资源预览内容
第1页 / 共23页
第2页 / 共23页
第3页 / 共23页
第4页 / 共23页
第5页 / 共23页
第6页 / 共23页
第7页 / 共23页
第8页 / 共23页
第9页 / 共23页
第10页 / 共23页
亲,该文档总共23页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
中国移中国移动科技科技创新新成果推广材料成果推广材料完成单位:湖北移动成果名称:安全自评估平台 成果研究类别:相关网络解决方案省内评审结果:成果专业类别:数据网络项目背景和意义成果概况技术实现方案技术方案关键点、创新点效能分析项目推广目录目录成果概况项目背景和意义技术实现方案技术方案关键点、创新点效能分析项目推广目录目录项目背景项目背景项目背景项目背景1 12 23 34 4 系统评估过程中使用的工具多,需要将各安全评估系统临时接入到各个数据业务系统中进行扫描或采用临时打通通路这种方式。这种安全评估方式要在日常维护中定期频繁的实施基本是不可行的。对对于于设备设备安全信息安全信息现现状和系状和系统统整体安全情况只是体整体安全情况只是体现现在在定期的定期的报报告中,安全告中,安全现现状的状的实时实时呈呈现还现还是空白。是空白。安全运维工作零散且杂乱,无电子化的安全运维流程。设备繁多,而且大部分需要维护人员手动输入指令,通过观察结果来进行安全评估,耗费大量的人力资源。安全安全评估手段多,周期性估手段多,周期性实施无法落施无法落实设备设备数量多,数量多,数量多,数量多,人工人工人工人工评评估工估工估工估工作量大作量大作量大作量大安全运安全运维流程零散流程零散且且杂乱乱 缺乏缺乏缺乏缺乏统统一安全一安全一安全一安全现现状呈状呈状呈状呈现现“ “四个自动化四个自动化四个自动化四个自动化” ”目标的提出目标的提出目标的提出目标的提出安全安全审计提高安全提高安全评估估工作效率;工作效率;实现安全工作融入日常工作;安全工作融入日常工作;各种各种评估手段估手段结合起来全面合起来全面评估;估;进行集中化分析行集中化分析汇总和呈和呈现从湖北移从湖北移从湖北移从湖北移动动安全运安全运安全运安全运维维实际实际需求需求需求需求出出出出发发,以安全基以安全基以安全基以安全基线为线为基基基基础础,为为管理、运管理、运管理、运管理、运维维、监监控控控控人人人人员员提供提供提供提供统统一的安全自一的安全自一的安全自一的安全自评评估平台估平台估平台估平台安全安全评估自估自动化化安全安全评估全面化估全面化安全安全审计安全安全评估集中化估集中化安全安全评估日常化估日常化需解决的需解决的问题为解决面解决面临的的问题,提出的解决思路:提出的解决思路:安全安全安全安全维护维护通通通通过电过电子化的安全运子化的安全运子化的安全运子化的安全运维维流程,减流程,减流程,减流程,减少少少少维护维护人人人人员员工作量工作量工作量工作量,形成形成形成形成闭环闭环的的的的安全运安全运安全运安全运维维体系。体系。体系。体系。安全安全安全安全监监控控控控实现对实现对重要网元的重要网元的重要网元的重要网元的安全安全安全安全性能及安性能及安性能及安性能及安全全全全事件事件事件事件的的的的实时监实时监控控控控,提高,提高,提高,提高监监控人控人控人控人员对员对安全事件的安全事件的安全事件的安全事件的预预警能力。警能力。警能力。警能力。 实现实现安全信息的集中呈安全信息的集中呈安全信息的集中呈安全信息的集中呈现现及分析;及分析;及分析;及分析;为为管理人管理人管理人管理人员对员对安全建安全建安全建安全建设设的决策以的决策以的决策以的决策以及安全及安全及安全及安全应应急提供依据。急提供依据。急提供依据。急提供依据。 安全管理安全管理安全管理安全管理项目背景项目背景项目背景项目背景- -项目目标项目目标项目目标项目目标建立统一的安全管理平台,分别面向监控人员、运维人员以及管理人员提供统一的安全呈现界面。技术实现方案成果概况项目背景和意义技术方案关键点、创新点效能分析项目推广目录目录MDCN4A系统EMOS系统集中告警平台安全自评估平台漏洞验证子系统探针设备探针设备(1)安全自评估平台由平台服务器、漏洞验证子系统以及监控探针组成。使用流程使用流程平台部署平台部署技术实现方案技术实现方案(2)安全自评估平台,通过4A系统获取监控目标IT网元的账号和密码信息,实现系统对目标IT网元的性能、安全相关信息进行实时监控。(4)安全自评估平台,将监控告警信息发送给集中告警平台进行统一呈现,并通过EOMS系统将运维工单以及告警工单派送给相关人员。(5)维护人员完成安全加固后可以使用漏洞验证子系统对目标IT网元进行模拟攻击,以验证安全加固的效果。HTTPSsocketsocket(3)探针设备并将采集信息传送至安全自评估平台服务器进行统一呈现。技术实现方案技术实现方案本系本系统统的使用流程如的使用流程如图图所示所示: :1.1.针对维护针对维护人人员员,为为不同的网元定不同的网元定义义安全安全基基线线,根据安全,根据安全维护维护作作业计业计划的要求向划的要求向监监控探控探针针下下发扫发扫描策略,周期性的收集网元描策略,周期性的收集网元实时实时信息,将信息,将实时实时信息与网元的基信息与网元的基线库进线库进行行对对比,通比,通过过工工单单形式由形式由监监控人控人员员将告警将告警信息派信息派发给维护发给维护人人员员。维护维护人人员员根据工根据工单单信息信息对对网元网元进进行相行相应应加固和加固和验证验证。2.2.针对监针对监控人控人员员,通,通过过安全自安全自评评估平台或估平台或集中告警平台集中告警平台对对告警信息告警信息进进行行监监控,将相控,将相关告警信息通关告警信息通过过EMOSEMOS系系统统通知通知维护维护人人员员。3.3.针对针对管理人管理人员员,安全自,安全自评评估平台将收集估平台将收集到的网元到的网元实时实时信息以网信息以网络络拓扑的方式全面拓扑的方式全面动态动态形式展形式展现现。管理人。管理人员员根据平台呈根据平台呈现现了了解安全解安全现现状状, ,调调整安全管理制度,系整安全管理制度,系统统架架构以及构以及维护维护策略。策略。使用流程使用流程对业务系统定义安全基线扫描策略周期性自动安全扫描安全运维作业维护人员实时信息与基线库比对告警信息监控通过EMOS系统故障派单评估加固安全现状统一呈现调整管理制度、系统架构以及维护策略监控人员管理人员加固验证技术方案关键点、创新点成果概况项目背景和意义技术实现方案效能分析项目推广目录目录方案关键点和创新点方案关键点和创新点关关键点点创新点新点1、提出动态安全基线,实现配置变更监控:、提出动态安全基线,实现配置变更监控:在集在集团配置基配置基线监控的基控的基础上加入了上加入了对设备端口、端口、进程、服程、服务以及关以及关键文件等文件等动态基基线的安全的安全监控;通控;通过系系统快照的方法,快照的方法,实现对目目标IT网元的配置网元的配置变更更进行行监控,及控,及时发现系系统面面临的安全的安全风险。2、信息采集零客户端:、信息采集零客户端: 不需要在不需要在IT网元网元设备上安装任何代理端程序,既可完成上安装任何代理端程序,既可完成对动态基基线相相关信息的采集工作。关信息的采集工作。3、实现安全加固的攻击验证:、实现安全加固的攻击验证: 对典型漏洞典型漏洞进行攻行攻击来来验证安全加固的有效性,与安全安全加固的有效性,与安全专家家进行行联动,由安全,由安全专家家进行漏洞行漏洞验证和修和修补测试,并提供加固方案。,并提供加固方案。4、动态的安全呈现平台:、动态的安全呈现平台: 通通过网网络拓扑的方式拓扑的方式动态呈呈现业务系系统全面的安全全面的安全现状。状。方案关键点和创新点方案关键点和创新点创新点新点创新点一:提出动态安全基线,实现配置变更创新点一:提出动态安全基线,实现配置变更监控创新提出动态基线概念,对进程、端口、关键文件访问、设备配置等动态 信息进行监控。 创新利用系统快照技术实现动态基线的实时监控。有效防止非法进程端口启动,非法修改安全设备配置等安全事件的发生。实时信息比对端口信息端口信息进程信息进程信息服务信息服务信息关键文件关键文件实时告警创新点二:信息采集零客户端创新点二:信息采集零客户端创新利用新利用远程授程授权扫描技描技术实现信息采集,信息采集,实现零零客客户端安装。端安装。不需要在IT网元设备上安装任何代理端程序,既可完成对动态基线相关信息的采集工作。能有效避免在IT资产上安装程序或代理端可能造成性能或稳定性方面的影响。创新点新点方案关键点和创新点方案关键点和创新点业务系统A业务系统B业务系统C采集服务器客户端程序传统客户端采集模式安全自评估平台探针设备零客户端采集模式方案关键点和创新点方案关键点和创新点关关键点点创新点新点创新点三:实现安全加固的攻击验证创新点三:实现安全加固的攻击验证创新对现网典型漏洞进行攻击来验证安全加固的有效性。 以模拟攻击来验证安全加固工作的有效性;使用漏洞使用漏洞验证功功能,模能,模拟黑客黑客进行攻行攻击尝试,验证安全加固效果安全加固效果方案关键点和创新点方案关键点和创新点关关键点点创新点新点创新点四:动态的安全呈现平台创新点四:动态的安全呈现平台通通过网网络拓扑的方式拓扑的方式动态呈呈现业务系系统全面的安全全面的安全现状。状。提供面向监控人员、运维人员以及管理人员的统一呈现界面 。通过不同的图标标示不同类型的IT资产通过颜色反映资产的安全风险值;实时列出各IT网元的动态基线信息(包括端口、进程、CPU等性能参数等),对于安全产品能列出高风险值的实时告警信息;使用饼图或线图等方式图形化展示某一业务系统安全现状的汇总信息(包括系统的各种风险的组成比例、主机风险数量比例统计数据等)。 成果概况项目背景和意义技术实现方案技术方案关键点、创新点效能分析项目推广目录目录提高安全评估工作效率提高安全评估工作效率提高安全评估工作效率提高安全评估工作效率 经过实际操作确认,通过手动登录到设备上检查相关配置是否满足安全要求,通常这一过程通过人工检查需要30-60分钟,通过此平台,已实时监控了设备的运行动态,对安全配置的检查,只需10分钟,缩短了安全扫描时间(30-10)/30=66.7%,大大大大提提高高了工作效率,达到了项目设定的目标。了工作效率,达到了项目设定的目标。 效能分析效能分析应用成果用成果效能分析效能分析实实现现了了安安全全评评估估的的自自动动化化和日常化和日常化减少安全事件的发生和缩小影响范围减少安全事件的发生和缩小影响范围减少安全事件的发生和缩小影响范围减少安全事件的发生和缩小影响范围 因安全配置未达到要求,业务系统因安全配置未达到要求,业务系统因安全配置未达到要求,业务系统因安全配置未达到要求,业务系统遭非法攻击,一次严重的故障会导致业务遭非法攻击,一次严重的故障会导致业务遭非法攻击,一次严重的故障会导致业务遭非法攻击,一次严重的故障会导致业务被非法攻击,造成湖北移动损失上百万的被非法攻击,造成湖北移动损失上百万的被非法攻击,造成湖北移动损失上百万的被非法攻击,造成湖北移动损失上百万的收入,由安全专家提供技术支持的安全基收入,由安全专家提供技术支持的安全基收入,由安全专家提供技术支持的安全基收入,由安全专家提供技术支持的安全基线库,并利用安全自评估平台对业务系统线库,并利用安全自评估平台对业务系统线库,并利用安全自评估平台对业务系统线库,并利用安全自评估平台对业务系统进行全面周期性的检查,并通过统一平台进行全面周期性的检查,并通过统一平台进行全面周期性的检查,并通过统一平台进行全面周期性的检查,并通过统一平台进行了集中化析,可以最大程度上控制或进行了集中化析,可以最大程度上控制或进行了集中化析,可以最大程度上控制或进行了集中化析,可以最大程度上控制或避免已知风险的安全事件的发生。避免已知风险的安全事件的发生。避免已知风险的安全事件的发生。避免已知风险的安全事件的发生。效能分析效能分析应用成果用成果效能分析效能分析安全评估的全面化和集中化带来的效益安全评估的全面化和集中化带来的效益类型类型一级指标一级指标二级指标二级指标单位单位效能值效能值计算方法计算方法直接产生直接产生效能效能成本节成本节约约业务成本节约业务成本节约万元万元/ /故障故障见下见下最大程度挽回公司经济损失最大程度挽回公司经济损失以某次以某次WAPWAP业务被攻击为例,导致业务被攻击为例,导致大量用户被恶意订购业务大量用户被恶意订购业务,产生大面积投诉,产生大面积投诉,对用户进行退费处理对用户进行退费处理按照被订购的用户数为按照被订购的用户数为2020万,每位用户被订购的业务费为万,每位用户被订购的业务费为1010元计算元计算则一次安全事件造成的损失为:则一次安全事件造成的损失为:20 * 1020 * 10万元万元= =200200万万使用安全自评估平台,可及时发现安全漏洞,在最大程度上减少损失。使用安全自评估平台,可及时发现安全漏洞,在最大程度上减少损失。成本节成本节约约人力成本节约人力成本节约万元万元/ /人年人年20-30见下见下节约公司人力成本节约公司人力成本按照设备量为按照设备量为1000台,每年要进行台,每年要进行4次,一天次,一天10台的工作量,一次评估需要台的工作量,一次评估需要100天,人工成本为天,人工成本为680元元/人日(此标准为厂家人工成本费最低标准)人日(此标准为厂家人工成本费最低标准)则一年总共节省费用为:则一年总共节省费用为:680*100*4元元=272000元(元(27.2万元)万元)随着业务发展,设备逐渐增多,节约的人力成本也会增加。随着业务发展,设备逐渐增多,节约的人力成本也会增加。 100-200100-200效能分析效能分析应用成果用成果效能分析效能分析1类型类型一级指标一级指标二级指标二级指标单位单位效能值效能值计算方法计算方法效率提升效率提升工作效率提升工作效率提升百分比百分比66.7%66.7%见下见下到到对应设备上上查看相关配置,是否最近有非授看相关配置,是否最近有非授权操作操作这一一过程通程通过人工人工检查需要需要30-6030-60分分钟,通通过此平台,此平台,对相关相关问题的排的排查,只需,只需1010分分钟。提高了安全事件的提高了安全事件的处理效率理效率, ,能将能将处理故障理故障时长缩短(短(30-1030-10)/30=/30=66.766.7% % 工作方式工作方式改变改变1 1、实现自动化安全评估,由过去人工评估方式变为自动化评估,并通过工单或、实现自动化安全评估,由过去人工评估方式变为自动化评估,并通过工单或呈现平台体现,实现安全运维的闭环管理。呈现平台体现,实现安全运维的闭环管理。效能分析效能分析应用成果用成果效能分析效能分析2成果概况项目背景和意义技术实现方案技术方案关键点、创新点效能分析项目推广目录目录项目推广方式项目推广方式 本项目直接面对设备本身和系统本身的安全性,如设备基础安全配置、本项目直接面对设备本身和系统本身的安全性,如设备基础安全配置、帐号口令、开放端口、提供服务、帐号口令、开放端口、提供服务、ACLACL等,和网络结构无关。同时,项目使用等,和网络结构无关。同时,项目使用动态的检查库和脚本库,可根据系统需要和后续规范的变动进行灵活变更。动态的检查库和脚本库,可根据系统需要和后续规范的变动进行灵活变更。因此,本项目可以直接应用在各项数据业务或其他业务系统中,作为日常安因此,本项目可以直接应用在各项数据业务或其他业务系统中,作为日常安全维护、安全评估、设备入网检查、安全加固方案制定之用,无需进行另外全维护、安全评估、设备入网检查、安全加固方案制定之用,无需进行另外开发。开发。 项目推广应用项目推广应用 本项目针对安全评估和加固工作,属于安全维护工作的实际操作部分。本项目针对安全评估和加固工作,属于安全维护工作的实际操作部分。如需要开发后续的安全监控、安全事件分析等功能,可在本系统增加相应的如需要开发后续的安全监控、安全事件分析等功能,可在本系统增加相应的脚本和模块,使所有安全维护和监控工作都在一套平台呈现和应用。脚本和模块,使所有安全维护和监控工作都在一套平台呈现和应用。 项目衍生应用项目衍生应用谢谢 谢!谢!
收藏 下载该资源
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号