启明星辰泰合信息安全运营中心介绍Word下载.docx
《启明星辰泰合信息安全运营中心介绍Word下载.docx》由会员分享,可在线阅读,更多相关《启明星辰泰合信息安全运营中心介绍Word下载.docx(6页珍藏版)》请在冰豆网上搜索。
2.
事件管理
事件管理处理事件收集、事件整合和事件可视化三方面工作。
事件管理功能首先要完成对事件的采集与处理。
它通过代理(Agent)和事件采集器的部署,在所管理的骨干网络、不同的承载业务网及其相关支撑网络和系统上的不同安全信息采集点(防病毒控制台、入侵检测系统控制台、漏洞扫描管理控制台、身份认证服务器和防火墙等)获取事件日志信息,并通过安全通讯方式上传到安全运营中心中的安全管理服务器进行处理。
在事件收集的过程中,事件管理功能还将完成事件的整合工作,包括聚并、过滤、范式化,从而实现了全网的安全事件的高效集中处理。
事件管理功能本身支持大多数被管理设备的日志采集,对于一些尚未支持的设备,可通过通用代理技术(UA)支持,确保事件的广泛采集。
在事件统一采集与整合的基础上,泰合安全运营中心提供多种形式的事件分析与展示,将事件可视化,包括实时事件列表、统计图表、事件仪表盘等。
此外,还能够基于各种条件进行事件的关联分析、查询、备份、维护,并生成报表。
3.
综合分析、风险评估和预警
综合分析是泰合安全运营中心的核心模块,其接收来自安全事件监控中心的事件,依据资产管理和脆弱性管理中心的脆弱性评估结果进行综合的事件协同关联分析,并基于资产(CIA属性)进行综合风险评估分析,形成统一的5级风险级别,并按照风险优先级针对各个业务区域和具体事件产生预警,参照安全知识库的信息,并依据安全策略管理平台的策略驱动响应管理中心进行响应处理。
将预警传递到指定的安全管理人员,使安全管理人员掌握网络的最新安全风险动态,并为调整安全策略适应网络安全的动态变化提供依据。
通过风险管理可以掌握组织的整体以及局部的风险状况,根据不同级别的风险状况,各级安全管理机构及时采取降低的风险的防范措施,从而将风险降低到组织可以接受的范围内。
预警模块中心从资产管理模块得到资产的基本信息,从脆弱性管理模块获取资产的脆弱性信息,从安全事件监控模块获取发生的安全事件。
得到上述这些原始信息后,本模块进行综合安全风险分析。
综合安全风险分析是分析整个企业面临的威胁和确保这些威胁所带来的挑战处于可以接受的范围内的连续流程。
应能够根据各监控点的资产信息、脆弱性统计信息以及威胁分布信息,为每一个资产定量地计算出相应的风险等级,同时根据业务逻辑,分析此风险对其他系统的影响,计算出业务系统或区域的整体安全风险等级。
4.
脆弱性管理
通过脆弱性管理可以掌握全网各个系统中存在的安全漏洞情况,结合当前安全的安全动态和预警信息,有助于各级安全管理机构及时调整安全策略,开展有针对性的安全工作,并且可以借助弱点评估中心的技术手段和安全考核机制可以有效督促各级安全管理机构将安全工作落实。
5.
网络管理
网络管理模块可通过SNMP协议或其它手段自动发现整个网络(局域网和广域网)的拓扑结构,对取得的网络拓扑结构通过比较直观的、可视化比较好的图形方式展现,在拓扑图上通过扩展能够显示故障、告警、性能、流量等网管信息。
系统通过配置能够对网络设备进行简单的命令操作,实现远程配置操作。
通过接收Trap信息和主动轮询两种方式及时地发现网络节点发生的各种故障,及时告警,通知管理员进行相关检查和管理。
通过监控各网络和网段的流量变化,及时反映当前网络的运行状态,并对所采集的性能数据进行分析,形成必要的报告,通过图表方式展现出来。
根据性能数据、故障信息、告警信息形成统计报表。
创建实时的可视化网络设备状态,包括:
CPU使用率、内存占用、硬盘占用和带宽占用等,使设备便于管理和分析。
设备状态视图能对设备进行集中配置。
可以根据网络应用环境,定制多种显示方式。
用户能联系特定的链接图、地理位置图和图表视图能够使不同层面的人员通过纠错生命周期来复制威胁鉴别过程。
6.
响应管理
仅仅及时检测到安全事件是不够的,必须做出即时的、正确的响应才能保证网络的安全。
响应管理作为TSOC的重要组成部分之一为响应服务实现工具化、程序化、规范化提供了管理平台。
响应管理是根据当前的网络安全状态,及时调动有关资源做出响应,降低风险对网络的负面影响。
响应模块负责根据预定义好的安全策略规则,可通过工单、邮件、屏幕、声音、手机短消息、语音电话等方式及时发布工作指令,调动有关资源做出响应。
应在安全管理平台上实现人机接口。
TSOC同时提供图形化的工作流管理,可按照实际情况定义响应流程,例如可以在图形界面上定制工单的流向状态等。
7.
策略管理
网络安全的整体性要求需要有统一安全策略和基于工作流程的管理。
通过为全网安全管理人员提供统一的安全策略,指导各级安全管理机构因地制宜的做好安全策略的部署工作,有利于在全网形成安全防范的合力,提高全网的整体安全防御能力,同时通过TSOC策略和配置管理平台的建设可以进一步完善整个IP网络的安全策略体系建设,为指导各项安全工作的开展提供行动指南,有效解决目前因缺乏口令、认证、访问控制等方面策略而带来到安全风险问题。
8.
安全知识库
安全知识库包括安全管理信息、安全技术园地、安全案例库、补丁库、CNCVE漏洞库、教学资料等栏目的信息发布管理和浏览,另外,提供BBS形式的安全技术信息交流功能,提供自学习型的安全知识库,大大提高安全技术人员技术水平。
泰合信息安全运营中心软件总体结构
泰合信息安全运营中心分为SMC、DAC和V-SIMS三部分。
SMC:
安全管理中心,以B/S/D三层架构实现监控、管理、响应、报表等功能。
DAC:
数据分析中心,其以后台服务方式实现综合分析、关联分析、资产发现、脆弱性信息采集分析等数据分析处理功能。
V-SIMS:
安全信息管理系统,它完成了安全信息的采集、过滤、聚并、入库等功能,可以方便的实现分布、分级部署事件采集引擎。
泰合安全运营中心功能特色
1.强大的安全事件集中收集分析和处理能力
系统所支持的管理对象涵盖网络设备、主机系统和安全系统,安全产品包括防火墙系统、NIDS系统、CiscoGuardIPS、NokiaFirewall、漏洞扫描系统、防病毒系统、网络安全审计、身份认证系统等,网络产品包括路由器、交换机、Windows操作系统主机、Solaris操作系统主机、Oracle数据库、不同版本的WebLogic、流量管理系统等。
系统目前支持的采集方式包括:
?
Syslog
SNMP各版本
启明星辰VIP
数据库(ODBC)
XML
TEXT文本
2.集成的多种关联分析方法
通过关联分析模块完成各种安全关联分析功能,关联分析能够将原始的设备报警进一步规范化并归纳为典型安全事件类别,从而协助使用者更快速地识别当前威胁的性质。
系统提供三种关联分析类型:
基于规则的事件关联分析、漏洞关联分析和统计关联分析。
事件关联分析
可以在一定时间范围内根据事件的源地址、目的地址、源端口、目的端口及事件的类型等结合事件的等级、CIA属性等参数,对事件进行关联分析,这种关联分析的目的在于减少报警信息,对事件进行归并过滤。
漏洞关联分析
漏洞关联分析的目的在于要识别出假报警,同时为那些尚未确定是否为假肯定或假警报的事件分配一个置信等级。
这种方法的主要优点在于,它能极大提高威胁运算的有效性并可提供适用于自动响应和/或告警的事件。
漏洞关联分析引擎使安全人员能确定不同事件的优先级从而及时地对这些事件做出响应。
从多个来源收集漏洞数据。
然后将这一数据关联到从代理处收集的资产威胁数据并为每个系统分配一个风险分数。
当观察到事件时,安全管理员可实时和自动地将正在发生的该事件与系统的漏洞分数进行比较和评价并确定是否应该采取措施。
如果系统不容易遭到该事件的攻击,则无需采取任何行动。
通过将若干加权暴露参数相加,即可分配一个绝对的漏洞分数。
在多个系统上进行规范化可提供适用于风险运算的系数。
统计关联
用户可以根据实际情况定义事件的触发条件,然后统计所发生的事件,如果在一定时间内发生的事件符合所定义的条件则触发关联事件。
3.基于业务单元(BU)或安全域的风险评估
风险管理是一个评价对整个企业的威胁并确保这些威胁所构成的风险在可接受程度内的连续过程–也包括那些尚属未知的威胁。
风险是由威胁、CIA属性及价值和漏洞组成的。
威胁是那些对网络资产可能构成危险的活动。
网络资产的价值以及驻留在网络中的信息的价值本质上都是主观的因此会随时间而改变。
它通常是由系统在公司中所发挥的作用以及该系统所存储或处理的数据来限定的。
漏洞系指可导致威胁造成破坏的系统和软件薄弱环节。
采用能计算威胁和风险分数并将这些统计数据关联到针对该环境而定制的基于规则的计算结果中的专用公式为企业提供了威胁和风险评估。
系统的评分功能可连续处理低水平攻击,以识别出表示高风险威胁的模式。
其独特的评分算法可通过采用高级关联技术而检测出不同类型的威胁和攻击,可使企业识别出杂音、减少假肯定次数并迅速识别出真正的威胁,从而加快响应速度。
对网络中资产(主机及其应用系统、网络设备、安全设备)的安全事件的收集和管理,资产的脆弱状态信息收集和管理,结合事件、脆弱状态信息和资产/域所承载业务的CIA属性及价值进行综合关联分析计算,形成统一5级风险级别,便于安全管理人员及时掌握网络中各个业务域/安全域/地理域/行政域及关键资产的最新安全风险动态。
通过各种风险的计算,并将计算后的结果提交给风险计算与监测模块形成统一的预/告警信息,便于信息安全管理人员从全局动态把握网络中各个业务域/安全域/地理域/行政域及关键资产的安全风险趋势。
4.多样化的安全预警
安全预警是一种有效预防措施。
结合安全漏洞的跟踪和研究,及时发布有关的安全漏洞信息和解决方案,督促和指导各级安全管理部门及时做好安全防范工作,防患于未然。
同时通过安全威胁管理模块所掌握的全网安全动态,有针对性指导各级安全管理机构做好安全防范工作,特别是针对当前发生频率较高的攻击做好预警和防范工作。
安全预警对来自于不同威胁事件和脆弱性模块的资产漏洞状态信息,根据规则的事件关联分析、漏洞关联分析和风险评估的进行准确分析计算,形成统一的5级风险级别,为安全管理人员进行安全预警。
基于脆弱性的预警
在接到安全厂商及软件系统发布厂商的新的漏洞通告时,安全预警模块调用关联分析中的基于漏洞的关联分析等模块,计算出该漏洞所影响的设备、系统和业务情况,从而得到该漏洞的风险等级。
基于事件的预警
在接到新的威胁事件时,安全预警模块将调用基于规则的事件关联、基于统计的关联分析等模块,得到本威胁事件的影响值及影响范围,当该事件的影响值超过一定阀值后,将其进行展示,从而指导管理人员做好有效的防范工作。
5.兼容国际的漏洞标准
启明星辰TSOC的漏洞评估管理通过人工审计和漏洞扫描工具两种方式,收集整个网络的弱点情况并进行统一管理,使
升级会员 