安全信息管理平台SOC.ppt

1、,网络卫士安全管理系统TSM 安全信息管理平台,天融信安徽办 肖庆斌,2011年5月,2,安全管理平台概述 安全管理平台在信息产业中的地位 安全管理平台的几个趋势 天融信安全管理系统(TSM) 安全信息管理平台介绍 成功案例,提纲,安全管理平台概述,安全管理平台(SOC)背景 传统的NOC缺乏技术支撑。 随着信息安全问题的日益突出，安全管理理论与技术的不断发展，需要从安全的角度去管理整个网络和系统，而传统的NOC在这方面缺少技术支撑，于是，出现了SOC的概念。 SOC产生的动因 安全产品在企业防护系统中形成一个个独立的孤岛，信息系统审计和内控要求和等级保护要求，以及不断增强的业务持续性需求，,

2、安全管理平台概述,SOC本质： 不是一款单纯的产品，而是一个复杂的系统，他既有产品，又有服务，还有运维(运营)，SOC是技术、流程和人的有机结合。 SOC定义： 以资产为核心，以安全事件管理为关键流程，采用安全域划分的思想，统一事件处理和策略管理；安全监视控制和及时安全预警和响应。,5,安全管理平台概述 安全管理平台发展现状 安全管理平台的几个趋势 天融信安全管理系统(TSM) 安全信息管理平台 成功案例,提纲,安全管理平台发展现状,安全管理平台在信息安全产业中的地位？ 信息安全产业是一个急速发展变化的产 业，安管平台的内涵和外延也会不断的更新 但是安全管理平台理念在整个信息安全产品 结构中的

3、顶层地位始终不会改变。,安全管理平台发展现状,两类客户： 高度信息化的单位(电信、移动、民航、金融、科研) 较早的建立了网管平台，对安管平台的认识过程与国外基本保持一致，追求标准化。 其他企业和组织（政府、教育、企事业单位） 对安全管理平台的认识模糊，甚至连网管平台都没有。从而更加讲求实效性。,安全管理平台发展现状,两个维度 (产品与服务) 产品： 1、狭义上 安全设备的集中管理，包括集中的运行状态监控、事 件采集分析、安全策略下发。 2、广义上所有IT资源，甚至是业务系统进行集中的安全管理，包括对IT资源的运行监控、事件采集分析，还包括风险管理与运维等内容,安全管理发展现状,两个维度 (产品

4、与服务) 服务： 以安全管理平台为技术支撑为客户提供延伸的服务安全服务。这里，客户感受到的只是安全服务，而非产品本身。,10,安全管理平台概述 安全管理平台发展现状 安全管理平台的几个趋势 天融信安全管理系统(TSM) 安全信息管理平台 成功案例,提纲,安全管理平台发展的几个趋势,趋势一：加强基础信息采集,安全管理平台发展的几个趋势,12,趋势二：求同存异，各司其责,与各种第三方系统的配合程度逐步提高 与网管 与资产管理 与工作流程 与物理安全等等.,安全管理平台发展的几个趋势,趋势三：结合服务与运营,通过安全服务的结合，进一步加强安全管理平台对安全管理的支撑 构建监控服务中心 自评估服务系统

5、 企业自服务系统 知识管理系统 。,14,趋势四：面向业务安全,基于业务的SOC 从资产价值走向业务价值 从信息安全走向业务安全 SOC与业务流程的整合（配置管理、工作流.）,安全管理平台发展的几个趋势,15,安全管理平台概述 安全管理平台发展现状 安全管理平台的几个趋势 天融信安全管理系统(TSM) 安全信息管理平台介绍,提纲,天融信安全信息管理平台,天融信安全管理平台(简称TopAnalyzer)网络卫士安全管理系统（TSM）的核心组件。 从系统组件上，TopAnalyzer可以分为三大组件：服务器（TopAnalyzer Server）、代理（Agent）和数据库（TopAnalyzer

6、 DataBase）。 代理（Agent）负责在网络中采集全网安全事件，预处理（对原始安全事件进行收集、过滤、归并等操作）后发送给服务器（TopAnalyzer Server）； 服务器负责对预处理后的安全事件进行集中分析、响应、可视化输出以及做出专家建议； 数据库则负责集中存储预处理后的安全事件。,TopAnalyzer结构体系,从体系结构设计上，TopAnalyzer共包括五个子系统： 资产管理子系统 用户管理子系统 报表管理子系统 网络管理子系统 以及安全管理子系统。,天融信安全信息管理平台,TopAnalyzer处理流程,各种安全产品,重要数据库,关键网络设备,关键应用系统,代理,SN

7、MP,ODBC,Log file,API,事件源,事件收集,事件处理与分析,管理服务器,数据库,用户交互,资产管理 脆弱性管理 风险管理 事件管理 网络管理 关联分析 安全预警 安全响应 工单派发 报表输出 ,SYSLOG,天融信安全信息管理平台,天融信安全管理平台,资产管理 脆弱性管理 风险管理 事件管理 网络管理 实时关联分析 实时事件监视 安全预警管理,安全告警与响应 用户管理 安全策略管理 工单管理 知识库管理 数据库管理 辅助决策管理 报表输出管理,功能特点:,资产管理,TopAnalyzer通过对关键资产的实时监控，分析和评估资产的风险和价值。主要包括： 资产类型管理 物理位置管理

8、 行政信息管理 漏洞查看和关联 补丁查看和关联 综合查询 变更历史管理,天融信安全管理平台,天融信安全管理平台,脆弱性管理,TopAnalyzer能够对关键资产进行搜寻、分析和收集等 。主要包括： 脆弱性监视 脆弱性收集,风险管理,通过风险管理，TopAnalyzer可以动态、实时地对网络所面临的风险进行评估分析，根据分析的结果提供各类风险视图，并对到达一定级别的风险自动地做出响应。 主要包括： 风险评估 风险查看 风险报警,天融信安全管理平台,天融信安全管理平台,事件管理,TopAnalyzer对采集的各类安全事件执行标准化、过滤、分类、归并、响应等事件处理过程，同时存储到数据库中。主要包括

9、： 事件采集 事件标准化 事件过滤 事件归并 事件展示 事件浏览 事件监视 事件响应 辅助决策 动态黑名单,网络管理,TopAnalyzer能够通过直观、友好的网络管理界面，可以实现对网络中的设备、主机、应用系统等方面的综合管理与监控。 主要包括网络设备自动发现、拓扑管理、视图管理、性能管理、资产管理等功能。,天融信安全管理平台,实时关联分析,TopAnalyzer采用基于状态机的实时关联检测技术，通过有效的关联全网的安全事件，可更加精确的判断引发事件的真正原因和隐藏的威胁，并帮助分析攻击的有效性，保护用户关键的资产或关键的应用。 通过使用已定义的关联分析，可实现对攻击场景和过程的还原。 有助

10、于降低入侵检测系统（IDS）的信噪比，并且可以帮助用户定位潜在的业务信息系统问题，提高和保证客户业务信息系统的服务质量（QoS）。 与传统的基于事后数据及数据库的事件关联分析技术相比，系统更据有实时性，这样就为快速响应及动态网络攻击防御提供了基础。,天融信安全管理平台,通过关联分析加速问题定位,系统不可用,Firewall? HOST? DB? Web Server ?,主机应用异常导致服务问题！,天融信安全管理平台,安全告警与响应,TopAnalyzer在监视到特定事件发生时，可以根据预先制定的规则予以及时响应，做出报警、处理等操作，及时有效的应对复杂的网络安全情况。,天融信安全管理平台,用

11、户管理,TopAnalyzer是一个多用户系统，允许多个用户同时登录、查看或者处理用户本身权限范围内可浏览到的信息。 用户管理将实现如何配置角色和用户，以及如何实现对资源的授权管理。,天融信安全管理平台,安全策略管理,TopAnalyzer所提供的安全策略管理功能可协助用户制定各种级别，针对不同对象（人员、设备、应用）的安全策略。 安全策略管理能够实现安全策略的数据导出、安全策略的数据统计、安全策略的定时发布、安全策略评估等功能 。,天融信安全管理平台,工单管理,TopAnalyzer提供工单管理的功能。 用户可以手工创建/派发工单，也可以设定规则由系统在一定条件下自动创建/派发工单。,天融信

12、安全管理平台,知识库管理,知识库是TopAnalyzer的重要部分。 它由典型安全事件处理经验、安全问题分析报告、安全脆弱性数据库和补丁库、以及各种技术和管理专题资料组成。,天融信安全管理平台,数据库管理,通过TopAnalyzer界面，可以直接查看TopAnalyzer所用数据库的详细信息，包括数据库版本号、数据库分区信息，并进行导出、导入管理。,天融信安全管理平台,辅助决策管理,TopAnalyzer提供辅助决策功能，在处理事件时能够采用标准的安全专家知识。 每当管理员查看事件并调用辅助决策时，系统会根据事件的信息自动匹配辅助决策，由用户决定是否对事件进行处理及如何处理。,天融信安全管理平台,天融信安全管理平台,动态黑名单管理,TopAnalyzer可以通过关联分析动态维护动态黑名单，也支持手工添加。通过动态黑名单，可以清楚明了地知晓企业网络中存在的威胁。,报表输出管理,TopAnalyzer能够对系统中已经生成的报表进行管理，通过手工生成报表和计划生成报表，提供各类统计信息的直观综合的视图。,天融信安全管理平台,36,安全管理平台概述 安全管理平台在信息产业中的地位 安全管理平台的几个趋势 天融信安全管理系统(TSM) 安全信息管理平台 天融信安全管理平台部署案例,