网络安全管理中心系统平台建设方案建议

系统平台建设方案建议网络安全管理中心系统平台建设方案 网络安全管理中心系统平台建设方案 网络安全管理中心系统平台建设方案 网络安全管理中心系统平台建设方案1概述随着的网络规模庞大、系统复杂，其中的各种网络设备、服务器、工作站、OperationCenter简称SOC)正是满足这种需求，为企业安全整合提供解决方分散的管理增加管理成本和管理难度PKI等等，每个领域内均有最好的厂商和解决方案供应商，企业往往安全信息和知识的共享水平较差海量事件网络安全管理中心系统平台建设方案缺乏智能S必须改变以事件为中心的视角安全知识的不足。安全响应能力不足✓发现问题后必须能快速找到解决方法并最快速度进行响应，响应的事件响应的整个过程必须有记录和考核；✓建立一支有经验的响应队伍，这个队伍包括内部人员和外部专家支网络安全管理中心系统平台建设方案行中心(SecurityOperationCenter)解决方案，提供一个整体性、智能性的安网络安全管理中心系统平台建设方案2体系架构2.1安全运行中心的建设目标安全运行中心(SOC)解决方案提供的整体解决方案是建立在现有的安全以资产为核心的全面安全管理BS7799标准的基础上，对资产进行了简化，将资产定义为可管理的带IP的设事件为中心的安全管理有本质性的区别。面向部门和用户的安全管理强大完善的资产管理网络安全管理中心系统平台建设方案资产价值(可用性需求、完整性需求、保密性需求)的评估。完整记录资产及其以资产为核心的漏洞管理供比传统的漏洞扫描器更加详尽的信息、更快的响应以及更强的信息交互和关以资产为核心的威胁管理的视图，用户可以方便地根据资产的价值和关键性来进行事件的分级。强大的智能处理✓底层智能处理：通过数据过滤、标准化、数据合并、实时数据关联的关联，发现实时数据之间的潜在联系，可以改变和调整级别。以及漏洞相关数据被汇聚在一起，在这个新的数据集的基础上，进行新一轮的关联分析，由于集中了异种事件的关联分析，这种分析可以有效减少误报，提供更多参考。有异常的行为，发现未知攻击。网络安全管理中心系统平台建设方案深入的配置管理能力丰富完善的主动响应管理C全面的知识支持公司作为专业的安全公司，在安全领域有多年的丰富经验，建立了ST－Force实验室，保证对最新安全技术、新安全动态、最新安全漏洞的跟踪，在大规模实时多级分布式系统2.2安全运行中心建设的体系架构f网络安全管理中心系统平台建设方案解决方案主要综合考虑了现倒萨有管理体制和网络流量情况，实现最大程度的全国二级SOC架构江苏中心省中心省中心2.2.2基于层次模型的体系结构f网络安全管理中心系统平台建设方案安全运行中心(SOC)SOC作为为中国的统一的可管理的安全平台的产品，内部可划分为三层：多个功能模块或子系统：接口层：主要提供对外部系统的接口，这个接口经过标准化定义后，可数据处理和分析层：对各种数据进行关联处理和基于资产的映射。 应用层：实现各种交互和响应的模块，该模块同时提供了用户接口f安全运行中心(SOC)统一用户Web界面应用层角色管理角色管理管理风险管理系统维护安全设备管理任务调度查询分析层漏洞分析漏洞分析风险分析威胁分析息库接口层企业数据接口层企业数据收集配置据收集应工具及API块。SOC的数据处理分析层对各类统一格式的内部数据进行存储、管理和基于规则的关联分析(Rules-basedCorrelation)，同时对各类任务进行统一协调管令进行统一调度管理并传送给下层的执行模块以实现用户的管理功能。该层是网络安全管理中心系统平台建设方案管f网络安全管理中心系统平台建设方案3功能模块3.1SOC核心系统3.1.1接口层企业数据收集安全数据收集配置中心应的模块(各类实现级的安全设备配置工具或API)实现配置功能，目f网络安全管理中心系统平台建设方案际上翻译SOC响应中心行有效防护。该模块根据SOC内部统一的响应指令产生标准响应(如email、3.1.2数据分析层资产管理漏洞分析威胁分析联f网络安全管理中心系统平台建设方案数据过滤数据合并分级基于规则的智能实时关联风险分析根据计算规则定量地计算资产的风险值，达到过滤事件、简化数据的目的，为SOC用户提供更有意义的资产风险信息，这也是SOC产品最具价值的核心功。on安全信息库该存储中心不只是有一个数据库实现的，是由多个分类存储数据的数据库构成计功能，为进一步数据分析提供更有效的数据，提高分析统计的效率。f网络安全管理中心系统平台建设方案任务调度提供统一的用户命令调用接口，用户定时和即时的管理指令(如扫描命令、3.1.3应用层角色和用户管理SOC法性，是门所带来的客观需要，在角色管理的整个概念中，包括了员工、SOC用户、角一个逻辑帐号，该帐号一定对应一个企业员工，该帐号只有对应一个或完成了一个角色的定义，也可以制定一个角色由若干基础角色组成，例管理员角色包含以上二个角色的功能，这种灵活的角色定义能力保证用户可以根据需求灵活定义和修改访问对象：访问对象主要包括资产、安全设备，可以为角色划定一个范f网络安全管理中心系统平台建设方案的，也不会显示出来操作权限：可以对角色指定一系列操作的权限，操作权限分成两种，一种是和对象相关的，指定该种权限时，必须制定访问对象范围，然后制定针对性地可以做什么操作，另外一种是和对象无关的，例如一些系统维护功能，可以直接为角色指定C全控制该系统范围内的资产和安全设备，同时，由创建角色和用户。风险管理.1资产管理主流的系统，可采用在系统内内置预先定义的方法。f网络安全管理中心系统平台建设方案定义企业内部业务系统(如计费系统等)，以便提供资产的业务逻辑视图。通过界面添加资产，填写(指定)或修改资产的属性(包括名称、资产类别、定义系统自动监控系统资产的时间点(如每晚24点)或间隔多长时间进行f网络安全管理中心系统平台建设方案.2漏洞管理器的漏洞资料，管理、完善和修改漏洞库.3威胁管理最近事件趋势(最近一段时间内的事件数量和事件分布情况)，事件趋势的范例。f网络安全管理中心系统平台建设方案.4风险管理在下层风险分析模块的基础上，基于资产图以dashboard方式展现风险情基于地图的多层实时监控图，所有拓扑图为预先定义，不能自动生成f网络安全管理中心系统平台建设方案。分析查询能属某类口，利于系统的扩充。系统维护f网络安全管理中心系统平台建设方案SOC备份、数据库备安全设备管理设备(防火墙、IDS等)进行统一的查看和管理。这里有二个层面的意思，一是查看所有和选定安全设备相关的审计事件(用户操作、重新启动等)。针对不同种类的安全设备可以进一步按不同分类查看(如防火墙中的配置信息和事件查看查看所有有选定安全设备产生的安全数据(如IDS的报警等)。针对不同种置。目前先支持LinkTrust系列集、备份和查看本期支持以下设备：1.SunSolaris2.IBMAIX3.MicrosoftWindows4.HP-UXf网络安全管理中心系统平台建设方案5.Linux6.IRIX3.2SOC外部功能模块3.2.1人员组织管理很多企业系统，例如目录服务器中存在现成的企业员工信息，通过标准的建3.2.2企业资产管理f网络安全管理中心系统平台建设方案取现成的资产信息，并翻译成企业数据收集接口定义的标准资产数据。提供3.2.3脆弱性管理nnertScanner3.2.4事件和日志管理过eWizard源发送的安全事件：取事件源的日志文件，来获取其中与安全有关的pODBC可以通过ODBC数据库接口获取事件源存放在各种数据库中的f网络安全管理中心系统平台建设方案t3.2.5配置收集3.2.6安全产品接口LinktrustCyberwallLinktrustIDS3.2.7安全知识系统f网络安全管理中心系统平台建设方案3.2.8工单系统工单备工单可以合并成一个预备工单。主要是重复告警或者针对同一个管理员的问题，这种合并是手工可选的。工单内容唯一标识工单的编号。编制规则为：发出日期(格。上报处理结果。如果超过时间没有处理完，系统通过工单编号f网络安全管理中心系统平台建设方案处理结果满意是否重新处理/另行分派设定受理、处理工单的时限，在时限到达时通过E-mail或手机短信向责任人催办，并通知相关人员。工单状态改变时也能通过E-mail或手f网络安全管理中心系统平台建设方案案对关键字的搜索：关键字是通过手工办法，输入当某个关键字出现的时识；对文档和通告的综合检索：对知识库中所有文档进行检索，提供解决方安全事件的发生时间现象和故障描述原因分析处理措施和结果派单人和责任人f网络安全管理中心系统平台建设方案响应工具及API预定义了一些响应工具，如email、SNMPTRAP、防火墙互动等，也允许f网络安全管理中心系统平台建设方案4实施方案4.1WEB界面定制方案工作区：工作区指用户定义的工作环境，通常用户可以将集中的功能组组件：公司在开发和定制过程中预定义的组件模板，用户可以定义如何将这些组件放置在一个工作区内，组成一个用户工作环境，组件可以调首页：有各种功能的摘要组成，用户可自定义控制台：主要是各种仪表板分析台：支持进行各种分析知识库：包括知识库的各种信息、各种最新讨论、最新文档、告警等系统：工作计划和调度、系统设置、维护功能等4.1.1仪表板组件该部分组件的主要目标是完成对管理员管理系统的目前安全状况的概要性评价和标识，这个部分给出的指示都是综合性的：f网络安全管理中心系统平台建设方案可视化监控组件：以地图和拓扑方式直观显示各个节点的状态，对于有问题的节点，可以深入到下一级的可视化组件中去，这些组件之间通过风险变化曲线图组件：用户可以指定监控一定范围内资产的风险变化，工具条：可以快速弹出或跳转到某个组件，可快速显示简单工单提示以及工单相关的告警级别4.1.2资产信息管理组件资产树：提供了树状资产结构资产信息：可以在一个组件内显示一个资产的详细信息或者一组资产的某一资产的漏洞、事件、对资产发动扫描等。资产查询模块：可以对资产进行查询和定位4.1.3异常流量监控组件柱状图，用户可以指定刷新的时间f网络安全管理中心系统平台建设方案4.1.4安全事件监控管理组件实时事件监控组件：实时事件不断向上滚屏，可以设定过滤条件和监控分析组件：提供查询、事后关联分析功能报表组件：集中提供各种报表(此处不限于事件)4.1.5脆弱性管理组件弱点浏览和查询组件：基于资产进行弱点的浏览和查询4.1.6安全策略管理组件新闻组件：显示最近一段时间更新的安全策略，是新闻组件的一种安全策略浏览：可以浏览所有的安全策略和相应的基线审计脚本安全策略基线审计脚本定义：通过该组件界面自定义基线脚本审计策略定义：将可以收集策略的资产与相关的策略关联起来，指定审个组件连接到外部模块。4.1.7安全预警组件人工预警管理组件：可以发布人工预警新闻组件：可以显示最新的安全通告，作为预警的一种f网络安全管理中心系统平台建设方案4.1.8安全响应管理组件综合评价模块：实现中国要求的综合评价工单管理组件：在一个组件内，实现工单的发布、接收、跟踪、关闭等响应方式配置组件：设置响应方式和对象4.1.9网络安全信息4.2二级结构实施方案省级安全运行中心向国家安全中心上传的数据全国中心向省中心下发数据省级人员在全国中心拥有的权限全国中心人员在省中心拥有的权限中心上传的数据送到全国中心进行同步心下发各类知识和策略：主要下发一些配置审计的脚本供各省执行或者参考f网络安全管理中心系统平台建设方案另中心拥有的权限4.3部署方案4.3.1全国中心部署方案部部件数量SOC11台PC服务器，提供为用户提供B/S服务，实现各个WWW知识库服务1器erver一套Oracle，一套Pc服务器负责SOC其他部部分外部模块服1能采集服务器1服务调动scanner并兼收集各种配置4.3.2江苏省中心部署方案f网络安全管理中心系统平台建设方案网络安全管理中心系统平台建设方案SOCSOC11台PC服务器，提供为用户提供B/S服务，实现各个WWW一套Oracle，一套Pc服务器负责SOC其他部部分外部模块服1能采集服务器6服务主机日志采集2台、安全产品采4.3.3安全数据采集方案SOC中心和外部收集服务器或者agent的通信都采用加密通道，部分数据象，也可以采用一些灵活的方法，例如在本地设置syslog主f网络安全管理中心系统平台建设方案4.4其他4.4.1安全评价定资产系统进行系统的分析得到(往往需要和用户进行交流后确定)，资产的脆弱性则量的安全事件中分析得到(这一点和事件的数量并没有直接关系)，威胁的可能和用户进行交流商定各个基本因素的影响系数和综合计算公式(如算术平均、指f网络安全管理中心系统平台建设方案4.4.2配置收集和审计方案主机信息：包括硬件信息(HOSTID等)、操作系统版本补丁状况操作系统进程信息hadowetcinetdconfetcpasswd最后登陆、修改密码的时间信任主机配置情况访问控制er系统信息：主机名、操作系统版本补丁情况f网络安全管理中心系统平台建设方案当前进程设置为自动开启的服务注册表信息，特表是其中和安全相关的表项关键目录和文件的访问权限安装的软件包情况本地安全设置和审计设置文件和目录共享情况MP4.4.3扫描器解决方案本次推荐LinktrustTenableScanner作为全网扫描器，该扫描器实现了和支持网络发现，用于资产自动发现和核查支持高速扫描灵活可定制策略快速更新，每周更新保证最快最及时为用户提供更新借助SOC的响应功能实现被动扫描：可以资产被攻击时立即发动对其响OCf网络安全管理中心系统平台建设方案借助SOC的关联能力，将作业计划内对资产扫描产生的告警事件标志OCf网络安全管理中心系统平台建设方案5优势概述f网络安全管理中心系统平台建设方案附录一：事件管理支持产品一览NewSupportedAgentsProductIntegrationAgentReleaseMethodVersionDateCheckPointFirewall-1v4.1NGOPSEC0109/08/2003xtNewSupportedAgents(Linux0109/08/20030109/08/20030109/08/20030109/08/20030109/08/20030109/08/20030109/08/20030109/08/20030109/08/20030109/08/20030109/08/20030109/08/20030109/08/20030109/08/2003f网络安全管理中心系统平台建设方案AgentCheckpointFirewall-10/23/2003CiscoPixAgent-10/23/2003RSMANH-10/23/2003LinuxTRNDIMSS-10/23/2003AgentsctCheckPointFireWall-1v4.1CheckPointFireWall-1v4.1Methodgentsionf网络安全管理中心系统平台建设方案v1.0LinktrustCyberwallLinktrustNetworkDefenderNFRv5.0Snort1.8.xSnort1.9.xSunSolarisv7SyslogSunSolarisv8SyslogTripWirev2.2onWindowsNTTripWirev2.4onWindowsNTTripWirev2.4onSunSolarisTripWireManagerv3.0WindowsNTv4.0SecurityLogFileFileFileFileFileFileFileFileFileile003002003002001DocumentedAgentsProductIntegrationAgentReleaseMethodVersionDateApacheWebServerv1.3.14LogFile1203.01.2002CiscoPIXFirewallv5.0SNMPorLog0103.01.2002CiscoPIXFirewallv5.x03.01.200211.13.200203.01.2002IPChainsBatchModeLogFile03.01.2002f网络安全管理中心系统平台建设方案gFileRecoursegFileRecourseManTrapv3.0LogFileFileFileFileFileFileFileSnortv1.7SyslogSnortv1.7NativeLogFormatSymantecAntiVirusv7TrendMicroAntiVirusTrendMicroVirusWallTripwireServerv3.0ctctMethodAxentEnterpriseSecurityanagerAxentITAv3.5AxentITAv3.01AxentITAQueryBSDSyslogCiscoAccessPoint35iscoAccessServerAccountingv3.0CiscoAccessServerAuditv3.0rverPassedvLogFileLogFileLogFileLogFileLogFileLogFilegentsion002002002002002002002002002f网络安全管理中心系统平台建设方案CiscoDirectorCiscoNetrangerCiscoRoutersCiscoRouters/SwitchesCiscoSecureVPN3030v3.0thwallragonvragonvTLogswallviewviewslogvSSirewallgFilegFilegFileLogFileFileFileFileFileFileFileFileFile002002002002f网络安全管理中心系统平台建设方案McAfeeCentralLoggingle07.16.2002McAfeeVirusScannerle07.16.2002MicrosoftIIS4.0le08.01.2002MicrosoftPerformancele07.16.2002MicrosoftProxyle07.16.2002MotorolaE