【文章內(nèi)容簡(jiǎn)介】 從已有資產(chǎn)信息庫(kù)中批量選擇導(dǎo)入資產(chǎn)信息。 ? 業(yè)務(wù)域的 CIA 特性特性由所包含 資產(chǎn)的 CIA 特性決定，參與風(fēng)險(xiǎn)計(jì)算，用于計(jì)算業(yè)務(wù)域風(fēng)險(xiǎn)和整體風(fēng)險(xiǎn)趨勢(shì)。 ? 用戶(hù)界面對(duì)業(yè)務(wù)域資產(chǎn)分布、業(yè)務(wù)域風(fēng)險(xiǎn)進(jìn)行圖形化、直觀的展示。 業(yè)務(wù)域?qū)嵗? 漏洞信息采集與 脆弱性管理 漏洞信息采集 漏洞信息采集包括：多種方式漏洞信息采集、結(jié)果輸入脆弱性管理模塊兩個(gè)主要過(guò)程。 北京啟明星辰信息技術(shù)有限公司 第 14 頁(yè) Tel: 861082779088 Fax: 861082779151 漏洞信息采集在平臺(tái)中的實(shí)現(xiàn)過(guò)程如下： ? 接收漏洞掃描器的掃描結(jié)果。 ? 對(duì)于平臺(tái)不 支持的掃描器類(lèi)型，可將掃描結(jié)果按照模板規(guī)范化后通過(guò)人工方式導(dǎo)入。 ? 將人工審計(jì)信息通過(guò)模板規(guī)范化后人工導(dǎo)入。 ? 通過(guò)漏洞信息采集模塊將上面幾種信息輸入方式進(jìn)行收集和處 理后送給脆弱性管理模塊 ， 進(jìn)行脆弱性關(guān)聯(lián)（漏洞關(guān)聯(lián)）分析，參與風(fēng)險(xiǎn)計(jì)算后將 結(jié)果呈現(xiàn)。 脆弱性管理 脆弱性管理能夠通過(guò)人工審計(jì)（風(fēng)險(xiǎn)評(píng)估）和漏洞掃描工具兩種方式，收集整個(gè)網(wǎng)絡(luò)的弱點(diǎn)情況并進(jìn)行統(tǒng)一管理，對(duì)收集的信息進(jìn)行統(tǒng)一的范式化處理后，對(duì)脆弱性信息提供查詢(xún)和展現(xiàn)功能，使得管理人員可以清楚的掌握全網(wǎng)的安全健康狀況。 平臺(tái)目前提供與主流遠(yuǎn)程評(píng)估產(chǎn)品的接口，完成遠(yuǎn)程脆弱性信息的搜集。支持遠(yuǎn)程評(píng)估產(chǎn)品為： 天鏡、極光、 Nessus 等主流漏洞掃描產(chǎn)品。 脆弱性管理模塊主要功能如下： ? 配置天鏡漏洞掃描系統(tǒng) ? 能夠?qū)⒙┒磼呙柢?件的掃描結(jié)果導(dǎo)入系統(tǒng)； ? 能夠?qū)⒍啻螔呙璧慕Y(jié)果進(jìn)行歸并分析，得出更為精確的掃描結(jié)果； ? 能夠?qū)呙杞Y(jié)果與資產(chǎn)的原有屬性進(jìn)行比較，并給出沖突項(xiàng)提交用戶(hù)確認(rèn)； 北京啟明星辰信息技術(shù)有限公司 第 15 頁(yè) Tel: 861082779088 Fax: 861082779151 ? 支持資產(chǎn)的脆弱性管理，允許查看資產(chǎn)和安全域的脆弱性指標(biāo)； ? 提供基于漏洞的關(guān)聯(lián)，自動(dòng)判斷當(dāng)前發(fā)生的信息安全事件是否真的對(duì)目標(biāo)資產(chǎn)構(gòu)成威脅，對(duì)于并不存在相關(guān)漏洞的事件，系統(tǒng)會(huì)自動(dòng)降低其優(yōu)先級(jí)，對(duì)于存在相關(guān)漏洞 的事件則提升其優(yōu)先級(jí)，使得用戶(hù)可以更專(zhuān)注于真正會(huì)造成危害的事件。 脆弱性管理 包括：漏洞掃描和人工審計(jì)信息采集、資產(chǎn) /業(yè)務(wù)域關(guān)聯(lián)分析、結(jié)果呈獻(xiàn)三個(gè)主要過(guò)程。 圖 8. 脆弱性管理過(guò)程 脆弱性管理在平臺(tái)中的實(shí)現(xiàn)如下： ? 通過(guò)天鏡脆弱性掃描系統(tǒng)對(duì)資產(chǎn)進(jìn)行定期自動(dòng)掃描或手工掃描。 ? 資產(chǎn)的掃描和人工審計(jì)所發(fā)現(xiàn)的脆弱性信息輸入脆弱性管理模塊 ? 脆弱性信息與資產(chǎn)信息進(jìn)行關(guān)聯(lián)并參與風(fēng)險(xiǎn)計(jì)算。 ? 通過(guò)整體脆弱性展示，脆弱性排名等進(jìn)行直觀的脆弱性展示。 ? 支持脆弱性數(shù)據(jù)查詢(xún)和整體數(shù)據(jù)導(dǎo)出。 北京啟明星辰信息技術(shù)有限公司 第 16 頁(yè) Tel: 861082779088 Fax: 861082779151 圖 9. 脆弱性管理 事件 /業(yè)務(wù)安全監(jiān)控管理 事件 /業(yè)務(wù)安全 監(jiān)控 模塊 負(fù)責(zé)實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)的安全事件。通過(guò)事件 /業(yè)務(wù)安全監(jiān)控模塊監(jiān)控網(wǎng)絡(luò)各個(gè)網(wǎng)絡(luò)設(shè)備、主機(jī) 應(yīng)用 系統(tǒng)等日志信息，以及安全產(chǎn)品的安全事件日志信息等，及時(shí) 發(fā)現(xiàn)正在和已經(jīng)發(fā)生的安全事件， 協(xié)助進(jìn)行安全決策，確 保網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的安全、可靠運(yùn)行。 事件采集與整合 通過(guò)部署在事件采集服務(wù)器上的 安全管理中心 的事件集中采集系統(tǒng)VSIMS 系統(tǒng)，在泰合信息安全運(yùn)營(yíng)中心所管轄網(wǎng)絡(luò)和系統(tǒng)上的不同安全信息采集點(diǎn) (網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)，而且還 涵蓋已經(jīng)部署的安全系統(tǒng)， 包括 入侵防御系統(tǒng)、 VPN 系統(tǒng)、防 火墻系統(tǒng)、 IDS 系統(tǒng)、 審計(jì)系統(tǒng)、 防病毒系統(tǒng)等 等 )，集中收集安全事件到泰合信息安全運(yùn)營(yíng)中心中的安全管理服務(wù)器進(jìn)行處理，即： 根據(jù)可預(yù)先定義的配置 進(jìn)行聚并、過(guò)濾處理、并 把各種類(lèi)型的安全數(shù)據(jù)格式 化成統(tǒng)一 北京啟明星辰信息技術(shù)有限公司 第 17 頁(yè) Tel: 861082779088 Fax: 861082779151 的格式 ，從而實(shí)現(xiàn)了 安全事件的集中收集和處理，具備了實(shí)時(shí)事件 /業(yè)務(wù)安全監(jiān)控能力，又可利用安全事件查詢(xún)的功能和強(qiáng)大的數(shù)據(jù)挖掘統(tǒng)計(jì)分析功能，具備了事后調(diào)查取證的能力。 信息安全事件管理中心的事件集中采集系統(tǒng)（ VSIMS） 是 完全 具有自主知識(shí)產(chǎn)權(quán)的軟件產(chǎn)品，屬于 泰合信息安全運(yùn)營(yíng)中心系統(tǒng) 的一部分， 包括管理服務(wù)（ MS）、事件收集器（ EC）、專(zhuān)用 /通用代理管理（ UAM）、專(zhuān)用 /通用代理引擎（ UAE）、專(zhuān)用 /通用日志策略編輯器（ UAPE）幾個(gè)部分， 負(fù)責(zé)在事件收集器和安全設(shè)備之間 通信， 用于采集、范化并上報(bào)安全設(shè)備的報(bào) 警日志，同時(shí)采集并上報(bào)安全設(shè)備的狀態(tài)，并提供對(duì)多種安全設(shè)備的管理能力。 VSIMS 系統(tǒng)擁有專(zhuān)用代理 /通用代理 （ Universal Agent） 用以支持不同的設(shè)備及系統(tǒng)， VSIMS 引入的集中監(jiān)管、 分布式 部署的多級(jí)管理體系，全面符合 多級(jí)、分布式、跨地域的各類(lèi) 業(yè)務(wù)的管理模式，真正實(shí)現(xiàn)分布式產(chǎn)品的結(jié)構(gòu)統(tǒng)一協(xié)調(diào)管理，建立安全信息的全局 管理 機(jī)制。只有能夠進(jìn)行整個(gè)網(wǎng)絡(luò)范圍內(nèi)的部署，才能 管理 整個(gè)網(wǎng)絡(luò)中的安全 設(shè)備 ，也才能夠進(jìn)行全網(wǎng)的 事件管理 。全網(wǎng)范圍內(nèi)VSIMS 的分布式部署可能是不同城市、不同地區(qū)、甚至不同省份 、不同國(guó) 家 的分布，這與網(wǎng)絡(luò)規(guī)模 和網(wǎng)絡(luò)拓?fù)?是相關(guān)的。 通過(guò)分布式分級(jí)部署，可以實(shí)現(xiàn)將各個(gè)獨(dú)立的子系統(tǒng)連成一個(gè)分布式的整體安全事件采集體系。 安全事件采集包括：分布代理收集信息、安全事件采集過(guò)濾、事件關(guān)聯(lián)分析、結(jié)果輸出展示幾個(gè)主要過(guò)程。 北京啟明星辰信息技術(shù)有限公司 第 18 頁(yè) Tel: 861082779088 Fax: 861082779151 事件集中采集系統(tǒng) VSIMS 系統(tǒng) 部分操作界面視圖如下圖所示： 圖 10. 事件集中采集系統(tǒng)－過(guò)濾條件 圖 11. 事件集中采集系統(tǒng)－添加新元件 北京啟明星辰信息技術(shù)有限公司 第 19 頁(yè) Tel: 861082779088 Fax: 861082779151 目前， 安全管理中心 的事件集中采集系統(tǒng) VSIMS 系統(tǒng)通過(guò)各種專(zhuān)用代理 已經(jīng)能夠支持國(guó)內(nèi)外主流的安全設(shè)備：入侵防御系統(tǒng)、郵件過(guò)濾網(wǎng)關(guān)、抗拒絕服務(wù)攻擊系統(tǒng)、 VPN 系統(tǒng)、防火墻系統(tǒng)、入侵檢測(cè)系統(tǒng)、防病毒系統(tǒng)、漏洞掃描系統(tǒng)、安全審計(jì)系統(tǒng)等；主流操作系統(tǒng)： Windows 操作系統(tǒng) (NT/2020/XP/2020)、支持主流 Linux 系統(tǒng)，支持主流 Unix 系統(tǒng)等；主流應(yīng)用程序： Web、 Mail、 DNS等。 安全管理中心 的事件集中采集系統(tǒng) VSIMS 系統(tǒng)擁有通用代理 工具包通過(guò)配置就完全支持 SNMP、 SYSLOG、 ODBC、 WMI 等方式 采集 事件 日志。針對(duì) 特定系統(tǒng)的日志格式， 利用通用代理 工具 包配置實(shí)現(xiàn) 。 事件 /業(yè)務(wù)安全可視化監(jiān)控 事件 /業(yè)務(wù)監(jiān)控模塊及綜合顯示報(bào)表報(bào)告模塊其功能完全滿(mǎn)足以下要求： 1．事件顯示和查詢(xún)功能 提供豐富的 事件 顯示和查找的功能，以便管理員對(duì) 非法 入侵事件和行為有很好的追蹤和分析處理。 ? 支持 提供多種查詢(xún)處理的方式， 可以 根據(jù) 事件的各個(gè)字段來(lái) 設(shè)定的過(guò)濾條件，查詢(xún)到相關(guān)的 事件 記錄 ； ? 支持傳統(tǒng)的網(wǎng)格、線形圖、圓餅圖、條狀圖、區(qū)域圖和重疊區(qū)域圖等多種方式來(lái)顯示特定事件； ? 支持用于關(guān)聯(lián)業(yè)務(wù)情況的自定義事件圖，并能滿(mǎn)足業(yè)務(wù)網(wǎng)絡(luò)和邏輯網(wǎng)絡(luò)的多級(jí)顯示； ? 支持在選定事件的范圍內(nèi)，根據(jù)事件的不同查 詢(xún)條件進(jìn)行圖形化顯示。 2．支持安全態(tài)勢(shì)的實(shí)時(shí)監(jiān)視 ? 支持按照資產(chǎn)類(lèi)別、事件關(guān)聯(lián)關(guān)系、地理事件圖形、時(shí)間、最后狀態(tài)、系統(tǒng)特征、特點(diǎn)前幾位等 類(lèi)型 進(jìn)行實(shí)時(shí)監(jiān)視； ? 支持過(guò)濾事件的各個(gè)字段進(jìn)行自定義實(shí)時(shí)監(jiān)視。 3．支持在線和離線的事件可視化 安全管理中心 事件 /業(yè)務(wù)監(jiān)控模塊部分顯示界面示例視圖如下： 北京啟明星辰信息技術(shù)有限公司 第 20 頁(yè) Tel: 861082779088 Fax: 861082779151 ? 根據(jù)需要，可通過(guò)配置監(jiān)控條件及過(guò)濾條件的客戶(hù)化實(shí)時(shí)事件監(jiān)控界面 ? 高危事件監(jiān)控界面： 圖 12. 事件監(jiān)控－高危事件 ? 域 風(fēng)險(xiǎn)拓?fù)滹@示和 GIS 顯示界面： 圖 13. 全局域拓?fù)湔故? 北京啟明星辰信息技術(shù)有限公司 第 21 頁(yè) Tel: 861082779088 Fax: 861082779151 圖 14. SOC 安全 域拓?fù)湔故? ? 事件報(bào)表報(bào)告界面示例 圖 15. 高報(bào)警設(shè) 備 北京啟明星辰信息技術(shù)有限公司 第 22 頁(yè) Tel: 861082779088 Fax: 861082779151 綜合 關(guān)聯(lián)分析 綜合關(guān)聯(lián)分析 完成各種安全關(guān)聯(lián)分析功能，關(guān)聯(lián)分析能夠?qū)⒃嫉脑O(shè)備報(bào)警進(jìn)一步規(guī)范化并歸納為典型安全事件類(lèi)別，從而協(xié)助使用者更快速地識(shí)別當(dāng)前威脅的性質(zhì)。 系統(tǒng)提供三種關(guān)聯(lián)分析類(lèi)型：基于規(guī)則的事件關(guān)聯(lián)分析、統(tǒng)計(jì)關(guān)聯(lián)分析和漏洞關(guān)聯(lián)分析。根據(jù)此關(guān)聯(lián)分析模塊的功能，結(jié)合 客戶(hù) 業(yè)務(wù)應(yīng)用系統(tǒng)的事件特征、分析與制定安全域與業(yè)務(wù)安全控制策略和基于業(yè)務(wù)應(yīng)用的流程異常監(jiān)控，制定相關(guān)的特定關(guān)聯(lián)分析規(guī)則。 關(guān)聯(lián)分析包括：對(duì)安全事件的規(guī)則關(guān)聯(lián)、統(tǒng)計(jì)關(guān)聯(lián)，對(duì)安全事件和安全漏洞的漏洞關(guān)聯(lián)，結(jié)果輸入風(fēng)險(xiǎn)管理模塊幾個(gè)主要過(guò)程。 圖 16. 綜合關(guān)聯(lián)分析 規(guī)則 關(guān)聯(lián)分析 基于規(guī)則的事件關(guān)聯(lián)分析是把各種安全事件按照時(shí)間的先后序列與時(shí)間間隔進(jìn)行檢測(cè)，判斷事件之間的相互關(guān)系是否符合預(yù)定義的規(guī)則，從而觸發(fā)分析總結(jié)出來(lái)的關(guān)聯(lián)分析后事件。 配置關(guān)聯(lián)分析規(guī)則顯示界面示例： 北京啟明星辰信息技術(shù)有限公司 第 23 頁(yè) Tel: 861082779088 Fax: 861082779151 圖 17. 基于規(guī)則的關(guān)聯(lián)分析 統(tǒng)計(jì)關(guān)聯(lián)分析 統(tǒng)計(jì)關(guān)聯(lián)分析是用戶(hù)通過(guò)定義一定時(shí)間內(nèi)發(fā)生的符合條件的事件量達(dá)到規(guī)定量，從而觸發(fā)關(guān)聯(lián)事件。 圖 18. 統(tǒng)計(jì)關(guān)聯(lián)分析 北京啟明星辰信息技術(shù)有限公司 第 24 頁(yè) Tel: 861082779088 Fax: 861082779151 漏洞關(guān)聯(lián)分析 漏洞關(guān)聯(lián)分析是系統(tǒng)收集到的事件 對(duì)應(yīng)的漏洞編號(hào)或端口與系統(tǒng)中存在的資產(chǎn)的漏洞編號(hào)或端口號(hào)符合，從而觸發(fā)關(guān)聯(lián)事件。目的是為了進(jìn)一步降低 系統(tǒng)的誤報(bào)率。 圖 19. 漏洞關(guān)聯(lián)分析 安全策略管理 安全策略管理模塊可充分利用風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)一步完善 網(wǎng)絡(luò)的安全策略管理管理體系建設(shè)，為全網(wǎng)安全運(yùn)行管理人員提供統(tǒng)一的安全策略，為各項(xiàng)安全工作的開(kāi)展提供指導(dǎo)，有效解決因缺乏口令、認(rèn)證、訪問(wèn)控制等方面策略而帶來(lái)的安全風(fēng)險(xiǎn)問(wèn)題。 北京啟明星辰信息技術(shù)有限公司 第 25 頁(yè) Tel: 861082779088 Fax: 861082779151 圖 20. 安全策略管理 網(wǎng)絡(luò)管理功能 有兩種方法實(shí)現(xiàn)網(wǎng)絡(luò)管理： 如果客戶(hù)已經(jīng)部署了 HP OpenView 等網(wǎng)管系統(tǒng) ，就可以提供接口，讀取資產(chǎn)等信息 ，反映在拓?fù)渖?； 自身提供網(wǎng)絡(luò)管理模塊 （ VNOC） ，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的簡(jiǎn)單管理。 網(wǎng)絡(luò)管理模塊可通過(guò) SNMP 協(xié)議或其它手段自動(dòng)發(fā)現(xiàn)整個(gè)網(wǎng)絡(luò)（局域網(wǎng)和廣域網(wǎng)）的拓?fù)浣Y(jié)構(gòu)，對(duì)取得的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)通過(guò)比較直觀的、可視化比較好的圖形方式展現(xiàn)，在拓?fù)鋱D上通過(guò)擴(kuò)展能夠顯示故障、告警、性能、流量等網(wǎng)管信息。 系統(tǒng)通過(guò)配置能夠?qū)W(wǎng)絡(luò)設(shè)備進(jìn)行簡(jiǎn)單的命令操作，實(shí)現(xiàn)遠(yuǎn)程配置操作。通過(guò)接收 Trap 信息和主動(dòng)輪詢(xún)兩種方式及時(shí)地發(fā)現(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)生的各種故障，及時(shí)告警，通知管理員進(jìn)行相關(guān)檢查和管理。通過(guò)監(jiān)控各網(wǎng)絡(luò)和網(wǎng)段的流量變化，及時(shí)反映當(dāng)前網(wǎng)絡(luò)的運(yùn)行狀態(tài)，并對(duì)所采集的性能數(shù)據(jù)進(jìn)行分析，形成必要的報(bào)告，通過(guò)圖表方式展現(xiàn)出來(lái)。根據(jù)性能數(shù)據(jù)、故 障信息、告警信息形成統(tǒng)計(jì)報(bào)表。 北京啟明星辰信息技術(shù)有限公司 第 26 頁(yè) Tel: 861082779088 Fax: 861082779151 工作流管理 TSOC 提供一個(gè)統(tǒng)一而靈活的工作流程流程管