【正文】 C的本質(zhì) 17 題綱 ?SOC背景及基礎(chǔ) ?TSM安全運營中心 ?TSM系統(tǒng)特點 18 平臺服務(wù) (問題處理 ) (運維服務(wù) /平臺工具 ) 策略與平臺實施 (工程實施服務(wù) /平臺工具 ) 安全咨詢 (風險管理 /服務(wù)工具 ) (1) 資產(chǎn) (2) 評估 (5) TA/基于 策略的事 件管理 (3) 策略 /基線 (4)TP/ 策略執(zhí)行 (6)安 全業(yè)務(wù)服 務(wù)流程管理 (SBSM) (7) 安全工作 評估與考 評 KPI 持續(xù)改進 拓撲監(jiān)控 流量監(jiān)控 設(shè)備監(jiān)控 。 基于專家處理的輔助決策 39 ? 文件 解析引擎 提供數(shù)據(jù)格式的解析 ? 安全設(shè)備：防火墻、入侵檢測系統(tǒng)、 VPN、防病毒軟件、漏洞掃描器、安全審計系統(tǒng)等 ? 網(wǎng)絡(luò)設(shè)備：交換機、路由器等 ? 操作系統(tǒng)： Windows NT/2023/XP/2023操作系統(tǒng)、主流Linux系統(tǒng)、 主流 Unix系統(tǒng)等 ? 應(yīng)用系統(tǒng)： Web（ apache、 iis）、 Ftp（ iis）、 Mail（exchange）、 DBMS（ Oracle、 SQL Server、 DBInformix、 Sybase）等 ? 其他任何支持標準 SYSLOG、 WELF、 SNMP（ v v3）等日志格式的設(shè)備和系統(tǒng) ? 通過 flexer標記語言 可快速提供 對未知設(shè)備日志格式的支持 ，不需要修改程序代碼 總結(jié)：目前 TSM可以收集業(yè)內(nèi) 110種日志格式，對于不能夠支持的設(shè)備，可以在 5個工作日內(nèi)定制開發(fā)完成。 平臺安全性設(shè)計 47 外部接口 48 題綱 ?SOC背景及基礎(chǔ) ?TSM安全運營中心 ?TSM系統(tǒng)特點 49 網(wǎng)絡(luò)監(jiān)控中心 天融信 TSM一體化綜合運維管理系統(tǒng) 安全監(jiān)控中心 桌面管理中心 策略管理中心 二次開發(fā)能力保證 外部接口支持 核心目標：以 業(yè)務(wù) 為導(dǎo)向的安全態(tài)勢總覽和安全事件響應(yīng) 一體化綜合運維管理 50 ? Syslog ? Snmp ? SchedulorCollector ? TXT ? FileCollector ? WMI ? XML ? JDBC/ODBC 豐富的信息采集方式 天融信規(guī)則庫 國家測評中心 天融信 國家級的發(fā)現(xiàn)能力 51 系統(tǒng)性能強 多視角管理與展示 ? 處理能力： 5000條 /秒 ? 入庫能力： 1000條 /秒 監(jiān)控人員 安全技術(shù)人員 領(lǐng)導(dǎo) 依角色定制展示信息 外包服務(wù)商 52 ? 平臺系統(tǒng)的門戶管理系統(tǒng)可以提供 基于 Https協(xié)議的 Web交互 管理 。 ? TopAnalyzer系統(tǒng)各功能模塊間的通信均可 采用SSL加密 方式進行數(shù)據(jù) 傳輸 。 ? 基于統(tǒng)計的關(guān)聯(lián)分析： ? 定義一些大的安全事件類別，對每個類別的事件設(shè)定一個合理的閥值，將出現(xiàn)的事件先歸類，然后進行緩存和計數(shù)，當在某一段時間內(nèi)，計數(shù)達到該閥值，可以產(chǎn)生一個級別更高的安全事件。 ? 國際 SOC中采用的技術(shù)是由其 MSS業(yè)務(wù)決定的，沒有完整的 SOC產(chǎn)品，根據(jù)業(yè)務(wù)細分產(chǎn)品 ? 國內(nèi)目前 SOC采用的技術(shù)業(yè)界公認為“安全管理平臺”。 風險管理 脆弱性管理 事件管理 響應(yīng)管理 關(guān)聯(lián)分析 輔助決策 安全報表 訪問控制策略 入侵檢測策略 病毒過濾策略 安全審計策略 VPN通道策略 資產(chǎn)管理 網(wǎng)絡(luò)準入 非法外聯(lián) 行為監(jiān)管 。 數(shù)據(jù)文件解析引擎 40 訪問和身份管理 IBM Tivoli Access Manager IBM Tivoli Identity Manager Microsoft Active Directory CA eTrust Access CA eTrust Secure Proxy Server CA eTrust Siteminder (Netegrity) RSA SecureID RADIUS Oracle Identity Management (Oblix) Sun Java System Directory Server Cisco ACS 路由器 /交換機 思科路由器交換設(shè)備 華為路由器交換設(shè)備 中興路由器交換設(shè)備 Cisco Catalyst 交換機 Foundry 交換機 Juniper JunOS Nortel 以太網(wǎng)路由交換機 8300, 8600, 400 系列 操作系統(tǒng)日志、日志記錄平臺 Solaris (Sun) * AIX (IBM) OS/400 (I Series) RedHat Linux SuSE Linux HP/UX Microsoft Windows Event Log (W2K3 DHCP, W2K DHCP, IIS) Microsoft SNMP Trap Sender Nokia IPSO Novell NetWare OpenBSD Tandem NonStop OS (HP) Tru64 Tripplight UPS Monitorware SYSLOG KiwiSyslog zOSMainframe IDS 防病毒 CipherTrust IronMail McAfee Virus Scan Norton AntiVirus (Symantec) McAfee ePO Trend Micro InterScan 網(wǎng)絡(luò)入侵檢測 /防護 天融信 \ 啟明星辰 金諾網(wǎng)安 McAfee Intrushield Sourcefire Network Sensor Sourcefire RNA Juniper IDP ISS Real