系統簡介
泰合信息安全運營中心(Security Operation Center)是針對傳統安全管理方式的一種重大變革��。它將不同位置��、不同資產(主機��、網絡設備和安全設備等)中分散且海量的安全信息進行范式化��、匯總�、過濾和關聯分析���,形成基于資產/域的統一等級的威脅與風險管理�,并依托安全知識庫和工作流程驅動對威脅與風險進行響應和處理������?傮w來說安全管理平臺系統的根本模型就是PDR模型��,而泰合信息安全運營中心系統就是實現其中的D(Detection��,檢測)和R(Response�����,響應)���。
泰合信息安全運營中心的需求主要是從以下幾個方面得到體現:
※大型系統復雜安全管理 ※信息安全工作流程驅動 ※全局可控性(檢測和響應)
※海量信息數據分析 ※解決專業安全人員匱乏問題 ※安全策略的符合性檢查
體系結構
如圖所示����,啟明星辰泰合信息安全運營中心(Venus Security Operation Center)是由“五個中心���、五個功能模塊”組成的�����。
● 五個中心
■事件/流量監控中心 ■網管中心 ■ 漏洞評估中心 ■安全預警與風險管理中心 ■響應管理中心
● 五個功能模塊
■ 策略配置管理 ■ 資源管理 ■ 用戶管理 ■ 安全知識管理 ■自身系統維護管理
功能特點
● 安全事件集中收集和處理
通過安全代理(Agent)和引擎(Engine)的部署�����,在所轄網絡(不同的承載業務網及其相關支撐網絡和系統)上的不同安全信息采集點�����,通過安全通訊方式�����,集中收集安全事件到泰合信息安全運營中心的安全管理服務器進行處理��,從而實現了針對全網的安全事件的集中收集和分析處理�。
● 網絡設備集中監控和管理
自動掃描網絡�����,圖形化顯示整個網絡連接狀況��,能夠監測網絡設備的CPU��、內存等占用率���,并在設備異�����;蜴溌樊惓r提示告警�。實現對網絡設備的拓撲管理�����、故障管理�����、性能管理���、告警管理�����、日志和報表管理�����。保障網絡環境運行質量�,降低網絡出現故障的頻率��,幫助管理員對整個系統的分析���、管理和優化���。
● 漏洞評估管理
漏洞評估中心通過人工審計和漏洞掃描工具兩種方式�,收集整個網絡的弱點情況并進行統一管理�,使得管理人員可以清楚的掌握全網的安全健康狀況����。
● 關聯分析
集成多種功能強大的關聯分析方法:基于規則的事件關聯分析��、漏洞關聯分析和綜合關聯分析等��,既能從不同層面搜索��、分析具體威脅情況���,又能用統計方法來測量其他可能的威脅異常情況�����,并可利用這兩方面的數據來分析資產實際上是否會遭到該事件的攻擊���,實現“綜合關聯”���。
● 資產管理
資產管理實現對安全運營中心所管轄的設備和系統對象的管理����。遵從BS7799標準的基于資產CIA屬性���,按照資產信息��、漏洞�����、補丁與備件分類導入或登記入庫�����,并為其他安全運行管理模塊提供信息接口���,比如響應管理中心��、綜合分析決策支持與預警平臺等�����。
● 風險評估
對網絡中資產(主機���、網絡設備����、安全設備���、應用系統)的安全事件的收集和管理��,資產的脆弱狀態信息收集和管理�,結合事件�����、脆弱狀態信息和資產所承載業務的CIA屬性及價值進行綜合關聯分析和風險管理�����。
● 安全事件/流量監控
安全事件/流量監控負責實時監控網絡的安全事件狀態����,是實時掌握全網的安全威脅狀況的重要手段之一��。同時通過其中異常流量監控模塊實時監控重要網絡鏈路的流量狀況�,可以及時檢測網絡中的異常流量�����,采取有效措施降低異常流量對網絡的影響�。
● 運行狀態監控
負責監控各種安全設備��、主機和網絡設備的運行狀態�����,流量監控和資源使用情況�����,為網絡安全管理人員提供統一的運行狀態信息�����,并可根據自定義的閥值報警���,結合設備的拓撲顯示����,能夠準確定位設備運行狀態事件��,保證網絡和業務系統的穩定���、可靠運行����。
● 安全策略配置管理
通過安全策略配置運營中心的建設可以進一步完善整個網絡的安全策略配置管理體系建設��,為全網安全運行管理人員提供統一的安全策略�����,為各項安全工作的開展提供指導����,有效解決目前因缺乏口令���、認證��、訪問控制等方面策略而帶來的安全風險問題��。
● 響應管理
響應管理是通過基于響應規則的工單系統和通知系統實現的����。該系統是專門針對安全事件的處理過程��,根據具體的安全響應流程進行定制的����。
● 全面知識管理
安全知識管理既提供一般知識管理功能��,比如安全知識庫���、培訓和人員考核等��,也提供了強大的漏洞庫�����、事件特征庫�、安全配置知識庫和案例庫等�����,并提供自學習交流論壇��。
● 多樣化顯示方式
提供不同的數據視圖���,包括:整個網絡的可視化視圖�����、具體應用服務器的深入視圖�����、關于以規則為基礎的相關數據的交叉視圖����,以及可顯示與最優風險水平不同的統計視圖����。還可實現關于以資產及業務為基礎的風險的視圖��,如“對資產及業務的影響”和“攻擊的可能性”等簡單而有效的視圖��,使企業能更輕松地根據自身的獨特需求來安排糾正措施的優先級����。
● 豐富直觀的報表
提供了多種實時顯示方式�,如GIS(地理信息系統)���、網絡拓撲方式�����、雷達方式�����、柱形圖等�,直觀的將安全威脅數據呈現給用戶���。
廣泛的平臺支持
啟明星辰泰合信息安全運營中心支持從各種主流安全系統�����、主機�、網絡設備�、安全設備收集安全事件數據��,并可以和網管系統實現綜合管理�。目前支持的產品類型有:
■防火墻系統:
Symantec FW/VPN;Checkpoint NG; NGAI and Provider/1; Cisco PIX; Netscreen; Secure Computing Sidewinder G2���、國內各主流品牌等
■入侵監測系統:
啟明星辰天闐IDS; Enterasys Dragon; ISS RealSecure;Cisco Secure IDS; Snort; Symantec Manhunt; NFR;nCircle IP360�����、國內各主流品牌等
■防病毒系統:
Symantec Corporate (Norton); McAfee ePO; Trend Micro�、瑞星等
■異常流量系統:
Arbor Peakflow等
■漏洞掃描系統:
啟明星辰天鏡Scanner; eEye Retina; nCircle IP360; Nessus; ISS Scanner; Foundstone Foundscan等
■網管系統:
HP OpenView; MicroMuse NetCool; CA UniCenter��;IBM;Tivoli等
■主機系統:
Solaris OS (Sun)��; Red Hat Linux OS���; Microsoft Windows�����;HP-UX (Hewlett-Packard)�;AIX (IBM)等
■數據庫:
Oracle;Microsoft SQL Server等
■網絡設備:
Cisco系列;Juniper系列��;華為系列等
■其他:
同時支持DDOS����、網閘�����、桌面管理系統�����、審計系統等其他類型設備
■定制化:
針對當前不支持的系統可以通過定制化工具(快速連接通用安全代理)�,滿足用戶要求
典型應用
● 應用行業:
政府����、金融����、電信�、能源等
技術優勢
■ 強大的安全事件集中收集分析和處理
■ 構筑了較為完善的資產和風險管理體系
■ 基于工作流的安全事件響應管理功能
■ 可實現多級不同管理模式的功能
■ 信息安全運營中心良好的可擴展性和開放性
■ 具備信息安全運營中心的高容錯性和高可用性
■ 具備一定深度的數據挖掘能力
■ 具備拓撲自動發現���、運行狀態監控���、故障管理等網管功能
■ 靈活的��、可定制的�����、客戶化的安全風險統計分析
■ 報告和強大的實時安全管理顯示系統
|
