【導(dǎo)讀】泰合信息安全運(yùn)營(yíng)中心。解決方案模板（通用）。北京啟明星辰信息技術(shù)有限公司第1頁(yè)

　　

【正文】 者。 工單被接收者響應(yīng)處理并經(jīng)審批以后的歷史工單可以導(dǎo)入到安全知識(shí)庫(kù)的案例庫(kù)中去。 安全策略管理包括：工單生成、工單處理、工單跟蹤、知識(shí)庫(kù)管理幾個(gè)主要過(guò)程。 北京啟明星辰信息技術(shù)有限公司 第 40 頁(yè) Tel: 861082779088 Fax: 861082779151 圖 36. 工作任務(wù)管理 安全響應(yīng)管理模塊基于工作流的任務(wù)管理顯示界面示例： 圖 37. 工作 任務(wù)狀態(tài)跟蹤 用戶(hù)管理 安全管理中心 用戶(hù)管理模塊采用三權(quán)分立的管理體制，默認(rèn)設(shè)置了用戶(hù)管理系統(tǒng)管理員、安全運(yùn)營(yíng)中心管理員、審計(jì)管理員分別管理。泰合信息安全運(yùn)營(yíng)中心系統(tǒng)用戶(hù)管理 采用基于角色的訪(fǎng)問(wèn)控制策略，即依據(jù)對(duì)系統(tǒng)中角色行為來(lái)限制對(duì)資源的訪(fǎng)問(wèn)。角色可以理解成為工作所涉及相同行為和責(zé)任范圍內(nèi)的一組人， 北京啟明星辰信息技術(shù)有限公司 第 41 頁(yè) Tel: 861082779088 Fax: 861082779151 因此給予角色權(quán)限，要比單獨(dú)為個(gè)人授權(quán)方便得多，這樣便于企業(yè)授權(quán)管理。 用戶(hù)管理系統(tǒng)管理員包括“用戶(hù)管理”和“用戶(hù)組管理”，通過(guò)“用戶(hù)管理”賦予系統(tǒng)管理用戶(hù)進(jìn)行用戶(hù)組權(quán)限管理。 不同角色的用戶(hù) 組 擁有不同的權(quán)限， “用戶(hù)組管理” 依據(jù)對(duì)系統(tǒng)中 不同安全運(yùn)營(yíng)中心管理員 角色行為來(lái)限制對(duì)資源的訪(fǎng)問(wèn)。角色可以理解成為工作所涉及相同行為和責(zé)任范圍內(nèi)的一組人，因此給予角色權(quán)限，要比單獨(dú)為個(gè)人授權(quán)方便得多，這樣便于企業(yè)授權(quán)管理；不同角色的用戶(hù) 組 擁有不同的權(quán)限，這樣用戶(hù) 組中的用戶(hù)就不 可以獲得濫用系統(tǒng)資源的特權(quán)，利于責(zé)任獨(dú)立；角色的層次化使用戶(hù)在現(xiàn)實(shí)世界中的等級(jí)化與系統(tǒng)資源的等級(jí)之間形成了對(duì)照，便于系統(tǒng)的管理。 審計(jì)管理員僅具有審計(jì)功能權(quán)限，通過(guò)用戶(hù)管理系統(tǒng)的審計(jì)與登錄安全運(yùn)營(yíng)中心才能查看到的審計(jì)內(nèi)容區(qū)別在于，查看的對(duì)象不同。此處主要審計(jì)對(duì)用 戶(hù)的各項(xiàng)操作，包括用戶(hù)登錄注銷(xiāo)、新增、修改、刪除用戶(hù)或用戶(hù)組等功能。 圖 38. 審計(jì)員用戶(hù) 系統(tǒng)健康管理 利用系統(tǒng)健康管理模塊可便于 系統(tǒng)自身安全及維護(hù)管理，它包括組織管理、 北京啟明星辰信息技術(shù)有限公司 第 42 頁(yè) Tel: 861082779088 Fax: 861082779151 系統(tǒng)數(shù)據(jù)庫(kù)及功能組件運(yùn)行狀態(tài)監(jiān)控、日志維護(hù)及其他一些與系統(tǒng)本身相關(guān)的運(yùn)行維護(hù)的管理和配置功能。 平臺(tái)數(shù)據(jù)庫(kù)及平臺(tái)組件運(yùn)行狀態(tài)監(jiān)控顯示界面示例 ： 圖 39. 數(shù)據(jù)庫(kù)狀態(tài)監(jiān)控 北京啟明星辰信息技術(shù)有限公司 第 43 頁(yè) Tel: 861082779088 Fax: 861082779151 圖 40. 平臺(tái)系統(tǒng)自身組件狀態(tài)監(jiān)控 3 典型應(yīng)用 系統(tǒng)部署 系統(tǒng) 部署可以分為核心系統(tǒng)部署配置和數(shù)據(jù)采集系統(tǒng)部署配置兩大步驟。 核心系統(tǒng)部署和配置 核心系統(tǒng)一般包括：管理服務(wù)器、數(shù)據(jù)庫(kù)服務(wù) 器、事件采集服務(wù)器 ? 管理服務(wù)器： 完成對(duì)數(shù)據(jù)處理、顯示和報(bào)告功能 ? 數(shù)據(jù)庫(kù)服務(wù)器： 實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)功能。 ? 事件采集服務(wù)器： 完成對(duì)各種安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī) \應(yīng)用系統(tǒng)的弱點(diǎn)數(shù)據(jù)采集和威脅數(shù)據(jù)采集功能。又可以分為弱點(diǎn)數(shù)據(jù)采集模塊（實(shí)現(xiàn)對(duì)漏洞掃描和人工審計(jì)數(shù)據(jù)采集）和威脅數(shù)據(jù)采集模塊（實(shí)現(xiàn)對(duì)各種安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī) \應(yīng)用系統(tǒng)安全事件采集）。 北京啟明星辰信息技術(shù)有限公司 第 44 頁(yè) Tel: 861082779088 Fax: 861082779151 數(shù)據(jù)采集系統(tǒng)部署和配置 數(shù)據(jù)采集系統(tǒng)指部署在被評(píng)估環(huán)境中的各種可以提供弱點(diǎn)數(shù)據(jù)和威脅數(shù)據(jù)的設(shè)備，包括已有設(shè)備和風(fēng)險(xiǎn)自評(píng)估必須使用的設(shè)備。 ? 確定數(shù)據(jù)采集的范圍和對(duì)象。 ? 已有安 全設(shè)備，如：防火墻、防病毒 等 系統(tǒng)數(shù)據(jù)采集。 ? 部署新的風(fēng)險(xiǎn)評(píng)估必備安全設(shè)備，如：網(wǎng)絡(luò)入侵檢測(cè)、審計(jì)系統(tǒng)、漏洞掃描系統(tǒng)，并配置數(shù)據(jù)采集。 ? 對(duì)核心業(yè)務(wù)和資產(chǎn)配置數(shù)據(jù)采集，如：關(guān)鍵數(shù)據(jù)庫(kù)、操作系統(tǒng)日志采集。 部署結(jié)構(gòu)示意圖如下所示： 圖 41. 系統(tǒng)部署示意圖 日常管理 北京啟明星辰信息技術(shù)有限公司 第 45 頁(yè) Tel: 861082779088 Fax: 861082779151 平臺(tái)建設(shè)的目的 不僅僅是為了完成對(duì)信息系統(tǒng)的 數(shù)據(jù)采集 分析 ， 其 最終任務(wù)是 實(shí)現(xiàn)對(duì)資產(chǎn)和業(yè)務(wù)域的 風(fēng)險(xiǎn)管理。根據(jù)組織中所扮演的角色不同，管理者和操作者通過(guò) 安全管理中心 完成不同的工作。 在日常工作中管理層通過(guò)安全 管理中心 完成以下工作： ? 資產(chǎn) /業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)監(jiān)控和趨勢(shì) 分析 ? 資產(chǎn) /業(yè)務(wù)系統(tǒng)安全威脅趨勢(shì)分析 ? 資產(chǎn) /業(yè)務(wù)系統(tǒng)脆弱性趨勢(shì)分析 ? 通過(guò)工單和策略管理模塊調(diào)配資源實(shí)現(xiàn)風(fēng)險(xiǎn)管理 在日常工作中操作者通過(guò) 安全 管理中心 完成以下工作： ? 資產(chǎn) /業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)監(jiān)控 ? 資產(chǎn) /業(yè)務(wù)系統(tǒng)威脅和事件監(jiān)控 ? 資產(chǎn) /業(yè)務(wù)系統(tǒng)安全漏洞監(jiān)控 ? 平臺(tái)所轄網(wǎng)絡(luò)設(shè)備、安全產(chǎn)品、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)的工作狀態(tài)監(jiān)控 4 方案特點(diǎn) 與效果展示 通過(guò)部署和實(shí)施泰合安全 管理中心 可以 達(dá)到和 實(shí)現(xiàn)如下 效果： 面向業(yè)務(wù)的資產(chǎn)與 風(fēng)險(xiǎn) 管理 是基于網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全檢查和評(píng)估的基礎(chǔ)，域的分類(lèi)是抗?jié)B透的防護(hù)方式，是基于網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全建設(shè)的部署 依據(jù)，而域邊界是災(zāi)難發(fā)生時(shí)的抑制點(diǎn)，防止影響的擴(kuò)散，因此，域管理的好壞直接影響到系統(tǒng)安全評(píng)估與監(jiān)控性能的好壞，并直接影響到監(jiān)管系統(tǒng)的健壯性。 域的分類(lèi)方式有多種，劃分的基準(zhǔn)包括分布式的網(wǎng)絡(luò)結(jié)構(gòu)，業(yè)務(wù)流程的優(yōu)化單元，防護(hù)體系的層次結(jié)構(gòu)，系統(tǒng)的安全等級(jí)等。 在 安全 管理中心 中，域被認(rèn)為是一個(gè)大于資產(chǎn)的概念，是多個(gè)有相似安全需求或完成相似業(yè)務(wù)功能的信息資產(chǎn)組。資產(chǎn)信息管理模塊支持對(duì)平臺(tái)所轄信息系統(tǒng)在資產(chǎn)管理的基礎(chǔ)上進(jìn)行域管理的功能，同時(shí)也支持對(duì)域安全風(fēng)險(xiǎn)的評(píng)估。對(duì) 北京啟明星辰信息技術(shù)有限公司 第 46 頁(yè) Tel: 861082779088 Fax: 861082779151 于復(fù)雜信息系統(tǒng)， IT 管理員可以將主要精力用于關(guān)注域風(fēng) 險(xiǎn)和核心資產(chǎn)風(fēng)險(xiǎn)，這樣可以有效降低安全管理的難度和復(fù)雜性。域的風(fēng)險(xiǎn)和威脅往往反映了業(yè)務(wù)所面臨的風(fēng)險(xiǎn)和威脅，相對(duì)于單一的資產(chǎn)風(fēng)險(xiǎn)評(píng)估和監(jiān)控更能反映業(yè)務(wù)系統(tǒng)所面臨的風(fēng)險(xiǎn)和威脅。 清晰展示業(yè)務(wù)域與資產(chǎn)的關(guān)系 詳細(xì)請(qǐng) 參考 “ 業(yè)務(wù)域管理 ” 中相關(guān)內(nèi)容。 提供全面的風(fēng)險(xiǎn)監(jiān)控信息 ： 圖 42. 總體安全監(jiān)控 資產(chǎn)風(fēng)險(xiǎn)全面監(jiān)控 ： 圖 43. 業(yè)務(wù)域風(fēng)險(xiǎn)監(jiān)控 北京啟明星辰信息技術(shù)有限公司 第 47 頁(yè) Tel: 861082779088 Fax: 861082779151 安全事件和漏 洞監(jiān)控 安全事件監(jiān)控負(fù)責(zé)實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)的安全事件狀態(tài)，是實(shí)時(shí)掌握全網(wǎng)的安全威脅狀況的重要手段之一。通過(guò)事件監(jiān)控模塊監(jiān)控網(wǎng)絡(luò)各個(gè)網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)等日志信息，以及安全產(chǎn)品的安全事件日志信息等，及時(shí)發(fā)現(xiàn) 已經(jīng)發(fā)生 和 正在 發(fā)生的安全事件 ，通過(guò)響應(yīng)管理模塊采取措施，保證網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的安全、可靠運(yùn)行， 實(shí)時(shí)將其結(jié)果輸入綜合分析決策支持與預(yù)警平臺(tái)。 脆弱性監(jiān)控完成對(duì)信息系統(tǒng)中以資產(chǎn)為基本對(duì)象的漏洞檢測(cè)，是分析業(yè)務(wù)系統(tǒng)脆弱性的主要技術(shù)手段。通過(guò)控制和采集漏洞掃描結(jié)果，結(jié)合人工審計(jì)結(jié)果，綜合分析資產(chǎn) /業(yè)務(wù)系統(tǒng)的已知漏洞，及時(shí)進(jìn)行 修補(bǔ)和告警，確保核心資產(chǎn)的安全性，確保信息系統(tǒng)的業(yè)務(wù)連續(xù)性。 提供直觀(guān)的安全事件趨勢(shì)分析 圖 44. 安全事件統(tǒng)計(jì) 分析 詳細(xì)安全事件實(shí)時(shí)監(jiān)控 北京啟明星辰信息技術(shù)有限公司 第 48 頁(yè) Tel: 861082779088 Fax: 861082779151 圖 45. 事件實(shí)時(shí)監(jiān)控 資產(chǎn) /業(yè)務(wù)域安全漏洞監(jiān)控 圖 46. 安全漏洞監(jiān)控 多種響應(yīng)方式 平臺(tái)通過(guò)多種響應(yīng)方式完善了從防護(hù)到檢測(cè)再到響應(yīng)的一個(gè)安全事件處理過(guò)程的閉環(huán)。 多種響應(yīng)策略設(shè)置 通過(guò)對(duì)安全事件進(jìn)行郵件、工單 、聲音、數(shù)據(jù)庫(kù)等響應(yīng)方式的設(shè)置，實(shí)現(xiàn)自定義用戶(hù)響應(yīng)策略。 北京啟明星辰信息技術(shù)有限公司 第 49 頁(yè) Tel: 861082779088 Fax: 861082779151 圖 47. 響應(yīng)策略管理 支持工單管理 提供了從工單生成、提交、編輯、狀態(tài)監(jiān)控、查詢(xún)到關(guān)閉工 單的完整的閉環(huán)管理，如果客戶(hù)已經(jīng)或正在考慮實(shí)施 ITIL， 可以 將工單管理融合到 ITIL 流程之中。 圖 48. 工單管理 多種關(guān)聯(lián)分析方法 漏洞關(guān)聯(lián)分析 漏洞關(guān)聯(lián)的目的在于要識(shí)別出假肯定警報(bào)，同時(shí)為那些尚未確定是否為假肯定或假警報(bào)的事件分配一個(gè)置信等級(jí)。這種方法的主要優(yōu)點(diǎn)在于，它能極大提高威脅運(yùn)算的有效性并可提供適用于自動(dòng)響應(yīng)和 /或告警的事件。 北京啟明星辰信息技術(shù)有限公司 第 50 頁(yè) Tel: 861082779088 Fax: 861082779151 詳細(xì)請(qǐng)參考 “ 漏洞關(guān)聯(lián)分析 ” 中相關(guān)內(nèi)容 。 規(guī)則關(guān)聯(lián)分析 詳細(xì)請(qǐng)參考 “ 規(guī)則關(guān)聯(lián)分析 ” 中相關(guān)內(nèi)容。 統(tǒng)計(jì)關(guān)聯(lián)分析 詳細(xì)請(qǐng)參考 “統(tǒng)計(jì)關(guān)聯(lián)分析” 中相關(guān)內(nèi)容。 狀態(tài)監(jiān)控 可以通過(guò)獲取狀態(tài)獲取設(shè)備的狀態(tài)信息，如設(shè)備 IP、設(shè)備名稱(chēng)、系統(tǒng)名稱(chēng)、連通狀態(tài)、資源占用率等狀態(tài)信息 ，可以及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中設(shè)備的資源占用情況，利于進(jìn)行 有針對(duì)性的安全管理。 圖 49. 狀態(tài)監(jiān)控 拓?fù)?與 GIS展示 拓?fù)湔故静⒎菍?duì)網(wǎng)絡(luò)拓?fù)涞某诗I(xiàn)，而是以資產(chǎn) /業(yè)務(wù)為對(duì)象的直觀(guān)展示和狀態(tài)監(jiān)控。是管理者和操作者直接了解平臺(tái)所轄范圍資產(chǎn)和業(yè)務(wù)系統(tǒng)分布情況、工 北京啟明星辰信息技術(shù)有限公司 第 51 頁(yè) Tel: 861082779088 Fax: 861082779151 作狀態(tài)的理想工具。 提供了跟 HP OpenView 網(wǎng)管系統(tǒng)接口，從網(wǎng)管系統(tǒng)獲取事件信息、資產(chǎn)狀態(tài)信息和網(wǎng)絡(luò)拓樸信息，傳遞給資產(chǎn)管理模塊 。 業(yè)務(wù)域拓?fù)湔故? 圖 50. 業(yè)務(wù)域拓?fù)? 資產(chǎn)拓?fù)湔故? 可以 通過(guò)業(yè)務(wù)域關(guān)聯(lián)到其下屬子域以及所包含的資產(chǎn)和設(shè)備。如下圖所示： 圖 51. 資產(chǎn)拓?fù)? 提供了跟 MapInfo 地理信息系統(tǒng) 的接口 ， 可以 將資產(chǎn)域的地理信息 應(yīng)用 在綜合顯示模塊中 。 可以將地圖作為背景圖，在地圖上顯示 監(jiān)控點(diǎn)。 北京啟明星辰信息技術(shù)有限公司 第 52 頁(yè) Tel: 861082779088 Fax: 861082779151 圖 52. GIS 展示 （全國(guó)） 同時(shí)，北京地圖可以根據(jù)客戶(hù)的需要靈活替換，比如可以將行政區(qū)劃圖、網(wǎng)絡(luò)拓?fù)鋱D等作為地圖，在上面標(biāo)識(shí)已經(jīng)部署的監(jiān)控點(diǎn)。 下面以上海行政區(qū)劃圖為例： 圖 53. GIS 展示（上海） 北京啟明星辰信息技術(shù)有限公司 第 53 頁(yè) Tel: 861082779088 Fax: 861082779151 豐富的知識(shí)庫(kù) 系統(tǒng)的知識(shí) 管理中心 既提供一般知識(shí)管理功能，比如安全知識(shí)庫(kù)、培訓(xùn)和人員考核等，也提供了強(qiáng)大的漏洞庫(kù)、事件特征庫(kù)、補(bǔ)丁庫(kù)、安全配置知識(shí)庫(kù)和應(yīng)急響應(yīng)知識(shí)庫(kù)等。啟明星辰 公司作為國(guó)家 CNCVE 項(xiàng)目的承擔(dān)單位擁有自主產(chǎn)權(quán)的漏洞庫(kù)和事件特征庫(kù)，泰合風(fēng)險(xiǎn)管理和自評(píng)估系統(tǒng)的漏洞庫(kù)和事件特征庫(kù)兼容了國(guó)內(nèi)國(guó)際上流行的各種漏洞庫(kù)，比如 CNCVE， CVE， Bugtraq 等，同時(shí)啟明星辰的積極防御實(shí)驗(yàn)室會(huì)及時(shí)發(fā)布最新發(fā)現(xiàn)的各種安全漏洞，并定期對(duì)已知漏洞進(jìn)行總結(jié)。 同時(shí)，系統(tǒng)通過(guò)處置預(yù)案管理的方式實(shí)現(xiàn)對(duì)各種安全事件處置方法的標(biāo)準(zhǔn)化參考和積累。 處置預(yù)案管理 分別為病毒木馬、系統(tǒng)狀態(tài)、掃描探測(cè)、拒絕服務(wù)、規(guī)避、認(rèn)證授權(quán)、應(yīng)用漏洞和非授權(quán)訪(fǎng)問(wèn)等 8 種處置預(yù)案。 漏洞信息查詢(xún) 圖 54. 漏洞信息庫(kù) 安全鏈接 北京啟明星辰信息技術(shù)有限公司 第 54 頁(yè) Tel: 861082779088 Fax: 861082779151 圖 55. 安全鏈接 請(qǐng)參考“ 安全信息知識(shí)庫(kù)管理 ”中相關(guān)內(nèi)容。