04.天融信TSM3.0产品介绍.ppt

1、首页天融信天融信SOCSOC安全安全运营运营中心介绍中心介绍高级安全顾问：陶越高级安全顾问：陶越2题纲&SOCSOC背景及基础背景及基础&TSMTSM安全运营中心安全运营中心&TSMTSM系统系统特点特点3SOCSOC相关名词术语相关名词术语lSOC（Security Operatings Center）安全运营中心/安全管理平台lSIM（Security Information Management）安全信息管理lSEM（Security Events Management）安全事件管理lSIEM（Security Information and Events Management）安全信息

2、与事件管理lLM（Log Management）日志管理lSMC（Security Management Center）安全管理中心lMSS（Managed Security Service）可管理的安全服务/安全托管服务lMSSP（Managed Security Service Provider）安全托管服务提供商lMNS（Managed Network Service）可管理的网络服务/网络托管服务lNOC（Network Operatings Center）网络运营中心4SOCSOCl命名来源于NOC，概念来源于MSSl国际一般指SOC是一个中心，有固定的场所，有一个技术支撑平台、有大

3、屏幕系统、有组织人员、有一套运营的流 程，为第三方提供安全管理服务。l国际通行的SOC理念是服务和产品围绕MSS运营展开的，是支撑MSS的技术基础，鲜见以SOC命名的产品l国内一般指SOC是一个技术平台，是一个传统概念上的成熟安全产品，而不考虑运维，将产品与运营之间的关系裁剪掉了5MSS and MSSPMSS and MSSPl为了节省客户的相关安全投入，即客户将安全外包给MSSP，以小于原投入的资金获得更加专业的业务安全。l概念来源于MNS，是相对网络托管服务提出的安全管理服务全球全球12大大MSSP：AT&T BT IBM Integralis（专注于欧洲市场）（专注于欧洲市场）Mega

4、Path Perimeter Savvis SecureWorks Solutionary Symantec Verizon VeriSign（MSS业务业务快要卖光了快要卖光了）Gartner（高德纳）公司将（高德纳）公司将MSS定义为以下几类：定义为以下几类：防火墙或防火墙或IPS的监视与托管的监视与托管IDS的监视与托管的监视与托管 DDOS防护防护邮件反病毒邮件反病毒/反垃圾托管服务反垃圾托管服务防病毒网管托管服务防病毒网管托管服务 安全信息管理安全信息管理安全事件管理安全事件管理网络、服务器或应用的弱点扫描托管网络、服务器或应用的弱点扫描托管 安全弱点或威胁通知服务安全弱点或威胁通知

5、服务日志分析托管日志分析托管监视监视/托管设备报告与故障响应报告托管设备报告与故障响应报告6MSSMSS服务方式服务方式7SOCSOC、MSSMSS、MSSPMSSP及及UserUser间关系间关系MSSPMSSSOCUserISP应用商应用商安全厂商安全厂商专业服务商专业服务商咨询商咨询商入侵监测入侵监测远程监控远程监控漏洞评估漏洞评估事件管理事件管理合规检测合规检测运维报告运维报告漏扫系统漏扫系统大屏监控大屏监控事件工具事件工具日志工具日志工具病毒系统病毒系统运维人员运维人员FirewallIDSIPSAuditAV支撑支撑解决方案解决方案建设建设提供服提供服务产品务产品利用利用管理系统管

6、理系统及服务及服务8SOCSOC产生的背景产生的背景l伴随MSS的发展而产生的l由ISS（IBM收购）在1998年提出MSS概念l19992001年ISS先后在全球建立了多个SOC中心l1998年CheckPoint推出了CheckPoint Provide-1防火墙/VPN集中管理平台，提供给MSSP实现多台防火墙的管理l2000年Counterpane（BT收购）推出MSS服务，在全美范围内构建安全监控中心，以此实现MSS服务l2001年WatchGuard推出防火墙/VPN状态监测和日志分析报表系统l2001年Symantec改造了圣安东尼奥的SOC中心，超过140名安全专家提供24*7

7、*365的安全管理服务,并且陆续在全球建有5个SOC中心l2000年ArcSight开发了SIEMS系统，2004年发布了ESM3.0，Gartner从2005年至2007年的SIEM Magic Quadrant评测分析中，ArcSight ESM也是连续3年保持在领导者位置lSOC定位于MSS服务的提供，或开展MSS服务的ISP也是其目标客户l面向普通客户的主要是SIEM系统9SOCSOC产生背景（续）产生背景（续）l2001年安氏利用ISS的知识将MSS的概念引入中国，并与世纪互联签订了中国第一份MSS合作协议l与此同时SOC的概念登陆中国，国情不同SOC概念逐渐逐渐被源SOC概念中的工

8、具替代l2004年安氏推出了安全运营中心解决方案l同年启明推出了泰合安全运营中心系统l同年天融信推出企业安全平台（Enterprise Security Platform）2.0系统，2006年推出TSM3.0l近几年以SOC命名技术平台的用法逐渐被安全管理平台命名方式替代10全球全球SIEMSSIEMS主流厂商主流厂商领导领导研究者研究者参与者参与者挑战者挑战者SIEMS功能定义：功能定义：标准化标准化整合化整合化关联化关联化分析化分析化11SOCSOC市场划分（国际）市场划分（国际）ITSIEMMSSSOC服务工具服务工具用户用户IT系统系统提供安全托管服务提供安全托管服务建立安全运营中心

9、建立安全运营中心MSSPMSSP为提供为提供MSS，需要构建服务型的，需要构建服务型的SOC12SOCSOC市场划分（中国特色）市场划分（中国特色）IT安全管理平台安全管理平台SIM or SEM and SMCSOC帮助用户部署服务工具帮助用户部署服务工具（集成平台运维服务）（集成平台运维服务）用户用户IT系统系统提供产品解决方案提供产品解决方案有些政府、企业或组织因为数据的私有与机密性等问题，需要自行进行集中的安全有些政府、企业或组织因为数据的私有与机密性等问题，需要自行进行集中的安全管理，需要构建自用型的管理，需要构建自用型的SOC安全厂商安全厂商未来几年未来几年MSS可能会成为国内安全

10、市场的热点。可能会成为国内安全市场的热点。13SOCSOC技术技术lSOC是MSS实现的基础，它的构建包括：人员（安全专家）、工具、流程、地点及物理设施（网络、监视屏）等。它提供安全的集中运营，包括安全研究、安全评估、安全策略制定、安全集中监视、安全响应、安全设备配置等。l国际SOC中采用的技术是由其MSS业务决定的，没有完整的SOC产品，根据业务细分产品l国内目前SOC采用的技术业界公认为“安全管理平台”。它由国内安全市场的现状决定，是一个庞大的系统。l它的功能覆盖了很多细分产品的功能如：SIEM、设备管理、漏洞管理、合规性及风险管理等。并且有趋势，变得更加庞大，会整合进更多的安全功能进行集

11、中的安全管理。14国内安全管理平台功能定义国内安全管理平台功能定义l定位n以资产为核心、以事件管理为关键流程、以风险控制为目标的面向安全的综合一体化管理平台系统l基本功能n资产管理：资产录入、查询、修改、属性管理、统计等n事件管理：事件采集、过滤、归并、关联分析、事件监控、查询、统计等n脆弱性管理：弱点采集、资产关联、漏洞查询、脆弱性统计等n风险管理：风险识别、风险计算、风险展示、风险监控、风险预警、风险统计等n安全知识库管理：知识库管理、安全论坛、辅助决策n运维管理：工作流管理、工单管理、运营管理、运维统计等l延伸功能n设备管理：性能管理、配置管理、策略管理等n网络管理：拓扑管理、流量管理、

12、故障管理等n应用管理：应用监控、应用统计、合规审计等n终端管理：网络准入、行为管理等nITIL运维：建设呼叫服务台，提供统一的监控运维管理职能15国内安管平台现状国内安管平台现状l近年SOC建设难言成功l报出的事件以误报居多，发现的风险难以理解l自动图表报表反映的是被误报严重扭曲过的统计结果l全流程的运维管理流程难以符合实际需要l虽然建立了SOC系统，但并未建立SOC中心l很多业内人士也把SOC比喻成“垃圾电影”l但没人怀疑建设SOC的必要性l首要原因是产品没有正确定位、建设没有循序渐进16未来未来SOCSOC之路之路l安全事件管理是SOC的重中之重l网络管理与安全管理融合是国内用户的切实需求

13、l主动防御是日常安全管理的核心l面向业务是未来SOC走出阴影的唯一出路l客户化定制适应不同行业的管理需求l平台建设是基础，运营才是SOC的本质17题纲&SOCSOC背景及基础背景及基础&TSMTSM安全运营中心安全运营中心&TSMTSM系统特点系统特点18平台服务平台服务(问题处理问题处理)(运维服务运维服务/平台工具平台工具)策略与平台实施策略与平台实施(工程实施服务工程实施服务/平台工具平台工具)安全咨询安全咨询(风险管理风险管理/服务工具服务工具)(1)(1)资产资产(2)(2)评估评估(5)(5)TA/TA/基于基于策略的事策略的事件管理件管理(3)(3)策略策略/基线基线(4)TP/

14、(4)TP/策略执行策略执行(6)(6)安安全业务服全业务服务流程管理务流程管理(SBSM)(SBSM)(7)(7)安全工作安全工作评估与考评估与考评评KPIKPI持续改进持续改进拓扑监控拓扑监控流量监控流量监控设备监控设备监控。风险管理风险管理脆弱性管理脆弱性管理事件管理事件管理响应管理响应管理关联分析关联分析辅助决策辅助决策安全报表安全报表访问控制策略访问控制策略入侵检测策略入侵检测策略病毒过滤策略病毒过滤策略安全审计策略安全审计策略VPNVPN通道策略通道策略资产管理资产管理网络准入网络准入非法外联非法外联行为监管行为监管。网络监控管理网络监控管理TopNocTopNoc安全信息管理安全

15、信息管理TopAnalyzerTopAnalyzer策略统一管理策略统一管理TopPolicyTopPolicy 内网合规性内网合规性TopDeskTopDeskTSMTSM统一管理、监控、调度服务台统一管理、监控、调度服务台天融信天融信TSMTSM一体化安全运维解决方案一体化安全运维解决方案19天融信天融信TSMTSM安全运营中心安全运营中心TSM是安全信息和事件管理平台，设计用于提高机构安全运维部门、安全管理的是安全信息和事件管理平台，设计用于提高机构安全运维部门、安全管理的效力、效率和可视性。效力、效率和可视性。自动汇聚并关联自动汇聚并关联事件、日志和安全漏洞事件、日志和安全漏洞为多厂商

16、环境提供广泛的设备支持，包括安全性、网络、主机和应用为多厂商环境提供广泛的设备支持，包括安全性、网络、主机和应用以资产为中心的事故识别以资产为中心的事故识别 自动自动满足行业规范和规章制度满足行业规范和规章制度的要求的要求基于政策方针和规章制度的行为监控与报告基于政策方针和规章制度的行为监控与报告最大限度地优化安全资源利用率最大限度地优化安全资源利用率从数据收集和关联直到行为和报告，实现安全管理的全程自动化的从数据收集和关联直到行为和报告，实现安全管理的全程自动化的过程。过程。20确定安全目标确定安全目标和运作模式和运作模式按计划进行日按计划进行日常安全保障常安全保障检查和审计安全检查和审计安全工作和目标实现工作和目标实现确保安全工确保安全工作持续改进作持续改进安全目标安全目标安全控制要求安全控制要求安全审计和检查安全审计和检查绩效考核绩效考核调整安全目标调整安全目标日常安全维护日常安全维护事件告警事件告警风险确定风险确定事件处理和解决事件处理和解决报告审计报告审计安全监控安全监控自上而下-目标管理监控快速发现监控快速发现识别和发现问题识别和发现问题自下而上自下而上-异常处理异常处理问