeployedoncustomeraccessinterfacesLooseuRPFisdeployedoninterconnectedinterfaceInfrastructureACLs(iACL)denyexternaltraffictoallrouters.Therefore,allrouterscannotbereachedfromoutsideInfrastructureroutesarehidedtoInternetor/andcustomerInternetCN2UserTerminaluRPFandiACLdenyaccessNoroutinginformationCN2connecttointernetwithoutexternalreachintoitsinfrastructure.DDoS概念mbehringISPCPEInternetZombie(僵尸)Master(主攻手)發(fā)現(xiàn)漏洞取得用戶權(quán)取得控制權(quán)植入木馬清除痕跡留后門(mén)做好攻擊準(zhǔn)備Hacker(黑客)DDOS為分布式拒絕服務(wù)攻擊。黑客將多個(gè)甚至幾十萬(wàn)個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，將造成骨干網(wǎng)絡(luò)資源浪費(fèi)、鏈路堵塞、業(yè)務(wù)中斷。該平臺(tái)一般稱為僵尸網(wǎng)絡(luò)。骨干級(jí)鏈路級(jí)應(yīng)用級(jí)網(wǎng)絡(luò)癱瘓的損失情況

行業(yè)每小時(shí)營(yíng)業(yè)損失金融銀行業(yè)240萬(wàn)美元制造業(yè)160萬(wàn)美元保險(xiǎn)業(yè)120萬(wàn)美元零售業(yè)110萬(wàn)美元醫(yī)藥行業(yè)110萬(wàn)美元保健業(yè)60萬(wàn)美元專業(yè)性服務(wù)50萬(wàn)美元拒絕服務(wù)種類通常造成最大的損失CSI/FBI2004計(jì)算機(jī)犯罪與安全調(diào)查清洗工作原理DDOS攻擊防御業(yè)務(wù)包括以下幾個(gè)工作過(guò)程：流量采集和分析流量異常判斷觸發(fā)清洗攻擊流量的牽引攻擊流量的清除清潔流量的回送發(fā)現(xiàn)和通知中毒的機(jī)器（傀儡機(jī)）發(fā)現(xiàn)和尋找攻擊手（攻擊組織者）清洗工作原理介紹寬帶用戶/中毒PC城域網(wǎng)游戲服務(wù)器88IDCInternetChinaNet寬帶用戶/中毒PC清洗設(shè)備清洗設(shè)備1.攻擊和正常業(yè)務(wù)流量3.異常流量判斷分析服務(wù)器4.通知清洗5.牽引流量2.流量采集點(diǎn)清洗工作原理介紹城域網(wǎng)游戲服務(wù)器88IDCInternetChinaNet清洗設(shè)備清洗設(shè)備分析服務(wù)器6.流量被牽引到清洗設(shè)備7.根據(jù)特征庫(kù)清洗8.清潔流量送回寬帶用戶/中毒PC寬帶用戶/中毒PC清洗攻擊原理介紹城域網(wǎng)游戲服務(wù)器88IDCInternetChinaNet清洗設(shè)備清洗設(shè)備分析服務(wù)器9.記錄攻擊源IP地址10.通知攻擊源寬帶用戶/中毒PC寬帶用戶/中毒PC建設(shè)思路采用全網(wǎng)范圍內(nèi)集中調(diào)度、分布部署、并行處理、就源清洗的思路，建設(shè)“DDOS攻擊防御業(yè)務(wù)網(wǎng)絡(luò)”。根據(jù)業(yè)務(wù)的發(fā)展，總體規(guī)劃，分期建設(shè)清洗設(shè)備部署節(jié)點(diǎn)選擇，根據(jù)用戶數(shù)來(lái)確定：寬帶用戶數(shù)大于150萬(wàn)的省出口寬帶用戶數(shù)大于80萬(wàn)的城域網(wǎng)出口在國(guó)際、網(wǎng)通等網(wǎng)間互聯(lián)出口部署在8大核心部署，負(fù)責(zé)各自區(qū)域內(nèi)省的流量清洗在偏遠(yuǎn)的省出口部署，如新疆和西藏注：2007年底用戶數(shù)現(xiàn)行的末端清洗方式163骨干招商銀行88廣東CPE清洗設(shè)備清洗設(shè)備清洗設(shè)備清洗設(shè)備1.占用大量骨干帶寬資源2.只能處理3G攻擊流量，不能滿足業(yè)務(wù)需求，不能承諾SLA4.10幾G的攻擊流量，出口鏈路已經(jīng)被堵塞3.設(shè)備只服務(wù)于本地，利用率低下該方式適合小規(guī)模的DDOS攻擊防御上海成都北京集中調(diào)度、就源清洗方式163骨干招商銀行88廣東CPE清洗設(shè)備清洗設(shè)備清洗設(shè)備清洗設(shè)備2.只有清潔流量經(jīng)過(guò)骨干網(wǎng)絡(luò)，帶寬大大節(jié)省4.分布式處理能力達(dá)到幾百G，滿足任何客戶需求3.不會(huì)形成局部鏈路堵塞1.就源清洗，設(shè)備將服務(wù)于任何攻擊，利用率大大提高成都上海北京虛擬專用網(wǎng)VPN（VirtualPrivateNetwork）技術(shù)是指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過(guò)安全的“加密管道”在公共網(wǎng)絡(luò)中傳播。VPN的基本概念I(lǐng)nternetVPN通道VPN網(wǎng)關(guān)移動(dòng)用戶VPN網(wǎng)關(guān)VPN的功能保證數(shù)據(jù)的真實(shí)性，通信主機(jī)必須是經(jīng)過(guò)授權(quán)的，要有抵抗地址冒認(rèn)（IPSpoofing）的能力。保證數(shù)據(jù)的完整性，接收到的數(shù)據(jù)必須與發(fā)送時(shí)的一致，要有抵抗不法分子纂改數(shù)據(jù)的能力。保證通道的機(jī)密性，提供強(qiáng)有力的加密手段，必須使偷聽(tīng)者不能破解攔截到的通道數(shù)據(jù)。提供動(dòng)態(tài)密鑰交換功能，提供密鑰中心管理服務(wù)器，必須具備防止數(shù)據(jù)重演（Replay）的功能，保證通道不能被重演。提供安全防護(hù)措施和訪問(wèn)控制，要有抵抗黑客通過(guò)VPN通道攻擊企業(yè)網(wǎng)絡(luò)的能力，并且可以對(duì)VPN通道進(jìn)行訪問(wèn)控制（AccessControl）內(nèi)部網(wǎng)VPN——用VPN連接公司總部和其分支機(jī)構(gòu).遠(yuǎn)程訪問(wèn)VPN——用VPN連接遠(yuǎn)程用戶.外聯(lián)網(wǎng)VPN——用VPN連接其業(yè)務(wù)伙伴.VPN的分類及用途子公司LAN合作伙伴L(zhǎng)AN遠(yuǎn)程用戶InternetInternetVPN服務(wù)器VPN服務(wù)器路由器路由器加密信道加密認(rèn)證VPN總部LAN子公司LAN一個(gè)安全的VPN服務(wù)，應(yīng)該為子公司的不同用戶指定不同的訪問(wèn)權(quán)限。內(nèi)部網(wǎng)VPNInternetVPN服務(wù)器加密信道總部LANVPN的功能：1、訪問(wèn)控制管理。2、用戶身份認(rèn)證。3、數(shù)據(jù)加密。4、智能監(jiān)視和審計(jì)記錄。5、密鑰和數(shù)字簽名管理。PC機(jī)移動(dòng)用戶公共服務(wù)器遠(yuǎn)程訪問(wèn)VPNInternetVPN服務(wù)器VPN服務(wù)器加密信道加密認(rèn)證VPN公司內(nèi)聯(lián)網(wǎng)合作公司內(nèi)聯(lián)網(wǎng)1、VPN服務(wù)應(yīng)有詳細(xì)的訪問(wèn)控制。2、與防火墻/協(xié)議兼容。FTP服務(wù)器外聯(lián)網(wǎng)VPNVPN采用的相關(guān)技術(shù)Tunneling隧道Encryption加密Authentication身份認(rèn)證VPN常用協(xié)議OSI七層模型安全技術(shù)安全協(xié)議應(yīng)用層表示層應(yīng)用代理會(huì)話層傳輸層會(huì)話層代理網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層包過(guò)濾IPSecPPTP/L2TPVPN常用的協(xié)議有IPSec、PPTP以及L2TP等。這些協(xié)議對(duì)應(yīng)的OSI層次結(jié)構(gòu)如下：提綱背景概述安全理念和模型安全關(guān)鍵技術(shù)（網(wǎng)絡(luò)層的）安全運(yùn)營(yíng)管理體系安全運(yùn)營(yíng)管理的問(wèn)題沒(méi)有相對(duì)獨(dú)立的具有一定經(jīng)驗(yàn)的安全運(yùn)營(yíng)管理人員和隊(duì)伍結(jié)構(gòu)NOC和SOC職責(zé)不清，合作流程不清楚無(wú)法處理來(lái)自不同設(shè)備類型的海量安全事件信息缺乏對(duì)網(wǎng)絡(luò)安全實(shí)時(shí)狀態(tài)的監(jiān)測(cè)和處理系統(tǒng)，對(duì)異常流量沒(méi)有認(rèn)識(shí)不知道安全事件發(fā)生原因和一般應(yīng)當(dāng)方法－知識(shí)庫(kù)不知道某特定安全事件的風(fēng)險(xiǎn)程度對(duì)網(wǎng)絡(luò)突發(fā)事件缺乏預(yù)知和響應(yīng)的能力安全事件一定會(huì)發(fā)生，在何時(shí)，以何種方式發(fā)生可能產(chǎn)生的影響預(yù)測(cè)，應(yīng)該采取的行動(dòng)和響應(yīng)流程引起安全運(yùn)營(yíng)管理問(wèn)題的原因?qū)Π踩夹g(shù)及設(shè)備的過(guò)分依賴網(wǎng)絡(luò)安全運(yùn)營(yíng)管理的思想沒(méi)有得到廣泛的認(rèn)可，沒(méi)有安全運(yùn)營(yíng)人員和機(jī)構(gòu)沒(méi)有分清安全運(yùn)營(yíng)管理與網(wǎng)絡(luò)管理的區(qū)別和聯(lián)系相關(guān)人員安全技能不夠，經(jīng)驗(yàn)不能共享各種設(shè)備的管理體系相對(duì)獨(dú)立，互相沒(méi)有任何關(guān)聯(lián)，缺乏一個(gè)統(tǒng)一的工具及系統(tǒng)幫助管理海量的安全事件信息沒(méi)有對(duì)安全事件處理等級(jí)分類的標(biāo)準(zhǔn)沒(méi)有合適的安全處理和響應(yīng)流程沒(méi)有對(duì)異常流量和現(xiàn)象的監(jiān)控手段已經(jīng)擁有大量的安全設(shè)備Defense-in-depthFirewallsProxiesVPNAnti-virusNetworkIDS/IPSHostIDS/IPSVulnerabilityAssessmentPatchManagementPolicyComplianceRouterSwitchIDS設(shè)備只能告訴我們…防火墻只能告訴我們…需要快速響應(yīng)的安全運(yùn)營(yíng)管理ActionSteps:AlertInvestigateMitigateNetworkOperationsSecurityOperationsSecurityknowledgebase需要快速的響應(yīng)FirewallIDS/IPSVPNVulnerabilityScannersAuthenticationServersRouter/SwitchAnti-virus10KWin,100sUNIXCollectNetworkDiagramReadandAnalyzeTONSofData…Repeat安全運(yùn)營(yíng)管理實(shí)施目標(biāo)（1）建立完善的安全運(yùn)營(yíng)管理體系，提高對(duì)網(wǎng)絡(luò)安全的控制和響應(yīng)能力需要有獨(dú)立的安全運(yùn)營(yíng)人員，加強(qiáng)對(duì)其安全知識(shí)和技巧的培訓(xùn)加強(qiáng)對(duì)安全管理和網(wǎng)絡(luò)管理兩個(gè)部門(mén)的合作制定全面的安全事件響應(yīng)制度和流程和其他相關(guān)機(jī)構(gòu)之間的信息實(shí)時(shí)溝通和交流安全運(yùn)營(yíng)管理實(shí)施目標(biāo)（2）需要一套高效的管理工具幫助處理安全事件信息支持多廠家設(shè)備，對(duì)海量的安全事件信息進(jìn)行高效的關(guān)聯(lián)對(duì)網(wǎng)絡(luò)流量的分析以確認(rèn)異常流量和現(xiàn)象安全事件風(fēng)險(xiǎn)評(píng)估體系，在安全事件發(fā)生時(shí)，能找到重點(diǎn)，快速響應(yīng)安全知識(shí)庫(kù)幫助快速查詢事件原因網(wǎng)絡(luò)系統(tǒng)的實(shí)時(shí)的，全面的各種具有客戶化能力的安全報(bào)告和網(wǎng)絡(luò)管理體系之間的接口和合作安全運(yùn)營(yíng)管理組織機(jī)構(gòu)模型CEOCIO信息安全總監(jiān)基礎(chǔ)安全安全技術(shù)架構(gòu)設(shè)計(jì)制定與維護(hù)安全策略基礎(chǔ)網(wǎng)絡(luò)安全制度安全連接審查安全技術(shù)產(chǎn)品審查安全運(yùn)作7x24支持安全事件管理應(yīng)急中心應(yīng)用和系統(tǒng)的安全支持安全部署實(shí)施安全策略實(shí)施安全服務(wù)安全顧問(wèn)咨詢安全認(rèn)證服務(wù)入侵檢測(cè)服務(wù)防DDoS攻擊服務(wù)安全接入服務(wù)安全培訓(xùn)部門(mén)安全審計(jì)安全運(yùn)營(yíng)安全管理NOC網(wǎng)絡(luò)管理SOC在安全體系架構(gòu)中的位置ADVANCEDSECURITYSERVICESMANAGEMENTANDANALYSISSecuritymanagementSecuritypolicy,securityeventmonitoringandanalysisThreatvalidationandinvestigationEmbeddeddevicemanagementCOMPLETECOVERAGEProtectingDesktops,ServersandNetworksFLEXIBLEDEPLOYMENTSecurityAppliancesSwitchesRoutersSecuritySoftwareSECURITYSERVICESVPN/SSLFirewallIDSIdentityBehaviorSECUREINFRASTRUC-TUREDeviceAuthentication,PortLevelSecurity,SecureandTrustedDevices,SecureAccess,TransportSecurity安全運(yùn)行管理平臺(tái)主要功能網(wǎng)管系統(tǒng)下級(jí)安全管理平臺(tái)安全策略管理安全工單管理安全知識(shí)管理資產(chǎn)風(fēng)險(xiǎn)管理防火墻、入侵檢測(cè)系統(tǒng)、防病毒系統(tǒng)、服務(wù)器、路由器、交換機(jī)……安全數(shù)據(jù)采集、過(guò)濾、標(biāo)準(zhǔn)化、聚合……安全數(shù)據(jù)庫(kù)上級(jí)安全管理平臺(tái)安全事件監(jiān)控安全預(yù)警管理安全事件關(guān)聯(lián)分析、安全數(shù)據(jù)處理……SOCKET接口、SYSLOG、SNMP、ODBC……功能描述安全事件集中監(jiān)控模塊主要是從各類安全設(shè)備/系統(tǒng)、主機(jī)/應(yīng)用系統(tǒng)采集各種安全相關(guān)的事件信息，而后進(jìn)行標(biāo)準(zhǔn)化處理和過(guò)濾，再對(duì)事件進(jìn)行匯聚、關(guān)聯(lián)分析和嚴(yán)重程度判斷，最后對(duì)一定嚴(yán)重程度以上的事件進(jìn)行呈現(xiàn)并通過(guò)安全工單系統(tǒng)進(jìn)入響應(yīng)流程。資產(chǎn)風(fēng)險(xiǎn)管理模塊收集各種信息資產(chǎn)的信息，包括資產(chǎn)的脆弱性信息等，并結(jié)合面臨的安全威脅，計(jì)算得出整個(gè)信息系統(tǒng)及所含信息資產(chǎn)的風(fēng)險(xiǎn)狀況。最后對(duì)一定級(jí)別以上的安全風(fēng)險(xiǎn)進(jìn)行呈現(xiàn)并通過(guò)安全工單管理模塊進(jìn)入響應(yīng)流程。安全策略管理模塊定義和維護(hù)企業(yè)的各種安全策略以及配置信息，并提供保存、檢索等功能。功能描述安全工單管理模塊根據(jù)接收到的各種安全事件告警、風(fēng)險(xiǎn)以及其他類型的信息創(chuàng)建安全工單，管理整個(gè)工單的派發(fā)流程，并將工單完成情況回饋到事件、風(fēng)險(xiǎn)等模塊，從而實(shí)現(xiàn)閉環(huán)的安全運(yùn)維管理。安全知識(shí)管理模塊以安全WEB的形式發(fā)布安全信息和安全知識(shí)，提供安全問(wèn)題交流論壇，并將處理的安全事件、預(yù)警、漏洞等的方法和案例收集起來(lái)，形成安全經(jīng)驗(yàn)庫(kù)用以培養(yǎng)高素質(zhì)的網(wǎng)絡(luò)安全技術(shù)人員。安全預(yù)警模塊用于接收和處理由安全服務(wù)商或者上級(jí)單位發(fā)來(lái)的安全預(yù)警信息。解決的安全問(wèn)題實(shí)現(xiàn)對(duì)全網(wǎng)安全狀況的監(jiān)控實(shí)現(xiàn)資產(chǎn)風(fēng)險(xiǎn)管理建立工單系統(tǒng)實(shí)現(xiàn)統(tǒng)一安全策略管理為安全運(yùn)維考核提供基礎(chǔ)參數(shù)知識(shí)管理FW防火墻VPN虛擬網(wǎng)絡(luò)Router路由器Switch交換機(jī)OS操作系統(tǒng)AV防病毒系統(tǒng)安全信息平臺(tái)SIMS安全信息應(yīng)用接口策略管理資產(chǎn)管理知識(shí)管理風(fēng)險(xiǎn)管理決策支持系統(tǒng)顯示報(bào)告綜合分析決策專家系統(tǒng)決策審計(jì)系統(tǒng)決策下達(dá)執(zhí)行智能化安全管理中心模型人工，速度慢，容易犯錯(cuò)單一安全信息源工單流程數(shù)據(jù)傳送安全運(yùn)營(yíng)的系統(tǒng)化過(guò)程VulnerabilitiesandRiskAssessmentArchitectureDesignandImplementationSecurityPolicy/ProceduresDeploySecurityPolicySurveillance,Monitoring,Audit&AnalysisIncidentResponseCorrectiveAction