【正文】 C的本質(zhì) 17 題綱 ?SOC背景及基礎(chǔ) ?TSM安全運(yùn)營(yíng)中心 ?TSM系統(tǒng)特點(diǎn) 18 平臺(tái)服務(wù) (問(wèn)題處理 ) (運(yùn)維服務(wù) /平臺(tái)工具 ) 策略與平臺(tái)實(shí)施 (工程實(shí)施服務(wù) /平臺(tái)工具 ) 安全咨詢 (風(fēng)險(xiǎn)管理 /服務(wù)工具 ) (1) 資產(chǎn) (2) 評(píng)估 (5) TA/基于 策略的事 件管理 (3) 策略 /基線 (4)TP/ 策略執(zhí)行 (6)安 全業(yè)務(wù)服 務(wù)流程管理 (SBSM) (7) 安全工作 評(píng)估與考 評(píng) KPI 持續(xù)改進(jìn) 拓?fù)浔O(jiān)控 流量監(jiān)控 設(shè)備監(jiān)控 。 基于專家處理的輔助決策 39 ? 文件 解析引擎 提供數(shù)據(jù)格式的解析 ? 安全設(shè)備：防火墻、入侵檢測(cè)系統(tǒng)、 VPN、防病毒軟件、漏洞掃描器、安全審計(jì)系統(tǒng)等 ? 網(wǎng)絡(luò)設(shè)備：交換機(jī)、路由器等 ? 操作系統(tǒng)： Windows NT/2023/XP/2023操作系統(tǒng)、主流Linux系統(tǒng)、 主流 Unix系統(tǒng)等 ? 應(yīng)用系統(tǒng)： Web（ apache、 iis）、 Ftp（ iis）、 Mail（exchange）、 DBMS（ Oracle、 SQL Server、 DBInformix、 Sybase）等 ? 其他任何支持標(biāo)準(zhǔn) SYSLOG、 WELF、 SNMP（ v v3）等日志格式的設(shè)備和系統(tǒng) ? 通過(guò) flexer標(biāo)記語(yǔ)言 可快速提供 對(duì)未知設(shè)備日志格式的支持 ，不需要修改程序代碼 總結(jié)：目前 TSM可以收集業(yè)內(nèi) 110種日志格式，對(duì)于不能夠支持的設(shè)備，可以在 5個(gè)工作日內(nèi)定制開(kāi)發(fā)完成。 平臺(tái)安全性設(shè)計(jì) 47 外部接口 48 題綱 ?SOC背景及基礎(chǔ) ?TSM安全運(yùn)營(yíng)中心 ?TSM系統(tǒng)特點(diǎn) 49 網(wǎng)絡(luò)監(jiān)控中心 天融信 TSM一體化綜合運(yùn)維管理系統(tǒng) 安全監(jiān)控中心 桌面管理中心 策略管理中心 二次開(kāi)發(fā)能力保證 外部接口支持 核心目標(biāo)：以 業(yè)務(wù) 為導(dǎo)向的安全態(tài)勢(shì)總覽和安全事件響應(yīng) 一體化綜合運(yùn)維管理 50 ? Syslog ? Snmp ? SchedulorCollector ? TXT ? FileCollector ? WMI ? XML ? JDBC/ODBC 豐富的信息采集方式 天融信規(guī)則庫(kù) 國(guó)家測(cè)評(píng)中心 天融信 國(guó)家級(jí)的發(fā)現(xiàn)能力 51 系統(tǒng)性能強(qiáng) 多視角管理與展示 ? 處理能力： 5000條 /秒 ? 入庫(kù)能力： 1000條 /秒 監(jiān)控人員 安全技術(shù)人員 領(lǐng)導(dǎo) 依角色定制展示信息 外包服務(wù)商 52 ? 平臺(tái)系統(tǒng)的門戶管理系統(tǒng)可以提供 基于 Https協(xié)議的 Web交互 管理 。 ? TopAnalyzer系統(tǒng)各功能模塊間的通信均可 采用SSL加密 方式進(jìn)行數(shù)據(jù) 傳輸 。 ? 基于統(tǒng)計(jì)的關(guān)聯(lián)分析： ? 定義一些大的安全事件類別，對(duì)每個(gè)類別的事件設(shè)定一個(gè)合理的閥值，將出現(xiàn)的事件先歸類，然后進(jìn)行緩存和計(jì)數(shù)，當(dāng)在某一段時(shí)間內(nèi)，計(jì)數(shù)達(dá)到該閥值，可以產(chǎn)生一個(gè)級(jí)別更高的安全事件。 ? 國(guó)際 SOC中采用的技術(shù)是由其 MSS業(yè)務(wù)決定的，沒(méi)有完整的 SOC產(chǎn)品，根據(jù)業(yè)務(wù)細(xì)分產(chǎn)品 ? 國(guó)內(nèi)目前 SOC采用的技術(shù)業(yè)界公認(rèn)為“安全管理平臺(tái)”。 風(fēng)險(xiǎn)管理 脆弱性管理 事件管理 響應(yīng)管理 關(guān)聯(lián)分析 輔助決策 安全報(bào)表 訪問(wèn)控制策略 入侵檢測(cè)策略 病毒過(guò)濾策略 安全審計(jì)策略 VPN通道策略 資產(chǎn)管理 網(wǎng)絡(luò)準(zhǔn)入 非法外聯(lián) 行為監(jiān)管 。 數(shù)據(jù)文件解析引擎 40 訪問(wèn)和身份管理 IBM Tivoli Access Manager IBM Tivoli Identity Manager Microsoft Active Directory CA eTrust Access CA eTrust Secure Proxy Server CA eTrust Siteminder (Netegrity) RSA SecureID RADIUS Oracle Identity Management (Oblix) Sun Java System Directory Server Cisco ACS 路由器 /交換機(jī) 思科路由器交換設(shè)備 華為路由器交換設(shè)備 中興路由器交換設(shè)備 Cisco Catalyst 交換機(jī) Foundry 交換機(jī) Juniper JunOS Nortel 以太網(wǎng)路由交換機(jī) 8300, 8600, 400 系列 操作系統(tǒng)日志、日志記錄平臺(tái) Solaris (Sun) * AIX (IBM) OS/400 (I Series) RedHat Linux SuSE Linux HP/UX Microsoft Windows Event Log (W2K3 DHCP, W2K DHCP, IIS) Microsoft SNMP Trap Sender Nokia IPSO Novell NetWare OpenBSD Tandem NonStop OS (HP) Tru64 Tripplight UPS Monitorware SYSLOG KiwiSyslog zOSMainframe IDS 防病毒 CipherTrust IronMail McAfee Virus Scan Norton AntiVirus (Symantec) McAfee ePO Trend Micro InterScan 網(wǎng)絡(luò)入侵檢測(cè) /防護(hù) 天融信 \ 啟明星辰 金諾網(wǎng)安 McAfee Intrushield Sourcefire Network Sensor Sourcefire RNA Juniper IDP ISS Real