【正文】 rd顯示等綜合顯示及功能報(bào)表組成。圖31. 安全策略文檔管理安全策略文檔管理包括兩個(gè)部分的功能：安全策略的定義、生成、審核、發(fā)布、訪問(wèn)幫助用戶制定組織的總體安全策略幫助各個(gè)子策略的管理員制作所負(fù)責(zé)系統(tǒng)或設(shè)備的具體策略總體安全策略經(jīng)過(guò)審核后正式發(fā)布普通用戶可以在線閱讀和下載安全策略響應(yīng)后對(duì)安全策略的關(guān)聯(lián)與調(diào)用當(dāng)系統(tǒng)運(yùn)行中發(fā)生了某類安全事件后則根據(jù)預(yù)定義規(guī)則自動(dòng)調(diào)用對(duì)應(yīng)的安全策略，供管理員參考。n 基于事件的預(yù)警：在接到新的威脅事件時(shí)，安全預(yù)警模塊將調(diào)用基于規(guī)則的事件關(guān)聯(lián)、基于統(tǒng)計(jì)的關(guān)聯(lián)分析等模塊，得到本威脅事件的影響值及影響范圍，當(dāng)該事件的影響值超過(guò)一定閥值后，將其進(jìn)行展示，從而指導(dǎo)管理人員做好有效的防范工作。 能夠根據(jù)資產(chǎn)的風(fēng)險(xiǎn)狀況進(jìn)行排序，給出高風(fēng)險(xiǎn)資產(chǎn)清單；216。 能夠根據(jù)資產(chǎn)的風(fēng)險(xiǎn)狀況進(jìn)行排序，給出高風(fēng)險(xiǎn)資產(chǎn)清單；216。 風(fēng)險(xiǎn)信息通過(guò)圖表可視化直觀顯示，便于決策者隨時(shí)了解系統(tǒng)風(fēng)險(xiǎn)情況，作出安全決策。 借助于資產(chǎn)管理模塊、事件管理模塊和脆弱性管理模塊的信息統(tǒng)一進(jìn)行風(fēng)險(xiǎn)計(jì)算，形成風(fēng)險(xiǎn)信息。下級(jí)能夠定期上報(bào)安全報(bào)表（日?qǐng)?bào)、周報(bào)、月報(bào)、季報(bào)、年報(bào)）。上級(jí)可以通過(guò)監(jiān)控界面查看下級(jí)上報(bào)數(shù)據(jù)，上級(jí)能夠向下級(jí)下發(fā)全局策略。注冊(cè)申請(qǐng)由上級(jí)指定權(quán)限的人員進(jìn)行審核，審核通過(guò)后生效。 多級(jí)管理多級(jí)管理模塊上下級(jí)之間數(shù)據(jù)傳輸?shù)膬?nèi)容能夠通過(guò)策略進(jìn)行配置，包括：上級(jí)能夠向下級(jí)下發(fā)全局策略；下級(jí)能夠定期上報(bào)安全報(bào)表（日?qǐng)?bào)、周報(bào)、月報(bào)、季報(bào)、年報(bào)）；下級(jí)能夠按照上級(jí)要求自動(dòng)上報(bào)高風(fēng)險(xiǎn)事件；下級(jí)能夠通過(guò)上級(jí)向全網(wǎng)發(fā)出安全預(yù)警等。當(dāng)完成這些配置之后，用戶就可以在設(shè)備管理中直接針對(duì)某個(gè)設(shè)備運(yùn)行相關(guān)的設(shè)備控制策略，從而實(shí)現(xiàn)相關(guān)控制。 設(shè)備控制管理設(shè)備控制管理模塊提供了一個(gè)通用的、可擴(kuò)展的設(shè)備控制框架，在TSOC中內(nèi)置了兩種控制協(xié)議：Telnet和SSH。流程描述元素可能包括：l 步驟：表示流程圖中的某個(gè)結(jié)點(diǎn)l 轉(zhuǎn)移：表示流程圖中某兩個(gè)結(jié)點(diǎn)之間的連線，具有方向性l 動(dòng)作：包含自動(dòng)動(dòng)作和手動(dòng)動(dòng)作圖21. 工作流管理流程圖定義好一個(gè)工作流后，就會(huì)自動(dòng)生成與該工作流相關(guān)的工單界面。工作流管理模塊主要包括兩部分功能：l 后臺(tái)工作流管理：后臺(tái)工作流管理負(fù)責(zé)同時(shí)定義、實(shí)現(xiàn)和維護(hù)多個(gè)流程。裝填信息包含但不限于：數(shù)據(jù)庫(kù)類型、數(shù)據(jù)庫(kù)服務(wù)器主機(jī)名、數(shù)據(jù)庫(kù)服務(wù)器ip地址、數(shù)據(jù)庫(kù)版本、數(shù)據(jù)庫(kù)緩沖區(qū)大小、表空間利用率、數(shù)據(jù)庫(kù)會(huì)話連接數(shù)、lock信息等2）能夠支持oracle、sqlserver等主流數(shù)據(jù)庫(kù)的狀態(tài)信息采集3）提供數(shù)據(jù)庫(kù)監(jiān)控功能，能夠?qū)崟r(shí)監(jiān)控?cái)?shù)據(jù)庫(kù)的各種狀態(tài)，提供圖像化進(jìn)行呈現(xiàn)。針對(duì)這些模型，我們?yōu)槊總€(gè)模型都建立了相應(yīng)的基線。同時(shí)，端口流量指標(biāo)也是流量總體安全分析的基礎(chǔ)數(shù)據(jù)之一。同時(shí)，總體流量指標(biāo)也是流量總體安全分析的基礎(chǔ)數(shù)據(jù)之一。目的是為了進(jìn)一步降低系統(tǒng)的誤報(bào)率。關(guān)聯(lián)分析包括：對(duì)安全事件的規(guī)則關(guān)聯(lián)、統(tǒng)計(jì)關(guān)聯(lián)，對(duì)安全事件和安全漏洞的漏洞關(guān)聯(lián)，結(jié)果輸入風(fēng)險(xiǎn)管理模塊幾個(gè)主要過(guò)程。事件擴(kuò)散模型本模型根據(jù)監(jiān)控當(dāng)前日志事件的在一段檢測(cè)期中，各種類型事件的數(shù)量變化，來(lái)分析當(dāng)前被監(jiān)控網(wǎng)絡(luò)中安全的態(tài)勢(shì)指標(biāo)是否有異常，并對(duì)總體的安全態(tài)勢(shì)起到數(shù)據(jù)支撐的作用。瀕危受害目標(biāo)：目的地址相同，源地址、事件類型任意的事件集合，說(shuō)明：被攻擊次數(shù)最多的主機(jī)的態(tài)勢(shì)。多種攻擊方式：源地址、目的地址相同，事件類型任意的事件集合，說(shuō)明：攻擊者嘗試多種方法，對(duì)同一目標(biāo)進(jìn)行反復(fù)攻擊的態(tài)勢(shì)。熵模型：通過(guò)安全事件檢測(cè)功能上報(bào)上來(lái)的事件，網(wǎng)絡(luò)態(tài)勢(shì)感知監(jiān)控系統(tǒng)對(duì)所有的事件按照上報(bào)的引擎分類進(jìn)行計(jì)算源地址熵和目的地址熵，同時(shí)也計(jì)算出源、目的地址熵的每個(gè)時(shí)間點(diǎn)的基線值。 高危事件監(jiān)控界面：圖12. 事件監(jiān)控－高危事件216。 支持按照資產(chǎn)類別、事件關(guān)聯(lián)關(guān)系、地理事件圖形、時(shí)間、最后狀態(tài)、系統(tǒng)特征、特點(diǎn)前幾位等類型進(jìn)行實(shí)時(shí)監(jiān)視；216。 支持傳統(tǒng)的網(wǎng)格、線形圖、圓餅圖、條狀圖、區(qū)域圖和重疊區(qū)域圖等多種方式來(lái)顯示特定事件；216。針對(duì)特定系統(tǒng)的日志格式，利用通用代理工具包配置實(shí)現(xiàn)。通過(guò)分布式分級(jí)部署，可以實(shí)現(xiàn)將各個(gè)獨(dú)立的子系統(tǒng)連成一個(gè)分布式的整體安全事件采集體系。信息安全事件管理中心的事件集中采集系統(tǒng)（VSIMS）是完全具有自主知識(shí)產(chǎn)權(quán)的軟件產(chǎn)品，屬于泰合信息安全運(yùn)營(yíng)中心系統(tǒng)的一部分，包括管理服務(wù)（MS）、事件收集器（EC）、專用/通用代理管理（UAM）、專用/通用代理引擎（UAE）、專用/通用日志策略編輯器（UAPE）幾個(gè)部分，負(fù)責(zé)在事件收集器和安全設(shè)備之間通信，用于采集、范化并上報(bào)安全設(shè)備的報(bào)警日志，同時(shí)采集并上報(bào)安全設(shè)備的狀態(tài)，并提供對(duì)多種安全設(shè)備的管理能力。 支持脆弱性數(shù)據(jù)查詢和整體數(shù)據(jù)導(dǎo)出。 脆弱性信息與資產(chǎn)信息進(jìn)行關(guān)聯(lián)并參與風(fēng)險(xiǎn)計(jì)算。 通過(guò)天鏡脆弱性掃描系統(tǒng)對(duì)資產(chǎn)進(jìn)行定期自動(dòng)掃描或手工掃描。 支持資產(chǎn)的脆弱性管理，允許查看資產(chǎn)和安全域的脆弱性指標(biāo)；216。 配置天鏡漏洞掃描系統(tǒng)；216。 脆弱性管理脆弱性管理能夠通過(guò)人工審計(jì)（風(fēng)險(xiǎn)評(píng)估）和漏洞掃描工具兩種方式，收集整個(gè)網(wǎng)絡(luò)的弱點(diǎn)情況并進(jìn)行統(tǒng)一管理，對(duì)收集的信息進(jìn)行統(tǒng)一的范式化處理后，對(duì)脆弱性信息提供查詢和展現(xiàn)功能，使得管理人員可以清楚的掌握全網(wǎng)的安全健康狀況。216。漏洞信息采集在平臺(tái)中的實(shí)現(xiàn)過(guò)程如下：216。 業(yè)務(wù)域的CIA特性由所包含資產(chǎn)的CIA特性決定，參與風(fēng)險(xiǎn)計(jì)算，用于計(jì)算業(yè)務(wù)域風(fēng)險(xiǎn)和整體風(fēng)險(xiǎn)趨勢(shì)。 對(duì)業(yè)務(wù)域進(jìn)行配置，業(yè)務(wù)域中應(yīng)該包括所包含資產(chǎn)信息、資產(chǎn)權(quán)重，同時(shí)對(duì)業(yè)務(wù)域進(jìn)行必要的描述和標(biāo)識(shí)。 平臺(tái)支持資產(chǎn)狀況信息批量導(dǎo)出，形成文檔備份，便于日后查詢。 資產(chǎn)的CIA特性參與風(fēng)險(xiǎn)計(jì)算，用于計(jì)算資產(chǎn)風(fēng)險(xiǎn)和整體風(fēng)險(xiǎn)趨勢(shì)。 資產(chǎn)可通過(guò)手工錄入、excel模板下載批量導(dǎo)入和資產(chǎn)自動(dòng)發(fā)現(xiàn)的方式錄入?！啃蛱?hào)編號(hào)類型型號(hào)數(shù)量日志采集方式支持情況支持條件備注1Router1城域網(wǎng)核心路由器Quidway NetEngine80E1Syslog支持2Virus防病毒軟件瑞星900點(diǎn)SNMP支持概括來(lái)講，資產(chǎn)管理過(guò)程包括：資產(chǎn)信息獲取、配置，風(fēng)險(xiǎn)計(jì)算，結(jié)果呈獻(xiàn)三個(gè)主要過(guò)程。它們分別具有不同的價(jià)值屬性和存在特點(diǎn)，存在的弱點(diǎn)、面臨的威脅、需要進(jìn)行的保護(hù)和安全控制都各不相同。216。216。216。216。216。資產(chǎn)的BU可以是在安全管理中心建設(shè)時(shí)依據(jù)事前風(fēng)險(xiǎn)評(píng)估劃分出來(lái)的不同的安全域進(jìn)行管理。216。 系統(tǒng)有完整的安全控制手段,對(duì)用戶和系統(tǒng)管理員的權(quán)限進(jìn)行分級(jí)管理, 相應(yīng)的賬號(hào)和口令都是加密后存放在數(shù)據(jù)庫(kù)中的。 用統(tǒng)一的系統(tǒng)管理接口，各子信息系統(tǒng)的界面統(tǒng)一；216。 用戶管理模塊216。 安全策略文檔管理模塊216。 設(shè)備控制管理模塊216。 基線管理模塊216。 事件安全管理模塊216。安全管理中心按照三層軟件架構(gòu)體系設(shè)計(jì)，如下圖所示：圖4. 泰合信息安全運(yùn)營(yíng)中心三層體系結(jié)構(gòu)2 平臺(tái)的功能特點(diǎn)安全管理中心的系統(tǒng)平臺(tái)包括下列核心模塊/功能：216。 Recoveryn 內(nèi)容安全 Content Security 平臺(tái)總體方案體系架構(gòu) 功能體系架構(gòu)安全管理中心主要由以下部分組成：資產(chǎn)信息管理模塊、安全事件/業(yè)務(wù)監(jiān)控管理模塊、脆弱性管理模塊、漏洞關(guān)聯(lián)分析、統(tǒng)計(jì)關(guān)聯(lián)分析和基于規(guī)則的關(guān)聯(lián)分析模塊、宏觀趨勢(shì)分析模塊、流量分析模塊、基線管理模塊、風(fēng)險(xiǎn)評(píng)估管理模塊、安全策略管理模塊、網(wǎng)元管理模塊、統(tǒng)一安全預(yù)警模塊、綜合顯示和報(bào)表報(bào)告系統(tǒng)、響應(yīng)管理系統(tǒng)、安全信息管理、系統(tǒng)健康管理和用戶管理模塊組成。技術(shù)則形成一個(gè)AIDARC模型。 軟件開發(fā)服從CMM要求 參考的企業(yè)標(biāo)準(zhǔn)、規(guī)范和指南216。 公安部頒布的《信息安全等級(jí)保護(hù)管理辦法（試行）》及相關(guān)規(guī)定216。它完全具備監(jiān)控、預(yù)警、響應(yīng)、追蹤等功能，并具備可審計(jì)功能，即對(duì)內(nèi)部安全管理人員的相關(guān)操作進(jìn)行日志記錄。安全管理中心與客戶可以已經(jīng)部署的各類安全設(shè)備形成一個(gè)完整的安全保障體系，從而實(shí)現(xiàn)了高效、全面的網(wǎng)絡(luò)安全防護(hù)、檢測(cè)和響應(yīng)。 ISO17799/BS 7799/ISO27001信息安全管理體系國(guó)際標(biāo)準(zhǔn)，216。 工作流管理聯(lián)盟WFMC 定義的工作流標(biāo)準(zhǔn)216。防護(hù)措施又分為人（組織）、過(guò)程（策略、運(yùn)營(yíng)）和技術(shù)三個(gè)大方面。Early warningn 審計(jì)和跟蹤 Audit Trailn 恢復(fù)和冗余 Redundancy amp。便于實(shí)現(xiàn)分布分級(jí)部署事件采集引擎。 脆弱性管理模塊216。 流量分析模塊216。 工作流管理模塊216。 安全預(yù)警模塊216。 響應(yīng)管理模塊216。 針對(duì)整個(gè)管理信息平臺(tái)，提供用戶集中管理的功能，對(duì)用戶可以訪問(wèn)的資源進(jìn)行細(xì)致的劃分；216。 系統(tǒng)設(shè)計(jì)采用模塊化，具有良好的可擴(kuò)展和自開發(fā)能力，能針對(duì)用戶錄入、刪除、修改密碼等功能分不同模塊，以便針對(duì)以后不同的需求進(jìn)行分模塊修改；216。 用戶數(shù)據(jù)管理嚴(yán)格，每天增量備份，保證其完整性和一致性,所以在系統(tǒng)出錯(cuò)的情況下,用戶數(shù)據(jù)是安全的。在資產(chǎn)管理中，BU的視圖也是我們展示的一個(gè)重點(diǎn)。 支持具有相同資產(chǎn)屬性的域管理方式。 支持資產(chǎn)的域繼承功能。 支持同一資產(chǎn)隸屬不同的安全域，支持多層次安全域管理。 用戶可以對(duì)安全域進(jìn)行事件監(jiān)控、風(fēng)險(xiǎn)監(jiān)控和脆弱性評(píng)估，了解其安全狀況。 域風(fēng)險(xiǎn)歷史查詢：提供多種條件的安全域風(fēng)險(xiǎn)查詢工具，可以更好地關(guān)注重要安全域的風(fēng)險(xiǎn)狀況。它可能是