泰合安全运营中心-TSOC技术白皮书.doc

启明星辰启明星辰 泰合信息安全运营中心泰合信息安全运营中心 技术白皮书技术白皮书 2007 08 TSOC 技术白皮书 启明星辰信息技术有限公司 地址 北京市海淀区东北旺西路 8 号中关村软件园 21 号楼 启明星辰大厦 电话 010 82779088 传真 010 82779151 网址 2 目目 录录 1背景背景 4 2产品概述产品概述 6 2 1产品简介 6 2 2产品架构 6 2 3产品组件 8 2 4系统要求 8 2 4 1安全管理中心 SMC 8 2 4 2安全信息管理系统 V SIMS 10 3产品功能产品功能 10 3 1事件管理 10 3 2综合分析 风险评估和预警 11 3 3脆弱性管理 12 3 4响应管理 12 3 5网络管理 13 3 6策略管理 13 3 7知识管理 13 3 8资产管理 14 3 9用户管理 14 3 10报表处理 15 3 11综合显示 15 3 12运行状态监控 16 3 13自身安全保障 16 TSOC 技术白皮书 启明星辰信息技术有限公司 地址 北京市海淀区东北旺西路 8 号中关村软件园 21 号楼 启明星辰大厦 电话 010 82779088 传真 010 82779151 网址 3 4功能特色功能特色 17 4 1强大的安全事件集中收集分析和处理能力 17 4 2集成的多种关联分析方法 17 4 3基于业务单元 BU 或安全域的风险评估 18 4 4多样化的安全预警 19 4 5兼容国际标准的漏洞评估管理 20 4 6可视化的设备状态集中监控 21 4 7多样化的显示方式 21 4 8全面的知识管理 21 4 9灵活部署具有极强可扩展性 22 4 10支持多平台 22 5典型部署典型部署 22 6服务支持服务支持 23 7关于启明星辰关于启明星辰 24 TSOC 技术白皮书 启明星辰信息技术有限公司 地址 北京市海淀区东北旺西路 8 号中关村软件园 21 号楼 启明星辰大厦 电话 010 82779088 传真 010 82779151 网址 4 1 背景背景 传统的安全管理方式是将分散在各地 不同种类的安全防护系统分别管理 这样 导致安全信息分散互不相通 安全策略难以保持一致 这种传统的管理运行方式因此 成为许许多多安全隐患形成的根源 泰合信息安全运营中心 简称 TSOC 是针对传 统管理方式的一种重大变革 它将不同位置 不同安全系统中分散且海量的单一安全 事件进行汇总 过滤 收集和关联分析 得出全局角度的安全风险事件 并形成统一 的安全决策对安全事件进行响应和处理 总体来说 TSOC 的根本模型就是 PDR 模型 而 TSOC 系统就是实现其中的 D Detection 检测 和 R Response 响应 TSOC 的需求主要是从以下几个方面得到体现 大系统的管理大系统的管理 通常安全系统是分别独立逐步的建立起来的 比如防病毒系统 防火墙系统 入 侵检测系统等 各个系统都有单独的管理员或者管理控制台 这种相对独立的部署方 式带来的问题是各个设备独立的配置 各个引擎独立的事件报警 这些分散独立的安 全事件信息难以形成全局的风险观点 导致了安全策略和配置难于统一协调 这种对 于大规模系统的安全管理也正是 TSOC 的需求根源 就是说只有大系统 拥有复杂应 用的系统才有 TSOC 的需求 海量信息数据海量信息数据 随着安全系统建设越来越大 除了需要协调各个安全系统之间的问题之外 由于 安全相关的数据量越来越大 有些关键的安全信息和告警事件常常被低价值或无价值 的告警信息所淹没 一些全局性的 影响重大的问题很难被分析和提炼出来 为了从 大量的 孤立的单条事件中准确的发现全局性的 整体的安全威胁行为 需要 TSOC 这样一个平台使得整个安全体系的检测能力更加准确 更加集中于影响重大的焦点问 题 信息安全目标信息安全目标 TSOC 技术白皮书 启明星辰信息技术有限公司 地址 北京市海淀区东北旺西路 8 号中关村软件园 21 号楼 启明星辰大厦 电话 010 82779088 传真 010 82779151 网址 5 我们知道传统的信息安全有 7 个属性 即保密性 Confidentiality 完整性 Integrity 可用性 Availability 真实性 Authenticity 不可否认性 Nonreputiation 可追究性 Accountability 和可控性 可治理性 Controllability Governability 信息安全的目标是要确保全局的掌控 确保整个体 系的完整性 而不仅限于局部系统的完整性 对于安全问题 事件的检测要能够汇总 和综合到中央监控体系 确保可追究性是整个体系的可追究性 TSOC 的出现就是为 了确保对全局的掌控 实现全面支撑信息安全运营管理目标 专业安全人员匮乏专业安全人员匮乏 事实上 安全信息过多的问题已经远远超出了企业所能处理的限度 即使企业可 以雇佣足够多的人手来具体解决每一个安全事件 但仍可能会劳而无功 这不仅是因 为雇佣更多人手是对资本的低效利用 而且还因为 电子 数据位和字节的流动速度 总是要比人的操作速度快得多 人力资源匮乏 信息泛滥 工具短缺 所有这些问题 均可通过 TSOC 应用来加以解决 而且 这些 TSOC 应用还能处理大量的安全和审计 数据 帮助我们从这些数据中发现问题 使企业只需配备很少量的人员就能充分利用 其中的自动化技术和功能 全局可控性全局可控性 可控性是信息安全 7 个属性中最重要的一个 可控性最重要的体现是全局监控 预警能力和响应处理能力 全局预警就是要建立全局性的安全状况收集系统 对于新 的安全漏洞和攻击方法的及时了解 针对体系内局部发生的安全入侵等事件进行响应 我们通常用水桶效应来描述分布式系统的安全性问题 认为整个系统的安全性取决于 水桶中最薄弱的一块木条 TSOC 就像是这个水桶的箍 有了这个箍 水桶就很难崩 溃 即使出现个别的漏洞 也不至于对整个体系造成灾难性的破坏 TSOC 充分利用 所掌握的空间 时间 知识 能力等资源优势 形成全局性的资源协调体系 为系统 的全局可控性提供有力的保障 TSOC 技术白皮书 启明星辰信息技术有限公司 地址 北京市海淀区东北旺西路 8 号中关村软件园 21 号楼 启明星辰大厦 电话 010 82779088 传真 010 82779151 网址 6 2 产品概述产品概述 2 1 产品简介产品简介 启明星辰推出的泰合信息安全运营中心 简称 启明星辰 TSOC 是立足于公司 十年信息安全积累的基础之上 基于客户需求可以灵活裁减的信息安全管理平台或解 决方案 启明星辰 TSOC 采用成熟的浏览器 服务器 数据库架构 融合多种信息安全产品 和技术管理 充分实现组织 管理 技术三个体系的合理调配 能够最大化的保障网 络 系统和应用的安全性 启明星辰 TSOC 具有广泛的应用范围和客户群 在电信 金融 政府 能源等行 业均有成功的应用 2 2 产品架构产品架构 如下图所示 启明星辰泰合信息安全运营中心 TSOC 由 五个中心 五个功能 模块 组成 五个中心为漏洞评估中心 网管中心 事件 流量监控中心 安全预警与风险管理 中心以及响应管理中心 五个功能模块为资产管理 策略配置管理 自身系统维护管理 用户管理 安全 知识管理 TSOC 技术白皮书 启明星辰信息技术有限公司 地址 北京市海淀区东北旺西路 8 号中关村软件园 21 号楼 启明星辰大厦 电话 010 82779088 传真 010 82779151 网址 7 图 1 泰合信息安全运营中心架构示意图 TSOC 技术白皮书 启明星辰信息技术有限公司 地址 北京市海淀区东北旺西路 8 号中关村软件园 21 号楼 启明星辰大厦 电话 010 82779088 传真 010 82779151 网址 8 2 3 产品组件产品组件 图 2 泰合信息安全运营中心软件总体结构 如上图所示 泰合信息安全运营中心分为 SMC DAC 和 V SIMS 三部分 SMC 安全管理中心 以 B S D 三层架构实现监控 管理 响应 报表等功能 DAC 数据分析中心 其以后台服务方式实现综合分析 关联分析 资产发现 脆弱性信息采集分析等数据分析处理功能 V SIMS 安全信息管理系统 它完成了安全信息的采集 过滤 聚并 入库等功 能 可以方便的实现分布 分级部署事件采集引擎 2 4 系统要求系统要求 2 4 1 安全管理中心 安全管理中心 SMC 1 服务器端 TSOC 技术白皮书 启明星辰信息技术有限公司 地址 北京市海淀区东北旺西路 8 号中关村软件园 21 号楼 启明星辰大厦 电话 010 82779088 传真 010 82779151 网址 9 硬件环境 处理器 Intel X86 系列或兼容 CPU 最低 PIV 2 0GHz 或相当 推荐 Xeon 2 0GHz 2 或相当 内 存 最低 1GB 推荐 2GB 硬 盘 最低 IDE 80G 1 推荐 SCSI 72GB 2 网 卡 最低 10 100 自适应网卡 1 推荐双网卡 注意 注意 如与其他系统公用硬件系统则需要考虑额外的处理能力 软件环境 操作系统 1 Windows 2000 Windows XP Windows 2003 Server 注注 1 Windows2000 建议升级到 Service Pack 4 以上 其他系统也建议及时安装更新 注注 2 英文操作系统需安装中文简体支持包 2 Linux 3 Solaris SPARC Java 环境 Java SDk 1 4 2 WEB 服务器 Tomcat 5 0 xx 数据库 ORACLE 9i 10g server 2 客户端 支持类型 支持 Microsoft Internet Explorer 浏览器 支持版本 5 5 以上版本 支持语言 简体中文 英文 简体中文支持包 插件要求 安装 Macromedia Flash Player Version9 0 28 以上版本 注意注意 1 建议使用 Microsoft Internet Explorer 6 0 以上版本 并安装所有最新的补丁 2 建议安装 Macromedia Flash Player Version9 0 28 以上版本 以防止安全漏洞 TSOC 技术白皮书 启明星辰信息技术有限公司 地址 北京市海淀区东北旺西路 8 号中关村软件园 21 号楼 启明星辰大厦 电话 010 82779088 传真 010 82779151 网址 10 2 4 2 安全信息管理系统 安全信息管理系统 V SIMS 硬件环境 处理器 Intel X86 系列或兼容 CPU 最低 PIV 2 0GHz 或相当 推荐 Xeon 2 0GHz 2 或相当 内 存 最低 512MB 推荐 1GB 硬 盘 最低 IDE 80G 1 推荐 SCSI 72GB 2 网 卡 最低 10 100 自适应网卡 1 推荐双网卡 注意注意 如与其他系统公用硬件系统则需要考虑额外的处理能力 软件环境 操作系统 Windows 2000 Windows XP Windows 2003 Server 注注 1 Windows2000 建议升级到 Service Pack 4 以上 其他系统也建议及时安装更新 注注 2 英文操作系统需安装中文简体支持包 数据库 SQL Server 2000 3 产品功能产品功能 3 1 事件管理事件管理 事件管理处理事件收集 事件整合和事件可视化三方面工作 事件管理功能首先要完成对事件的采集与处理 它通过代理 Agent 和事 件采集器的部署 在所管理的骨干网络 不同的承载业务网及其相关支撑网络和 系统上的不同安全信息采集点 防病毒控制台 入侵检测系统控制台 漏洞扫描 管理控制台 身份认证服务器和防火墙等 获取事件日志信息 并通过安全通讯 方式上传到安全运营中心中的安全管理服务器进行处理 TSOC 技术白皮书 启明星辰信息技术有限公司 地址 北京市海淀区东北旺西路 8 号中关村软件园 21 号楼 启明星辰大厦 电话 010 82779088 传真 010 82779151 网址 11 在事件收集的过程中 事件管理功能还将完成事件的整合工作 包括聚并 过滤 范式化 从而实现了全网的安全事件的高效集中处理 事件管理功能本身 支持大多数被管理设备的日志采集 对于一些尚未支持的设备 可通过通用代理 技术 UA 支持 确保事件的广泛采集 在事件统一采集与整合的基础上 安全运营中心提供多种形式的事件分析与 展示 将事件可视化 包括实时事件列表 统计图表 事件仪表盘等 此外 还 能够基于各种条件进行事件的关联分析 查询 备份 维护 并生成报表 3 2 综合分析 风险评估和预警综合分析 风险评估和预警 综合分析是综合安全运营管理平台的核心模块 其接收来自安全事件监控中 心的事件 依据资产管理和脆弱性管理中心的脆弱性评估结果进行综合的事件协 同关联分析 并基于资产 CIACIA 属性 进行综合风险评估分析 形成统一的 5 5 级 风险级别 并按照风险优先级针对各个业务区域和具体事件产生预警 参照网络 安全运行知识管理平台的信息 并依据安全策略管理平台的策略驱动响应管理中 心进行响应处理 将预警传递到指定的安全管理人员 使安全管理人员掌握网络 的最新安全风险动态 并为调整安全策略适应网络安全的动态变化提供依据 通 过风险管理可以掌握组织的整体以及局部的风险状况 根据不同级别的风险状况 各级安全管理机构及时采取降低的风险的防范措施 从而将风险降低到组织可以 接受的范围内 预警模块中心从资产管理模块得到资产的基本信息 从脆弱性管理模块获取 资产的脆弱性信息 从安全事件监控模块获取发生的安全事件 得到上述这些原 始信息后 本模块进行综合安全风险分析 综合安全风险分析是分析整个企业面 临的威胁和确保这些威胁所带来的挑战处于可以接受的范围内的连续流程 应能 够根据各监控点的资产信息 脆弱性统计信息以及威胁分布信息 为每一个资产 定量地计算出相应的风险等级 同时根据业务逻辑 分析此风险对其他系统的影 响 计算出业务系统或区域的整体安全风险等级 TSOC 技术白皮书 启明星辰信息技术有限公司 地址 北京市海淀区东北旺西路 8 号中关村软件园 21 号楼 启明星辰大厦 电话 010 82779088 传真 010 82779151 网址 12 3 3 脆弱性管理脆弱性管理 通过脆弱性管理可以掌握全网各个系统中存在的安全漏洞情况 结合当前安 全的安全动态和预警信息 有助于各级安全管理机构及时调整安全策略 开展有 针对性的安全工作 并且可以借助弱点评估中心的技术手段和安全考核机制可以 有效督促各级安全管理机构将安全工作落实 3 4 响应管理响应管理 仅仅及时检测到安全事件是不够的 必须做出即时的 正确的响应才能保证 网络的安全 响应管理作为 TSOCTSOC 的重要组成部分之一为响应服务实现工具化 程序化 规范化提供了管理平台 响应管理是根据当前的网络安全状态 及时调动有关资源做出响应 降低风 险对网络的负面影响 网络安全响应模块负责根据预定义好的安全策略规则 及 时通过工单发布工作指令 调动有关资源做出响应 应在安全管理平台上实现人 机接口 所有的工单经人工审核后 通过人工派单方式发送到相应的工单处理部 门 通过调用本程序 接收网络与安全事件监控模块 脆弱性管理模块 综合分 析与预警模块等模块的预警信息 实现与网络与安全事件监控模块 脆弱性管理 模块 综合分析与预警模块等模块的接口 接收这些模块产生的预警信息 启动 预警处理流程处理预警 3 5 网络管理网络管理 网络管理模块可通过 SNMP 协议或其它手段自动发现整个网络 局域网和广 域网 的拓扑结构 对取得的网络拓扑结构通过比较直观的 可视化比较好的图 形方式展现 在拓扑图上通过扩展能够显示故障 告警 性能 流量等网管信息 TSOC 技术白皮书 启明星辰信息技术有限公司 地址 北京市海淀区东北旺西路 8 号中关村软件园 21 号楼 启明星辰大厦 电话 010 82779088 传真 010 82779151 网址 13 系统通过配置能够对网络设备进行简单的命令操作 实现远程配置操作 通 过接收 Trap 信息和主动轮询两种方式及时地发现网络节点发生的各种故障 及 时告警 通知管理员进行相关检查和管理 通过监控各网络和网段的流量变化 及时反映当前网络的运行状态 并对所采集的性能数据进行分析 形成必要的报 告 通过图表方式展现出来 根据性能数据 故障信息 告警信息形成统计报表 3 6 策略管理策略管理 网络安全的整体性要求需要有统一安全策略和基于工作流程的管理 通过为 全网安全管理人员提供统一的安全策略 指导各级安全管理机构因地制宜的做好 安全策略的部署工作 有利于在全网形成安全防范的合力 提高全网的整体安全 防御能力 同时通过 TSOC 策略和配置管理平台的建设可以进一步完善整个 IP 网络的安全策略体系建设 为指导各项安全工作的开展提供行动指南 有效解决 目前因缺乏口令 认证 访问控制等方面策略而带来到安全风险问题 3 7 知识管理知识管理 安全信息管理是安全信息的 WEB 发布系统 不仅可以充分共享各种安全信息 资源 而且也会成为各级网络安全运行管理机构和技术人员之间 实现在安全管 理中心 WEB 门户提供统一界面以安全 WEB 的形式发布最新的安全信息 并将处理 的安全事件方法和方案收集起来 形成一个安全共享知识库 该信息库的数据以 数据库的形式存储及管理 为培养高素质的网络安全技术人员提供培训资源 安全信息管理模块包括安全管理信息 安全技术园地 安全案例库 补丁库 漏洞库 教学资料等栏目的信息发布管理和浏览 另外 提供 BBSBBS 形式的安全技 术信息交流功能 TSOC 技术白皮书 启明星辰信息技术有限公司 地址 北京市海淀区东北旺西路 8 号中关村软件园 21 号楼 启明星辰大厦 电话 010 82779088 传真 010 82779151 网址 14 3 8 资产管理资产管理 资产管理主要是管理 TSOC 监控范围的各个系统和设备 是风险管理 事件 监控协同工作和分析的基础 实现对网络综合安全运行管理系统所管辖的设备和 系统对象的管理 它将其所辖 IP 设备资产与风险的重要程度关系 依据风险评 估的结果 定期的漏洞扫描结果和本模块的信息资产相结合 遵从 ISO13335 标 准的基于资产 CIA 属性 按照资产信息 漏洞 补丁与备件分类导入或登记入 库 并为其他安全运行管理模块提供信息接口 比如响应管理中心 综合分析与 预警平台等 3 9 用户管理用户管理 提供用户集中管理的功能 对用户可以访问的资源权限进行细致的划分 具 备安全可靠的分级及分类用户管理功能 要求支持用户的身份认证 授权 用户 口令修改等功能 支持不同的操作员具有不同的数据访问权限和功能操作权限 系统管理员应能对各操作员的权限进行配置和管理 要有完整的安全控制手 段 对用户和系统管理员的权限进行分级管理 相应的账号和口令加密存放 充 分保证用户信息的安全性 对系统操作员的密码有安全保障机制 用户的账号等 数据以数据库的形式进行加密存储及管理 对用户数据的管理保证其完整性和一 致性 在系统出错的情况下 对用户数据要有有效的保护措施 3 10报表处理报表处理 作为整个系统的公共基础模块 为各个功能提供报表支持 报表输出格式可 转换为 PDF HTML RTF CSV 等多种常用的标准格式 TSOC 提供的主要报表包 括 资产信息报表 提供总体资产报表 域资产分布报表 资产详细信息报表 TSOC 技术白皮书 启明星辰信息技术有限公司 地址 北京市海淀区东北旺西路 8 号中关村软件园 21 号楼 启明星辰大厦 电话 010 82779088 传真 010 82779151 网址 15 事件信息报表 提供域事件分布报表 按照不同事件类别提供各类事件的趋势报表 脆弱性信息报表 提供脆弱性分布报表 提供脆弱性统计分析报表 综合分析与预警报表 供综合安全风险分析的报表 提供风险查询报表 可以根据资产 域 趋势 等进行分类输出 包括分析数据分布范围 受影响的系统 可能的严重程度等 响应过程报表 提供响应模块发生的响应事件的统计报表 按照响应事件的紧急程度 响应 对象 响应人员分类列表 综合显示报表 提供综合显示模块的实时截屏报表 包括列表显示报表输出 拓扑安全信息 报表输出 电子地图电子地图安全信息报表输出 平台自身日志报表 提供平台自身日志的报表 包含访问人 访问次数 访问时间等 3 11综合显示综合显示 综合显示模块作为整个安全管理平台统一人机界面接口 将各个界面的信息 集中显示和发布 采用 Web 方式 支持各功能模块的信息显示和管理 综合显示 模块提供多种的信息显示和发布方式 基于列表的信息显示 提供列表方式的信息显示 通过简明清晰的列表来显示信息 支持信息的检 索 排序和查询 基于网络拓扑的信息显示 与网管系统接口相结合 在网络拓扑上提供信息显示 可以在逻辑层面定位 事件发生的位置 TSOC 技术白皮书 启明星辰信息技术有限公司 地址 北京市海淀区东北旺西路 8 号中关村软件园 21 号楼 启明星辰大厦 电话 010 82779088 传真 010 82779151 网址 16 基于电子地图电子地图的信息显示 与电子地图系统接口相结合 在地理上提供信息显示 可以在物理层面定位 事件发生的位置 3 12工作流管理工作流管理 TSOC 提供一个统一而灵活的工作流程流程管理平台 可以为用户以及其它模块 提供流程支持 工作流管理模块主要包括两部分功能 后台工作流管理 后台工作流管理负责同时定义 实现和维护多个流程 前台用户界面 前台用户界面负责提供各种流程的用户实际操作界面 用户使用工作流时 首先在工作流管理界面中 利用可视化 图形化的工作流编 辑工具来定义各种业务流程 每个流程都可以由若干步骤和转移来实现 用户可以实 现流程的前进 后退 分支 汇总等状态 流程描述元素可能包括 步骤 表示流程图中的某个结点 转移 表示流程图中某两个结点之间的连线 具有方向性 动作 包含自动动作和手动动作 定义好一个工作流后 就会自动生成与该工作流相关的工单界面 用户可以查看 和处理与自己相关的来自各类工作流的工单 另外 工作流模块还对外提供流程相关的接口 供外部系统或内部系统的其它模 块调用 比如 用户在针对某个事件做工作流响应时 可以配置选择按照哪个工作流 来进行处理 3 13设备控制设备控制 设备控制管理模块提供了一个通用的 可扩展的设备控制框架 在 TSOC 中内置 了两种控制协议 Telnet 和 SSH 如果某个设备支持通过这两种协议进行控制操作 TSOC 技术白皮书 启明星辰信息技术有限公司 地址 北京市海淀区东北旺西路 8 号中关村软件园 21 号楼 启明星辰大厦 电话 010 82779088 传真 010 82779151 网址 17 那么用户就可以利用该模板提供的功能来对相关设备进行手动或自动的控制 设备控制管理模块将设备控制抽象成以下三个层次 设备控制功能 面向业务 面向操作 说明是 想要做什么 设备控制脚本 面向设备类型 说明 如何操作该类型的设备 设备控制策略 面向具体设备 说明 如何操作具体某个设备 设备控制管理模块提供了友好的人工界面供用户来对以上层次进行配置 通过以 上三层的配置 用户就可以在多个场合进行手动或自动设备控制 举例来说 用户首先定义一个 关闭端口 的设备控制功能 然后再根据不同的 设备类型来定义各个 关闭端口 的设备控制脚本 比如 Linux 的关闭端口 天清防火墙的关闭端口 等 接下来再为具体的设备定义设备控制策略 比如 关 闭 Linux 主机 192 168 1 1 的端口 当完成这些配置之后 用户就可以在设备管理中 直接针对某个设备运行相关的设备控制策略 从而实现相关控制 设备控制脚本是提供了一套简明的通用控制语法 用户在稍加学习之后 就可以 按自己的意图写出相应的控制脚本 设备控制管理模块还提供接口调用功能 相关模块通过该接品可以调用设备控制 功能 比如 如果设置 TSOC 中的响应方式 就可以实现 检测 响应 控制 的自 动操作 3 14安全策略文档管理安全策略文档管理 组织进行安全管理离不开一系列安全规范制度和安全策略的指导 TSOC 提供了 一个集中管理和发布各类安全策略文档的模块 通过该模块 用户可以 将组织的中各类安全规范制度和安全策略文档有层次的管理起来 用户可以 将安全策略文档整理成树型结构 从而一目了然的展现上各策略之间的层次 关系 为每个策略同时维护多种发布格式 比如 txt word excel pdf html 等 管理员可以方便的更新和发布各类格式的策略文档 TSOC 技术白皮书 启明星辰信息技术有限公司 地址 北京市海淀区东北旺西路 8 号中关村软件园 21 号楼 启明星辰大厦 电话 010 82779088 传真 010 82779151 网址 18 每个策略文档都有一个 策略标识 策略标识等同于该策略文档的关键字 的列表 通过 策略标识 可以拓展出策略查询及策略关联等功能 安全策略文档管理包括两个部分的功能 安全策略的定义 生成 审核 发布 访问 帮助用户制定组织的总体安全策略 帮助各个子策略的管理员制作所负责系统或设备的具体策略 总体安全策略经过审核后正式发布 普通用户可以在线阅读和下载安全策略 响应后对安全策略的关联与调用 当系统运行中发生了某类安全事件后则根据预定义规则自动调用对应的安全 策略 供管理员参考 3 15运行状态监控运行状态监控 创建实时的可视化网络设备状态 包括 CPUCPU 使用率 内存占用 硬盘占用 和带宽占用等 使设备便于管理和分析 设备状态视图能对设备进行集中配置 可以根据网络应用环境 定制多种显示方式 用户能联系特定的链接图 地理位置图和图表视图能够使不同层面的人员通 过纠错生命周期来复制威胁鉴别过程 3 16自身安全保障自身安全保障 安全运营中心作为整个网络安全运行的监控者和管理者 其中的每一步关键 操作都会对整个网络安全产生重要影响 甚至会改变网络运行方式和运行状态 因此安全运营中心体系自身的安全性非常重要 安全运营中心体系的自身安全包 括多方面 如物理安全 数据安全 通讯安全等 安全运营中心在总体设计时必 须考虑安全运营中心体系的使用安全和管理流程安全 在所有组件之间进行可选的加密方式确保安全的通信 TSOC 技术白皮书 启明星辰信息技术有限公司 地址 北京市海淀区东北旺西路 8 号中关村软件园 21 号楼 启明星辰大厦 电话 010 82779088 传真 010 82779151 网址 19 引擎可利用数字证书对所有用户类代理进行身份验证 增强的用户和管理界面可采用基于 SSL 的身份验证 可在所有组件之间实现统一的配置 4 功能特色功能特色 4 1 强大的安全事件集中收集分析和处理能力强大的安全事件集中收集分析和处理能力 系统所支持的管理对象涵盖网络设备 主机系统和安全系统 安全产品包括 防火墙系统 NIDS 系统 Cisco Guard IPS Nokia Firewall 漏洞扫描系统 防病毒系统 网络安全审计 身份认证系统等 网络产品包括路由器 交换机 Windows 操作系统主机 Solaris 操作系统主机 Oracle 数据库 不同版本的 WebLogic 流量管理系统等 系统目前支持的采集方式包括 Syslog SNMP 各版本 启明星辰 VIP 数据库 ODBC XML TEXT 文本 4 2 集成的多种关联分析集成的多种关联分析方法方法 通过关联分析模块完成各种安全关联分析功能 关联分析能够将原始的设备 报警进一步规范化并归纳为典型安全事件类别 从而协助使用者更快速地识别当 前威胁的性质 TSOC 技术白皮书 启明星辰信息技术有限公司 地址 北京市海淀区东北旺西路 8 号中关村软件园 21 号楼 启明星辰大厦 电话 010 82779088 传真 010 82779151 网址 20 系统提供三种关联分析类型 基于规则的事件关联分析 漏洞关联分析和统 计关联分析 事件关联分析 可以在一定时间范围内根据事件的源地址 目的地址 源端口 目的端口及 事件的类型等结合事件的等级 CIACIA 属性等参数 对事件进行关联分析 这种关 联分析的目的在于减少报警信息 对事件进行归并过滤 漏洞关联分析 漏洞关联分析的目的在于要识别出假报警 同时为那些尚未确定是否为假肯 定或假警报的事件分配一个置信等级 这种方法的主要优点在于 它能极大提高 威胁运算的有效性并可提供适用于自动响应和 或告警的事件 漏洞关联分析引擎使安全人员能确定不同事件的优先级从而及时地对这些事 件做出响应 从多个来源收集漏洞数据 然后将这一数据关联到从代理处收集的 资产威胁数据并为每个系统分配一个风险分数 当观察到事件时 安全管理员可实时和自动地将正在发生的该事件与系统的 漏洞分数进行比较和评价并确定是否应该采取措施 如果系统不容易遭到该事件 的攻击 则无需采取任何行动 通过将若干加权暴露参数相加 即可分配一个绝对的漏洞分数 在多个系统 上进行规范化可提供适用于风险运算的系数 统计关联 用户可以根据实际情况定义事件的触发条件 然后统计所发生的事件 如果 在一定时间内发生的事件符合所定义的条件则触发关联事件 4 3 基于业务单元 基于业务单元 BU 或安全域的风险评估 或安全域的风险评估 风险管理是一个评价对整个企业的威胁并确保这些威胁所构成的风险在可接 受程度内的连续过程 也包括那些尚属未知的威胁 风险是由威胁 CIACIA 属性 及价值和漏洞组成的 威胁是那些对网络资产可能构成危险的活动 网络资产的 TSOC 技术白皮书 启明星辰信息技术有限公司 地址 北京市海淀区东北旺西路 8 号中关村软件园 21 号楼 启明星辰大厦 电话 010 82779088 传真 010 82779151 网址 21 价值以及驻留在网络中的信息的价值本质上都是主观的因此会随时间而改变 它 通常是由系统在公司中所发挥的作用以及该系统所存储或处理的数据来限定的 漏洞系指可导致威胁造成破坏的系统和软件薄弱环节 采用能计算威胁和风险分数并将这些统计数据关联到针对该环境而定制的基 于规则的计算结果中的专用公式为企业提供了威胁和风险评估 系统的评分功能 可连续处理低水平攻击 以识别出表示高风险威胁的模式 其独特的评分算法可 通过采用高级关联技术而检测出不同类型的威胁和攻击 可使企业识别出杂音 减少假肯定次数并迅速识别出真正的威胁 从而加快响应速度 对网络中资产 主机及其应用系统 网络设备 安全设备 的安全事件的收 集和管理 资产的脆弱状态信息收集和管理 结合事件 脆弱状态信息和资产 域所承载业务的 CIACIA 属性及价值进行综合关联分析计算 形成统一 5 5 级风险级别 便于安全管理人员及时掌握网络中各个业务域 安全域 地理域 行政域及关键资 产的最新安全风险动态 通过各种风险的计算 并将计算后的结果提交给风险计 算与监测模块形成统一的预 告警信息 便于信息安全管理人员从全局动态把握 网络中各个业务域 安全域 地理域 行政域及关键资产的安全风险趋势 其功能示意图如下 事事件件 资资产产 a 价价值值 CIA 脆脆弱弱性性 BU 安安全全域域或或业业务务单单元元 资资产产 n 价价值值 CIA 脆脆弱弱性性 威威胁胁 风风险险计计算算与与监监测测 4 4 多样化的安全预警多样化的安全预警 安全预警是一种有效预防措施 结合安全漏洞的跟踪和研究 及时发布有关 的安全漏洞信息和解决方案 督促和指导各级安全管理部门及时做好安全防范工 TSOC 技术白皮书 启明星辰信息技术有限公司 地址 北京市海淀区东北旺西路 8 号中关村软件园 21 号楼 启明星辰大厦 电话 010 82779088 传真 010 82779151 网址 22 作 防患于未然 同时通过安全威胁管理模块所掌握的全网安全动态 有针对性 指导各级安全管理机构做好安全防范工作 特别是针对当前发生频率较高的攻击 做好预警和防范工作 安全预警对来自于不同威胁事件和脆弱性模块的资产漏洞状态信息 根据规 则的事件关联分析 漏洞关联分析和风险评估的进行准确分析计算 形成统一的 5 5 级风险级别 为安全管理人员进行安全预警 基于脆弱性的预警 在接到安全厂商及软件系统发布厂商的新的漏洞通告时 安全预警模块调用 关联分析中的基于漏洞的关联分析等模块 计算出该漏洞所影响的设备 系统和 业务情况 从而得到该漏洞的风险等级 基于事件的预警 在接到新的威胁事件时 安全预警模块将调用基于规则的事件关联 基于统 计的关联分析等模块 得到本威胁事件的影响值及影响范围 当该事件的影响值 超过一定阀值后 将其进行展示 从而指导管理人员做好有效的防范工作 4 5 兼容国际的漏洞兼容国际的漏洞标准标准 启明星辰 TSOC 的漏洞评估管理通过人工审计和漏洞扫描工具两种方式 收 集整个网络的弱点情况并进行统一管理 使得管理人员可以清楚的掌握全网的安 全健康状况 漏洞评估管理具有统一的可视界面 显示各个系统的安全漏洞分布情况 包 括以下内容 以显著的图示方式表示各个系统的漏洞级别 该漏洞相关的链接信息 包括 CVE 编号 漏洞描述 受影响的系统类型 以及漏洞的解决方案等信息 统计信息 即给出漏洞的分布 数量等统计信息 TSOC 技术白皮书 启明星辰信息技术有限公司 地址 北京市海淀区东北旺西路 8 号中关村软件园 21 号楼 启明星辰大厦 电话 010 82779088 传真 010 82779151 网址 23 4 6 可视化的设备状态集中监控可视化的设备状态集中监控 自动扫描网络 图形化显示整个网络连接状况 能够监测网络设备的 CPU 内存等占用率 并在设备异常或链路异常时提示告警 实现对网络设备的拓扑管 理 故障管理 性能管理 告警管理 日志和报表管理 保障网络环境运行质量 降低网络出现故障的频率 帮助管理员对整个系统的分析 管理和优化 4 7 多样化的显示方式多样化的显示方式 提供不同的数据视图 包括 整个网络的可视化视图 具体应用服务器的深 入视图 关于以规则为基础的相关数据的交叉视图 以及可显示与最优风险水平 不同的统计视图 还可实现关于以资产及业务为基础的风险的视图 如 对资产 及业务的影响 和 攻击的可能性 等简单而有效的视图 使企业能更轻松地根 据自身的独特需求来安排纠正措施的优先级 4 8 全面的知识管理全面的知识管理 启明星辰 TSOC 的知识管理模块既提供一般知识管理功能 比如安全知识库 培训和人员考核等 也提供了强大的漏洞库 事件特征库 安全配置知识库和案 例库等 另外 启明星辰公司作为国家 CNCVE 项目的承担单位拥有自主产权的漏洞 库和事件特征库 TSOC 的漏洞库和事件特征库兼容了国内国际上流行的各种漏 洞库 比如 CNCVE CVE 等 同时启明星辰的积极防御实验室会及时发布最新 发现的各种安全漏洞 并定期对已知漏洞进行总结 TSOC 技术白皮书 启明星辰信息技术有限公司 地址 北京市海淀区东北旺西路 8 号中关村软件园 21 号楼 启明星辰大厦 电话 010 82779088 传真 010 82779151 网址 24 4 9 灵活部署具有极强可扩展性灵活部署具有极强可扩展性 启明星辰 TSOC 采用典型的 B S D 架构和三层体系架构 数据采集层 分析 处理层和安全管理呈现表示层 系统采用模块化设计 拥有多层次的分布计算 能力和多级灵活的大规模部署能力 具备极强可扩展性 4 10支持多平台支持多平台 启明星辰 TSOC 目前支持 Windows Linux Solaris For SPARC 三个操 作系统平台 并易于移植到其它平台 5 典型部署典型部署 SMP 由数据库服务器 管理服务器 事件采集服务器组成 应用软件部署在相应 的上述硬件平台上 事件采集代理 Agent 根据被管理的数据源 资产 的类型及拓扑 实际情况 在工程实施中具体部署 各类事件采集可采用分布式部署 中心网络部署事件集中采集服务器 各个被管 网络分布部署事件采集服务器 负责各自网络内的事件集中采集 维护人员通过通用 运维终端采用基于 Http Https 协议进行远程管理和日常维护 其他授权用户亦可采用 基于 Http Https 协议从安全管理角度针对所管理的网络范围进行综合风险分析监控 典型的部署如下图所示 TSOC 技术白皮书 启明星辰信息技术有限公司 地址 北京市海淀区东北旺西路 8 号中关村软件园 21 号楼 启明星辰大厦 电话 010 82779088 传真 010 82779151 网址 25 6 服务支持服务支持 北京启明星辰信息技术有限公司北京启明星辰信息技术有限公司 技术咨询服务电话 0