【正文】 rd顯示等綜合顯示及功能報表組成。圖31. 安全策略文檔管理安全策略文檔管理包括兩個部分的功能：安全策略的定義、生成、審核、發(fā)布、訪問幫助用戶制定組織的總體安全策略幫助各個子策略的管理員制作所負責系統(tǒng)或設備的具體策略總體安全策略經(jīng)過審核后正式發(fā)布普通用戶可以在線閱讀和下載安全策略響應后對安全策略的關聯(lián)與調(diào)用當系統(tǒng)運行中發(fā)生了某類安全事件后則根據(jù)預定義規(guī)則自動調(diào)用對應的安全策略，供管理員參考。n 基于事件的預警：在接到新的威脅事件時，安全預警模塊將調(diào)用基于規(guī)則的事件關聯(lián)、基于統(tǒng)計的關聯(lián)分析等模塊，得到本威脅事件的影響值及影響范圍，當該事件的影響值超過一定閥值后，將其進行展示，從而指導管理人員做好有效的防范工作。 能夠根據(jù)資產(chǎn)的風險狀況進行排序，給出高風險資產(chǎn)清單；216。 能夠根據(jù)資產(chǎn)的風險狀況進行排序，給出高風險資產(chǎn)清單；216。 風險信息通過圖表可視化直觀顯示，便于決策者隨時了解系統(tǒng)風險情況，作出安全決策。 借助于資產(chǎn)管理模塊、事件管理模塊和脆弱性管理模塊的信息統(tǒng)一進行風險計算，形成風險信息。下級能夠定期上報安全報表（日報、周報、月報、季報、年報）。上級可以通過監(jiān)控界面查看下級上報數(shù)據(jù)，上級能夠向下級下發(fā)全局策略。注冊申請由上級指定權限的人員進行審核，審核通過后生效。 多級管理多級管理模塊上下級之間數(shù)據(jù)傳輸?shù)膬?nèi)容能夠通過策略進行配置，包括：上級能夠向下級下發(fā)全局策略；下級能夠定期上報安全報表（日報、周報、月報、季報、年報）；下級能夠按照上級要求自動上報高風險事件；下級能夠通過上級向全網(wǎng)發(fā)出安全預警等。當完成這些配置之后，用戶就可以在設備管理中直接針對某個設備運行相關的設備控制策略，從而實現(xiàn)相關控制。 設備控制管理設備控制管理模塊提供了一個通用的、可擴展的設備控制框架，在TSOC中內(nèi)置了兩種控制協(xié)議：Telnet和SSH。流程描述元素可能包括：l 步驟：表示流程圖中的某個結點l 轉移：表示流程圖中某兩個結點之間的連線，具有方向性l 動作：包含自動動作和手動動作圖21. 工作流管理流程圖定義好一個工作流后，就會自動生成與該工作流相關的工單界面。工作流管理模塊主要包括兩部分功能：l 后臺工作流管理：后臺工作流管理負責同時定義、實現(xiàn)和維護多個流程。裝填信息包含但不限于：數(shù)據(jù)庫類型、數(shù)據(jù)庫服務器主機名、數(shù)據(jù)庫服務器ip地址、數(shù)據(jù)庫版本、數(shù)據(jù)庫緩沖區(qū)大小、表空間利用率、數(shù)據(jù)庫會話連接數(shù)、lock信息等2）能夠支持oracle、sqlserver等主流數(shù)據(jù)庫的狀態(tài)信息采集3）提供數(shù)據(jù)庫監(jiān)控功能，能夠?qū)崟r監(jiān)控數(shù)據(jù)庫的各種狀態(tài)，提供圖像化進行呈現(xiàn)。針對這些模型，我們?yōu)槊總€模型都建立了相應的基線。同時，端口流量指標也是流量總體安全分析的基礎數(shù)據(jù)之一。同時，總體流量指標也是流量總體安全分析的基礎數(shù)據(jù)之一。目的是為了進一步降低系統(tǒng)的誤報率。關聯(lián)分析包括：對安全事件的規(guī)則關聯(lián)、統(tǒng)計關聯(lián)，對安全事件和安全漏洞的漏洞關聯(lián)，結果輸入風險管理模塊幾個主要過程。事件擴散模型本模型根據(jù)監(jiān)控當前日志事件的在一段檢測期中，各種類型事件的數(shù)量變化，來分析當前被監(jiān)控網(wǎng)絡中安全的態(tài)勢指標是否有異常，并對總體的安全態(tài)勢起到數(shù)據(jù)支撐的作用。瀕危受害目標：目的地址相同，源地址、事件類型任意的事件集合，說明：被攻擊次數(shù)最多的主機的態(tài)勢。多種攻擊方式：源地址、目的地址相同，事件類型任意的事件集合，說明：攻擊者嘗試多種方法，對同一目標進行反復攻擊的態(tài)勢。熵模型：通過安全事件檢測功能上報上來的事件，網(wǎng)絡態(tài)勢感知監(jiān)控系統(tǒng)對所有的事件按照上報的引擎分類進行計算源地址熵和目的地址熵，同時也計算出源、目的地址熵的每個時間點的基線值。 高危事件監(jiān)控界面：圖12. 事件監(jiān)控－高危事件216。 支持按照資產(chǎn)類別、事件關聯(lián)關系、地理事件圖形、時間、最后狀態(tài)、系統(tǒng)特征、特點前幾位等類型進行實時監(jiān)視；216。 支持傳統(tǒng)的網(wǎng)格、線形圖、圓餅圖、條狀圖、區(qū)域圖和重疊區(qū)域圖等多種方式來顯示特定事件；216。針對特定系統(tǒng)的日志格式，利用通用代理工具包配置實現(xiàn)。通過分布式分級部署，可以實現(xiàn)將各個獨立的子系統(tǒng)連成一個分布式的整體安全事件采集體系。信息安全事件管理中心的事件集中采集系統(tǒng)（VSIMS）是完全具有自主知識產(chǎn)權的軟件產(chǎn)品，屬于泰合信息安全運營中心系統(tǒng)的一部分，包括管理服務（MS）、事件收集器（EC）、專用/通用代理管理（UAM）、專用/通用代理引擎（UAE）、專用/通用日志策略編輯器（UAPE）幾個部分，負責在事件收集器和安全設備之間通信，用于采集、范化并上報安全設備的報警日志，同時采集并上報安全設備的狀態(tài)，并提供對多種安全設備的管理能力。 支持脆弱性數(shù)據(jù)查詢和整體數(shù)據(jù)導出。 脆弱性信息與資產(chǎn)信息進行關聯(lián)并參與風險計算。 通過天鏡脆弱性掃描系統(tǒng)對資產(chǎn)進行定期自動掃描或手工掃描。 支持資產(chǎn)的脆弱性管理，允許查看資產(chǎn)和安全域的脆弱性指標；216。 配置天鏡漏洞掃描系統(tǒng)；216。 脆弱性管理脆弱性管理能夠通過人工審計（風險評估）和漏洞掃描工具兩種方式，收集整個網(wǎng)絡的弱點情況并進行統(tǒng)一管理，對收集的信息進行統(tǒng)一的范式化處理后，對脆弱性信息提供查詢和展現(xiàn)功能，使得管理人員可以清楚的掌握全網(wǎng)的安全健康狀況。216。漏洞信息采集在平臺中的實現(xiàn)過程如下：216。 業(yè)務域的CIA特性由所包含資產(chǎn)的CIA特性決定，參與風險計算，用于計算業(yè)務域風險和整體風險趨勢。 對業(yè)務域進行配置，業(yè)務域中應該包括所包含資產(chǎn)信息、資產(chǎn)權重，同時對業(yè)務域進行必要的描述和標識。 平臺支持資產(chǎn)狀況信息批量導出，形成文檔備份，便于日后查詢。 資產(chǎn)的CIA特性參與風險計算，用于計算資產(chǎn)風險和整體風險趨勢。 資產(chǎn)可通過手工錄入、excel模板下載批量導入和資產(chǎn)自動發(fā)現(xiàn)的方式錄入?！啃蛱柧幪栴愋托吞枖?shù)量日志采集方式支持情況支持條件備注1Router1城域網(wǎng)核心路由器Quidway NetEngine80E1Syslog支持2Virus防病毒軟件瑞星900點SNMP支持概括來講，資產(chǎn)管理過程包括：資產(chǎn)信息獲取、配置，風險計算，結果呈獻三個主要過程。它們分別具有不同的價值屬性和存在特點，存在的弱點、面臨的威脅、需要進行的保護和安全控制都各不相同。216。216。216。216。216。資產(chǎn)的BU可以是在安全管理中心建設時依據(jù)事前風險評估劃分出來的不同的安全域進行管理。216。 系統(tǒng)有完整的安全控制手段,對用戶和系統(tǒng)管理員的權限進行分級管理, 相應的賬號和口令都是加密后存放在數(shù)據(jù)庫中的。 用統(tǒng)一的系統(tǒng)管理接口，各子信息系統(tǒng)的界面統(tǒng)一；216。 用戶管理模塊216。 安全策略文檔管理模塊216。 設備控制管理模塊216。 基線管理模塊216。 事件安全管理模塊216。安全管理中心按照三層軟件架構體系設計，如下圖所示：圖4. 泰合信息安全運營中心三層體系結構2 平臺的功能特點安全管理中心的系統(tǒng)平臺包括下列核心模塊/功能：216。 Recoveryn 內(nèi)容安全 Content Security 平臺總體方案體系架構 功能體系架構安全管理中心主要由以下部分組成：資產(chǎn)信息管理模塊、安全事件/業(yè)務監(jiān)控管理模塊、脆弱性管理模塊、漏洞關聯(lián)分析、統(tǒng)計關聯(lián)分析和基于規(guī)則的關聯(lián)分析模塊、宏觀趨勢分析模塊、流量分析模塊、基線管理模塊、風險評估管理模塊、安全策略管理模塊、網(wǎng)元管理模塊、統(tǒng)一安全預警模塊、綜合顯示和報表報告系統(tǒng)、響應管理系統(tǒng)、安全信息管理、系統(tǒng)健康管理和用戶管理模塊組成。技術則形成一個AIDARC模型。 軟件開發(fā)服從CMM要求 參考的企業(yè)標準、規(guī)范和指南216。 公安部頒布的《信息安全等級保護管理辦法（試行）》及相關規(guī)定216。它完全具備監(jiān)控、預警、響應、追蹤等功能，并具備可審計功能，即對內(nèi)部安全管理人員的相關操作進行日志記錄。安全管理中心與客戶可以已經(jīng)部署的各類安全設備形成一個完整的安全保障體系，從而實現(xiàn)了高效、全面的網(wǎng)絡安全防護、檢測和響應。 ISO17799/BS 7799/ISO27001信息安全管理體系國際標準，216。 工作流管理聯(lián)盟WFMC 定義的工作流標準216。防護措施又分為人（組織）、過程（策略、運營）和技術三個大方面。Early warningn 審計和跟蹤 Audit Trailn 恢復和冗余 Redundancy amp。便于實現(xiàn)分布分級部署事件采集引擎。 脆弱性管理模塊216。 流量分析模塊216。 工作流管理模塊216。 安全預警模塊216。 響應管理模塊216。 針對整個管理信息平臺，提供用戶集中管理的功能，對用戶可以訪問的資源進行細致的劃分；216。 系統(tǒng)設計采用模塊化，具有良好的可擴展和自開發(fā)能力，能針對用戶錄入、刪除、修改密碼等功能分不同模塊，以便針對以后不同的需求進行分模塊修改；216。 用戶數(shù)據(jù)管理嚴格，每天增量備份，保證其完整性和一致性,所以在系統(tǒng)出錯的情況下,用戶數(shù)據(jù)是安全的。在資產(chǎn)管理中，BU的視圖也是我們展示的一個重點。 支持具有相同資產(chǎn)屬性的域管理方式。 支持資產(chǎn)的域繼承功能。 支持同一資產(chǎn)隸屬不同的安全域，支持多層次安全域管理。 用戶可以對安全域進行事件監(jiān)控、風險監(jiān)控和脆弱性評估，了解其安全狀況。 域風險歷史查詢：提供多種條件的安全域風險查詢工具，可以更好地關注重要安全域的風險狀況。它可能是