只有这样,烟草用户的信息网络和业务应用系统才能真正地实现安全运行,从而形成确实有效的安全保障体系和管理机制。
部署示意图如下所示:
根据烟草行业用户的网络特点和业务系统的运行要求,天融信安全运维管理平台部署到总部安全管理区域,主要通过以下安全模块实现全局安全的监控与预警:
根据用户对业务系统的重要程度设定安全策略:
1) 脆弱性管理:实现对重要信息资产安全脆弱性的收集和管理,并为安全运维管理平台提供安全脆弱性信息的查询、呈现等功能,帮助管理员及时掌握网络中各个系统的最新安全漏洞。
2) 风险管理:由风险分析模块与风险控制模块共同构成。其中风险分析模块采用基于ISO27001标准的风险模型,结合安全服务的最佳实践,可以提供面向企业的、实时的风险现状的整体评估。安全管理平台即可以根据多项指标计算出资产所面临风险数值,并根据指标的变化实时计算得出资产当前的风险状况。也可以通过仪表盘的形式显示资产或安全域的风险信息,包含风险走势、风险平均值、以及当前风险值等。另外,还可以显示当前威胁和相关的漏洞信息。还可以自动地对超过既定阀值的风险进行响应,提醒管理员关注此资产的安全风险,以采取必要的安全防护手段。当用户采取了有效的安全防护手段以后,该资产风险分析参数中的安全威胁可能会降低,安全措施参数可能会升高,从而会降低该资产的风险数值到一个较低的级别。
实时动态监控与分析
1) 事件监控:监控各个网络设备、主机系统以及安全产品等的日志信息、安全事件报警信息,及时发现正在和已经发生的安全事件,快速发现这些事件中的内在关联,快速定位事件产生的真实原因,并通过响应模块采取措施,保证网络和业务系统的安全、可靠运行。
2) 网络管理:提供对构成信息系统的设备、主机、应用、安全等资产的综合管理与监控,系统支持全面的拓扑管理,包括自动的拓扑发现,设备状态监控,设备维护,集成的风险与事件展现等。
3) 关联分析:使用攻击状态机模型来抽象和描述攻击行为,建立多种攻击关联场景,能有效地从大量安全事件中准确识别出真实的入侵行为。从而实现报警信息的精炼化、提高报警信息的可用信息量,减少报警信息中的无用信息,降低安全设备的虚警和误警。
快速、精准响应与运维管理
1) 预警管理:管理并实时呈现安全管理中心所提供的各类安全威胁、安全风险、安全态势、安全隐患等信息,督促和指导各级安全管理部门及时做好安全防范工作,特别是针对当前发生频率较高的攻击做好预警和防范工作。
2) 安全响应管理:提供对响应流程和响应方式的管理。在专家系统和知识库的支持基础上,针对各类用户所关心的安全问题进行响应。提供应急响应流程和相关知识信息。
3) 工单管理:基于状态的工单可以实现标识当前工单的处理状态,用户对工单的处理操作会使工单能够自动实现工单状态的变迁。对于需要简化流程的用户可以直接跳过一些工单状态,实现工单处理流程的剪裁。
