安全信息管理平台SOC.ppt

网络卫士安全管理系统TSM 安全信息管理平台 天融信安徽办肖庆斌 2011年5月 安全管理平台概述安全管理平台在信息产业中的地位安全管理平台的几个趋势天融信安全管理系统 TSM 安全信息管理平台介绍成功案例 提纲 安全管理平台概述 安全管理平台 SOC 背景传统的NOC缺乏技术支撑 随着信息安全问题的日益突出 安全管理理论与技术的不断发展 需要从安全的角度去管理整个网络和系统 而传统的NOC在这方面缺少技术支撑 于是 出现了SOC的概念 SOC产生的动因安全产品在企业防护系统中形成一个个独立的孤岛 信息系统审计和内控要求和等级保护要求 以及不断增强的业务持续性需求 安全管理平台概述 SOC本质 不是一款单纯的产品 而是一个复杂的系统 他既有产品 又有服务 还有运维 运营 SOC是技术 流程和人的有机结合 SOC定义 以资产为核心 以安全事件管理为关键流程 采用安全域划分的思想 统一事件处理和策略管理 安全监视控制和及时安全预警和响应 安全管理平台概述安全管理平台发展现状安全管理平台的几个趋势天融信安全管理系统 TSM 安全信息管理平台成功案例 提纲 安全管理平台发展现状 安全管理平台在信息安全产业中的地位 信息安全产业是一个急速发展变化的产业 安管平台的内涵和外延也会不断的更新但是安全管理平台理念在整个信息安全产品结构中的顶层地位始终不会改变 安全管理平台发展现状 两类客户 高度信息化的单位 电信 移动 民航 金融 科研 较早的建立了网管平台 对安管平台的认识过程与国外基本保持一致 追求标准化 其他企业和组织 政府 教育 企事业单位 对安全管理平台的认识模糊 甚至连网管平台都没有 从而更加讲求实效性 安全管理平台发展现状 两个维度 产品与服务 产品 1 狭义上 安全设备的集中管理 包括集中的运行状态监控 事件采集分析 安全策略下发 2 广义上 所有IT资源 甚至是业务系统进行集中的安全管理 包括对IT资源的运行监控 事件采集分析 还包括风险管理与运维等内容 安全管理发展现状 两个维度 产品与服务 服务 以安全管理平台为技术支撑为客户提供延伸的服务 安全服务 这里 客户感受到的只是安全服务 而非产品本身 安全管理平台概述安全管理平台发展现状安全管理平台的几个趋势天融信安全管理系统 TSM 安全信息管理平台成功案例 提纲 安全管理平台发展的几个趋势 趋势一 加强基础信息采集 安全管理平台发展的几个趋势 趋势二 求同存异 各司其责 与各种第三方系统的配合程度逐步提高与网管与资产管理与工作流程与物理安全等等 安全管理平台发展的几个趋势 趋势三 结合服务与运营 通过安全服务的结合 进一步加强安全管理平台对安全管理的支撑构建监控服务中心自评估服务系统企业自服务系统知识管理系统 趋势四 面向业务安全 基于业务的SOC从资产价值走向业务价值从信息安全走向业务安全SOC与业务流程的整合 配置管理 工作流 安全管理平台发展的几个趋势 安全管理平台概述安全管理平台发展现状安全管理平台的几个趋势天融信安全管理系统 TSM 安全信息管理平台介绍 提纲 天融信安全信息管理平台 天融信安全管理平台 简称TopAnalyzer 网络卫士安全管理系统 TSM 的核心组件 从系统组件上 TopAnalyzer可以分为三大组件 服务器 TopAnalyzerServer 代理 Agent 和数据库 TopAnalyzerDataBase 代理 Agent 负责在网络中采集全网安全事件 预处理 对原始安全事件进行收集 过滤 归并等操作 后发送给服务器 TopAnalyzerServer 服务器负责对预处理后的安全事件进行集中分析 响应 可视化输出以及做出专家建议 数据库则负责集中存储预处理后的安全事件 TopAnalyzer结构体系 从体系结构设计上 TopAnalyzer共包括五个子系统 资产管理子系统用户管理子系统报表管理子系统网络管理子系统以及安全管理子系统 天融信安全信息管理平台 TopAnalyzer处理流程 各种安全产品 重要数据库 关键网络设备 关键应用系统 代理 SNMP ODBC Logfile API 事件源 事件收集 事件处理与分析 管理服务器 数据库 用户交互 资产管理脆弱性管理风险管理事件管理网络管理关联分析安全预警安全响应工单派发报表输出 SYSLOG 天融信安全信息管理平台 天融信安全管理平台 资产管理脆弱性管理风险管理事件管理网络管理实时关联分析实时事件监视安全预警管理 安全告警与响应用户管理安全策略管理工单管理知识库管理数据库管理辅助决策管理报表输出管理 功能特点 资产管理 TopAnalyzer通过对关键资产的实时监控 分析和评估资产的风险和价值 主要包括 资产类型管理物理位置管理行政信息管理漏洞查看和关联补丁查看和关联综合查询变更历史管理 天融信安全管理平台 天融信安全管理平台 脆弱性管理 TopAnalyzer能够对关键资产进行搜寻 分析和收集等 主要包括 脆弱性监视脆弱性收集 风险管理 通过风险管理 TopAnalyzer可以动态 实时地对网络所面临的风险进行评估分析 根据分析的结果提供各类风险视图 并对到达一定级别的风险自动地做出响应 主要包括 风险评估风险查看风险报警 天融信安全管理平台 天融信安全管理平台 事件管理 TopAnalyzer对采集的各类安全事件执行标准化 过滤 分类 归并 响应等事件处理过程 同时存储到数据库中 主要包括 事件采集事件标准化事件过滤事件归并事件展示事件浏览事件监视事件响应辅助决策动态黑名单 网络管理 TopAnalyzer能够通过直观 友好的网络管理界面 可以实现对网络中的设备 主机 应用系统等方面的综合管理与监控 主要包括网络设备自动发现 拓扑管理 视图管理 性能管理 资产管理等功能 天融信安全管理平台 实时关联分析 TopAnalyzer采用基于状态机的实时关联检测技术 通过有效的关联全网的安全事件 可更加精确的判断引发事件的真正原因和隐藏的威胁 并帮助分析攻击的有效性 保护用户关键的资产或关键的应用 通过使用已定义的关联分析 可实现对攻击场景和过程的还原 有助于降低入侵检测系统 IDS 的信噪比 并且可以帮助用户定位潜在的业务信息系统问题 提高和保证客户业务信息系统的服务质量 QoS 与传统的基于事后数据及数据库的事件关联分析技术相比 系统更据有实时性 这样就为快速响应及动态网络攻击防御提供了基础 天融信安全管理平台 通过关联分析加速问题定位 系统不可用 Firewall HOST DB WebServer 主机应用异常导致服务问题 天融信安全管理平台 安全告警与响应 TopAnalyzer在监视到特定事件发生时 可以根据预先制定的规则予以及时响应 做出报警 处理等操作 及时有效的应对复杂的网络安全情况 天融信安全管理平台 用户管理 TopAnalyzer是一个多用户系统 允许多个用户同时登录 查看或者处理用户本身权限范围内可浏览到的信息 用户管理将实现如何配置角色和用户 以及如何实现对资源的授权管理 天融信安全管理平台 安全策略管理 TopAnalyzer所提供的安全策略管理功能可协助用户制定各种级别 针对不同对象 人员 设备 应用 的安全策略 安全策略管理能够实现安全策略的数据导出 安全策略的数据统计 安全策略的定时发布 安全策略评估等功能 天融信安全管理平台 工单管理 TopAnalyzer提供工单管理的功能 用户可以手工创建 派发工单 也可以设定规则由系统在一定条件下自动创建 派发工单 天融信安全管理平台 知识库管理 知识库是TopAnalyzer的重要部分 它由典型安全事件处理经验 安全问题分析报告 安全脆弱性数据库和补丁库 以及各种技术和管理专题资料组成 天融信安全管理平台 数据库管理 通过TopAnalyzer界面 可以直接查看TopAnalyzer所用数据库的详细信息 包括数据库版本号 数据库分区信息 并进行导出 导入管理 天融信安全管理平台 辅助决策管理 TopAnalyzer提供辅助决策功能 在处理事件时能够采用标准的安全专家知识 每当管理员查看事件并调用辅助决策时 系统会根据事件的信息自动匹配辅助决策 由用户决定是否对事件进行处理及如何处理 天融信安全管理平台 天融信安全管理平台 动态黑名单管理 TopAnalyzer可以通过关联分析动态维护动态黑名单 也支持手工添加 通过动态黑名单 可以清楚明了地知晓企业网络中存在的威胁 报表输出管理 TopAnalyzer能够对系统中已经生成的报表进行管理 通过手工生成报表和计划生成报表 提供各类统计信息的直观综合的视图 天融信安全管理平台 安全管理平台概述安全管理平台在信息产业中的地位安全管理平台的几个趋势天融信安全管理系统 TSM 安全信息管理平台天融信安全管理平台部署案例 提纲 天融信安全管理平台部署案例 部署方式 天融信安全管理平台部署案