【正文】 把 SOC比喻成“垃圾電影” ? 但沒人懷疑建設(shè) SOC的必要性 ? 首要原因是產(chǎn)品沒有正確定位、建設(shè)沒有循序漸進(jìn) 16 未來 SOC之路 ? 安全事件管理是 SOC的重中之重 ? 網(wǎng)絡(luò)管理與安全管理融合是國內(nèi)用戶的切實需求 ? 主動防御是日常安全管理的核心 ? 面向業(yè)務(wù)是未來 SOC走出陰影的唯一出路 ? 客戶化定制適應(yīng)不同行業(yè)的管理需求 ? 平臺建設(shè)是基礎(chǔ)，運營才是 SOC的本質(zhì) 17 題綱 ?SOC背景及基礎(chǔ) ?TSM安全運營中心 ?TSM系統(tǒng)特點 18 平臺服務(wù) (問題處理 ) (運維服務(wù) /平臺工具 ) 策略與平臺實施 (工程實施服務(wù) /平臺工具 ) 安全咨詢 (風(fēng)險管理 /服務(wù)工具 ) (1) 資產(chǎn) (2) 評估 (5) TA/基于 策略的事 件管理 (3) 策略 /基線 (4)TP/ 策略執(zhí)行 (6)安 全業(yè)務(wù)服 務(wù)流程管理 (SBSM) (7) 安全工作 評估與考 評 KPI 持續(xù)改進(jìn) 拓?fù)浔O(jiān)控 流量監(jiān)控 設(shè)備監(jiān)控 。 ? 國際通行的 SOC理念是服務(wù)和產(chǎn)品圍繞 MSS運營展開的，是支撐 MSS的技術(shù)基礎(chǔ)，鮮見以SOC命名的產(chǎn)品 ? 國內(nèi)一般指 SOC是一個技術(shù)平臺，是一個傳統(tǒng)概念上的成熟安全產(chǎn)品，而不考慮運維，將產(chǎn)品與運營之間的關(guān)系裁剪掉了 5 MSS and MSSP ? 為了節(jié)省客戶的相關(guān)安全投入，即客戶將安全外包給 MSSP，以小于原投入的資金獲得更加專業(yè)的業(yè)務(wù)安全。它由國內(nèi)安全市場的現(xiàn)狀決定，是一個龐大的系統(tǒng)。 支持 Window、Linux、 AIX等系統(tǒng)的部署 代理層 服務(wù)器 展示層 23 事 件 收 集 代 理企 業(yè) 事 件 信 息 總 線事 件 收 集事 件 歸 一 化事 件 預(yù) 處 理事 件 實 時 關(guān) 聯(lián) 分 析 事 件 響 應(yīng)事 件 存 儲事 件 信 息 可 視 化事 件 整 合事 件 歸 并事 件 過 濾. . .面向消息中間件技術(shù) 所有的事件在采集后對于所有模塊都是透明的，即可以實現(xiàn)事件分析的同時入庫。 ? 基于資產(chǎn)的關(guān)聯(lián)分析： ? 安全事件能與相關(guān)資產(chǎn)的敏感性以及相關(guān)資產(chǎn)上的漏洞進(jìn)行關(guān)聯(lián)，從而判斷某個安全事件是否能造成不良影響以及造成不良影響的嚴(yán)重程度。 ? 主要包括網(wǎng)絡(luò)設(shè)備自動發(fā)現(xiàn)、拓?fù)涔芾?、視圖管理、性能管理、資產(chǎn)管理等功能。 ? 提供對系統(tǒng)運行各 組件 的各種 狀態(tài) 信息的 監(jiān)控 。 多重安全機制，保障平臺安全運行 53 最佳安全實踐 運維保障服務(wù) 一體化運維管理平臺 完整的解決方案 54 持續(xù)服務(wù)保障能力 ?平臺項目需要較強的持續(xù)開發(fā)及運維保障能力 ?需要企業(yè)有持續(xù)的服務(wù)能力 天融信 具備這種能力?。?！ 55 謝謝！ 56 57 演講完畢，謝謝觀看！ 。 ? 系統(tǒng)提供配置信息、原始日志、分析數(shù)據(jù)、報表、分析報告等的 手動和自動備份和恢復(fù)功能。 網(wǎng)絡(luò)管理 —— 資源監(jiān)控 43 ? 性能管理主要包括門限閥值設(shè)置、鏈路檢測設(shè)置、告警管理等。 支持的關(guān)聯(lián)分析類型 34 ? 【 場景描述 】 ? （ 1）某個攻擊者對某臺主機進(jìn)行端口 掃描 (事件來自于安全設(shè)備 ) ? （ 2）攻擊者發(fā)現(xiàn)該主機的 3389端口（微軟遠(yuǎn)程桌面服務(wù)）已打開，并通過口令字猜測獲得了該的主機口令（ 系統(tǒng)事件 ）； ? （ 3）攻擊者 登陸 上該臺主機，將其重要文件傳送出去（系統(tǒng)事件） Page 34 端口掃描 Port 3389 is Open 場景規(guī)則 35 分 類 場 景 惡意代碼 /病毒類 后門攻擊、病毒攻擊、惡意郵件攻擊（附件可能是病毒或木馬）、自動安裝惡意程序、存在可疑軟件 可疑程序 文件內(nèi)容被防火墻修改、無效命令、可疑數(shù)據(jù)包、可疑活動、可疑的文件擴(kuò)展名、可以端口活動、可疑路由、未知告警 錯誤配置 地址變化、應(yīng)用配置、用戶設(shè)置、 IP沖突、過載、硬件錯誤、郵件設(shè)置、系統(tǒng)啟動、系統(tǒng)設(shè)置、系統(tǒng)中斷、系統(tǒng)心跳、服務(wù) /進(jìn)程狀態(tài)變更、軟件安裝、系統(tǒng)失效、系統(tǒng)狀態(tài) 嘗試探測 嗅探、信息流分析、應(yīng)用查詢、主機查詢、網(wǎng)絡(luò)探察、郵件偵察、 Windows偵察、 Portmap / RPC請求、端口掃描、 RPC Dump、 DNS偵察 拒絕服務(wù)攻擊 畸形 DoS包、洪水攻擊、郵件服務(wù)攻擊、應(yīng)用層拒絕服務(wù) 欺騙和劫持 IP欺騙和偽裝、 IP分段、 IP片段重疊、信息重放、 IDS躲避 非授權(quán)訪問 認(rèn)證成功、認(rèn)證 /授權(quán)失敗、 FTP訪問、文件訪問、郵件訪問、 WEB攻擊、繞過安全機制、網(wǎng)絡(luò)訪問中斷、權(quán)限提升、安全協(xié)商、安全策略變更、 WEB— IIS非授權(quán)訪問企圖、 Tel訪問、 Unix / Linux訪問、Web服務(wù)的非授權(quán)訪問企圖、 Windows訪問、 SNMP訪問 應(yīng)用程序漏洞攻擊 緩存溢出攻擊 、 DNS利用 、 FTP利用 、 Linux/Unix利用 、 郵件利用 、 網(wǎng)絡(luò)設(shè)備利用 、 其他主機利用 、Tel利用 、 TCP劫持 、 Web利用 、 Windows利用 違反組織安全策略 被禁止的 HTTP訪問、被禁止的 Tel / SSH訪問、聊天和即時通訊、被禁止的流內(nèi)容、其他外部 IP訪問、被禁止的應(yīng)用訪問、被禁止的 FTP訪問、過量的 Inter訪問、可疑的郵件內(nèi)容和附件、可疑的內(nèi)部網(wǎng)絡(luò)活動、被禁止的軟件安裝 密碼猜測攻擊 POP3口令猜測、 Windows口令猜測、 UNIX口令猜測、應(yīng)用軟件口令猜測 環(huán)境威脅 供電中斷、通信中斷、設(shè)備故障、靜電、電磁干擾、溫度變化、數(shù)據(jù)存儲介質(zhì)損壞 人為誤操作 未經(jīng)授權(quán)進(jìn)行數(shù)據(jù)拷貝或盜取數(shù)據(jù)、無意中對數(shù)據(jù)操作、未經(jīng)授權(quán)將 IT系統(tǒng)連接到其他網(wǎng)絡(luò) 預(yù)置場景列表（ 12大類 120個場景 560條規(guī)則） 36 漏洞掃描工具 安全管理平臺 網(wǎng)絡(luò)設(shè)備：