【文章內(nèi)容簡介】 repolicy此安全策略的上一級策略名稱策略腳本Script該安全策略可執(zhí)行的策略腳本安全知識庫主要提供漏洞庫類型統(tǒng)計、事件庫類型統(tǒng)計、工單經(jīng)驗庫類型統(tǒng)計、病毒庫類型統(tǒng)計和補丁庫類型統(tǒng)計。漏洞庫類型統(tǒng)計是根據(jù)SOC的標(biāo)準(zhǔn)分類標(biāo)準(zhǔn)統(tǒng)計各漏洞信息分布情況，幫助安全運維人員熟悉漏洞庫的狀況，便于日常運維和知識提高。事件庫類型統(tǒng)計是根據(jù)SOC的標(biāo)準(zhǔn)分類標(biāo)準(zhǔn)統(tǒng)計各安全事件信息分布情況，幫助安全運維人員熟悉事件庫的狀況，便于日常運維和知識提高。工單經(jīng)驗庫類型統(tǒng)計是根據(jù)SOC的標(biāo)準(zhǔn)分類標(biāo)準(zhǔn)統(tǒng)計各工單經(jīng)驗信息分布情況，幫助安全運維人員熟悉工單庫的狀況，便于日常運維和知識提高。病毒庫類型統(tǒng)計是根據(jù)SOC的標(biāo)準(zhǔn)分類標(biāo)準(zhǔn)統(tǒng)計各病毒信息分布情況，幫助安全運維人員熟悉病毒的狀況，便于日常運維和知識提高。補丁庫類型統(tǒng)計是根據(jù)SOC的標(biāo)準(zhǔn)分類標(biāo)準(zhǔn)統(tǒng)計各補丁信息分布情況，幫助安全運維人員熟悉補丁的狀況，便于日常運維和知識提高。此模塊的主要功能是提供與安全相關(guān)的公告信息，公告的來源包括來自于神碼定期發(fā)布的安全公告包，甚至安全專員手工發(fā)送的安全公告信息。安全公告是一種正式的安全信息發(fā)布平臺，用于提升整個企業(yè)或部門的安全水平。安全公告類型有緊急通知、漏洞信息、安全公告等。安全公告系統(tǒng)通過新建公告、審核公告和發(fā)布公告等操作來實現(xiàn)安全公告的推行，使公司了解最新安全公告，及時應(yīng)對最新的安全風(fēng)險。安全公告功能是SOC安全管理平臺的重要功能之一，也是安全專員需要定期訪問的功能，操作系統(tǒng)、第三方設(shè)備廠商定期發(fā)布的漏洞升級包可以在安全公告中發(fā)布，重要的安全公告需要通過安全工單系統(tǒng)在全網(wǎng)內(nèi)運維，保證所有操作系統(tǒng)、第三方設(shè)備的漏洞都得到修正，打上相應(yīng)的補丁，保障全網(wǎng)的安全。安全公告的數(shù)據(jù)結(jié)構(gòu)如下：項目描述主題該安全公告的主題。發(fā)布人該安全公告的發(fā)布人姓名、單位等信息。發(fā)布時間指該公告的發(fā)布時間。公告類型安全公告類型有：緊急通知、漏洞信息、安全公告等。重要性指該公告的重要性程度：高、普通、低三種程度。接收部門安全公告的具體接受部門。綜述該公告的詳細信息。受影響的軟件指受公告影響的軟件。不受影響的軟件指不受公告影響的軟件。解決方案針對該公告具體的解決方案。 安全風(fēng)險管理 事件管理中心事件管理中心主要關(guān)注于SOC安全管理平臺實時發(fā)現(xiàn)的安全事件信息，并通過SOC安全管理平臺所具備的事件關(guān)聯(lián)分析技術(shù)將真實對業(yè)務(wù)系統(tǒng)構(gòu)成威脅的安全事件呈現(xiàn)給用戶，進行安全運維。 風(fēng)險管理中心通過風(fēng)險管理模塊可以全面掌握全網(wǎng)各個系統(tǒng)資產(chǎn)的脆弱性以及威脅情況，并綜合分析風(fēng)險信息以及現(xiàn)有的安全措施的情況，計算全網(wǎng)(包含資產(chǎn)、系統(tǒng)和域)的安全風(fēng)險狀態(tài)。在掌握全網(wǎng)風(fēng)險狀態(tài)的基礎(chǔ)上，可以有效地開展風(fēng)險控制工作：發(fā)布預(yù)警信息，指導(dǎo)各級安全管理機構(gòu)及時調(diào)整相應(yīng)設(shè)備，開展有針對性的安全工作。該模塊實現(xiàn)對IP網(wǎng)絡(luò)中主機系統(tǒng)和網(wǎng)絡(luò)設(shè)備安全漏洞信息的收集和管理?？梢赃x擇配備遠程漏洞評估工具，及時掌握網(wǎng)絡(luò)中各個系統(tǒng)的最新安全風(fēng)險動態(tài)。漏洞威脅管理模塊所包含的功能如下：威脅管理：系統(tǒng)定義威脅類型、威脅程度以及發(fā)生的概率，用戶還可以對系統(tǒng)定制的威脅進行編緝，同時也可以增加新的威脅；漏洞信息編輯：支持漏洞信息的添加、修改以及刪除功能；漏洞信息導(dǎo)入：支持第三方漏洞評估產(chǎn)品掃描結(jié)果的導(dǎo)入，包括神碼、三星、ISS等漏洞掃描器。導(dǎo)入過程將依據(jù)掃描作業(yè)的工具和時間對漏洞進行標(biāo)識；漏洞/威脅信息查詢：支持漏洞/威脅各項屬性關(guān)鍵字查詢；漏洞/威脅信息導(dǎo)出：對存在的漏洞/威脅信息支持Word、Excel、文本、HTML等格式的結(jié)果輸出以及打印輸出；漏洞/威脅統(tǒng)計分析：支持以漏洞/威脅各項屬性為索引的統(tǒng)計分析，例如系統(tǒng)漏洞/威脅分布圖表、漏洞/威脅等級分布圖表、資產(chǎn)漏洞/威脅分布圖表、TOP N、漏洞/威脅變化表（每個月新發(fā)現(xiàn)的漏洞/威脅數(shù)、消除的漏洞/威脅數(shù)、殘留的漏洞/威脅數(shù)）、漏洞/威脅趨勢分析圖等；資產(chǎn)樹：以樹圖形式列出所有資產(chǎn)，方便用戶對該資產(chǎn)存在的漏洞信息進行瀏覽和操作，樹圖根依次為所屬業(yè)務(wù)系統(tǒng)、所屬節(jié)點和資產(chǎn)類型；漏洞自動發(fā)現(xiàn)：針對神碼網(wǎng)警漏洞掃描器，可以在統(tǒng)一界面中設(shè)定掃描的時間、頻率和策略，支持掃描結(jié)果自動導(dǎo)入漏洞庫；漏洞屬性管理：支持根據(jù)需求對屬性進行定制，例如編輯廠商信息、漏洞類別信息，其中系統(tǒng)將內(nèi)置部分漏洞廠商信息和漏洞類別信息；風(fēng)險管理中心從使用上被分為風(fēng)險管理和全網(wǎng)風(fēng)險管理，兩者的結(jié)合使用能夠從整體和局部一起對風(fēng)險進行分析。風(fēng)險管理中用戶可以看到與本業(yè)務(wù)部門相關(guān)的安全風(fēng)險信息，這些安全風(fēng)險信息默認(rèn)以風(fēng)險絕對值進行排序。此風(fēng)險值代表本業(yè)務(wù)部門的風(fēng)險狀況，和其他部門沒有關(guān)系，安全專員或安全運維人員可以通過此頁面發(fā)現(xiàn)本部門相關(guān)資產(chǎn)存在的安全風(fēng)險。風(fēng)險管理適用于部門級的維護。全網(wǎng)風(fēng)險管理與風(fēng)險管理的本質(zhì)區(qū)別在于更關(guān)注企業(yè)整體所面臨的安全風(fēng)險，它默認(rèn)為以安全風(fēng)險的嚴(yán)重程度從高向低排序，緊盯企業(yè)最需要解決的安全風(fēng)險。例如：A部門可能發(fā)生的都是級別為中的安全風(fēng)險，但因為A部門是核心部門，關(guān)系到企業(yè)的經(jīng)濟命脈，所以綜合評定的風(fēng)險影響值很高，在企業(yè)整體風(fēng)險中排名靠前；與此同時B部門可能發(fā)生的是級別為高的安全風(fēng)險，但因為B部門是二線部門，所以綜合評定的風(fēng)險影響值較低，在企業(yè)排名靠后。針對所有風(fēng)險，風(fēng)險識別模塊均建立相關(guān)模型，實現(xiàn)如下功能：風(fēng)險呈現(xiàn)：支持不同風(fēng)險模型關(guān)聯(lián)后的風(fēng)險呈現(xiàn)。風(fēng)險檢索：檢索某一條安全風(fēng)險信息的詳細信息，包括該風(fēng)險所涉及的資產(chǎn)、該資產(chǎn)上的漏洞情況、利用此漏洞已經(jīng)發(fā)生的安全事件詳細列表等信息。風(fēng)險跟蹤：跟蹤指定目標(biāo)（資產(chǎn)）、指定時間范圍內(nèi)所發(fā)生的所有安全事件，以及該目標(biāo)資產(chǎn)中安全事件可能利用到“漏洞類”中的所有“漏洞”。風(fēng)險白名單：所有列在風(fēng)險白名單中的風(fēng)險信息在預(yù)警時進行豁免處理，白名單功能具有時效性，在超過指定的豁免時間后，進行正常的預(yù)警操作。風(fēng)險黑名單：所有列在風(fēng)險黑名單的風(fēng)險均以最高級別進行預(yù)警，用戶可以優(yōu)先看到這些預(yù)警信息。風(fēng)險信息查詢：支持各種風(fēng)險模型下，風(fēng)險各項屬性關(guān)鍵字條件組合查詢；風(fēng)險統(tǒng)計分析：支持各種風(fēng)險模型下，以資產(chǎn)各項屬性為索引的統(tǒng)計分析，例如系統(tǒng)風(fēng)險分布圖表、風(fēng)險等級分布圖表、資產(chǎn)風(fēng)險分布圖表、TOP N、風(fēng)險變化表（每個月新發(fā)現(xiàn)的風(fēng)險數(shù)、消除的風(fēng)險數(shù)、殘留的風(fēng)險數(shù)）、風(fēng)險趨勢分析圖等；資產(chǎn)樹：以樹圖形式列出所有資產(chǎn)，方便用戶對資產(chǎn)存在的風(fēng)險進行瀏覽和操作，樹圖根依次為所屬業(yè)務(wù)系統(tǒng)、所屬節(jié)點和資產(chǎn)類型；風(fēng)險響應(yīng)設(shè)置：系統(tǒng)定義響應(yīng)策略包括：預(yù)警、生成工單、EMAIL、SNMP TRAP、短信、其他定制方式等。安全風(fēng)險模型充分考慮了資產(chǎn)環(huán)境（安全域）、資產(chǎn)、漏洞和事件之間的關(guān)系，建立了風(fēng)險模糊匹配模型，不再割裂地看待漏洞與事件。同時對于企業(yè)用戶最關(guān)心的病毒、DDOS和主體傾向事件也做了專門地呈現(xiàn)。安全風(fēng)險模型示意如下：其中：事件是指用戶網(wǎng)絡(luò)中出現(xiàn)的具體的安全事件，例如IDS發(fā)現(xiàn)的入侵事件、FW的日志、審計產(chǎn)品的日志等等。威脅的標(biāo)準(zhǔn)定義為威脅將利用漏洞對系統(tǒng)造成損害。威脅是事件和漏洞的聯(lián)系紐帶，因此威脅的設(shè)定應(yīng)當(dāng)綜合各種情況，包括安全事件產(chǎn)品的事件類情況和漏洞情況來建立。漏洞包括掃描器的漏洞和人工評估的具體漏洞。安全域：依據(jù)不同的保護等級、資產(chǎn)特性、環(huán)境、威脅等因素，資產(chǎn)將被賦予安全域?qū)傩?。安全域?qū)傩阅軌蛳蛴脩舯砻髟撡Y產(chǎn)需要特定的保護等級，同時，通過本屬性，能夠了解到何種威脅對該資產(chǎn)起作用，可能性多大，該值可以認(rèn)為是構(gòu)成威脅可能性的一部分。風(fēng)險模型的數(shù)學(xué)表達或為：風(fēng)險=F（資產(chǎn)價值，漏洞值，威脅影響值，威脅可能性）威脅影響值=F（資產(chǎn)價值，安全域賦值）威脅可能性=F（威脅基礎(chǔ)值，威脅條件可能性，威脅實際頻率）其中威脅基礎(chǔ)值是指某一類威脅發(fā)生可能性的基礎(chǔ)值，由安全服務(wù)人員提供；威脅條件可能性針對資產(chǎn)所在安全域的建設(shè)情況，該資產(chǎn)發(fā)生某一類威脅的可能性，一般由安全服務(wù)人員采用問卷的方式，從用戶收集相關(guān)信息，經(jīng)過計算而來；威脅實際頻率是指該資產(chǎn)發(fā)生某一類威脅對應(yīng)事件的頻率，由安全事件管理產(chǎn)品提供，系統(tǒng)同時也會對相同環(huán)