等保信息安全运营中心系统介绍

1、等保信息安全运营中心系统概要An Executive Overview to TSOC目录安全管理平台需求分析产品特点与价值2泰合TSOC系统介绍安全管理平台的两大动因3重要资产的安全状况无法监控主机防火墙IDS身份认证漏洞扫描有漏洞吗？我们处于危险中么？我下一步该做什么？发生什么了？应用网络设备防病毒内在需求外在需求全网整体安全态势监控系统整体运行状态监控便捷、高效的管控平台和界面集中化的监控、审计、预警、响应、报告全面有效地的契合等级保护的要求符合国家法律、行业法规、企业规定切实可行的内控、信息科技风险防范合规审计共同内因分散的IT安全防御设施复杂的业务信息系统安全孤岛孤立的管理手段等保安

2、全设计技术要求明确安管平台4国内客户对安管平台的关键诉求52011年底51CTO发布2011中国SOC安全管理平台市场应用现状报告国内客户需求分析统一的安全事件管理统一的网络运行监控当前安全管理平台的缺陷6以IT资产为管理对象，无法洞悉全网及业务系统的结构性安全业务系统 = 建筑物IT资产 = 建筑物的水泥和沙子水泥和沙子的质量固然重要，但好的水泥和沙子也不一定能够建构起好的建筑物，关键还要看整个建筑物的结构是否合理当前的安管平台能够告知我们IT资产的安全，但却无法告知我们业务系统的安全当前安全管理平台的缺陷7以安全事件为分析要素，偏事后分析，以被动响应为主安全事件是对已经发生或者正在发生的行

3、为的描述对安全事件的分析偏事后和事中分析结果更多地是指导我们进行故障处置、应急响应当前的安管平台能够告知我们哪里出了问题，但不能提前告知我们哪里将会出问题当前安全管理平台的缺陷8分析要素以日志、告警、事件为主，往往缺失信息，难以还原事发现场安全事件是IT系统工作过程汇总产生的安全信息的记录有时候IT系统没有开启日志，或者根本无法记录日志，还可能被黑客关闭或者擦除当前的安管平台可以告知我们出了什么事儿，但无法还原事发现场，难以核实事件的真实性当前安全管理平台的缺陷9过度倚重基于规则的关联分析，只能发现已知的问题基于规则的关联分析引擎规则集匹配基于规则的关联分析引擎必须要有规则才能运行规则只能对已

4、知的攻击和行为进行描述无法识别未知的攻击，或者是尚未被描述成规则的攻击和行为当前的安管平台能够发现已知的安全问题，但却无法发现未知的安全问题当前安全管理平台的缺陷10当前的安全管理平台以资产为管理对象以规则关联为分析手段以事件为分析要素个体化的局部的非结构化的规则驱动的先验性的已知的事后的被动的难以追溯的目录安全管理平台需求分析产品特点与价值11泰合TSOC系统介绍泰合安全管理平台（TSOC）定义以IT资产为基础，以业务信息系统为核心，以用户体验为指引，从监控、审计、度量、运维四个维度建立一个全网统一的业务支撑平台，使得各种用户能够对业务信息系统进行可用性、性能与服务水平监控，配置及事件分析、

5、审计、预警与响应，风险及态势的度量、评估、考核与评价，标准化、例行化、常态化的安全流程管控，通过面向业务的主动化、智能化安全管理实现业务信息系统的持续安全运营。12TSOC：下一代安全管理平台13以业务为核心业务建模业务健康指数业务性能与可用性业务脆弱性业务威胁水平内建主动安全机制事前脆弱性管控配置核查漏洞扫描预警管理主动运维智能化关联分析规则关联情境关联行为关联智能流安全分析智能化态势分析业务智能主动用户视图14安全要素信息采集安全分析响应与处置系统支撑多维展现技术架构15数据库层功能层展示层被保护对象网络设备安全设备主机数据库中间件应用/服务物理安防云设施存储虚拟化采集层其它系统应用接口层

6、资产采集性能采集配置采集事件采集监控界面运维界面风险界面审计界面性能监控系统管理采集器管理态势分析弱点管理级联管理告警管理权限管理工单管理知识管理报表管理风险评估预警管理仪表板管理资产界面漏洞系统配置事件性能拓扑业务资产知识规则工单告警预警风险业务界面漏洞采集事件分析配置核查流分析资产管理业务管理功能架构16核心功能分解资产建模资产维护安全域管理资产视图资产事件审计资产性能监测资产风险评估资产管理业务建模业务健康指数业务拓扑业务可用性业务告警业务事件性能信息采集拓扑管理网络故障诊断基础设施监控应用监控性能监控态势建模指标体系设计地址熵态势威胁态势热点分析安全管理KPI*态势分析预警发布预警审批

7、预警分析预警规则管理预警查看预警管理告警查看告警处理告警追溯告警统计告警响应告警管理工单派发工单调度工单查看工单流转工单统计工单管理事件采集事件建模事件存储事件审计追踪智能关联分析事件可视化事件管理预置报表自定义报表预置报告自定义报告报表调度报表管理业务管理*该功能默认不提供，需要定制。后同。17流分布流行为流规则流存储流追溯流与事件关联流分析知识检索案例库漏洞库事件库字典表文档库知识管理弱点管理脆弱性评估漏洞导入漏扫调度弱点管理威胁管理风险建模风险评估风险管理核查项管理核查策略管理核查作业调度离线核查核查报告配置核查面向各角色用户的一体化安全管控全网IT资源TSOC安全管理平台18业务部门领

8、导安全经理运维人员一体化安全管控掌握业务系统安全态势查阅业务系统安全报告协调安全事件的处理落实安全策略制定任务计划出具分析报告监测网络可用性安全事件审计任务处理与应急响应高层领导掌握整体安全态势评估安全机制的有效性提供安全管理决策支持系统组成管理中心【分为软件型和硬件型】包括了TSOC的核心功能管理中心内置性能采集模块，具备全部监控功能管理中心内置事件采集模块，具备全部事件采集功能性能采集器（可选）性能采集器可以独立安装部署，或者与事件采集器集成部署，功能同管理中心内置的性能采集模块，用以辅助管理中心实现分布式性能采集与监控事件采集器（可选）【分为软件型和硬件型】事件采集器可以独立安装部署，或

9、者与性能采集器集成部署，功能同管理中心内置的采集模块，用以辅助管理中心实现分布式事件采集和负载均衡日志代理（可选）对于Windows日志，系统还提供一个单独的Windows日志代理软件，可以安装在Windows系统的主机上，采集Windows系统的日志流采集器【也称作“网络行为分析模块”、硬件】（可选）流采集器可以独立安装部署，用以辅助管理中心实现网络流采集和分析事件存储器（可选）用于对海量事件进行分布式存储、查询、提取、统计及其它相关处理配置核查采集器（可选）配置核查采集器可以独立安装部署，用以实现分布式配置核查，或者离线配置核查配置核查代理（可选）对于Windows操作系统，系统提供一个配

10、置核查代理，安装在Windows上进行本机配置核查19灵活多样的部署方式20单级部署单机部署采集分布式部署事件存储分布式部署混合分布式部署多级部署目录安全管理平台需求分析产品特点与价值21泰合TSOC系统介绍产品特点22全方位的系统运行监控智能化的安全事件分析可量化的安全风险评估指标化的宏观态势感知丰富灵活的报表报告用户网络和业务影响性最小化完善的系统自身安全性保证TSOC智能化的流安全分析面向业务主动化的弱点管理与预警面向业务的安全管理23为用户提供业务支撑拓扑地图，能够对业务进行多视角安全管理业务拓扑TSOC内置业务建模工具，可以构建业务拓扑，并自动构建业务健康指标体系，从业务的性能与可用

11、性、业务的脆弱性和业务的威胁三个维度计算业务的健康度业务健康指数度量业务可用性分析业务告警业务事件业务安全可以钻取到资产层可以钻取到资产层全方位的系统运行监控24SNMPICMPODBCJMXWMITELNETSSHSSH2拓扑管理性能监测故障诊断历史分析告警响应告警关联统计报表领导安全经理监控人员掌握整体运行状况符合等保要求评估安全的可用性建立监控策略制定任务计划出具运行分析报告应用性能监测故障定位任务处理与告警响应网络监控主机监控数据库监控中间件监控应用监控安全设备监控虚拟化监控领导安全经理审计人员掌握整体安全态势审核等保与内控评估安全有效性建立审计策略制定任务计划出具日志审计报告采集和存

12、储日志日志审计与分析任务处理与告警响应SyslogTrapOPSECFileWMIFTPODBCXML智能化的安全事件分析25异构海量日志采集日志范式化与分类事件过滤归并关联分析告警存储加密压缩备份恢复监视统计查询追溯报表周期性行为同比分析与以往每天早上9点钟相比，今天早上9点的防火墙阻断次数偏高弱点关联事件与资产弱点关联针对某些目的IP攻击事件，且这些目的IP具有某个特定弱点智能化事件关联分析26智能事件关联分析引擎规则关联行为关联逻辑关联基于逻辑表达式的规则目的IP=XX &（ 目的端口=80 | 目的端口=8080） 统计关联基于统计条件的规则一分钟内某个源IP连续登录某个目的IP失败的

13、次数大于6次网络告警关联事件与网络告警关联IDS报告某个IP正在遭受攻击且该IP的CPU利用率及端口流量告警拓扑关联事件与网络拓扑关联来自某些IP的性能故障事件发生时间存在先后，在网络拓扑上的映射符合故障的传播特性行为预测环比分析今天的IDS高等级告警次数与根据之前10天的走势做出的预测相比偏高资产关联事件与资产属性关联针对内网的目的IP事件，且这些目的IP的操作系统是Windos XP情境关联智能安全安管平台中的智能流安全分析27SPAN*Flow日志告警事件安管平台综合分析与呈现NBA网络行为分析是什么？部署在内网中，实现内网通讯流量的可视化，进行网络通讯的行为建模，并以此发现网络异常（包

14、括入侵和违规）长什么样？硬件盒子，千兆可多路抓包，也可直接采集*Flow【注】可以独立部署，也可与安管平台集成部署核心技术创新的VFlow（VenusFlow）流描述语言定义了37个流属性，还支持属性扩展基于流的行为轮廓（Flow-based Behavior Profiling）基于行为的分析，而非基于特征的分析国内第一款流安全合规产品流分析的本质基于流行为轮廓的分析！流分析的典型应用场景28网络流量可视化与异常行为检测对特定网络流量的分布进行可视化展示与分析通过内网流行为建模与分析（而非基于特征），发现网络通讯异常，进行APT攻击辅助研判。例如在一台应用服务器上发现FTP服务，某台HTTP

15、服务器的404错误骤增，来自罕见源地址的访问，罕见的访问协议，超常的SSH2数据外传，隐藏IP使用，等网络流量合规性检查基于黑白灰规则的流行为合规性分析事先建立好网络网络流行为规则，例如谁、什么时段、可以/不可以通过什么协议、从哪里访问哪里，然后系统会自动进行比对，发现违规；还能自动生成规则持续资产建模与分析 自动识别资产IP、类型、开放端口和组件自动持续地分析资产的访问/被访问行为，并判定资产运行了什么服务、开启了什么应用和端口，和谁通讯最频繁，等等增强SOC分析深度对重要的安全事件钻取并展示相关的流信息，协助还原事发现场，进行事件追溯分析将流行为和安全事件进行交叉关联分析，发现更深层次的入

16、侵和违规，并进行统一呈现主动化的弱点管理与预警29响应与修复检测安全事件分析网络监控风险分析攻击与违规发生配置安全核查漏洞扫描安全威胁预警被动安全管理主动安全管理安全管理平台失落的一半主动化的弱点管理与预警30定期自动化地检查业务系统的配置安全，提前识别配置安全隐患1配置核查2漏洞扫描3威胁预警定期自动化的进行漏洞扫描，并将扫描结果与核查结果综合分析发布安全威胁预警，并标识出可能受影响的资产，提前做好防范主动化的配置安全核查31JDBCSMBTELNETSSH1SSH2核查调度配置采集配置核查符合性评分核查项管理核查告警核查报告网络设备配置主机配置数据库配置中间件配置应用配置安全设备配置领导安

17、全经理核查人员掌握整体配置安全性符合等保要求签发核查规范建立核查模板制定核查任务计划出具核查报告执行核查任务修订核查项手工核查漏洞扫描：漏扫引擎集成与调度32漏扫引擎管理漏扫引擎任务调度系统能够对业界主流漏扫引擎进行集中管理，并对漏扫引擎下发扫描任务，收集扫描结果，统一进行漏洞脆弱性分析主动安全安全通告攻击预警漏洞预警病毒预警影响性分析威胁预警管理33通过发布内部及外部的早期预警信息，分析可能受影响的资产，提前了解业务系统可能遭受的攻击和潜在的安全隐患主动安全国家主管机构系统厂商第三方 组织安全厂商上级单位外部预警安全事件内部预警领导安全经理运维人员掌握整体预警走势辅助安全决策制定预警规范和策

18、略发布正式预警分析受影响的业务提交预备预警对受影响的资产加固可量化的安全风险评估34资产风险安全域风险风险评级矩阵分析风险趋势领导安全经理评估人员掌握整体风险走势辅助安全决策制定风险评估策略分析风险出具风险分析报告量化风险评估实时风险监测资产信息安全事件弱点信息风险评估指标化的宏观安全态势感知35关键安全指标关键管理指标领导安全经理掌握整体安全态势评估安全管理绩效建立指标体系评估安全态势出具态势分析报告态势分析资产信息风险信息弱点信息安全事件拓扑信息性能信息表征整个网络安全运行态势的指标表征整个网络安全管理水平的指标* 关键管理指标功能需要根据客户实际进行定制，不是标准品，默认不提供。关键安全

19、运行态势评价指标36安全运行态势感知地址态势热点分析威胁态势通过建立一套表征系统安全状态的指标和相应的数学模型，从宏观上度量全网的安全状态，并预测未来的安全走势基于指标的网络安全态势感知安全运行的态势感知过程也是智能化的安全事件分析过程关键安全管理水平评价指标37指标配置文件支持自定义样本从管理的角度建立一套表征安全管理水平的评价指标体系，并通过相应的数学模型计算某个区域的安全管理建设水平关于泰合本部中国最早的安全管理平台研发团队之一，超过10年的技术沉淀，拥有网管、安管和运维领域的丰富经验负责安管平台类产品的研发、咨询、项目实施与运维研发中心分布在北京、上海，总人数超过200人获得了多项发明

20、专利，承接了多项国家级项目38匹配规则包含可选字符的并行多模式匹配的方法及系统200810239201.1匹配规则包含或运算符的并行多模式匹配的方法及系统200810225563.5一种海量日志关联分析方法及系统200810225913.8一种智能特征提取方法及系统200810227753启明星辰是信安标委信息安全技术 信息系统安全管理平台产品技术要求和测试评价方法国标编制组成员完备的产品资质与诸多荣誉国家版权局计算机软件著作权登记证书公安部计算机信息系统安全专用产品销售许可证保密局涉密信息系统产品检测证书中国信息安全测评中心信息技术产品安全测评证书EAL3+级中国人民解放军军用信息安全产品认

21、证证书2006年度计算机网络和信息防护解决方案优秀奖2006年度中国计算机报编辑选择奖计算机世界2008年度产品奖CCID 2008年2013年连续6年中国SOC安全管理平台市场占有率第一39广泛的成功案例40拥有国内最多、最广泛的客户群40部委金融电力能源媒体国土资源部人行清算中心南方电网国家广播电影电视总局住房与城乡建设部国家外汇管理局东北电网中央人民广播电台卫生部交通银行华东电网中央电视台农业部华夏银行信用卡中心上海电力央视国际网络有限公司水利部建设银行广东分行、河南分行 重庆电力人民日报社民政部天津银行天津电力中国教育电视台海关总署厦门商行、泉州银行广东电力北京电视台公安部韩亚银行广东中调广东省南方电视台国家信息中心宁夏银行四川电力解放军报社国家气象局盛京银行、朝阳银行山西电力中国日报社国家安全生产监督管理总局湛江商行贵州电网歌华有线国家食品药品