课程内容   介绍安全监控基础知识 介绍安全事件的分类 介绍中国移动安全事件的处理流程 介绍安全集中监控的要求和手段 教材主要阅读对象 安全管理人员 培训重点：了解安全事件、安全告警的分类分级；了解安全事件处理流程；了解集中监控组织、流程和手段。 建议培训时间：约2小时 课程基础：无 安全技术人员 培训重点：了解安全事件、安全告警的分类、分级及内容；了解安全事件处理流程，具有对安全事件分析和解决问题的能力；了解集中监控组织、流程和职责。了解安全监控手段的分析使用，可以处理安全告警。 建议培训时间：约4小时 课程基础：熟悉中国移动网络安全管理流程及设备安全技术要求 系统维护人员 培训重点：了解安全事件、安全告警的分类、分级、内容以及目标系统的维护配置；了解安全事件处理流程，具有对安全事件分析和解决问题的能力；了解集中监控组织、流程和职责；可以处理安全告警。 。 建议培训时间：约4小时 课程基础：无 目录 本章主要知识要点小结 简答 安全事件来源？ 按照受攻击设备分类原则，安全事件可分为哪几类？ 安全事件可以分为哪四类？ 列举三种以上的安全事件   请思考   安全事件通过什么途径被安全技术人员监控到？ 安全事件对系统影响如何？  目录 本章主要知识要点小结 简答 安全事件从发生到处理完毕的流程是怎么样的？ 安全事件处理前应该怎样准备？ 安全事件处理恢复后有哪些跟进处理步骤？   请思考   为什么安全事件发现后需要进行安全级别判别？ 安全事件处理有哪几个阶段？  目录 本章主要知识要点小结 简答 简述安全集中监控流程    请思考   安全集中监控涉及哪几类人员?   目录 本章主要知识要点小结 简答 简述安全集中监控要求 列举三种以上安全集中监控手段 安全告警如何处理？    请思考   收到安全告警后是否应该立即通知安全技术支持人员? 统一安全集中监控手段是否可行？   5.1 参考文献 《中国移动安全事件管理办法》 《中国移动网络与信息安全事件处理指南》 《安全告警预处理手册》 《网站仿冒等Web安全事件预处理手册》 《DNS劫持安全事件预处理方法》 《中国移动安全监控操作手册 》   * * * * * * * * * * * * * * 华为防火墙监控 华为防火墙通过两种方式进行安全监控 通过华为I2000控制软件进行管理和监控 安装I2000控制软件，登录管理界面 可以对日志、防火墙运行状态进行监控 通过syslog服务器进行日志收集和保存 安装Kiwi Syslog服务器 配置防火墙，将syslog日志发送到服务器  安氏IDS安全监控 安氏IDS通过控制台进行设备状态监控、安全策略设置、安全事件实时监控。安全事件可以按照事件名称、传感器、源IP 、目标IP进行分类.  通过事件查询工具可以对历史事件进行查询分析。 通过报表工具可以生成多种安全报表。 绿盟IDS安全监控 登录IDS控制台进行安全告警监控、设备状态监控。可以按照事件源、目的、设备、时间等进行分类，可以通过协议分布图监控网络协议分布情况。 启明IDS安全监控 登录IDS管理控制台，可以进行告警监控，将告警按照严重级别分为连接、低级、中级、高级。 登录日志分析程序，可以进行历史事件查询和分析，查询得到的告警可以导出。 Symantec防病毒监控 Windows 任务栏上，单击“开始”   “程序”   “Symantec 系统中心控制台”   “Symantec 系统中心控制台” 通过 Symantec 系统中心控制台跟踪“发现威胁”警报，右键可以查看终端的风险情况，风如果险记录列表中有“隔离失败”、“不操作”，需要通过工单形式派发相关人员处理 趋势Officescan防病毒监控 通过IE浏览器登陆Officescan管理界面，显示防毒墙网络版的整体情况，可查看最近病毒事件、病毒码版本、病毒爆发警报等信息。 选择左侧树状视图中“客户机”，右侧显示“客户机树视图”。右侧客户机列表框将以客户机所在域的形式分别列出，选定后，在右侧出现的列表框上部选择“查看病毒日志”，弹出病毒日志对话框，可查看目前病毒感染情况。 安全管理平台集中监控要求 对于已经部署了安全管理平台的省公司，可以围绕安全管理平台开展安全监控。 安全管理平台的覆盖范围可以包含：网络设备、安全设备、主机等，对这些系统产生的安全告警进行集中收集、分析和风险计算，并围绕风险分析进行安全告警监控. unix主 windows 网络设备 防火墙 IDS 防病毒 syslog agent syslog syslog syslog odbc snmp snmp snmp 读文件 外部程序 jdbc 安全管理平台的告警分类 恶意软件类告警：平台对防病毒系统的日志进行采集，对于防病毒系统未能清除病毒的日志，系统结合相关的设备，产生一般告警。 配置违规类告警：平台收集相关的网络设备、服务器的配置文件，和系统中根据集团要求及各业务室实际情况制定的标准安全配置要求进行匹配，出现配置违规的情况，根据配置的危险程度，产生一般或者中等告警。 网络攻击类告警：平台收集相关的网络设备、安全设备及服务器的日志文件，进行标准化、过滤、归并及关联分析后，匹配相关的资产，根据攻击的危害程度，产生相应级别的告警。 漏洞类告警：平台定期的使用漏洞扫描系统，对相关的资产进行漏洞扫描，对扫描结果进行分析处理后，根据漏洞的危害程度，产生相应级别的告警。 安全设备故障类告警：平台监控相关安全设备的状态，当发现相关的安全设备的健康状况出现问题时，根据相应的严重程度，产生相应级别的告警。 综合类告警：平台根据系统的统计报告及预定义的相关要求，产生基于KPI的综合类告警。  安全管理平台监控流程 安全监控人员通过安全管理平台监控客户端进行告警监控，结合《安全告警预处理手册》对告警进行确认、清除和派单，通过安全管理平台和EOMS的接口实现，派单到各个专业科室处理，处理结束后反馈归档，同时定期更新《预处理手册》。 安全管理平台集中监控方法（一） 安装监控客户端程序，监控人员通过客户端程序连接SOC系统，进入安全运行管理系统集中监控操作平台的主界面。 安全事件查看 事件的详细信息包括：对象、IP地址、业务系统、告警名称、级别、详细描述、告警类别、告警子类、最后产生时间、次数等 安全告警处理 当安全事件告警，在安全监控预处理手册中已存在时。安全监控人员参照预处理手册上预处理建议，对该告警进行派单处理； 当安全事件告警，在安全监控预处理手册中未存在时。安全监控人员应对该告警进行确认处理，通知安全技术支持人员协助处理。得到安全技术支持人员处理意见后，根据意见进行派单或清除处理； 当安全事件告警，已做派单处理后仍继续进行告警时。安全监控人员应对已派工单进行查看是否完成。如未完成则对其告警进行清除处理，如已完成则继续对该告警派发工单。 安全告警处理操作界面 安全集中监控举例 安全监控人员通过集中监控平台进行安全监控，安全监控人员需要具备较丰富的安全经验和安全知识，能够对安全告警进行分类和确认，如图： 安全集中监控举例 根据安全监控经验和安全预处理手册，发现安全告警出现了“ICMP Fragment”告警，虽然级别不是最高，但是可能是拒绝服务类攻击。 安全集中监控举例 对安全事件进行初步分析和定位，确定是否派发工单和如何派发工单。 根据具体的事件分析发现,安全告警来源于防火墙

安全监控管理.ppt