泰合安全运营中心项目解决方案.docx

1、泰合安全运营中心项目解决方案泰合信息安全运营中心系统（TSOC）XXXX项目解决方案建议书模板北京启明星辰信息技术股份有限公司Beijing Venus Information Tech. Inc.二零一二年五月 1 安全管理中心总体方案北京启明星辰信息技术股份有限公司泰合信息安全运营中心系统解决方案（以下简称“安全管理中心”）以实用性和可扩展性为设计指导思想，将安全管理员从复杂的设备配置和海量日志信息中解脱出来，把精力专注于发现和处理各种重要安全事件；同时又将各自独立的安全设备组成为一个有机的整体，通过基于资产管理的事件关联分析和管理，及时发现安全风险、安全事件和业务安全隐患，并结合安全策略

2、和安全知识的管理，提供多种安全响应机制，从而使得客户能够实时掌控网络的安全态势。安全管理中心与客户可以已经部署的各类安全设备形成一个完整的安全保障体系，从而实现了高效、全面的网络安全防护、检测和响应。它完全具备监控、预警、响应、追踪等功能，并具备可审计功能，即对内部安全管理人员的相关操作进行日志记录。遵循的标准安全管理中心总体设计及实施遵循以下标准和规范：遵循的国际国内标准和规范 安全管理中心建设服务服从信息安全风险评估方法按照国信办颁发的关于印发的通知（国信办【2006】9号） ISO-17799/BS 7799/ISO27001信息安全管理体系国际标准， 公安部颁布的信息安全等级保护管理办

3、法（试行）及相关规定 CCISO15408 和GB/T18336 信息技术安全性评估准则 ISO-13335 IT 安全管理指南 工作流管理联盟WFMC 定义的工作流标准 软件开发服从CMM要求参考的企业标准、规范和指南 信息安全保障框架(VISAF)系列模型图1. VISAF模型VISAF的保障功能要素模型（FEM - Function Element Model），或者用缩写表达式表示为AST(PPT*AIDARC)。这个模型提出安全的最根本问题是被保护的资产、对于资产的威胁和防护措施。防护措施又分为人（组织）、过程（策略、运营）和技术三个大方面。技术则形成一个AIDARC模型。 鉴别和认

4、证 Identification & Authentication 逻辑访问控制 Access Control 检测、监控和预警Detection, Monitoring&Early warning 审计和跟踪 Audit Trail 恢复和冗余 Redundancy & Recovery 内容安全 Content Security平台总体方案体系架构功能体系架构安全管理中心主要由以下部分组成：资产信息管理模块、安全事件/业务监控管理模块、脆弱性管理模块、漏洞关联分析、统计关联分析和基于规则的关联分析模块、宏观趋势分析模块、流量分析模块、基线管理模块、风险评估管理模块、安全策略管理模块、网元管

5、理模块、统一安全预警模块、综合显示和报表报告系统、响应管理系统、安全信息管理、系统健康管理和用户管理模块组成。其功能体系架构如下图所示：图2. 功能体系结构平台软件架构安全管理中心软件总体体系架构如下图所示：图3. 软件总体结构整个系统分为SMC、DAC和V-SIMS三部分。SMC：安全管理中心，安全管理中心以B/S/D三层架构实现监控、管理、响应、报表等功能；DAC：数据分析中心，其以后台服务方式实现综合分析、关联分析、资产发现、脆弱性信息采集分析等数据分析处理功能；V-SIMS：安全信息管理系统，它完成了安全信息的采集、过滤、聚并、入库等功能。便于实现分布分级部署事件采集引擎。安全管理中心

6、按照三层软件架构体系设计，如下图所示：图4. 泰合信息安全运营中心三层体系结构2 平台的功能特点安全管理中心的系统平台包括下列核心模块/功能： 统一入口模块 资产管理模块 脆弱性管理模块 事件安全管理模块 关联分析模块 宏观趋势分析模块 流量分析模块 基线管理模块 安全策略管理模块 网元管理模块 工作流管理模块 设备控制管理模块 多级管理模块 风险管理模块 安全预警模块 安全策略文档管理模块 安全知识管理模块 综合信息显示与报表模块 响应管理模块 用户管理模块 系统自身健康管理模块下面将对这些模块的功能及技术实现作逐一描述。系统平台WEB门户入口界面统一WEB门户入口界面所提供的基本功能如下：

7、 针对整个管理信息平台，提供用户集中管理的功能，对用户可以访问的资源进行细致的划分； 用统一的系统管理接口，各子信息系统的界面统一； 发布最新的漏洞说明、攻击特征说明； 具备安全可靠的分级及分类管理功能，具体要求支持用户的身份认证、授权等功能；支持用户口令修改；支持不同的操作员具有不同的数据访问权限和功能操作权限，系统管理员应能对各操作员的权限进行配置和管理； 系统设计采用模块化，具有良好的可扩展和自开发能力，能针对用户录入、删除、修改密码等功能分不同模块，以便针对以后不同的需求进行分模块修改； 系统有完整的安全控制手段,对用户和系统管理员的权限进行分级管理, 相应的账号和口令都是加密后存放在

8、数据库中的。充分保证了用户信息的安全性。对系统操作员的密码有安全保障机制； 用户数据管理严格，每天增量备份，保证其完整性和一致性,所以在系统出错的情况下,用户数据是安全的。 模块之间的敏感数据传输是加密的，因此TSOC组件之间的通信安全是可靠、安全的。资产与业务域管理在信息安全的资产管理系统中一个重要的概念是业务单元（BU）或称资产的逻辑网络区域，BU是企业业务的重要组成部分，它是各个资产的组合。在资产管理中，BU的视图也是我们展示的一个重点。资产的BU可以是在安全管理中心建设时依据事前风险评估划分出来的不同的安全域进行管理。安全管理中心系统产品的资产管理属性集包含了客户所要求管辖的资产信息属

9、性要求。资产信息管理模块的域管理具备以下功能： 支持具有相同资产属性的域管理方式。 支持自动同步在不同域下的资产属性管理。 支持资产的域继承功能。 允许用户根据业务系统、网段等不同的属性对信息系统进行安全域划分。 支持同一资产隶属不同的安全域，支持多层次安全域管理。 用户可以对安全域进行重要性赋值。 用户可以对安全域进行事件监控、风险监控和脆弱性评估，了解其安全状况。 在某种程度上可以作为下级单位的信息安全建设考核指标参考。 域风险历史查询：提供多种条件的安全域风险查询工具，可以更好地关注重要安全域的风险状况。 域配置：提供各级安全域的添加、删除、修改维护功能，以及资产移入、移出安全域的功能。

10、资产管理资产是企业、机构直接赋予了价值因而需要保护的东西。它可能是以多种形式存在，有无形的、有有形的，有硬件、有软件，有文档、代码，也有服务、企业形象等。它们分别具有不同的价值属性和存在特点，存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。为此，有必要对企业、机构中的信息资产进行科学分类，以便于进行后期的信息资产抽样、制定风险评估策略、分析安全功能需求等活动。所要管理资产（含安全设备、网络设备及主机及应用系统）包括：【本处需要修改，调整为客户被管设备列表。下表仅为示例。】序号编号类型型号数量日志采集方式支持情况支持条件备注1Router1城域网核心路由器Quidway NetEng

11、ine80E1Syslog支持2Virus防病毒软件瑞星900点SNMP支持概括来讲，资产管理过程包括：资产信息获取、配置，风险计算，结果呈献三个主要过程。图5. 资产管理工作过程资产管理工作过程在平台中的实现如下： 遵循BS 7799 / ISO 17799 / ISO27001和ISO13335的资产管理规范，允许对信息资产的价值进行有效评估，从而确定信息资产的安全需求（完整性需求、保密性需求和可用性需求），可以协助用户有效管理信息资产的各类属性。 资产可通过手工录入、excel模板下载批量导入和资产自动发现的方式录入。 录入的资产具有详细的信息描述以及CIA特性（保密性、完整性、可用性）

12、。 资产的CIA特性参与风险计算，用于计算资产风险和整体风险趋势。 通过用户界面对资产信息进行详细、直观的图表化展示。 平台支持资产状况信息批量导出，形成文档备份，便于日后查询。显示界面示例如下图：图6. 域与资产管理业务域管理业务域由若干资产所组成，可以继承资产的属性，如资产CIA、资产权重等，同时参与风险计算。业务域管理包括：业务域配置、风险计算、结果呈献三个主要过程。图7. 业务域管理工作过程业务域管理工作过程在平台中的实现如下： 对业务域进行配置，业务域中应该包括所包含资产信息、资产权重，同时对业务域进行必要的描述和标识。 对指定业务域可进行手工增加、录入资产信息，也可从已有资产信息库

13、中批量选择导入资产信息。 业务域的CIA特性由所包含资产的CIA特性决定，参与风险计算，用于计算业务域风险和整体风险趋势。 用户界面对业务域资产分布、业务域风险进行图形化、直观的展示。业务域实例：漏洞信息采集与脆弱性管理漏洞信息采集漏洞信息采集包括：多种方式漏洞信息采集、结果输入脆弱性管理模块两个主要过程。漏洞信息采集在平台中的实现过程如下： 接收漏洞扫描器的扫描结果。 对于平台不支持的扫描器类型，可将扫描结果按照模板规范化后通过人工方式导入。 将人工审计信息通过模板规范化后人工导入。 通过漏洞信息采集模块将上面几种信息输入方式进行收集和处理后送给脆弱性管理模块，进行脆弱性关联（漏洞关联）分析

14、，参与风险计算后将结果呈现。脆弱性管理脆弱性管理能够通过人工审计（风险评估）和漏洞扫描工具两种方式，收集整个网络的弱点情况并进行统一管理，对收集的信息进行统一的范式化处理后，对脆弱性信息提供查询和展现功能，使得管理人员可以清楚的掌握全网的安全健康状况。平台目前提供与主流远程评估产品的接口，完成远程脆弱性信息的搜集。支持远程评估产品为： 天镜、极光、Nessus等主流漏洞扫描产品。脆弱性管理模块主要功能如下： 配置天镜漏洞扫描系统； 能够将漏洞扫描软件的扫描结果导入系统； 能够将多次扫描的结果进行归并分析，得出更为精确的扫描结果； 能够将扫描结果与资产的原有属性进行比较，并给出冲突项提交用户确认

15、； 支持资产的脆弱性管理，允许查看资产和安全域的脆弱性指标； 提供基于漏洞的关联，自动判断当前发生的信息安全事件是否真的对目标资产构成威胁，对于并不存在相关漏洞的事件，系统会自动降低其优先级，对于存在相关漏洞的事件则提升其优先级，使得用户可以更专注于真正会造成危害的事件。脆弱性管理包括：漏洞扫描和人工审计信息采集、资产/业务域关联分析、结果呈献三个主要过程。图8. 脆弱性管理过程脆弱性管理在平台中的实现如下： 通过天镜脆弱性扫描系统对资产进行定期自动扫描或手工扫描。 资产的扫描和人工审计所发现的脆弱性信息输入脆弱性管理模块。 脆弱性信息与资产信息进行关联并参与风险计算。 通过整体脆弱性展示，脆弱性排名等进行直观的脆弱性展示。 支持脆