【正文】 性 （ Nonreputiation） 、可追究性 （ Accountability） 和可控性 /可治理性 （ Controllability/Governability） 。這種相對獨立的部署方式帶來的問題是各個設(shè)備獨立的配置、各個引擎獨立的事件報警，這些分散獨立的安全事件信息難以形成全局的風險觀點，導致了安全策略和配置難于統(tǒng)一協(xié)調(diào)。 泰合信息安全運營中心 （簡稱： TSOC）是針對傳統(tǒng)管理方式的一種重大變革。它將不同位置、不同安全系統(tǒng)中分散且海量的單一安全事件進行匯總、過濾、收集和關(guān)聯(lián)分析，得出全局角度的安全風險事件，并形成統(tǒng)一的安全決策對安全事件進行響應(yīng)和處理。這種對于大規(guī)模系統(tǒng)的安全管理也正是 TSOC 的需求根源，就是說只有大系統(tǒng)、擁有復雜應(yīng)用的系統(tǒng)才有 TSOC 的需求。信息安全的目標是要確保全局的掌控，確保整個體系的完整性，而不僅限于局部系統(tǒng)的完整性；對于安全問題、事件的檢測要能夠匯總和綜合到中央監(jiān)控體系，確?？勺肪啃允钦麄€體系的可追究性。人力資源匱乏、信息泛濫、工具短缺，所有這些問題均可通過TSOC 應(yīng)用來加以解決，而且，這些 TSOC 應(yīng)用還能處理大量的安全和審計數(shù)據(jù)，幫助我們從這些數(shù)據(jù)中發(fā)現(xiàn)問題，使企業(yè)只需配備很少量的人員就能充分利用其中的自動化技術(shù)和功能。 TSOC 就像是這個水桶的箍，有了這個箍，水桶就很難崩潰，即使出現(xiàn)個別的漏洞，也不至于對整個體系造成災(zāi)難性的破壞。 啟明星辰 TSOC 具有廣泛的應(yīng)用范圍和客戶群， 在電信、金融、政府、能源等行業(yè)均 有成功的應(yīng)用。 TSOC 技術(shù)白皮書 啟明星辰信息技術(shù)有限公司 地址：北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓 啟明星辰大廈 電話： 01082779088 傳真： 01082779151 網(wǎng)址： 7 圖 1. 泰合信息安全運營中心 架構(gòu)示意圖 TSOC 技術(shù)白皮書 啟明星辰信息技術(shù)有限公司 地址：北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓 啟明星辰大廈 電話： 01082779088 傳真： 01082779151 網(wǎng)址： 8 產(chǎn)品組 件 圖 2. 泰合信息安全運營中心軟件總體結(jié)構(gòu) 如上圖所示， 泰合信息安全運營中心 分為 SMC、 DAC 和 VSIMS 三部分。 系統(tǒng)要求 安全管理中心（ SMC） 服務(wù)器端 TSOC 技術(shù)白皮書 啟明星辰信息技術(shù)有限公司 地址：北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓 啟明星辰大廈 電話： 01082779088 傳真： 01082779151 網(wǎng)址： 9 ? 硬件環(huán)境 處理器： Intel X86 系列或兼容 CPU 最低 PIV 或相當 推薦 Xeon * 2 或相當 內(nèi) 存：最低 1GB，推薦 2GB 硬 盤：最低 IDE 80G * 1，推薦 SCSI 72GB * 2 網(wǎng) 卡： 最低 10/100 自適應(yīng)網(wǎng)卡 * 1, 推薦雙網(wǎng)卡 注意： 如與其他系統(tǒng)公用硬件系統(tǒng)則需要考慮額外的處 理能力 ? 軟件環(huán)境 操作系統(tǒng)： Windows 20 Windows XP、 Windows 2020 Server。 TSOC 技術(shù)白皮書 啟明星辰信息技術(shù)有限公司 地址：北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓 啟明星辰大廈 電話： 01082779088 傳真： 01082779151 網(wǎng)址： 10 安全信息管理系統(tǒng)（ VSIMS） ? 硬件環(huán)境 處理器： Intel X86 系列或兼容 CPU 最低 PIV 或相當 推薦 Xeon * 2 或相當 內(nèi) 存：最低 512MB，推薦 1GB 硬 盤：最低 IDE 80G * 1，推薦 SCSI 72GB * 2 網(wǎng) 卡：最低 10/100 自適應(yīng)網(wǎng)卡 * 1, 推薦雙網(wǎng)卡 注 意 ：如與其他系統(tǒng)公用硬件系統(tǒng)則需要考慮額外的處理能力 ? 軟件環(huán)境 操作系統(tǒng)： Windows 20 Windows XP、 Windows 2020 Server。 3 產(chǎn)品功能 事件管理 事件管理處理 事件收集、事件整合和事件可視化 三方面工作 。 事件管理功能本身支持大多數(shù)被管理設(shè)備的日志采集， 對于一些 尚未支持 的設(shè)備，可通過通用代理技術(shù) （ UA） 支持，確保事件的廣泛采集。將預警傳遞到指定的 安全管理人員 ，使 安全管理人員 掌握網(wǎng)絡(luò)的最新安全風險動態(tài)，并為調(diào)整安全策略適應(yīng)網(wǎng)絡(luò)安全的動態(tài)變化提供依據(jù)。 綜合安全風險分析是分析整個企業(yè)面臨的威脅和確保這些威脅所帶來的挑戰(zhàn)處于可以接受的范圍內(nèi)的連續(xù)流程。響應(yīng)管理作為 TSOC 的重要組成部分之一為響應(yīng)服務(wù)實現(xiàn)工具化、程序化、規(guī)范化提供了管理平臺。所有的工單經(jīng)人工審核后，通過人工派單方式發(fā)送到相應(yīng)的工單處理部門。通過接收 Trap 信息和主動輪詢兩種方式及時地發(fā)現(xiàn)網(wǎng)絡(luò)節(jié)點發(fā)生的各種故障，及時告警，通知管理員進行相關(guān)檢查和管理。通過為全網(wǎng)安全管理人員提供統(tǒng)一的安全策略，指導各級安全管理機構(gòu)因地制宜的做好安全策略的部署工作，有利于在全網(wǎng)形成安全防范的合力，提高全網(wǎng)的整體安全防御能力，同時通過 TSOC 策略和配置管理平臺的建設(shè)可以進一步完善整個 IP 網(wǎng)絡(luò)的安全策略體系建設(shè)，為指導各項安全工作的開展提供行動指南，有效解決目前因缺乏口令、認證、訪問控制等方面策略而帶來到安全風險問題。 TSOC 技術(shù)白皮書 啟明星辰信息技術(shù)有限公司 地址：北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓 啟明星辰大廈 電話： 01082779088 傳真： 01082779151 網(wǎng)址： 14 資 產(chǎn) 管理 資產(chǎn)管理 主要是管理 TSOC 監(jiān)控范圍的各個系統(tǒng)和設(shè)備，是風險管理、事件監(jiān)控協(xié)同工作和分析的基礎(chǔ)。 系統(tǒng)管理員應(yīng)能對各操作員的權(quán)限進行配置和管理，要有完整的安全控制手段 ,對用戶和系統(tǒng)管理員的權(quán)限進行分級管理 , 相應(yīng)的賬號和口令加密存放，充分保證用戶信息的安全性。報表輸出格式可轉(zhuǎn)換為 PDF 、 HTML、 RTF、 CSV 等多種常用的標準格式。 ? 綜合分析與預警報表 供綜合安全風險分析的報表，提供風險查詢報表，可以根據(jù)資產(chǎn)、域、趨勢等進行分類輸出，包括分析數(shù)據(jù)分布范圍、受影響的系統(tǒng)、可能的嚴重程度等。 綜合 顯示 綜合顯示模塊作為整個安全管理平臺統(tǒng)一人機界面接口，將各個界面的信息集中顯示和發(fā)布，采用 Web 方式，支持各功能模塊的信息顯示和管理。 ? 基于 電子地圖 的信息顯示 TSOC 技術(shù)白皮書 啟明星辰信息技術(shù)有限公司 地址：北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓 啟明星辰大廈 電話： 01082779088 傳真： 01082779151 網(wǎng)址： 16 與 電子地圖 系統(tǒng)接口相結(jié)合，在地理上提供信息顯示，可以在物理層面定位事件發(fā)生的位置。 ? 前臺用戶界面：前臺用戶界面 負責提供各種流程的用戶實際操作界面。用戶可以查看和處理與自己相關(guān)的來自各類工作流的工單。如果某個設(shè)備支持通過這兩種協(xié)議進行控制操作，那么用戶就可以利用該模板提供的功能來對相關(guān)設(shè)備進行手動或自動的控制。 設(shè)備控制腳本是提供了一套簡明的通用控制語法，用戶在稍加學習之后，就可以按自己的意圖寫出相應(yīng)的控制腳本。通過該模塊，用戶可以： ? 將組織的中各類安全規(guī)范制度和安全策略文檔有層 次的管理起來，用戶可以將安全策略文檔整理成樹型結(jié)構(gòu)，從而一目了然的展現(xiàn)上各策略之間的層次關(guān)系。設(shè)備狀態(tài)視圖能對設(shè)備進行集中配置。安全運營中心體系的自身安全包括多方面，如物理安全，數(shù)據(jù)安全，通訊安全等。 系統(tǒng)提供三種關(guān)聯(lián)分析類型：基于規(guī)則的事件關(guān)聯(lián)分析、 漏洞關(guān)聯(lián)分析 和統(tǒng)計關(guān)聯(lián)分析 。 漏洞關(guān)聯(lián) 分析 引擎使安全人員能確定不同事件的優(yōu)先級從而及時地對這些事件 做 出響應(yīng)。如果系統(tǒng)不容易遭到該事件的攻擊，則無需采取任何行動。 基于業(yè)務(wù)單元 （ BU） 或安全域的 風險評估 風險管理是一個評價對整個企業(yè)的威脅并確保這些威脅所構(gòu)成的風險在可接受程度內(nèi)的連續(xù)過程 – 也包括那些尚屬未知的威脅。它通 TSOC 技術(shù)白皮書 啟明星辰信息技術(shù)有限公司 地址：北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓 啟明星辰大廈 電話： 01082779088 傳真： 01082779151 網(wǎng)址： 21 常是由系統(tǒng)在公司中所發(fā)揮的作用以及該系統(tǒng)所存儲或處理的數(shù)據(jù)來限定的。其獨特的評分算法可通過采用高級關(guān)聯(lián)技術(shù)而檢測出不同類型的威脅和攻擊，可使企業(yè)識別出雜音、減少假肯定次數(shù)并迅速識別出真正的威脅，從而加快響應(yīng)速度。結(jié)合安全漏洞的跟蹤和研究，及時發(fā)布有關(guān)的安全漏洞信息和解決方案，督促和指導各級安全管理部門及時做好安全防范工 TSOC 技術(shù)白皮書 啟明星辰信息技術(shù)有限公司 地址：北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓 啟明星辰大廈 電話： 01082779088 傳真： 01082779151 網(wǎng)址： 22 作，防患于未然。 ? 基于事件的預警 在接到新的威脅事件時，安全預警模塊將調(diào)用基于規(guī)則的事件關(guān)聯(lián)、基于統(tǒng)計的關(guān)聯(lián)分析等模塊，得到本威脅事件的影響值及影響范圍，當該事件的影響值超過一定閥值后，將其進行展示，從而指導管理人員做好有效的防范工作。實現(xiàn)對網(wǎng)絡(luò)設(shè)備的拓撲管理、故障管理、性能管理、告警管理、日志和報表管理 。 全面 的 知識管理 啟明星辰 TSOC 的知識管理 模塊 既提供一般知識管理功能，比如安全知識庫、培訓和人員考核等，也提供了強大的漏洞庫、事件特征庫、安全配置知識庫和案例庫等。 5 典型 部署 SMP 由數(shù)據(jù)庫服務(wù)器，管理服務(wù)器，事件采集服務(wù)器組成；應(yīng)用軟件部署在相應(yīng)的上述硬件平臺上，事件采集代理 (Agent)根據(jù)被管理的數(shù)據(jù)源（資產(chǎn)）的類型及拓撲實際情況，在工程實施中具體部署。啟明星辰公司的目標和宗旨是： “誠信為先、技術(shù)領(lǐng)先、服務(wù)本地化、用戶第一，成為國際一流的 TSP——誠信的網(wǎng)絡(luò)安全產(chǎn)品、服務(wù)與解決方案提供商。目前啟明星辰公司擁有包括積極防御實驗室、北京研發(fā)中心、上海研發(fā)中心、國內(nèi)首家網(wǎng)絡(luò)安全博士后工作站、 CERT 小組在內(nèi) 的 100 余人的技術(shù)力量，是國內(nèi)實力最為雄厚的網(wǎng)絡(luò)安