【正文】 用戶管理安全管理中心用戶管理模塊采用三權(quán)分立的管理體制，默認(rèn)設(shè)置了用戶管理系統(tǒng)管理員、安全運營中心管理員、審計管理員分別管理。泰合信息安全運營中心系統(tǒng)用戶管理采用基于角色的訪問控制策略，即依據(jù)對系統(tǒng)中角色行為來限制對資源的訪問。角色可以理解成為工作所涉及相同行為和責(zé)任范圍內(nèi)的一組人，因此給予角色權(quán)限，要比單獨為個人授權(quán)方便得多，這樣便于企業(yè)授權(quán)管理。用戶管理系統(tǒng)管理員包括“用戶管理”和“用戶組管理”，通過“用戶管理”賦予系統(tǒng)管理用戶進(jìn)行用戶組權(quán)限管理。不同角色的用戶組擁有不同的權(quán)限，“用戶組管理”依據(jù)對系統(tǒng)中不同安全運營中心管理員角色行為來限制對資源的訪問。角色可以理解成為工作所涉及相同行為和責(zé)任范圍內(nèi)的一組人，因此給予角色權(quán)限，要比單獨為個人授權(quán)方便得多，這樣便于企業(yè)授權(quán)管理；不同角色的用戶組擁有不同的權(quán)限，這樣用戶組中的用戶就不可以獲得濫用系統(tǒng)資源的特權(quán)，利于責(zé)任獨立；角色的層次化使用戶在現(xiàn)實世界中的等級化與系統(tǒng)資源的等級之間形成了對照，便于系統(tǒng)的管理。審計管理員僅具有審計功能權(quán)限，通過用戶管理系統(tǒng)的審計與登錄安全運營中心才能查看到的審計內(nèi)容區(qū)別在于，查看的對象不同。此處主要審計對用戶的各項操作，包括用戶登錄注銷、新增、修改、刪除用戶或用戶組等功能。圖38. 審計員用戶 系統(tǒng)健康管理利用系統(tǒng)健康管理模塊可便于系統(tǒng)自身安全及維護(hù)管理，它包括組織管理、系統(tǒng)數(shù)據(jù)庫及功能組件運行狀態(tài)監(jiān)控、日志維護(hù)及其他一些與系統(tǒng)本身相關(guān)的運行維護(hù)的管理和配置功能。平臺數(shù)據(jù)庫及平臺組件運行狀態(tài)監(jiān)控顯示界面示例：圖39. 數(shù)據(jù)庫狀態(tài)監(jiān)控圖40. 平臺系統(tǒng)自身組件狀態(tài)監(jiān)控3 典型應(yīng)用 系統(tǒng)部署系統(tǒng)部署可以分為核心系統(tǒng)部署配置和數(shù)據(jù)采集系統(tǒng)部署配置兩大步驟。核心系統(tǒng)部署和配置核心系統(tǒng)一般包括：管理服務(wù)器、數(shù)據(jù)庫服務(wù)器、事件采集服務(wù)器216。 管理服務(wù)器：完成對數(shù)據(jù)處理、顯示和報告功能。216。 數(shù)據(jù)庫服務(wù)器：實現(xiàn)數(shù)據(jù)存儲功能。216。 事件采集服務(wù)器：完成對各種安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)\應(yīng)用系統(tǒng)的弱點數(shù)據(jù)采集和威脅數(shù)據(jù)采集功能。又可以分為弱點數(shù)據(jù)采集模塊（實現(xiàn)對漏洞掃描和人工審計數(shù)據(jù)采集）和威脅數(shù)據(jù)采集模塊（實現(xiàn)對各種安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)\應(yīng)用系統(tǒng)安全事件采集）。數(shù)據(jù)采集系統(tǒng)部署和配置數(shù)據(jù)采集系統(tǒng)指部署在被評估環(huán)境中的各種可以提供弱點數(shù)據(jù)和威脅數(shù)據(jù)的設(shè)備，包括已有設(shè)備和風(fēng)險自評估必須使用的設(shè)備。216。 確定數(shù)據(jù)采集的范圍和對象。216。 已有安全設(shè)備，如：防火墻、防病毒等系統(tǒng)數(shù)據(jù)采集。216。 部署新的風(fēng)險評估必備安全設(shè)備，如：網(wǎng)絡(luò)入侵檢測、審計系統(tǒng)、漏洞掃描系統(tǒng)，并配置數(shù)據(jù)采集。216。 對核心業(yè)務(wù)和資產(chǎn)配置數(shù)據(jù)采集，如：關(guān)鍵數(shù)據(jù)庫、操作系統(tǒng)日志采集。部署結(jié)構(gòu)示意圖如下所示：圖41. 系統(tǒng)部署示意圖 多級部署系統(tǒng)支持多層的級聯(lián)管理模式，具備分布式大規(guī)模部署的能力，能夠?qū)崿F(xiàn)多級級聯(lián)，并具備對分布、多級環(huán)境下的大規(guī)模的代理進(jìn)行遠(yuǎn)程管理、監(jiān)測、控制的能力。適用于大型企業(yè)多分支機(jī)構(gòu)的集中管控，或者集團(tuán)管控。系統(tǒng)的多級管理模塊允許上級管理中心對下級管理中心的節(jié)點進(jìn)行集中管理和展示，上級管理中心可以訪問下級管理中心。如下圖所示，系統(tǒng)支持多級級聯(lián)部署：圖42. 多級級聯(lián)管理部署圖 日常管理平臺建設(shè)的目的不僅僅是為了完成對信息系統(tǒng)的數(shù)據(jù)采集分析，其最終任務(wù)是實現(xiàn)對資產(chǎn)和業(yè)務(wù)域的風(fēng)險管理。根據(jù)組織中所扮演的角色不同，管理者和操作者通過安全管理中心完成不同的工作。在日常工作中管理層通過安全管理中心完成以下工作：216。 資產(chǎn)/業(yè)務(wù)系統(tǒng)風(fēng)險監(jiān)控和趨勢分析216。 資產(chǎn)/業(yè)務(wù)系統(tǒng)安全威脅趨勢分析216。 資產(chǎn)/業(yè)務(wù)系統(tǒng)脆弱性趨勢分析216。 通過工單和策略管理模塊調(diào)配資源實現(xiàn)風(fēng)險管理在日常工作中操作者通過安全管理中心完成以下工作：216。 資產(chǎn)/業(yè)務(wù)系統(tǒng)風(fēng)險監(jiān)控216。 資產(chǎn)/業(yè)務(wù)系統(tǒng)威脅和事件監(jiān)控216。 資產(chǎn)/業(yè)務(wù)系統(tǒng)安全漏洞監(jiān)控216。 平臺所轄網(wǎng)絡(luò)設(shè)備、安全產(chǎn)品、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)的工作狀態(tài)監(jiān)控4 方案特點與效果展示通過部署和實施泰合安全管理中心可以達(dá)到和實現(xiàn)如下效果： 面向業(yè)務(wù)的資產(chǎn)與風(fēng)險管理是基于網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全檢查和評估的基礎(chǔ)，域的分類是抗?jié)B透的防護(hù)方式，是基于網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全建設(shè)的部署依據(jù)，而域邊界是災(zāi)難發(fā)生時的抑制點，防止影響的擴(kuò)散，因此，域管理的好壞直接影響到系統(tǒng)安全評估與監(jiān)控性能的好壞，并直接影響到監(jiān)管系統(tǒng)的健壯性。域的分類方式有多種，劃分的基準(zhǔn)包括分布式的網(wǎng)絡(luò)結(jié)構(gòu)，業(yè)務(wù)流程的優(yōu)化單元，防護(hù)體系的層次結(jié)構(gòu)，系統(tǒng)的安全等級等。在安全管理中心中，域被認(rèn)為是一個大于資產(chǎn)的概念，是多個有相似安全需求或完成相似業(yè)務(wù)功能的信息資產(chǎn)組。資產(chǎn)信息管理模塊支持對平臺所轄信息系統(tǒng)在資產(chǎn)管理的基礎(chǔ)上進(jìn)行域管理的功能，同時也支持對域安全風(fēng)險的評估。對于復(fù)雜信息系統(tǒng)，IT管理員可以將主要精力用于關(guān)注域風(fēng)險和核心資產(chǎn)風(fēng)險，這樣可以有效降低安全管理的難度和復(fù)雜性。域的風(fēng)險和威脅往往反映了業(yè)務(wù)所面臨的風(fēng)險和威脅，相對于單一的資產(chǎn)風(fēng)險評估和監(jiān)控更能反映業(yè)務(wù)系統(tǒng)所面臨的風(fēng)險和威脅。清晰展示業(yè)務(wù)域與資產(chǎn)的關(guān)系詳細(xì)請參考“業(yè)務(wù)域管理”中相關(guān)內(nèi)容。提供全面的風(fēng)險監(jiān)控信息：圖43. 總體安全監(jiān)控資產(chǎn)風(fēng)險全面監(jiān)控：圖44. 業(yè)務(wù)域風(fēng)險監(jiān)控 安全事件和漏洞監(jiān)控安全事件監(jiān)控負(fù)責(zé)實時監(jiān)控網(wǎng)絡(luò)的安全事件狀態(tài)，是實時掌握全網(wǎng)的安全威脅狀況的重要手段之一。通過事件監(jiān)控模塊監(jiān)控網(wǎng)絡(luò)各個網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)等日志信息，以及安全產(chǎn)品的安全事件日志信息等，及時發(fā)現(xiàn)已經(jīng)發(fā)生和正在發(fā)生的安全事件，通過響應(yīng)管理模塊采取措施，保證網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的安全、可靠運行，實時將其結(jié)果輸入綜合分析決策支持與預(yù)警平臺。脆弱性監(jiān)控完成對信息系統(tǒng)中以資產(chǎn)為基本對象的漏洞檢測，是分析業(yè)務(wù)系統(tǒng)脆弱性的主要技術(shù)手段。通過控制和采集漏洞掃描結(jié)果，結(jié)合人工審計結(jié)果，綜合分析資產(chǎn)/業(yè)務(wù)系統(tǒng)的已知漏洞，及時進(jìn)行修補(bǔ)和告警，確保核心資產(chǎn)的安全性，確保信息系統(tǒng)的業(yè)務(wù)連續(xù)性。提供直觀的安全事件趨勢分析圖45. 安全事件統(tǒng)計分析詳細(xì)安全事件實時監(jiān)控圖46. 事件實時監(jiān)控資產(chǎn)/業(yè)務(wù)域安全漏洞監(jiān)控圖47. 安全漏洞監(jiān)控 多種響應(yīng)方式平臺通過多種響應(yīng)方式完善了從防護(hù)到檢測再到響應(yīng)的一個安全事件處理過程的閉環(huán)。多種響應(yīng)策略設(shè)置通過對安全事件進(jìn)行郵件、工單、聲音、數(shù)據(jù)庫等響應(yīng)方式的設(shè)置，實現(xiàn)自定義用戶響應(yīng)策略。圖48. 響應(yīng)策略管理支持工單管理提供了從工單生成、提交、編輯、狀態(tài)監(jiān)控、查詢到關(guān)閉工單的完整的閉環(huán)管理，如果客戶已經(jīng)或正在考慮實施ITIL，可以將工單管理融合到ITIL流程之中。圖49. 工單管理 多種關(guān)聯(lián)分析方法漏洞關(guān)聯(lián)分析漏洞關(guān)聯(lián)的目的在于要識別出假肯定警報，同時為那些尚未確定是否為假肯定或假警報的事件分配一個置信等級。這種方法的主要優(yōu)點在于，它能極大提高威脅運算的有效性并可提供適用于自動響應(yīng)和/或告警的事件。詳細(xì)請參考“漏洞關(guān)聯(lián)分析”中相關(guān)內(nèi)容。規(guī)則關(guān)聯(lián)分析詳細(xì)請參考“規(guī)則關(guān)聯(lián)分析”中相關(guān)內(nèi)容。統(tǒng)計關(guān)聯(lián)分析詳細(xì)請參考“統(tǒng)計關(guān)聯(lián)分析”中相關(guān)內(nèi)容。 網(wǎng)元狀態(tài)監(jiān)控可以通過獲取狀態(tài)、獲取設(shè)備的狀態(tài)信息，如設(shè)備IP、設(shè)備名稱、系統(tǒng)名稱、連通狀態(tài)、資源占用率等狀態(tài)信息，可以及時發(fā)現(xiàn)網(wǎng)絡(luò)中設(shè)備的資源占用情況，利于進(jìn)行有針對性的安全管理。圖50. 網(wǎng)元狀態(tài)監(jiān)控 拓?fù)渑cGIS展示拓?fù)湔故静⒎菍W(wǎng)絡(luò)拓?fù)涞某诗I(xiàn)，而是以資產(chǎn)/業(yè)務(wù)為對象的直觀展示和狀態(tài)監(jiān)控。是管理者和操作者直接了解平臺所轄范圍資產(chǎn)和業(yè)務(wù)系統(tǒng)分布情況、工作狀態(tài)的理想工具。提供了跟HP OpenView網(wǎng)管系統(tǒng)接口，從網(wǎng)管系統(tǒng)獲取事件信息、資產(chǎn)狀態(tài)信息和網(wǎng)絡(luò)拓樸信息，傳遞給資產(chǎn)管理模塊。業(yè)務(wù)域拓?fù)湔故緢D51. 業(yè)務(wù)域拓?fù)滟Y產(chǎn)拓?fù)湔故究梢酝ㄟ^業(yè)務(wù)域關(guān)聯(lián)到其下屬子域以及所包含的資產(chǎn)和設(shè)備。如下圖所示：圖52. 資產(chǎn)拓?fù)涮峁┝烁鶰apInfo地理信息系統(tǒng)的接口，可以將資產(chǎn)域的地理信息應(yīng)用在綜合顯示模塊中?？梢詫⒌貓D作為背景圖，在地圖上顯示監(jiān)控點。圖53. GIS展示（全國）同時，地圖可以根據(jù)客戶的需要靈活替換，比如可以將行政區(qū)劃圖、網(wǎng)絡(luò)拓?fù)鋱D等作為地圖，在上面標(biāo)識已經(jīng)部署的監(jiān)控點。下面以上海行政區(qū)劃圖為例：圖54. GIS展示（上海） 豐富的知識庫系統(tǒng)的知識管理中心既提供一般知識管理功能，比如安全知識庫、培訓(xùn)和人員考核等，也提供了強(qiáng)大的漏洞庫、事件特征庫、補(bǔ)丁庫、安全配置知識庫和應(yīng)急響應(yīng)知識庫等。啟明星辰公司作為國家CNCVE項目的承擔(dān)單位擁有自主產(chǎn)權(quán)的漏洞庫和事件特征庫，泰合風(fēng)險管理和自評估系統(tǒng)的漏洞庫和事件特征庫兼容了國內(nèi)國際上流行的各種漏洞庫，比如CNCVE，CVE，Bugtraq等，同時啟明星辰的積極防御實驗室會及時發(fā)布最新發(fā)現(xiàn)的各種安全漏洞，并定期對已知漏洞進(jìn)行總結(jié)。同時，系統(tǒng)通過處置預(yù)案管理的方式實現(xiàn)對各種安全事件處置方法的標(biāo)準(zhǔn)化參考和積累。處置預(yù)案管理分別為病毒木馬、系統(tǒng)狀態(tài)、掃描探測、拒絕服務(wù)、規(guī)避、認(rèn)證授權(quán)、應(yīng)用漏洞和非授權(quán)訪問等8種處置預(yù)案。漏洞信息查詢圖55. 漏洞信息庫安全鏈接圖56. 安全鏈接請參考“安全信息知識庫管理”中相關(guān)內(nèi)