系统简介
泰合信息安全运营中心(Security Operation Center)是针对传统安全管理方式的一种重大变革。它将不同位置、不同资产(主机、网络设备和安全设备等)中分散且海量的安全信息进行范式化、汇总、过滤和关联分析,形成基于资产/域的统一等级的威胁与风险管理,并依托安全知识库和工作流程驱动对威胁与风险进行响应和处理。总体来说安全管理平台系统的根本模型就是PDR模型,而泰合信息安全运营中心系统就是实现其中的D(Detection,检测)和R(Response,响应)。
泰合信息安全运营中心的需求主要是从以下几个方面得到体现:
※大型系统复杂安全管理 ※信息安全工作流程驱动 ※全局可控性(检测和响应)
※海量信息数据分析 ※解决专业安全人员匮乏问题 ※安全策略的符合性检查
体系结构
如图所示,启明星辰泰合信息安全运营中心(Venus Security Operation Center)是由“五个中心、五个功能模块”组成的。
● 五个中心
■事件/流量监控中心 ■网管中心 ■ 漏洞评估中心 ■安全预警与风险管理中心 ■响应管理中心
● 五个功能模块
■ 策略配置管理 ■ 资源管理 ■ 用户管理 ■ 安全知识管理 ■自身系统维护管理
功能特点
● 安全事件集中收集和处理
通过安全代理(Agent)和引擎(Engine)的部署,在所辖网络(不同的承载业务网及其相关支撑网络和系统)上的不同安全信息采集点,通过安全通讯方式,集中收集安全事件到泰合信息安全运营中心的安全管理服务器进行处理,从而实现了针对全网的安全事件的集中收集和分析处理。
● 网络设备集中监控和管理
自动扫描网络,图形化显示整个网络连接状况,能够监测网络设备的CPU、内存等占用率,并在设备异常或链路异常时提示告警。实现对网络设备的拓扑管理、故障管理、性能管理、告警管理、日志和报表管理。保障网络环境运行质量,降低网络出现故障的频率,帮助管理员对整个系统的分析、管理和优化。
● 漏洞评估管理
漏洞评估中心通过人工审计和漏洞扫描工具两种方式,收集整个网络的弱点情况并进行统一管理,使得管理人员可以清楚的掌握全网的安全健康状况。
● 关联分析
集成多种功能强大的关联分析方法:基于规则的事件关联分析、漏洞关联分析和综合关联分析等,既能从不同层面搜索、分析具体威胁情况,又能用统计方法来测量其他可能的威胁异常情况,并可利用这两方面的数据来分析资产实际上是否会遭到该事件的攻击,实现“综合关联”。
● 资产管理
资产管理实现对安全运营中心所管辖的设备和系统对象的管理。遵从BS7799标准的基于资产CIA属性,按照资产信息、漏洞、补丁与备件分类导入或登记入库,并为其他安全运行管理模块提供信息接口,比如响应管理中心、综合分析决策支持与预警平台等。
● 风险评估
对网络中资产(主机、网络设备、安全设备、应用系统)的安全事件的收集和管理,资产的脆弱状态信息收集和管理,结合事件、脆弱状态信息和资产所承载业务的CIA属性及价值进行综合关联分析和风险管理。
● 安全事件/流量监控
安全事件/流量监控负责实时监控网络的安全事件状态,是实时掌握全网的安全威胁状况的重要手段之一。同时通过其中异常流量监控模块实时监控重要网络链路的流量状况,可以及时检测网络中的异常流量,采取有效措施降低异常流量对网络的影响。
● 运行状态监控
负责监控各种安全设备、主机和网络设备的运行状态,流量监控和资源使用情况,为网络安全管理人员提供统一的运行状态信息,并可根据自定义的阀值报警,结合设备的拓扑显示,能够准确定位设备运行状态事件,保证网络和业务系统的稳定、可靠运行。
● 安全策略配置管理
通过安全策略配置运营中心的建设可以进一步完善整个网络的安全策略配置管理体系建设,为全网安全运行管理人员提供统一的安全策略,为各项安全工作的开展提供指导,有效解决目前因缺乏口令、认证、访问控制等方面策略而带来的安全风险问题。
● 响应管理
响应管理是通过基于响应规则的工单系统和通知系统实现的。该系统是专门针对安全事件的处理过程,根据具体的安全响应流程进行定制的。
● 全面知识管理
安全知识管理既提供一般知识管理功能,比如安全知识库、培训和人员考核等,也提供了强大的漏洞库、事件特征库、安全配置知识库和案例库等,并提供自学习交流论坛。
● 多样化显示方式
提供不同的数据视图,包括:整个网络的可视化视图、具体应用服务器的深入视图、关于以规则为基础的相关数据的交叉视图,以及可显示与最优风险水平不同的统计视图。还可实现关于以资产及业务为基础的风险的视图,如“对资产及业务的影响”和“攻击的可能性”等简单而有效的视图,使企业能更轻松地根据自身的独特需求来安排纠正措施的优先级。
● 丰富直观的报表
提供了多种实时显示方式,如GIS(地理信息系统)、网络拓扑方式、雷达方式、柱形图等,直观的将安全威胁数据呈现给用户。
广泛的平台支持
启明星辰泰合信息安全运营中心支持从各种主流安全系统、主机、网络设备、安全设备收集安全事件数据,并可以和网管系统实现综合管理。目前支持的产品类型有:
■防火墙系统:
Symantec FW/VPN;Checkpoint NG; NGAI and Provider/1; Cisco PIX; Netscreen; Secure Computing Sidewinder G2、国内各主流品牌等
■入侵监测系统:
启明星辰天阗IDS; Enterasys Dragon; ISS RealSecure;Cisco Secure IDS; Snort; Symantec Manhunt; NFR;nCircle IP360、国内各主流品牌等
■防病毒系统:
Symantec Corporate (Norton); McAfee ePO; Trend Micro、瑞星等
■异常流量系统:
Arbor Peakflow等
■漏洞扫描系统:
启明星辰天镜Scanner; eEye Retina; nCircle IP360; Nessus; ISS Scanner; Foundstone Foundscan等
■网管系统:
HP OpenView; MicroMuse NetCool; CA UniCenter;IBM;Tivoli等
■主机系统:
Solaris OS (Sun); Red Hat Linux OS; Microsoft Windows;HP-UX (Hewlett-Packard);AIX (IBM)等
■数据库:
Oracle;Microsoft SQL Server等
■网络设备:
Cisco系列;Juniper系列;华为系列等
■其他:
同时支持DDOS、网闸、桌面管理系统、审计系统等其他类型设备
■定制化:
针对当前不支持的系统可以通过定制化工具(快速连接通用安全代理),满足用户要求
● 应用行业:
政府、金融、电信、能源等
技术优势
■ 强大的安全事件集中收集分析和处理
■ 构筑了较为完善的资产和风险管理体系
■ 基于工作流的安全事件响应管理功能
■ 可实现多级不同管理模式的功能
■ 信息安全运营中心良好的可扩展性和开放性
■ 具备信息安全运营中心的高容错性和高可用性
■ 具备一定深度的数据挖掘能力
■ 具备拓扑自动发现、运行状态监控、故障管理等网管功能
■ 灵活的、可定制的、客户化的安全风险统计分析
■ 报告和强大的实时安全管理显示系统
资质证书
■计算机信息系统安全专用产品销售许可证
■涉密信息系统产品检测证书
■计算机软件著作权
