永达安全管理与控制平台SOC技术白皮书V202.docx
《永达安全管理与控制平台SOC技术白皮书V202.docx》由会员分享,可在线阅读,更多相关《永达安全管理与控制平台SOC技术白皮书V202.docx(21页珍藏版)》请在冰豆网上搜索。
永达安全管理与控制平台SOC技术白皮书V202
永达安全管理与控制平台(SOC)
技术白皮书V2.3.2
一、产品概述
1.1概述
经过近10年的发展,安全管理中心(SOC)的功能仍然介于配置管理中心、网络管理中心之间,一般用户难以体验安全管理中心(SOC)所带来的增量效益,部分强调安全事件管理(SIEM)的SOC产品又缺少完整的资产配置管理功能以及基本的网络管理功能,导致目前大多SOC产品未能全面有效地帮助用户发现或了解各个业务系统中存在的安全问题。
所以研发下一代安全管理中心(SOC),为用户提供全面的安全审计视图,帮助用户从安全管理、网络管理、资产配置管理不同角度、不同层面发现业务系统中存在的安全问题,已经成为当务之急。
永达SOC安全管理与控制平台是整个网络以及安全保障体系的核心平台,它是全网的分析判断中心、决策指挥中心和智能调度中心,通过永达SOC安全管理与控制平台可以达到对处于同一网络中的所有主机、安全部件以及网络部件实行统一管理、统一监控、统一调度、协同处理的效果,最大限度、智能的保证所辖网络的安全和资源的合理利用。
永达SOC在资产配置管理(CMDB)基础上集成网络管理、安全事件管理功能,从安全管理的角度为用户集中呈现安全审计视图,用户在安全审计视图的引导下,可以深入了解不同业务系统的资产配置状态审计视图、网络状态审计视图,从而更好地帮助用户落实安全管理制度,发现网络和资产配置所引发的安全问题。
永达SSOC符合国家等级保护制度的要求,实现以SSOC为中心,实现配置、审计、策略三权分立(系统管理员、审计管理员、安全管理员的权限分离)。
图1产品理念
1.2系统架构
永达SOC由中心服务器、管控器、合规审计器、安全事件处理服务器、数据库服务器以及可选的SOC产品链设备或软件模块组成。
在分级部署的情况下,可以选配集中WEB管理服务器,集中访问各分中心服务器。
图2产品逻辑结构
图3产品物理结构
组件
说明
中心服务器
用户管理服务,资产配置管理,网络设备监视,报表服务,策略配置、分发,审计服务。
注:
其中报表服务、审计服务可以根据性能的需求配置独立的服务器。
管控器
事件采集、过滤,设备状态采集,与安全设备联动。
合规审计器
执行符合S-CAP规范的审计规则,生成合规审计所需要的数据。
SOC产品链设备。
安全事件处理服务器
高性能安全事件处理服务器,事件关联、统计。
数据库服务器
高性能数据服务器,存储安全事件、资产关系模型实例。
缺省配置高性能版本的MySQL。
集中WEB管理服务器
集中访问SOC各级分中心服务器。
可选设备。
防火墙
SOC产品链设备,可选设备。
应用代理
SOC产品链设备,可选设备。
代理SSH,RDP,TDS等协议,提供授权访问和深度审计信息。
IDS
可选设备。
工单管理模块
可选软件模块。
二、功能介绍
2.1风险管理
在下层风险分析模块的基础上,基于资产图以仪表盘方式展现风险情况,并可使用漏洞管理、威胁管理来查看具体安全信息;同时可定义对应的响应方式。
2.1.1资产风险呈现
以仪表盘的方式显示企业业务系统、资产的风险状况。
主要提供三种方式:
以不同颜色图标的方式定性显示业务系统的风险情况;以仪表盘的方式定量显示资产的实时风险状况;以曲线图的方式显示资产的风险变化情况。
2.1.2可视化告警监控
基于拓扑图的多层实时监控图
2.1.3定义资产风险计算规则
定义从资产价值、漏洞和威胁信息计算得到资产风险值的规则。
2.1.4定义业务系统风险显示规则
定义从所包括的资产风险值定性分析业务系统风险状况的规则。
2.1.5查看风险信息
针对某个风险的安全信息,查看其详细信息,并可进一步通过漏洞管理和风险管理查看各相关因素的情况。
2.1.6定义风险响应
针对某类风险,定义响应方式或产生某种响应动作,如产生预警信息等。
2.1.7产生风险响应
针对某个呈现的风险,通过界面交互手工产生某中相应方式,如产生预警信息等。
2.1.8风险分析报表
针对资产或业务系统,生成风险的各类分析报表。
2.2脆弱性管理
SOC的漏洞评估中心通过人工审计和漏洞扫描工具两种方式,收集整个网络的弱点情况并进行统一管理,使得管理人员可以清楚的掌握全网的安全健康状况。
2.2.1漏洞库管理
导入各类扫描器的漏洞资料,管理、完善和修改漏洞库
2.2.2扫描任务管理
定义定时扫描的任务。
可针对资产、业务系统或某个网段进行分别定义或整体定义。
2.2.3即时扫描
立即对某个资产执行扫描。
2.2.4漏洞查询
可根据资产对漏洞情况进行查询,并能比较漏洞变化情况。
2.2.5补丁管理
对和漏洞相应的补丁进行统一管理,为外部分发程序提供支持。
2.3威胁管理
针对资产管理由各类安全设备综合产生的威胁类安全信息。
2.3.1查看资产的威胁情况
针对资产查看威胁情况,可按排名和趋势进行检索和查看,如:
查看该节点最近事件趋势(最近一段时间内的事件数量和事件分布情况)。
2.3.2查看威胁信息
针对某个威胁的安全信息,查看其详细信息。
2.3.3定义威胁响应
针对某类威胁,定义响应方式或产生某种响应动作。
2.3.4威胁分析报表
针对资产或业务系统,生成威胁的各类分析报表。
2.4资产管理
2.4.1资产配置关系库
系统提供了一个全自动,无所不包的资产配置关系库,它可以自动发现用户环境中的设备,软件,补丁,用户和目录对象,将它们智能地分组,并维护这个明晰的清单。
集成的变更管理,实时状态和服务依赖关系则,使得企业在资产管理,合规管理和解决问题的能力上得以加强。
SOC资产配置管理的核心是资产配置模型,该模型详细地描述了SOC管理的设备,同时还描述了设备之间、业务对象之间以及其它用户定义的重要分组之间的关系。
由于该模型高度复杂,因此模型信息的来源也多种多样,其中一个最主要的来源称之为资产采集子系统,资产采集子系统通过各种可用的方式来发现设备上的服务、接口、主机上的进程、服务、文件等信息。
利用所采集的信息,在系统中建立一个基于资产模型的资产配置关系库,成为SOC中所有审计操作的基础。
2.4.2资产信息关联
资产类别:
网络设备、服务器、工作站、存储设备、周边环境设备等。
对于每种设备,除了列表显示基础属性(名称、IP、类型、版本、变更、审批状态、维护信息等等),还可关联查看丰富的相关信息,包括:
●设备概览:
属性概要、状态概要、健康概要、维护安排等
●健康状态:
包括可用性健康状态、性能健康状态和安全健康状态。
●联系人:
负责该设备维护的人员信息。
●网络接口:
列表显示设备中每一个接口的基本属性,以及设备的UP/DOWN状态。
●软件:
分类列表显示设备中所安装的各种软件。
●硬件:
列表显示设备中所包含的主要硬件。
●配置:
可以比较两个配置间的差异
●资产关系:
查看设备中各种软件、组件间的关系,或与其它设备资产的关系。
2.4.3资产建模与发现
资产配置模型描述了每一设备硬件信息、操作系统、安装软件,以及运行服务等方面的信息,据此,永达SOC可以自动发现并识别网络中的设备,并根据预配置的监视模板对资产进行状态监视。
从而SOC可以适应复杂IT环境的监视和管理需求。
2.4.4资产等高分析
资产等高分析可以帮助用户从完整性(I)、私密性(C)、可用性(A)三个角度把握全局的的资产安全状态。
直观地了解不同级别资产的正在面临的威胁事件,或者了解海量事件所影响的资产。
根据资产的重要程度进行分级,对每一级别资产,分别统计影响其完整性(I)、私密性(C)、可用性(A)的事件;对任意两级资产,统计主体、客体位于不同资产级别的事件,并按完整性(I)、私密性(C)、可用性(A)事件进行分类。
然后把这些统计结果以可视的方式展现出来,用户可以钻取资产、事件的详细属性以及状态。
2.4.5资产状态监视
系统基于资产配置管理数据库,使用状态监视模型插件,可以深入、全方位地为用户展示其IT设施的状态,从网络到服务器,再到其应用程序、IP服务、文件系统、进程等等。
系统通过支持SNMP、SSH、WMI、SYSLOG、TELNET等协议,实现无代理数据采集,从而最大限度地减少对被监视系统的影响。
1)可用性监控
可用性测试包括针对IT基础架构的系统运行测试,通过测试可以判断系统是否在正常运行,测试手段包括:
ping测试、进程测试和服务测试。
2)性能监视
性能监视系统的作用是,跟踪重要的IT资源信息并随时记录其变化。
通过SNMP、自定义脚本(pythonscript)或XML-RPC来采集数据。
3)事件管理
事件管理是Soc系统各部分状态信息以及受其监视系统信息的一个整合。
还可接入来自IT基础设施其它部分的事件,这其中包括Syslog和SNMPTraps。
Ssoc收到这些事件后,通过一套规则进行处理并最终将这些事件整合进Ssoc模型。
2.5安全事件管理
2.5.1安全事件采集
安全事件采集支持的设备类型有网络设备,安全设备,安全程序,应用程序,操作系统,数据库,反病毒等。
这些设备或者应用程序使用SNMP、Syslog或者客户端程序将日志数据发送到SOC管控器。
数据在送到SOC管控器以后,SOC管控器通过规则进行过滤,使用设备类型进行分类,对各种日志进行分类、聚合,加密、格式规范化。
2.5.2安全事件监控
安全事件监控负责实时监控网络的安全事件状态,是实时掌握全网的安全威胁状况的重要手段之一。
通过事件监控模块监控网络各个网络设备、主机系统等日志信息,以及安全产品的安全事件日志信息等,及时发现正在和已经发生的安全事件,通过响应管理中心模块采取措施,保证网络和业务系统的安全、可靠运行。
实时将其结果输入综合分析决策支持与预警平台。
安全事件监控中心还包括网络异常流量监控模块。
蠕虫和DDOS攻击是影响网络正常运行的主要安全威胁之一。
通过异常流量监控模块实时监控重要网络链路的流量状况,可以及时检测网络中的异常流量,采取有效措施降低异常流量对网络的影响。
2.5.3实时事件关联分析
安全管理平台的关联技术也是我们产品的核心技术,由于任何一项单独的关联技术都是不全面的,所以基于这点,我们采用了混合关联技术混合关联引擎。
最大限度的减少误报提高准确性,在混合关联技术中我们主要使用以下技术:
⏹统计关联技术。
所有的安全事件将为优先化处理给以一个安全级别。
这样管理员就不需要去用眼睛看数千个警报了。
而且管理员可以自定义极限值以减少勿报的几率,通过安全监控及早的发现危险。
⏹漏洞信息关联技术。
主要是收集第三方管理漏洞系统的信息,这个过程将使用来自CVE信息来进行关联。
我们提供专用的工具将漏洞管理信息导入到我们的数据库。
因为关联过程中使用了最新的来自CVE的信息(我们的安全知识库是可以进行更新的,并且可以自我定义),而且可以提供相关知识连接,所以能及时发现最新的安全隐患。
⏹状态式(基于规则)关联技术。
用户可以预先定义的商业资产值和状态式规则,状态式关联可以辨别真正的攻击。
当采集到的事件符合规则中的任何情形的时候,安全管理平台就把作为一个真实的攻击进行分类,并且触发一个安全警告,使安全管理员能及时高效的对真正的攻击做出反应。
⏹机器自动学习技术。
这是基于聚合的技术,它把组中的不同类型的设备之间有关系的事件汇聚成一个事件。
通过采用上述关联分析技术,SOC将来自不同设备的日志事件纪录(例如:
防火墙、入侵检测系统、防毒软件、网络设备、操作系统、数据库及其它应用程序等),进行数据采集、关联分析、事件优先重要性分析及可视化呈现。
这样杂乱且繁多无章的系统信息就自动转换成有意义、且利于用户对安全故障做出响应的有用信息。
利用安全事件回放的功能及统计分析显示报告功能,提供事后调查取证的能力。
2.6集中审计仪表板
SOC使用“等高分析”为用户提供全局的审计情况,以“资产分类”和“业务视图”两个视角为用户提供审计结果。
基于SOC的资产配置库,以列表方式分类列出所有设备,根据不同类型设备,列出相应的审计项目(即列表的列项),同时提供钻取每一审计项目详细信息的功能。
“业务视图”是根据用户环境中的实现业务对资产进行分组,如OA系统、财务系统、安全子系统等等,通过“业务视图”,用户可以关注各种业务的可用性状态、性能状态、安全状态。
“业务视图”从以下几方面提供审计信息:
●列表显示所有业务视图,列出名称、健康状态、性能故障数(高、中、低)、可用性故障数(高、中、低)、安全故障数(高、中、低);
●列表显示该业务视图中的所有设备,包括设备IP、设备类型、可用性(UP/DOWN)、CPU使用、性能故障数(高、中、低)、可用性故障数(高、中、低)、安全故障数(高、中、低)等等,并能钻取每一项的详细信息。
●列出视图包含的所有应用,包括设备IP、设备名称、设备类型、应用名称、进程名称、CPU使用、内存使用等等。
●业务视图可视化:
展示业务系统的实际拓扑图,查看总体的业务状态,还可以选择展示某一审计项目的详细图表。
2.7安全告警与响应
永达SOC可以根据性能故障数(高、中、低)、可用性故障数(高、中、低)、安全故障数(高、中、低)产生告警。
通过配置告警生成规则,系统可以根据资产的保护级别、故障类型、故障严重程度等信息产生不同级别的告警(高、中、低)。
在产生告警时,SOC充分考虑了现实管理的情况,系统可以设定告警的合并条件,对于满足条件的告警进行合并,可以有效避免对相关的故障重复响应(如对同一设备故障生成多个工单)。
目前系统可以对同一资产、仍然处理打开状态的告警进行合并。
SOC支持多种告警响应方式,包括邮件通知、短信息通知,也可以配置执行某个响应程序。
三、产品特点
3.1资产的统一配置、监控、告警、评估、响应
永达SOC安全管理与控制平台,继承了传统安全管理软件在资产管理、设备监控、预警管理、安全评估、安全响应、配置管理等方面的功能。
永达SOC安全管理与控制平台的功能,包括围绕资产对象,以安全事件管理为关键流程,采用安全域划分的思想,建立一套实时的资产风险模型,协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。
3.2策略、检测、防护、响应一体化
在整体的安全策略的控制和指导下,在综合运用防护工具的同时,利用检测工具(攻击溯源、安全事件关联分析、安全态势分析等)了解和评估系统的安全状态,及时调整安全策略,将系统调整到“最安全”和“风险最低”的状态。
防护、检测和响应组成了一个完整的、动态的安全循环,在安全策略的指导下保证信息系统的安全。
(1)策略:
统一策略管理,是安全防护管理的前提。
所有的防护、检测和响应都是依据安全策略实施的。
永达SOC安全管理与控制平台,通过统一的安全策略管理功能,实现网络策略的统一管理、发布、自动调整功能。
(2)防护:
防护是根据系统可能出现的安全问题而采取的预防措施。
计算机网络中大量采用的防护技术通常包括数据加密、身份认证、访问控制、授权和虚拟专用网(VPN)技术、防火墙、安全扫描和数据备份等。
当安全管理系统检测到攻击或威胁来到时,如果计算机网络原有的安全防护措施不足以达到安全防护的目的,就需要及时调整安全策略。
(3)检测:
当攻击者穿透防护系统时,检测功能就发挥作用,与防护系统形成互补。
检测是动态响应的依据。
永达SOC安全管理与控制平台通过事件在线分析、攻击溯源、安全态势监控等多种手段,进行攻击检测和威胁分析。
(4)响应:
系统一旦检测到入侵,响应系统就开始工作,进行事件处理。
响应包括紧急响应和恢复处理,恢复处理又包括系统恢复和信息恢复。
永达SOC安全管理与控制平台响应管理中心,集中处理安全响应,保障全网安全。
3.3网络、应用、业务三维一体化管理
安全与业务的融合是客户需求发展趋势,也是安全技术发展的必然。
永达SOC安全管理与控制平台,在解决用户传统网路安全管理需求的技术上,其核心价值在于融合了网络安全管理、应用安全管理和业务安全管理的功能,从全网安全的角度,提供了一套网络、应用、业务三维健康管理方案。
一个IT支撑系统一般是由一组IT资源(主机、网络、存储等)和一套业务流程构成的。
对于IT支撑系统而言,IT资源的种类往往相对是稳定的,而业务的复杂性就体现在业务流程上。
传统的网络安全管理,保障了业务支撑系统的安全。
在此基础上,永达SOC安全管理与控制平台从业务出发,通过业务需求分析、业务建模、面向业务的安全域和资产管理、业务连续性监控、业务价值分析、业务风险和影响性分析、业务可视化等各个环节,采用主动、被动相结合的方法采集来自企业和组织中构成业务系统的各种IT资源的安全信息,从业务的角度进行归一化、监控、分析、审计、报警、响应、存储和报告。
永达SOC安全管理与控制平台通过整合应用监控功能和内网安全管理功能,实现对业务载体和业务流程的全面监控管理,将边界安全、内网安全和业务安全统一到一起,从整体的角度,统一管理、统一预警、全局审计。
3.4灵活的统计告警规则设置
系统内置丰富的统计告警规则,并支持扩展和自定义规则,这些规则从不同层面上反映当前的安全管理状况,所有的规则都可以根据定义的条件触发相应的告警。
3.5功能热升级
SOC安全管理与控制平台采用基于多代理的开放式架构和能力树的内部实现方法,能够在不改变系统其它部分的同时实现安全功能的升级
3.6安全部件联动
SOC安全管理与控制平台可以对安全代理、扫描器、IDS、防火墙产生的安全交易信息根据人工智能算法进行分析综合,并根据结果控制扫描器、IDS和防火墙产生相应的安全动作。
3.7强大的智能处理引擎
不但支持基于事件的关联分析,而且支持基于资产的关联分析,分析的结果可以关联到知识库和解决方案。
永达多年对攻击事件和扫描漏洞的深入研究保证了知识的积累和应用。
3.8以资产为核心的全新安全视角
以往的安全管理系统往往是建立在安全产品和事件的基础上,为安全管理员提供协助,而永达SOC安全管理与控制平台颠覆了这种视角,建立全面的安全管理系统,让每个管理员都可以查看自己需要的安全信息,以资产为核心,实现全面安全。
3.9双机热备功能
为了保证系统的高可用性,永达安全管理与控制平台提供了双机热备份功能,即在同一个节点使用两个配置相同的永达安全管理与控制平台。
正常情况下一个处于工作状态,另一个处于备份状态,当工作状态的系统出现故障时,备份状态的永达安全管理与控制平台自动切换到工作状态,做到无缝切换。
永达安全管理系统的双机热备功能可以使永达安全管理与控制平台备用主机在极短时间完成整个切换过程,切换过程不需要人为操作和除两个永达安全管理与控制平台以外的其他系统的参与。
真正做到有备无患。
四、典型运用
4.1全国铁路客票系统安全管理系统
全国铁路客票发售与预订系统(简称客票系统)已经形成了多种结构网络的互联,涉及到18个铁路局、二千多个车站、数万个售票终端,业务操作角色较多、流程复杂、交易负荷巨大、业务呈现分布性和多样化,其承载的网络体系复杂、开放、规模巨大、异质和异构等特点,面临的信息安全风险及问题具有典型性和代表性。
因此该系统的安全保障方案采用集中、动态、统一的基于SOC的安全管理和控制体系架构,以信息安全管理理念和等级保护为基础,划分以铁道部心、铁路局和车站的客票中心为核心的安全区域,对资源进行整体分析,构建统一目标的安全网络,在整合的统一平台界面下,统一设置安全策略和事件响应机制,并对所有设备进行配置、监控和管理,实现安全与业务耦合,人机互动,进行系统、动态、可持续化的安全保障。
4.22008北京奥运电子政务网络监管平台
北京电子政务网络是北京市政务信息的统一承载平台,网络覆盖北京市各委办局和18个区县政府机关及相关企事业单位等,并承载了50多个电子政务系统,接入用户已达330多家。
为了对该网络的运行进行有效的监控和管理,保证政务网络的安全、可靠、稳定的运行,该系统管理采用先进的基于SOC的统一管理控制技术和先进的网络管理技术,部署统一的综合监管平台和分布式的探针,实现了对政务网络资源有效的监控和管理。
4.32008北京奥运城市运行指挥平台安全管理系统
奥运城市运行指挥平台是综合、复杂的信息系统,包括城市运行信息采集、信息传输、信息交换、信息处理和信息应用,由于其涉及面广、网络结构复杂异构,因此其信息安全保障尤为重要。
该系统的安全方案采用集中、动态、统一的基于SOC的安全管理和控制体系架构,解决了多级系统、多类用户、异构网络、多级安全目标的信息系统安全保障问题,实现对该系统的有效监控和管理,在奥运会期间保障了该系统安全可靠运行,为奥运会信息系统的安全保障工作提供了有力支撑,并获得奥组委的嘉奖。
五、销售许可证与资质
5.1销售许可证
5.2资质
升级会员 