泰合安全運營中心-TSOC技術(shù)白皮書.doc

啟明星辰啟明星辰 泰合信息安全運營中心泰合信息安全運營中心 技術(shù)白皮書技術(shù)白皮書 2007 08 TSOC 技術(shù)白皮書 啟明星辰信息技術(shù)有限公司 地址 北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓 啟明星辰大廈 電話 010 82779088 傳真 010 82779151 網(wǎng)址 2 目目 錄錄 1背景背景 4 2產(chǎn)品概述產(chǎn)品概述 6 2 1產(chǎn)品簡介 6 2 2產(chǎn)品架構(gòu) 6 2 3產(chǎn)品組件 8 2 4系統(tǒng)要求 8 2 4 1安全管理中心 SMC 8 2 4 2安全信息管理系統(tǒng) V SIMS 10 3產(chǎn)品功能產(chǎn)品功能 10 3 1事件管理 10 3 2綜合分析 風(fēng)險評估和預(yù)警 11 3 3脆弱性管理 12 3 4響應(yīng)管理 12 3 5網(wǎng)絡(luò)管理 13 3 6策略管理 13 3 7知識管理 13 3 8資產(chǎn)管理 14 3 9用戶管理 14 3 10報表處理 15 3 11綜合顯示 15 3 12運行狀態(tài)監(jiān)控 16 3 13自身安全保障 16 TSOC 技術(shù)白皮書 啟明星辰信息技術(shù)有限公司 地址 北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓 啟明星辰大廈 電話 010 82779088 傳真 010 82779151 網(wǎng)址 3 4功能特色功能特色 17 4 1強(qiáng)大的安全事件集中收集分析和處理能力 17 4 2集成的多種關(guān)聯(lián)分析方法 17 4 3基于業(yè)務(wù)單元 BU 或安全域的風(fēng)險評估 18 4 4多樣化的安全預(yù)警 19 4 5兼容國際標(biāo)準(zhǔn)的漏洞評估管理 20 4 6可視化的設(shè)備狀態(tài)集中監(jiān)控 21 4 7多樣化的顯示方式 21 4 8全面的知識管理 21 4 9靈活部署具有極強(qiáng)可擴(kuò)展性 22 4 10支持多平臺 22 5典型部署典型部署 22 6服務(wù)支持服務(wù)支持 23 7關(guān)于啟明星辰關(guān)于啟明星辰 24 TSOC 技術(shù)白皮書 啟明星辰信息技術(shù)有限公司 地址 北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓 啟明星辰大廈 電話 010 82779088 傳真 010 82779151 網(wǎng)址 4 1 背景背景 傳統(tǒng)的安全管理方式是將分散在各地 不同種類的安全防護(hù)系統(tǒng)分別管理 這樣 導(dǎo)致安全信息分散互不相通 安全策略難以保持一致 這種傳統(tǒng)的管理運行方式因此 成為許許多多安全隱患形成的根源 泰合信息安全運營中心 簡稱 TSOC 是針對傳 統(tǒng)管理方式的一種重大變革 它將不同位置 不同安全系統(tǒng)中分散且海量的單一安全 事件進(jìn)行匯總 過濾 收集和關(guān)聯(lián)分析 得出全局角度的安全風(fēng)險事件 并形成統(tǒng)一 的安全決策對安全事件進(jìn)行響應(yīng)和處理 總體來說 TSOC 的根本模型就是 PDR 模型 而 TSOC 系統(tǒng)就是實現(xiàn)其中的 D Detection 檢測 和 R Response 響應(yīng) TSOC 的需求主要是從以下幾個方面得到體現(xiàn) 大系統(tǒng)的管理大系統(tǒng)的管理 通常安全系統(tǒng)是分別獨立逐步的建立起來的 比如防病毒系統(tǒng) 防火墻系統(tǒng) 入 侵檢測系統(tǒng)等 各個系統(tǒng)都有單獨的管理員或者管理控制臺 這種相對獨立的部署方 式帶來的問題是各個設(shè)備獨立的配置 各個引擎獨立的事件報警 這些分散獨立的安 全事件信息難以形成全局的風(fēng)險觀點 導(dǎo)致了安全策略和配置難于統(tǒng)一協(xié)調(diào) 這種對 于大規(guī)模系統(tǒng)的安全管理也正是 TSOC 的需求根源 就是說只有大系統(tǒng) 擁有復(fù)雜應(yīng) 用的系統(tǒng)才有 TSOC 的需求 海量信息數(shù)據(jù)海量信息數(shù)據(jù) 隨著安全系統(tǒng)建設(shè)越來越大 除了需要協(xié)調(diào)各個安全系統(tǒng)之間的問題之外 由于 安全相關(guān)的數(shù)據(jù)量越來越大 有些關(guān)鍵的安全信息和告警事件常常被低價值或無價值 的告警信息所淹沒 一些全局性的 影響重大的問題很難被分析和提煉出來 為了從 大量的 孤立的單條事件中準(zhǔn)確的發(fā)現(xiàn)全局性的 整體的安全威脅行為 需要 TSOC 這樣一個平臺使得整個安全體系的檢測能力更加準(zhǔn)確 更加集中于影響重大的焦點問 題 信息安全目標(biāo)信息安全目標(biāo) TSOC 技術(shù)白皮書 啟明星辰信息技術(shù)有限公司 地址 北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓 啟明星辰大廈 電話 010 82779088 傳真 010 82779151 網(wǎng)址 5 我們知道傳統(tǒng)的信息安全有 7 個屬性 即保密性 Confidentiality 完整性 Integrity 可用性 Availability 真實性 Authenticity 不可否認(rèn)性 Nonreputiation 可追究性 Accountability 和可控性 可治理性 Controllability Governability 信息安全的目標(biāo)是要確保全局的掌控 確保整個體 系的完整性 而不僅限于局部系統(tǒng)的完整性 對于安全問題 事件的檢測要能夠匯總 和綜合到中央監(jiān)控體系 確保可追究性是整個體系的可追究性 TSOC 的出現(xiàn)就是為 了確保對全局的掌控 實現(xiàn)全面支撐信息安全運營管理目標(biāo) 專業(yè)安全人員匱乏專業(yè)安全人員匱乏 事實上 安全信息過多的問題已經(jīng)遠(yuǎn)遠(yuǎn)超出了企業(yè)所能處理的限度 即使企業(yè)可 以雇傭足夠多的人手來具體解決每一個安全事件 但仍可能會勞而無功 這不僅是因 為雇傭更多人手是對資本的低效利用 而且還因為 電子 數(shù)據(jù)位和字節(jié)的流動速度 總是要比人的操作速度快得多 人力資源匱乏 信息泛濫 工具短缺 所有這些問題 均可通過 TSOC 應(yīng)用來加以解決 而且 這些 TSOC 應(yīng)用還能處理大量的安全和審計 數(shù)據(jù) 幫助我們從這些數(shù)據(jù)中發(fā)現(xiàn)問題 使企業(yè)只需配備很少量的人員就能充分利用 其中的自動化技術(shù)和功能 全局可控性全局可控性 可控性是信息安全 7 個屬性中最重要的一個 可控性最重要的體現(xiàn)是全局監(jiān)控 預(yù)警能力和響應(yīng)處理能力 全局預(yù)警就是要建立全局性的安全狀況收集系統(tǒng) 對于新 的安全漏洞和攻擊方法的及時了解 針對體系內(nèi)局部發(fā)生的安全入侵等事件進(jìn)行響應(yīng) 我們通常用水桶效應(yīng)來描述分布式系統(tǒng)的安全性問題 認(rèn)為整個系統(tǒng)的安全性取決于 水桶中最薄弱的一塊木條 TSOC 就像是這個水桶的箍 有了這個箍 水桶就很難崩 潰 即使出現(xiàn)個別的漏洞 也不至于對整個體系造成災(zāi)難性的破壞 TSOC 充分利用 所掌握的空間 時間 知識 能力等資源優(yōu)勢 形成全局性的資源協(xié)調(diào)體系 為系統(tǒng) 的全局可控性提供有力的保障 TSOC 技術(shù)白皮書 啟明星辰信息技術(shù)有限公司 地址 北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓 啟明星辰大廈 電話 010 82779088 傳真 010 82779151 網(wǎng)址 6 2 產(chǎn)品概述產(chǎn)品概述 2 1 產(chǎn)品簡介產(chǎn)品簡介 啟明星辰推出的泰合信息安全運營中心 簡稱 啟明星辰 TSOC 是立足于公司 十年信息安全積累的基礎(chǔ)之上 基于客戶需求可以靈活裁減的信息安全管理平臺或解 決方案 啟明星辰 TSOC 采用成熟的瀏覽器 服務(wù)器 數(shù)據(jù)庫架構(gòu) 融合多種信息安全產(chǎn)品 和技術(shù)管理 充分實現(xiàn)組織 管理 技術(shù)三個體系的合理調(diào)配 能夠最大化的保障網(wǎng) 絡(luò) 系統(tǒng)和應(yīng)用的安全性 啟明星辰 TSOC 具有廣泛的應(yīng)用范圍和客戶群 在電信 金融 政府 能源等行 業(yè)均有成功的應(yīng)用 2 2 產(chǎn)品架構(gòu)產(chǎn)品架構(gòu) 如下圖所示 啟明星辰泰合信息安全運營中心 TSOC 由 五個中心 五個功能 模塊 組成 五個中心為漏洞評估中心 網(wǎng)管中心 事件 流量監(jiān)控中心 安全預(yù)警與風(fēng)險管理 中心以及響應(yīng)管理中心 五個功能模塊為資產(chǎn)管理 策略配置管理 自身系統(tǒng)維護(hù)管理 用戶管理 安全 知識管理 TSOC 技術(shù)白皮書 啟明星辰信息技術(shù)有限公司 地址 北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓 啟明星辰大廈 電話 010 82779088 傳真 010 82779151 網(wǎng)址 7 圖 1 泰合信息安全運營中心架構(gòu)示意圖 TSOC 技術(shù)白皮書 啟明星辰信息技術(shù)有限公司 地址 北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓 啟明星辰大廈 電話 010 82779088 傳真 010 82779151 網(wǎng)址 8 2 3 產(chǎn)品組件產(chǎn)品組件 圖 2 泰合信息安全運營中心軟件總體結(jié)構(gòu) 如上圖所示 泰合信息安全運營中心分為 SMC DAC 和 V SIMS 三部分 SMC 安全管理中心 以 B S D 三層架構(gòu)實現(xiàn)監(jiān)控 管理 響應(yīng) 報表等功能 DAC 數(shù)據(jù)分析中心 其以后臺服務(wù)方式實現(xiàn)綜合分析 關(guān)聯(lián)分析 資產(chǎn)發(fā)現(xiàn) 脆弱性信息采集分析等數(shù)據(jù)分析處理功能 V SIMS 安全信息管理系統(tǒng) 它完成了安全信息的采集 過濾 聚并 入庫等功 能 可以方便的實現(xiàn)分布 分級部署事件采集引擎 2 4 系統(tǒng)要求系統(tǒng)要求 2 4 1 安全管理中心 安全管理中心 SMC 1 服務(wù)器端 TSOC 技術(shù)白皮書 啟明星辰信息技術(shù)有限公司 地址 北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓 啟明星辰大廈 電話 010 82779088 傳真 010 82779151 網(wǎng)址 9 硬件環(huán)境 處理器 Intel X86 系列或兼容 CPU 最低 PIV 2 0GHz 或相當(dāng) 推薦 Xeon 2 0GHz 2 或相當(dāng) 內(nèi) 存 最低 1GB 推薦 2GB 硬 盤 最低 IDE 80G 1 推薦 SCSI 72GB 2 網(wǎng) 卡 最低 10 100 自適應(yīng)網(wǎng)卡 1 推薦雙網(wǎng)卡 注意 注意 如與其他系統(tǒng)公用硬件系統(tǒng)則需要考慮額外的處理能力 軟件環(huán)境 操作系統(tǒng) 1 Windows 2000 Windows XP Windows 2003 Server 注注 1 Windows2000 建議升級到 Service Pack 4 以上 其他系統(tǒng)也建議及時安裝更新 注注 2 英文操作系統(tǒng)需安裝中文簡體支持包 2 Linux 3 Solaris SPARC Java 環(huán)境 Java SDk 1 4 2 WEB 服務(wù)器 Tomcat 5 0 xx 數(shù)據(jù)庫 ORACLE 9i 10g server 2 客戶端 支持類型 支持 Microsoft Internet Explorer 瀏覽器 支持版本 5 5 以上版本 支持語言 簡體中文 英文 簡體中文支持包 插件要求 安裝 Macromedia Flash Player Version9 0 28 以上版本 注意注意 1 建議使用 Microsoft Internet Explorer 6 0 以上版本 并安裝所有最新的補(bǔ)丁 2 建議安裝 Macromedia Flash Player Version9 0 28 以上版本 以防止安全漏洞 TSOC 技術(shù)白皮書 啟明星辰信息技術(shù)有限公司 地址 北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓 啟明星辰大廈 電話 010 82779088 傳真 010 82779151 網(wǎng)址 10 2 4 2 安全信息管理系統(tǒng) 安全信息管理系統(tǒng) V SIMS 硬件環(huán)境 處理器 Intel X86 系列或兼容 CPU 最低 PIV 2 0GHz 或相當(dāng) 推薦 Xeon 2 0GHz 2 或相當(dāng) 內(nèi) 存 最低 512MB 推薦 1GB 硬 盤 最低 IDE 80G 1 推薦 SCSI 72GB 2 網(wǎng) 卡 最低 10 100 自適應(yīng)網(wǎng)卡 1 推薦雙網(wǎng)卡 注意注意 如與其他系統(tǒng)公用硬件系統(tǒng)則需要考慮額外的處理能力 軟件環(huán)境 操作系統(tǒng) Windows 2000 Windows XP Windows 2003 Server 注注 1 Windows2000 建議升級到 Service Pack 4 以上 其他系統(tǒng)也建議及時安裝更新 注注 2 英文操作系統(tǒng)需安裝中文簡體支持包 數(shù)據(jù)庫 SQL Server 2000 3 產(chǎn)品功能產(chǎn)品功能 3 1 事件管理事件管理 事件管理處理事件收集 事件整合和事件可視化三方面工作 事件管理功能首先要完成對事件的采集與處理 它通過代理 Agent 和事 件采集器的部署 在所管理的骨干網(wǎng)絡(luò) 不同的承載業(yè)務(wù)網(wǎng)及其相關(guān)支撐網(wǎng)絡(luò)和 系統(tǒng)上的不同安全信息采集點 防病毒控制臺 入侵檢測系統(tǒng)控制臺 漏洞掃描 管理控制臺 身份認(rèn)證服務(wù)器和防火墻等 獲取事件日志信息 并通過安全通訊 方式上傳到安全運營中心中的安全管理服務(wù)器進(jìn)行處理 TSOC 技術(shù)白皮書 啟明星辰信息技術(shù)有限公司 地址 北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓 啟明星辰大廈 電話 010 82779088 傳真 010 82779151 網(wǎng)址 11 在事件收集的過程中 事件管理功能還將完成事件的整合工作 包括聚并 過濾 范式化 從而實現(xiàn)了全網(wǎng)的安全事件的高效集中處理 事件管理功能本身 支持大多數(shù)被管理設(shè)備的日志采集 對于一些尚未支持的設(shè)備 可通過通用代理 技術(shù) UA 支持 確保事件的廣泛采集 在事件統(tǒng)一采集與整合的基礎(chǔ)上 安全運營中心提供多種形式的事件分析與 展示 將事件可視化 包括實時事件列表 統(tǒng)計圖表 事件儀表盤等 此外 還 能夠基于各種條件進(jìn)行事件的關(guān)聯(lián)分析 查詢 備份 維護(hù) 并生成報表 3 2 綜合分析 風(fēng)險評估和預(yù)警綜合分析 風(fēng)險評估和預(yù)警 綜合分析是綜合安全運營管理平臺的核心模塊 其接收來自安全事件監(jiān)控中 心的事件 依據(jù)資產(chǎn)管理和脆弱性管理中心的脆弱性評估結(jié)果進(jìn)行綜合的事件協(xié) 同關(guān)聯(lián)分析 并基于資產(chǎn) CIACIA 屬性 進(jìn)行綜合風(fēng)險評估分析 形成統(tǒng)一的 5 5 級 風(fēng)險級別 并按照風(fēng)險優(yōu)先級針對各個業(yè)務(wù)區(qū)域和具體事件產(chǎn)生預(yù)警 參照網(wǎng)絡(luò) 安全運行知識管理平臺的信息 并依據(jù)安全策略管理平臺的策略驅(qū)動響應(yīng)管理中 心進(jìn)行響應(yīng)處理 將預(yù)警傳遞到指定的安全管理人員 使安全管理人員掌握網(wǎng)絡(luò) 的最新安全風(fēng)險動態(tài) 并為調(diào)整安全策略適應(yīng)網(wǎng)絡(luò)安全的動態(tài)變化提供依據(jù) 通 過風(fēng)險管理可以掌握組織的整體以及局部的風(fēng)險狀況 根據(jù)不同級別的風(fēng)險狀況 各級安全管理機(jī)構(gòu)及時采取降低的風(fēng)險的防范措施 從而將風(fēng)險降低到組織可以 接受的范圍內(nèi) 預(yù)警模塊中心從資產(chǎn)管理模塊得到資產(chǎn)的基本信息 從脆弱性管理模塊獲取 資產(chǎn)的脆弱性信息 從安全事件監(jiān)控模塊獲取發(fā)生的安全事件 得到上述這些原 始信息后 本模塊進(jìn)行綜合安全風(fēng)險分析 綜合安全風(fēng)險分析是分析整個企業(yè)面 臨的威脅和確保這些威脅所帶來的挑戰(zhàn)處于可以接受的范圍內(nèi)的連續(xù)流程 應(yīng)能 夠根據(jù)各監(jiān)控點的資產(chǎn)信息 脆弱性統(tǒng)計信息以及威脅分布信息 為每一個資產(chǎn) 定量地計算出相應(yīng)的風(fēng)險等級 同時根據(jù)業(yè)務(wù)邏輯 分析此風(fēng)險對其他系統(tǒng)的影 響 計算出業(yè)務(wù)系統(tǒng)或區(qū)域的整體安全風(fēng)險等級 TSOC 技術(shù)白皮書 啟明星辰信息技術(shù)有限公司 地址 北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓 啟明星辰大廈 電話 010 82779088 傳真 010 82779151 網(wǎng)址 12 3 3 脆弱性管理脆弱性管理 通過脆弱性管理可以掌握全網(wǎng)各個系統(tǒng)中存在的安全漏洞情況 結(jié)合當(dāng)前安 全的安全動態(tài)和預(yù)警信息 有助于各級安全管理機(jī)構(gòu)及時調(diào)整安全策略 開展有 針對性的安全工作 并且可以借助弱點評估中心的技術(shù)手段和安全考核機(jī)制可以 有效督促各級安全管理機(jī)構(gòu)將安全工作落實 3 4 響應(yīng)管理響應(yīng)管理 僅僅及時檢測到安全事件是不夠的 必須做出即時的 正確的響應(yīng)才能保證 網(wǎng)絡(luò)的安全 響應(yīng)管理作為 TSOCTSOC 的重要組成部分之一為響應(yīng)服務(wù)實現(xiàn)工具化 程序化 規(guī)范化提供了管理平臺 響應(yīng)管理是根據(jù)當(dāng)前的網(wǎng)絡(luò)安全狀態(tài) 及時調(diào)動有關(guān)資源做出響應(yīng) 降低風(fēng) 險對網(wǎng)絡(luò)的負(fù)面影響 網(wǎng)絡(luò)安全響應(yīng)模塊負(fù)責(zé)根據(jù)預(yù)定義好的安全策略規(guī)則 及 時通過工單發(fā)布工作指令 調(diào)動有關(guān)資源做出響應(yīng) 應(yīng)在安全管理平臺上實現(xiàn)人 機(jī)接口 所有的工單經(jīng)人工審核后 通過人工派單方式發(fā)送到相應(yīng)的工單處理部 門 通過調(diào)用本程序 接收網(wǎng)絡(luò)與安全事件監(jiān)控模塊 脆弱性管理模塊 綜合分 析與預(yù)警模塊等模塊的預(yù)警信息 實現(xiàn)與網(wǎng)絡(luò)與安全事件監(jiān)控模塊 脆弱性管理 模塊 綜合分析與預(yù)警模塊等模塊的接口 接收這些模塊產(chǎn)生的預(yù)警信息 啟動 預(yù)警處理流程處理預(yù)警 3 5 網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理 網(wǎng)絡(luò)管理模塊可通過 SNMP 協(xié)議或其它手段自動發(fā)現(xiàn)整個網(wǎng)絡(luò) 局域網(wǎng)和廣 域網(wǎng) 的拓?fù)浣Y(jié)構(gòu) 對取得的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)通過比較直觀的 可視化比較好的圖 形方式展現(xiàn) 在拓?fù)鋱D上通過擴(kuò)展能夠顯示故障 告警 性能 流量等網(wǎng)管信息 TSOC 技術(shù)白皮書 啟明星辰信息技術(shù)有限公司 地址 北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓 啟明星辰大廈 電話 010 82779088 傳真 010 82779151 網(wǎng)址 13 系統(tǒng)通過配置能夠?qū)W(wǎng)絡(luò)設(shè)備進(jìn)行簡單的命令操作 實現(xiàn)遠(yuǎn)程配置操作 通 過接收 Trap 信息和主動輪詢兩種方式及時地發(fā)現(xiàn)網(wǎng)絡(luò)節(jié)點發(fā)生的各種故障 及 時告警 通知管理員進(jìn)行相關(guān)檢查和管理 通過監(jiān)控各網(wǎng)絡(luò)和網(wǎng)段的流量變化 及時反映當(dāng)前網(wǎng)絡(luò)的運行狀態(tài) 并對所采集的性能數(shù)據(jù)進(jìn)行分析 形成必要的報 告 通過圖表方式展現(xiàn)出來 根據(jù)性能數(shù)據(jù) 故障信息 告警信息形成統(tǒng)計報表 3 6 策略管理策略管理 網(wǎng)絡(luò)安全的整體性要求需要有統(tǒng)一安全策略和基于工作流程的管理 通過為 全網(wǎng)安全管理人員提供統(tǒng)一的安全策略 指導(dǎo)各級安全管理機(jī)構(gòu)因地制宜的做好 安全策略的部署工作 有利于在全網(wǎng)形成安全防范的合力 提高全網(wǎng)的整體安全 防御能力 同時通過 TSOC 策略和配置管理平臺的建設(shè)可以進(jìn)一步完善整個 IP 網(wǎng)絡(luò)的安全策略體系建設(shè) 為指導(dǎo)各項安全工作的開展提供行動指南 有效解決 目前因缺乏口令 認(rèn)證 訪問控制等方面策略而帶來到安全風(fēng)險問題 3 7 知識管理知識管理 安全信息管理是安全信息的 WEB 發(fā)布系統(tǒng) 不僅可以充分共享各種安全信息 資源 而且也會成為各級網(wǎng)絡(luò)安全運行管理機(jī)構(gòu)和技術(shù)人員之間 實現(xiàn)在安全管 理中心 WEB 門戶提供統(tǒng)一界面以安全 WEB 的形式發(fā)布最新的安全信息 并將處理 的安全事件方法和方案收集起來 形成一個安全共享知識庫 該信息庫的數(shù)據(jù)以 數(shù)據(jù)庫的形式存儲及管理 為培養(yǎng)高素質(zhì)的網(wǎng)絡(luò)安全技術(shù)人員提供培訓(xùn)資源 安全信息管理模塊包括安全管理信息 安全技術(shù)園地 安全案例庫 補(bǔ)丁庫 漏洞庫 教學(xué)資料等欄目的信息發(fā)布管理和瀏覽 另外 提供 BBSBBS 形式的安全技 術(shù)信息交流功能 TSOC 技術(shù)白皮書 啟明星辰信息技術(shù)有限公司 地址 北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓 啟明星辰大廈 電話 010 82779088 傳真 010 82779151 網(wǎng)址 14 3 8 資產(chǎn)管理資產(chǎn)管理 資產(chǎn)管理主要是管理 TSOC 監(jiān)控范圍的各個系統(tǒng)和設(shè)備 是風(fēng)險管理 事件 監(jiān)控協(xié)同工作和分析的基礎(chǔ) 實現(xiàn)對網(wǎng)絡(luò)綜合安全運行管理系統(tǒng)所管轄的設(shè)備和 系統(tǒng)對象的管理 它將其所轄 IP 設(shè)備資產(chǎn)與風(fēng)險的重要程度關(guān)系 依據(jù)風(fēng)險評 估的結(jié)果 定期的漏洞掃描結(jié)果和本模塊的信息資產(chǎn)相結(jié)合 遵從 ISO13335 標(biāo) 準(zhǔn)的基于資產(chǎn) CIA 屬性 按照資產(chǎn)信息 漏洞 補(bǔ)丁與備件分類導(dǎo)入或登記入 庫 并為其他安全運行管理模塊提供信息接口 比如響應(yīng)管理中心 綜合分析與 預(yù)警平臺等 3 9 用戶管理用戶管理 提供用戶集中管理的功能 對用戶可以訪問的資源權(quán)限進(jìn)行細(xì)致的劃分 具 備安全可靠的分級及分類用戶管理功能 要求支持用戶的身份認(rèn)證 授權(quán) 用戶 口令修改等功能 支持不同的操作員具有不同的數(shù)據(jù)訪問權(quán)限和功能操作權(quán)限 系統(tǒng)管理員應(yīng)能對各操作員的權(quán)限進(jìn)行配置和管理 要有完整的安全控制手 段 對用戶和系統(tǒng)管理員的權(quán)限進(jìn)行分級管理 相應(yīng)的賬號和口令加密存放 充 分保證用戶信息的安全性 對系統(tǒng)操作員的密碼有安全保障機(jī)制 用戶的賬號等 數(shù)據(jù)以數(shù)據(jù)庫的形式進(jìn)行加密存儲及管理 對用戶數(shù)據(jù)的管理保證其完整性和一 致性 在系統(tǒng)出錯的情況下 對用戶數(shù)據(jù)要有有效的保護(hù)措施 3 10報表處理報表處理 作為整個系統(tǒng)的公共基礎(chǔ)模塊 為各個功能提供報表支持 報表輸出格式可 轉(zhuǎn)換為 PDF HTML RTF CSV 等多種常用的標(biāo)準(zhǔn)格式 TSOC 提供的主要報表包 括 資產(chǎn)信息報表 提供總體資產(chǎn)報表 域資產(chǎn)分布報表 資產(chǎn)詳細(xì)信息報表 TSOC 技術(shù)白皮書 啟明星辰信息技術(shù)有限公司 地址 北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓 啟明星辰大廈 電話 010 82779088 傳真 010 82779151 網(wǎng)址 15 事件信息報表 提供域事件分布報表 按照不同事件類別提供各類事件的趨勢報表 脆弱性信息報表 提供脆弱性分布報表 提供脆弱性統(tǒng)計分析報表 綜合分析與預(yù)警報表 供綜合安全風(fēng)險分析的報表 提供風(fēng)險查詢報表 可以根據(jù)資產(chǎn) 域 趨勢 等進(jìn)行分類輸出 包括分析數(shù)據(jù)分布范圍 受影響的系統(tǒng) 可能的嚴(yán)重程度等 響應(yīng)過程報表 提供響應(yīng)模塊發(fā)生的響應(yīng)事件的統(tǒng)計報表 按照響應(yīng)事件的緊急程度 響應(yīng) 對象 響應(yīng)人員分類列表 綜合顯示報表 提供綜合顯示模塊的實時截屏報表 包括列表顯示報表輸出 拓?fù)浒踩畔?報表輸出 電子地圖電子地圖安全信息報表輸出 平臺自身日志報表 提供平臺自身日志的報表 包含訪問人 訪問次數(shù) 訪問時間等 3 11綜合顯示綜合顯示 綜合顯示模塊作為整個安全管理平臺統(tǒng)一人機(jī)界面接口 將各個界面的信息 集中顯示和發(fā)布 采用 Web 方式 支持各功能模塊的信息顯示和管理 綜合顯示 模塊提供多種的信息顯示和發(fā)布方式 基于列表的信息顯示 提供列表方式的信息顯示 通過簡明清晰的列表來顯示信息 支持信息的檢 索 排序和查詢 基于網(wǎng)絡(luò)拓?fù)涞男畔@示 與網(wǎng)管系統(tǒng)接口相結(jié)合 在網(wǎng)絡(luò)拓?fù)渖咸峁┬畔@示 可以在邏輯層面定位 事件發(fā)生的位置 TSOC 技術(shù)白皮書 啟明星辰信息技術(shù)有限公司 地址 北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓 啟明星辰大廈 電話 010 82779088 傳真 010 82779151 網(wǎng)址 16 基于電子地圖電子地圖的信息顯示 與電子地圖系統(tǒng)接口相結(jié)合 在地理上提供信息顯示 可以在物理層面定位 事件發(fā)生的位置 3 12工作流管理工作流管理 TSOC 提供一個統(tǒng)一而靈活的工作流程流程管理平臺 可以為用戶以及其它模塊 提供流程支持 工作流管理模塊主要包括兩部分功能 后臺工作流管理 后臺工作流管理負(fù)責(zé)同時定義 實現(xiàn)和維護(hù)多個流程 前臺用戶界面 前臺用戶界面負(fù)責(zé)提供各種流程的用戶實際操作界面 用戶使用工作流時 首先在工作流管理界面中 利用可視化 圖形化的工作流編 輯工具來定義各種業(yè)務(wù)流程 每個流程都可以由若干步驟和轉(zhuǎn)移來實現(xiàn) 用戶可以實 現(xiàn)流程的前進(jìn) 后退 分支 匯總等狀態(tài) 流程描述元素可能包括 步驟 表示流程圖中的某個結(jié)點 轉(zhuǎn)移 表示流程圖中某兩個結(jié)點之間的連線 具有方向性 動作 包含自動動作和手動動作 定義好一個工作流后 就會自動生成與該工作流相關(guān)的工單界面 用戶可以查看 和處理與自己相關(guān)的來自各類工作流的工單 另外 工作流模塊還對外提供流程相關(guān)的接口 供外部系統(tǒng)或內(nèi)部系統(tǒng)的其它模 塊調(diào)用 比如 用戶在針對某個事件做工作流響應(yīng)時 可以配置選擇按照哪個工作流 來進(jìn)行處理 3 13設(shè)備控制設(shè)備控制 設(shè)備控制管理模塊提供了一個通用的 可擴(kuò)展的設(shè)備控制框架 在 TSOC 中內(nèi)置 了兩種控制協(xié)議 Telnet 和 SSH 如果某個設(shè)備支持通過這兩種協(xié)議進(jìn)行控制操作 TSOC 技術(shù)白皮書 啟明星辰信息技術(shù)有限公司 地址 北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓 啟明星辰大廈 電話 010 82779088 傳真 010 82779151 網(wǎng)址 17 那么用戶就可以利用該模板提供的功能來對相關(guān)設(shè)備進(jìn)行手動或自動的控制 設(shè)備控制管理模塊將設(shè)備控制抽象成以下三個層次 設(shè)備控制功能 面向業(yè)務(wù) 面向操作 說明是 想要做什么 設(shè)備控制腳本 面向設(shè)備類型 說明 如何操作該類型的設(shè)備 設(shè)備控制策略 面向具體設(shè)備 說明 如何操作具體某個設(shè)備 設(shè)備控制管理模塊提供了友好的人工界面供用戶來對以上層次進(jìn)行配置 通過以 上三層的配置 用戶就可以在多個場合進(jìn)行手動或自動設(shè)備控制 舉例來說 用戶首先定義一個 關(guān)閉端口 的設(shè)備控制功能 然后再根據(jù)不同的 設(shè)備類型來定義各個 關(guān)閉端口 的設(shè)備控制腳本 比如 Linux 的關(guān)閉端口 天清防火墻的關(guān)閉端口 等 接下來再為具體的設(shè)備定義設(shè)備控制策略 比如 關(guān) 閉 Linux 主機(jī) 192 168 1 1 的端口 當(dāng)完成這些配置之后 用戶就可以在設(shè)備管理中 直接針對某個設(shè)備運行相關(guān)的設(shè)備控制策略 從而實現(xiàn)相關(guān)控制 設(shè)備控制腳本是提供了一套簡明的通用控制語法 用戶在稍加學(xué)習(xí)之后 就可以 按自己的意圖寫出相應(yīng)的控制腳本 設(shè)備控制管理模塊還提供接口調(diào)用功能 相關(guān)模塊通過該接品可以調(diào)用設(shè)備控制 功能 比如 如果設(shè)置 TSOC 中的響應(yīng)方式 就可以實現(xiàn) 檢測 響應(yīng) 控制 的自 動操作 3 14安全策略文檔管理安全策略文檔管理 組織進(jìn)行安全管理離不開一系列安全規(guī)范制度和安全策略的指導(dǎo) TSOC 提供了 一個集中管理和發(fā)布各類安全策略文檔的模塊 通過該模塊 用戶可以 將組織的中各類安全規(guī)范制度和安全策略文檔有層次的管理起來 用戶可以 將安全策略文檔整理成樹型結(jié)構(gòu) 從而一目了然的展現(xiàn)上各策略之間的層次 關(guān)系 為每個策略同時維護(hù)多種發(fā)布格式 比如 txt word excel pdf html 等 管理員可以方便的更新和發(fā)布各類格式的策略文檔 TSOC 技術(shù)白皮書 啟明星辰信息技術(shù)有限公司 地址 北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓 啟明星辰大廈 電話 010 82779088 傳真 010 82779151 網(wǎng)址 18 每個策略文檔都有一個 策略標(biāo)識 策略標(biāo)識等同于該策略文檔的關(guān)鍵字 的列表 通過 策略標(biāo)識 可以拓展出策略查詢及策略關(guān)聯(lián)等功能 安全策略文檔管理包括兩個部分的功能 安全策略的定義 生成 審核 發(fā)布 訪問 幫助用戶制定組織的總體安全策略 幫助各個子策略的管理員制作所負(fù)責(zé)系統(tǒng)或設(shè)備的具體策略 總體安全策略經(jīng)過審核后正式發(fā)布 普通用戶可以在線閱讀和下載安全策略 響應(yīng)后對安全策略的關(guān)聯(lián)與調(diào)用 當(dāng)系統(tǒng)運行中發(fā)生了某類安全事件后則根據(jù)預(yù)定義規(guī)則自動調(diào)用對應(yīng)的安全 策略 供管理員參考 3 15運行狀態(tài)監(jiān)控運行狀態(tài)監(jiān)控 創(chuàng)建實時的可視化網(wǎng)絡(luò)設(shè)備狀態(tài) 包括 CPUCPU 使用率 內(nèi)存占用 硬盤占用 和帶寬占用等 使設(shè)備便于管理和分析 設(shè)備狀態(tài)視圖能對設(shè)備進(jìn)行集中配置 可以根據(jù)網(wǎng)絡(luò)應(yīng)用環(huán)境 定制多種顯示方式 用戶能聯(lián)系特定的鏈接圖 地理位置圖和圖表視圖能夠使不同層面的人員通 過糾錯生命周期來復(fù)制威脅鑒別過程 3 16自身安全保障自身安全保障 安全運營中心作為整個網(wǎng)絡(luò)安全運行的監(jiān)控者和管理者 其中的每一步關(guān)鍵 操作都會對整個網(wǎng)絡(luò)安全產(chǎn)生重要影響 甚至?xí)淖兙W(wǎng)絡(luò)運行方式和運行狀態(tài) 因此安全運營中心體系自身的安全性非常重要 安全運營中心體系的自身安全包 括多方面 如物理安全 數(shù)據(jù)安全 通訊安全等 安全運營中心在總體設(shè)計時必 須考慮安全運營中心體系的使用安全和管理流程安全 在所有組件之間進(jìn)行可選的加密方式確保安全的通信 TSOC 技術(shù)白皮書 啟明星辰信息技術(shù)有限公司 地址 北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓 啟明星辰大廈 電話 010 82779088 傳真 010 82779151 網(wǎng)址 19 引擎可利用數(shù)字證書對所有用戶類代理進(jìn)行身份驗證 增強(qiáng)的用戶和管理界面可采用基于 SSL 的身份驗證 可在所有組件之間實現(xiàn)統(tǒng)一的配置 4 功能特色功能特色 4 1 強(qiáng)大的安全事件集中收集分析和處理能力強(qiáng)大的安全事件集中收集分析和處理能力 系統(tǒng)所支持的管理對象涵蓋網(wǎng)絡(luò)設(shè)備 主機(jī)系統(tǒng)和安全系統(tǒng) 安全產(chǎn)品包括 防火墻系統(tǒng) NIDS 系統(tǒng) Cisco Guard IPS Nokia Firewall 漏洞掃描系統(tǒng) 防病毒系統(tǒng) 網(wǎng)絡(luò)安全審計 身份認(rèn)證系統(tǒng)等 網(wǎng)絡(luò)產(chǎn)品包括路由器 交換機(jī) Windows 操作系統(tǒng)主機(jī) Solaris 操作系統(tǒng)主機(jī) Oracle 數(shù)據(jù)庫 不同版本的 WebLogic 流量管理系統(tǒng)等 系統(tǒng)目前支持的采集方式包括 Syslog SNMP 各版本 啟明星辰 VIP 數(shù)據(jù)庫 ODBC XML TEXT 文本 4 2 集成的多種關(guān)聯(lián)分析集成的多種關(guān)聯(lián)分析方法方法 通過關(guān)聯(lián)分析模塊完成各種安全關(guān)聯(lián)分析功能 關(guān)聯(lián)分析能夠?qū)⒃嫉脑O(shè)備 報警進(jìn)一步規(guī)范化并歸納為典型安全事件類別 從而協(xié)助使用者更快速地識別當(dāng) 前威脅的性質(zhì) TSOC 技術(shù)白皮書 啟明星辰信息技術(shù)有限公司 地址 北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓 啟明星辰大廈 電話 010 82779088 傳真 010 82779151 網(wǎng)址 20 系統(tǒng)提供三種關(guān)聯(lián)分析類型 基于規(guī)則的事件關(guān)聯(lián)分析 漏洞關(guān)聯(lián)分析和統(tǒng) 計關(guān)聯(lián)分析 事件關(guān)聯(lián)分析 可以在一定時間范圍內(nèi)根據(jù)事件的源地址 目的地址 源端口 目的端口及 事件的類型等結(jié)合事件的等級 CIACIA 屬性等參數(shù) 對事件進(jìn)行關(guān)聯(lián)分析 這種關(guān) 聯(lián)分析的目的在于減少報警信息 對事件進(jìn)行歸并過濾 漏洞關(guān)聯(lián)分析 漏洞關(guān)聯(lián)分析的目的在于要識別出假報警 同時為那些尚未確定是否為假肯 定或假警報的事件分配一個置信等級 這種方法的主要優(yōu)點在于 它能極大提高 威脅運算的有效性并可提供適用于自動響應(yīng)和 或告警的事件 漏洞關(guān)聯(lián)分析引擎使安全人員能確定不同事件的優(yōu)先級從而及時地對這些事 件做出響應(yīng) 從多個來源收集漏洞數(shù)據(jù) 然后將這一數(shù)據(jù)關(guān)聯(lián)到從代理處收集的 資產(chǎn)威脅數(shù)據(jù)并為每個系統(tǒng)分配一個風(fēng)險分?jǐn)?shù) 當(dāng)觀察到事件時 安全管理員可實時和自動地將正在發(fā)生的該事件與系統(tǒng)的 漏洞分?jǐn)?shù)進(jìn)行比較和評價并確定是否應(yīng)該采取措施 如果系統(tǒng)不容易遭到該事件 的攻擊 則無需采取任何行動 通過將若干加權(quán)暴露參數(shù)相加 即可分配一個絕對的漏洞分?jǐn)?shù) 在多個系統(tǒng) 上進(jìn)行規(guī)范化可提供適用于風(fēng)險運算的系數(shù) 統(tǒng)計關(guān)聯(lián) 用戶可以根據(jù)實際情況定義事件的觸發(fā)條件 然后統(tǒng)計所發(fā)生的事件 如果 在一定時間內(nèi)發(fā)生的事件符合所定義的條件則觸發(fā)關(guān)聯(lián)事件 4 3 基于業(yè)務(wù)單元 基于業(yè)務(wù)單元 BU 或安全域的風(fēng)險評估 或安全域的風(fēng)險評估 風(fēng)險管理是一個評價對整個企業(yè)的威脅并確保這些威脅所構(gòu)成的風(fēng)險在可接 受程度內(nèi)的連續(xù)過程 也包括那些尚屬未知的威脅 風(fēng)險是由威脅 CIACIA 屬性 及價值和漏洞組成的 威脅是那些對網(wǎng)絡(luò)資產(chǎn)可能構(gòu)成危險的活動 網(wǎng)絡(luò)資產(chǎn)的 TSOC 技術(shù)白皮書 啟明星辰信息技術(shù)有限公司 地址 北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓 啟明星辰大廈 電話 010 82779088 傳真 010 82779151 網(wǎng)址 21 價值以及駐留在網(wǎng)絡(luò)中的信息的價值本質(zhì)上都是主觀的因此會隨時間而改變 它 通常是由系統(tǒng)在公司中所發(fā)揮的作用以及該系統(tǒng)所存儲或處理的數(shù)據(jù)來限定的 漏洞系指可導(dǎo)致威脅造成破壞的系統(tǒng)和軟件薄弱環(huán)節(jié) 采用能計算威脅和風(fēng)險分?jǐn)?shù)并將這些統(tǒng)計數(shù)據(jù)關(guān)聯(lián)到針對該環(huán)境而定制的基 于規(guī)則的計算結(jié)果中的專用公式為企業(yè)提供了威脅和風(fēng)險評估 系統(tǒng)的評分功能 可連續(xù)處理低水平攻擊 以識別出表示高風(fēng)險威脅的模式 其獨特的評分算法可 通過采用高級關(guān)聯(lián)技術(shù)而檢測出不同類型的威脅和攻擊 可使企業(yè)識別出雜音 減少假肯定次數(shù)并迅速識別出真正的威脅 從而加快響應(yīng)速度 對網(wǎng)絡(luò)中資產(chǎn) 主機(jī)及其應(yīng)用系統(tǒng) 網(wǎng)絡(luò)設(shè)備 安全設(shè)備 的安全事件的收 集和管理 資產(chǎn)的脆弱狀態(tài)信息收集和管理 結(jié)合事件 脆弱狀態(tài)信息和資產(chǎn) 域所承載業(yè)務(wù)的 CIACIA 屬性及價值進(jìn)行綜合關(guān)聯(lián)分析計算 形成統(tǒng)一 5 5 級風(fēng)險級別 便于安全管理人員及時掌握網(wǎng)絡(luò)中各個業(yè)務(wù)域 安全域 地理域 行政域及關(guān)鍵資 產(chǎn)的最新安全風(fēng)險動態(tài) 通過各種風(fēng)險的計算 并將計算后的結(jié)果提交給風(fēng)險計 算與監(jiān)測模塊形成統(tǒng)一的預(yù) 告警信息 便于信息安全管理人員從全局動態(tài)把握 網(wǎng)絡(luò)中各個業(yè)務(wù)域 安全域 地理域 行政域及關(guān)鍵資產(chǎn)的安全風(fēng)險趨勢 其功能示意圖如下 事事件件 資資產(chǎn)產(chǎn) a 價價值值 CIA 脆脆弱弱性性 BU 安安全全域域或或業(yè)業(yè)務(wù)務(wù)單單元元 資資產(chǎn)產(chǎn) n 價價值值 CIA 脆脆弱弱性性 威威脅脅 風(fēng)風(fēng)險險計計算算與與監(jiān)監(jiān)測測 4 4 多樣化的安全預(yù)警多樣化的安全預(yù)警 安全預(yù)警是一種有效預(yù)防措施 結(jié)合安全漏洞的跟蹤和研究 及時發(fā)布有關(guān) 的安全漏洞信息和解決方案 督促和指導(dǎo)各級安全管理部門及時做好安全防范工 TSOC 技術(shù)白皮書 啟明星辰信息技術(shù)有限公司 地址 北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓 啟明星辰大廈 電話 010 82779088 傳真 010 82779151 網(wǎng)址 22 作 防患于未然 同時通過安全威脅管理模塊所掌握的全網(wǎng)安全動態(tài) 有針對性 指導(dǎo)各級安全管理機(jī)構(gòu)做好安全防范工作 特別是針對當(dāng)前發(fā)生頻率較高的攻擊 做好預(yù)警和防范工作 安全預(yù)警對來自于不同威脅事件和脆弱性模塊的資產(chǎn)漏洞狀態(tài)信息 根據(jù)規(guī) 則的事件關(guān)聯(lián)分析 漏洞關(guān)聯(lián)分析和風(fēng)險評估的進(jìn)行準(zhǔn)確分析計算 形成統(tǒng)一的 5 5 級風(fēng)險級別 為安全管理人員進(jìn)行安全預(yù)警 基于脆弱性的預(yù)警 在接到安全廠商及軟件系統(tǒng)發(fā)布廠商的新的漏洞通告時 安全預(yù)警模塊調(diào)用 關(guān)聯(lián)分析中的基于漏洞的關(guān)聯(lián)分析等模塊 計算出該漏洞所影響的設(shè)備 系統(tǒng)和 業(yè)務(wù)情況 從而得到該漏洞的風(fēng)險等級 基于事件的預(yù)警 在接到新的威脅事件時 安全預(yù)警模塊將調(diào)用基于規(guī)則的事件關(guān)聯(lián) 基于統(tǒng) 計的關(guān)聯(lián)分析等模塊 得到本威脅事件的影響值及影響范圍 當(dāng)該事件的影響值 超過一定閥值后 將其進(jìn)行展示 從而指導(dǎo)管理人員做好有效的防范工作 4 5 兼容國際的漏洞兼容國際的漏洞標(biāo)準(zhǔn)標(biāo)準(zhǔn) 啟明星辰 TSOC 的漏洞評估管理通過人工審計和漏洞掃描工具兩種方式 收 集整個網(wǎng)絡(luò)的弱點情況并進(jìn)行統(tǒng)一管理 使得管理人員可以清楚的掌握全網(wǎng)的安 全健康狀況 漏洞評估管理具有統(tǒng)一的可視界面 顯示各個系統(tǒng)的安全漏洞分布情況 包 括以下內(nèi)容 以顯著的圖示方式表示各個系統(tǒng)的漏洞級別 該漏洞相關(guān)的鏈接信息 包括 CVE 編號 漏洞描述 受影響的系統(tǒng)類型 以及漏洞的解決方案等信息 統(tǒng)計信息 即給出漏洞的分布 數(shù)量等統(tǒng)計信息 TSOC 技術(shù)白皮書 啟明星辰信息技術(shù)有限公司 地址 北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓 啟明星辰大廈 電話 010 82779088 傳真 010 82779151 網(wǎng)址 23 4 6 可視化的設(shè)備狀態(tài)集中監(jiān)控可視化的設(shè)備狀態(tài)集中監(jiān)控 自動掃描網(wǎng)絡(luò) 圖形化顯示整個網(wǎng)絡(luò)連接狀況 能夠監(jiān)測網(wǎng)絡(luò)設(shè)備的 CPU 內(nèi)存等占用率 并在設(shè)備異?；蜴溌樊惓r提示告警 實現(xiàn)對網(wǎng)絡(luò)設(shè)備的拓?fù)涔?理 故障管理 性能管理 告警管理 日志和報表管理 保障網(wǎng)絡(luò)環(huán)境運行質(zhì)量 降低網(wǎng)絡(luò)出現(xiàn)故障的頻率 幫助管理員對整個系統(tǒng)的分析 管理和優(yōu)化 4 7 多樣化的顯示方式多樣化的顯示方式 提供不同的數(shù)據(jù)視圖 包括 整個網(wǎng)絡(luò)的可視化視圖 具體應(yīng)用服務(wù)器的深 入視圖 關(guān)于以規(guī)則為基礎(chǔ)的相關(guān)數(shù)據(jù)的交叉視圖 以及可顯示與最優(yōu)風(fēng)險水平 不同的統(tǒng)計視圖 還可實現(xiàn)關(guān)于以資產(chǎn)及業(yè)務(wù)為基礎(chǔ)的風(fēng)險的視圖 如 對資產(chǎn) 及業(yè)務(wù)的影響 和 攻擊的可能性 等簡單而有效的視圖 使企業(yè)能更輕松地根 據(jù)自身的獨特需求來安排糾正措施的優(yōu)先級 4 8 全面的知識管理全面的知識管理 啟明星辰 TSOC 的知識管理模塊既提供一般知識管理功能 比如安全知識庫 培訓(xùn)和人員考核等 也提供了強(qiáng)大的漏洞庫 事件特征庫 安全配置知識庫和案 例庫等 另外 啟明星辰公司作為國家 CNCVE 項目的承擔(dān)單位擁有自主產(chǎn)權(quán)的漏洞 庫和事件特征庫 TSOC 的漏洞庫和事件特征庫兼容了國內(nèi)國際上流行的各種漏 洞庫 比如 CNCVE CVE 等 同時啟明星辰的積極防御實驗室會及時發(fā)布最新 發(fā)現(xiàn)的各種安全漏洞 并定期對已知漏洞進(jìn)行總結(jié) TSOC 技術(shù)白皮書 啟明星辰信息技術(shù)有限公司 地址 北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓 啟明星辰大廈 電話 010 82779088 傳真 010 82779151 網(wǎng)址 24 4 9 靈活部署具有極強(qiáng)可擴(kuò)展性靈活部署具有極強(qiáng)可擴(kuò)展性 啟明星辰 TSOC 采用典型的 B S D 架構(gòu)和三層體系架構(gòu) 數(shù)據(jù)采集層 分析 處理層和安全管理呈現(xiàn)表示層 系統(tǒng)采用模塊化設(shè)計 擁有多層次的分布計算 能力和多級靈活的大規(guī)模部署能力 具備極強(qiáng)可擴(kuò)展性 4 10支持多平臺支持多平臺 啟明星辰 TSOC 目前支持 Windows Linux Solaris For SPARC 三個操 作系統(tǒng)平臺 并易于移植到其它平臺 5 典型部署典型部署 SMP 由數(shù)據(jù)庫服務(wù)器 管理服務(wù)器 事件采集服務(wù)器組成 應(yīng)用軟件部署在相應(yīng) 的上述硬件平臺上 事件采集代理 Agent 根據(jù)被管理的數(shù)據(jù)源 資產(chǎn) 的類型及拓?fù)?實際情況 在工程實施中具體部署 各類事件采集可采用分布式部署 中心網(wǎng)絡(luò)部署事件集中采集服務(wù)器 各個被管 網(wǎng)絡(luò)分布部署事件采集服務(wù)器 負(fù)責(zé)各自網(wǎng)絡(luò)內(nèi)的事件集中采集 維護(hù)人員通過通用 運維終端采用基于 Http Https 協(xié)議進(jìn)行遠(yuǎn)程管理和日常維護(hù) 其他授權(quán)用戶亦可采用 基于 Http Https 協(xié)議從安全管理角度針對所管理的網(wǎng)絡(luò)范圍進(jìn)行綜合風(fēng)險分析監(jiān)控 典型的部署如下圖所示 TSOC 技術(shù)白皮書 啟明星辰信息技術(shù)有限公司 地址 北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓 啟明星辰大廈 電話 010 82779088 傳真 010 82779151 網(wǎng)址 25 6 服務(wù)支持服務(wù)支持 北京啟明星辰信息技術(shù)有限公司北京啟明星辰信息技術(shù)有限公司 技術(shù)咨詢服務(wù)電話 0