【正文】 各種安全產(chǎn)品各種數(shù)據(jù)庫各種網(wǎng)絡(luò)設(shè)備各種業(yè)務(wù)系統(tǒng)安全事件收集引擎弱點收集引擎S N M PODB CLo g f il eOP S E C被管理對象層事件采集層核心處理層核心管理器數(shù)據(jù)庫客戶端展示 / 控制層客戶端客戶端客戶端客戶端資產(chǎn)管理風(fēng)險管理事件管理預(yù)警管理關(guān)聯(lián)分析知 識 庫客戶端客戶端客戶端客戶端掃描控制臺安全管理平臺系統(tǒng)TSMAnalyzer平臺層次結(jié)構(gòu) 22 A g e n t A g e n tA g e n tT o p s e c T S M 邏 輯 架 構(gòu)安 全 管 理 門 戶 系 統(tǒng)威 脅 管 理 系 統(tǒng)資 產(chǎn) 管 理 系 統(tǒng)報 表 系 統(tǒng)工 作 流 系 統(tǒng)M a n a g e r S e r v e rC o n s o l ew e b 瀏 覽 器數(shù) 據(jù) 庫 系 統(tǒng)TSM的邏輯架構(gòu) TopAnalyzer基于J2EE架構(gòu)開發(fā)，具有極強的開放性、跨平臺與可移植性； 數(shù)據(jù)庫采用Oracle9i/10g企業(yè)版、 sqlserver202DB2等。 ? 基于統(tǒng)計的關(guān)聯(lián)分析： ? 定義一些大的安全事件類別，對每個類別的事件設(shè)定一個合理的閥值，將出現(xiàn)的事件先歸類，然后進行緩存和計數(shù)，當(dāng)在某一段時間內(nèi)，計數(shù)達(dá)到該閥值，可以產(chǎn)生一個級別更高的安全事件。s Enterprise Firewall 安全漏洞評估 綠盟 啟明星辰 榕基 Nessus ISS Inter Scanner Foundstone 支持超過 110 多個事件的日志格式 41 ? 系統(tǒng)能夠通過直觀、友好的網(wǎng)絡(luò)管理界面，可以實現(xiàn)對網(wǎng)絡(luò)中的設(shè)備、主機、應(yīng)用系統(tǒng)等方面的綜合管理與監(jiān)控。 ? TopAnalyzer系統(tǒng)各功能模塊間的通信均可 采用SSL加密 方式進行數(shù)據(jù) 傳輸 。 ? 系統(tǒng)提供配置信息、原始日志、分析數(shù)據(jù)、報表、分析報告等的 手動和自動備份和恢復(fù)功能。 平臺安全性設(shè)計 47 外部接口 48 題綱 ?SOC背景及基礎(chǔ) ?TSM安全運營中心 ?TSM系統(tǒng)特點 49 網(wǎng)絡(luò)監(jiān)控中心 天融信 TSM一體化綜合運維管理系統(tǒng) 安全監(jiān)控中心 桌面管理中心 策略管理中心 二次開發(fā)能力保證 外部接口支持 核心目標(biāo)：以 業(yè)務(wù) 為導(dǎo)向的安全態(tài)勢總覽和安全事件響應(yīng) 一體化綜合運維管理 50 ? Syslog ? Snmp ? SchedulorCollector ? TXT ? FileCollector ? WMI ? XML ? JDBC/ODBC 豐富的信息采集方式 天融信規(guī)則庫 國家測評中心 天融信 國家級的發(fā)現(xiàn)能力 51 系統(tǒng)性能強 多視角管理與展示 ? 處理能力： 5000條 /秒 ? 入庫能力： 1000條 /秒 監(jiān)控人員 安全技術(shù)人員 領(lǐng)導(dǎo) 依角色定制展示信息 外包服務(wù)商 52 ? 平臺系統(tǒng)的門戶管理系統(tǒng)可以提供 基于 Https協(xié)議的 Web交互 管理 。 網(wǎng)絡(luò)管理 —— 性能監(jiān)控 44 內(nèi)網(wǎng)合規(guī)性管理 終端安全管理 IT資產(chǎn)管理 集中策略管理 終端行為監(jiān)管 終端遠(yuǎn)程監(jiān)控 網(wǎng)絡(luò)準(zhǔn)入 非法內(nèi)聯(lián)監(jiān)控 補丁管理 軟件分發(fā) 45 ? TopAnalyzer系統(tǒng)是一個多用戶系統(tǒng)，允許多個用戶同時登錄、查看或者處理用戶本身權(quán)限范圍內(nèi)可瀏覽到的信息。 基于專家處理的輔助決策 39 ? 文件 解析引擎 提供數(shù)據(jù)格式的解析 ? 安全設(shè)備：防火墻、入侵檢測系統(tǒng)、 VPN、防病毒軟件、漏洞掃描器、安全審計系統(tǒng)等 ? 網(wǎng)絡(luò)設(shè)備：交換機、路由器等 ? 操作系統(tǒng)： Windows NT/2023/XP/2023操作系統(tǒng)、主流Linux系統(tǒng)、 主流 Unix系統(tǒng)等 ? 應(yīng)用系統(tǒng)： Web（ apache、 iis）、 Ftp（ iis）、 Mail（exchange）、 DBMS（ Oracle、 SQL Server、 DBInformix、 Sybase）等 ? 其他任何支持標(biāo)準(zhǔn) SYSLOG、 WELF、 SNMP（ v v3）等日志格式的設(shè)備和系統(tǒng) ? 通過 flexer標(biāo)記語言 可快速提供 對未知設(shè)備日志格式的支持 ，不需要修改程序代碼 總結(jié)：目前 TSM可以收集業(yè)內(nèi) 110種日志格式，對于不能夠支持的設(shè)備，可以在 5個工作日內(nèi)定制開發(fā)完成。 ? 所有 事件過濾 功能都 使用 SQL 92標(biāo)準(zhǔn)組合任意過濾條件，可以使用戶靈活的控制事件過濾條件。 14 國內(nèi)安全管理平臺功能定義 ? 定位 ? 以資產(chǎn)為核心、以事件管理為關(guān)鍵流程、以風(fēng)險控制為目標(biāo)的面向安全的綜合一體化管理平臺系統(tǒng) ? 基本功能 ? 資產(chǎn)管理：資產(chǎn)錄入、查詢、修改、屬性管理、統(tǒng)計等 ? 事件管理：事件采集、過濾、歸并、關(guān)聯(lián)分析、事件監(jiān)控、查詢、統(tǒng)計等 ? 脆弱性管理：弱點采集、資產(chǎn)關(guān)聯(lián)、漏洞查詢、脆弱性統(tǒng)計等 ? 風(fēng)險管理：風(fēng)險識別、風(fēng)險計算、風(fēng)險展示、風(fēng)險監(jiān)控、風(fēng)險預(yù)警、風(fēng)險統(tǒng)計等 ? 安全知識庫管理：知識庫管理、安全論壇、輔助決策 ? 運維管理：工作流管理、工單管理、運營管理、運維統(tǒng)計等 ? 延伸功能 ? 設(shè)備管理：性能管理、配置管理、策略管理等 ? 網(wǎng)絡(luò)管理：拓?fù)涔芾怼⒘髁抗芾?、故障管理? ? 應(yīng)用管理：應(yīng)用監(jiān)控、應(yīng)用統(tǒng)計、合規(guī)審計等 ? 終端管理：網(wǎng)絡(luò)準(zhǔn)入、行為管理等 ? ITIL運維：建設(shè)呼叫服務(wù)臺，提供統(tǒng)一的監(jiān)控運維管理職能 15 國內(nèi)安管平臺現(xiàn)狀 ? 近年 SOC建設(shè)難言成功 ? 報出的事件以誤報居多，發(fā)現(xiàn)的風(fēng)險難以理解 ? 自動圖表報表反映的是被誤報嚴(yán)重扭曲過的統(tǒng)計結(jié)果 ? 全流程的運維管理流程難以符合實際需要 ? 雖然建立了 SOC系統(tǒng)，但并未建立 SOC中心 ? 很多業(yè)內(nèi)