信息系统安全管理理论及应用 李建华信息系统安全管理理论及应用 5-6 第6章信息安全综合管理系统新.pptVIP

解决的问题 1）通过关联分析，处理海量事件 2）可视化集中管理与决策平台 3）通过风险评估，降低运维成本 发展历史 1）最初以基于管理监控服务的SOC形式出现，早期源于Bruce Schnier建立的Counterpane （未把其SOC产品化） 2）建立SOC中心（比如ISS SOC），支持安全集中监控、研究、处理流程 3）SOC的概念慢慢转移到集中安全管理的需求，早期有eSecurity、Intellitactics和NetForensics三个主要的SIM厂家。 体系结构 体系结构（续） 体系结构（续） 体系结构（续） 体系结构（续） 体系结构（续） SOC与SIM 基于管理监控服务的SOC建设 基于管理监控服务的SOC建设（续） SOC的发展趋势 规则关联--基于规则的关联可将预先打包的转换事件数据提供给数据的不同“视图”。例如，规则可以按照与某个具体交易操作、某一类交易和某个地理地点等准则相关的所有事件对数据进行详审 异常关联--基于异常情况的关联往往要依赖于SIM系统所创建的被测量事件数据库，以及从该数据库的“学习模式”中收集的一组“基线”数据。“基线”快照一般会运行几个星期，然后与当前事件进行比较，以确定是否正在发生与基线不同的异常情况 统计关联--统计关联技术可提供有用的信息，特别是针对基于时间的事件 NetForensics SIMS的4层次关联方法 （1）基于规则的关联（Rules-Based Correlation）：每秒进行1亿个状态检查，从而有效实时监测应用、数据库和周边设备，在告警前执行满足一定条件下的多态规则关联，以降低所需的规则数并降低误报。 （2）漏洞关联：通过关联扫描和IDS数据识别高价值资产的潜在威胁；无需添加和维护规则即可事先修补漏洞。 （3）统计学关联：采用out-of-the-box 统计学算法判别事件严重性，并基于资产价值给于威胁评分；基于非法事件类型的流行性和严重性来分析网络行为并识别威胁。利用统计关联，规范化的安全事件将按照资产或者资产群组归入不同的安全事件类别，诸如探测攻击、病毒攻击和拒绝服务攻击等。对于每个资产，将事件的严重程度和资产的价值结合到一起，不停地计算威胁指数，以确定安全事件的总体潜在威胁，能够发现那些被基于规则的关联系统所忽视的异常情况。 （4）历史数据关联：识别隐藏在原始安全事件中的攻击重复类型；快速检测未知恶意事件，增强防御水平。 ArcSight ESM （1）SmartRules引擎支持多维数据关联，这些数据通过部署在网络中的SmartAgents收集。这些数据被规范化处理后进入通用事件数据库，因此关联可以在任何领域进行，包括地理、设备、源、目标、时间门限、事件类型等。 （2）每个SmartRule包含事件条件、门限和行为，当引入的事件符合规则条件和门限时，ArcSight SmartRule自动触发定义好的行为，包括执行预决策命令或脚本、记录告警日志、向控制台发送告警、向消息接受者发送告警、设置基于累积行为的告警严重性、向可疑列表中加入一个源或向漏洞表中加入目标等。 （3）ArcSight ESM规则语言用简单的逻辑符号来创建、存储并运行在ArcSight Manager或个别控制台的SmartRules，例如AND和OR。典型的SmartRule如下： If (an ids evasion attack) occurs (from the same source ip address) (3 times) within (2 minutes) then (send message to console) and (notify the security supervisor via pager). 该规则表示如果在两分钟内，发生3次来自同一IP地址的IDS逃避攻击，则向控制台发送消息，并通过寻呼机通知安全管理员。 （4）ArcSight提供灵活脚本语言，可以容易地创造新的SmartRules和更新现有规则，处理实时和历史数据。 4、安全信息管理 基本概念 SIM指通过一个中央管理平台，收集整合来自各种各样安全产品的大量数据，并且从海量数据中提取用户关心的数据，呈现给用户，帮助用户对这些数据进行关联性和优先级分析。 历史与现状 1）SIM系统于1999年首次面市 2）2003年以前的SIM可在整个企业网络上提供相关联的数据和显示服务等，但仅限于安全事件的数字化、表格化和形式化显示 历史与现状（续） 3）2003年以后的SIM关注企业资产价值、威胁和漏洞的交汇点，帮助企业超越技术控制管理，进而实现积极的企业风险管理。除了