泰合安全运营中心-tsoc技术白皮书

泰合安全运营中心-tsoc技术白皮书内容摘要：

mcat 数据库 ： ORACLE 9i/10g server 客户端 支持类 型 ： 支持 Microsoft Inter Explorer 浏览器 支持版本： 以上版本 支持语言：简体中文、英文 +简体中文支持包 插件要求： 安装 Macromedia Flash Player 以上版本 注意 ： 建议使用 Microsoft Inter Explorer 以上版本，并安装所有最新的补丁； 建议安装 Macromedia Flash Player 以上版本，以防止安全漏洞。 TSOC 技术白皮书 启明星辰信息技术有限公司 地址：北京市海淀区东北旺西路 8 号中关村软件园 21 号楼 启明星辰大厦 电话： 01082779088 传真： 01082779151 网址： 10 安全信息管理系统（ VSIMS）  硬件环境 处理器： Intel X86 系列或兼容 CPU 最低 PIV 或相当 推荐 Xeon * 2 或相当 内 存：最低 512MB，推荐 1GB 硬 盘：最低 IDE 80G * 1，推荐 SCSI 72GB * 2 网 卡：最低 10/100 自适应网卡 * 1, 推荐双网卡 注 意 ：如与其他系统公用硬件系统则需要考虑额外的处理能力  软件环境 操作系统： Windows 20 Windows XP、 Windows 2020 Server。 注 1： Windows2020 建议升级到 Service Pack 4 以上 ，其他系统也建议及时安装更新。 注 2： 英文操作系统需安装中文简体支持包。 数据库： SQL Server 2020。 3 产品功能 事件管理 事件管理处理 事件收集、事件整合和事件可视化 三方面工作。 事件管理功能首先要完成对事件的采集与处理。 它 通过代理 （ Agent） 和事件采集器 的 部署，在所管理的骨干网络、不同的承载业务网及其相关支撑网络和系统上的不同安全信息采集点 (防病毒控制台、入侵检测系统控制台、漏洞扫描管理控制台、身份认证服务器和防火墙等 )获取事件日志信息 ， 并 通过安全通讯方式 上传 到安全运营中心中的安全管理服 务器进行处理。 TSOC 技术白皮书 启明星辰信息技术有限公司 地址：北京市海淀区东北旺西路 8 号中关村软件园 21 号楼 启明星辰大厦 电话： 01082779088 传真： 01082779151 网址： 11 在事件收集的 过程中，事件管理功能还将完成事件的 整合工作，包括 聚并、过滤、范式化，从而实现了全网的安全事件 的高效 集中处理。 事件管理功能本身支持大多数被管理设备的日志采集， 对于一些 尚未支持 的设备，可通过通用代理技术 （ UA） 支持，确保事件的广泛采集。 在事件统一采集 与整合 的基础上，安全运营中心提供多种形式的事件 分析与展示， 将事件可视化 ， 包括实时 事件 列表、统计图表、 事件 仪表盘 等。 此外，还能够基于各种条件进行事件的关联分析、查询、备份、维护，并生成报表。 综合分析、风险评估和预警 综合分析是综合安全运 营管理平台的核心模块，其接收来自安全事件监控中心的事件，依据资产管理和脆弱性管理中心的脆弱性评估结果进行综合的事件协同关联分析，并基于资产（ CIA 属性）进行综合风险评估分析， 形成统一的 5 级风险级别， 并按照风险优先级针对各个业务区域和具体事件产生预警，参照网络安全运行知识管理平台的信息，并依据安全策略管理平台的策略驱动响应管理中心进行响应处理。 将预警传递到指定的 安全管理人员 ，使 安全管理人员 掌握网络的最新安全风险动态，并为调整安全策略适应网络安全的动态变化提供依据。 通过风险管理可以掌握组织的整体以及局部的风险状 况，根据不同级别的风险状况，各级安全管理机构及时采取降低的风险的防范措施，从而将风险降低到组织可以接受的范围内。 预警 模块中心从资产管理模块得到资产的基本信息，从脆弱性管理模块获取资产的脆弱性信息，从安全事件监控模块获取发生的安全事件。 得到上述这些原始信息后，本模块进行综合安全风险分析。 综合安全风险分析是分析整个企业面临的威胁和确保这些威胁所带来的挑战处于可以接受的范围内的连续流程。 应能够根据各监控点的资产信息、脆弱性统计信息以及威胁分布信息，为每一个资产定量地计算出相应的风险等级，同时根据业务逻辑，分析此 风险对其他系统的影响，计算出业务系统或区域的整体安全风险等级。 TSOC 技术白皮书 启明星辰信息技术有限公司 地址：北京市海淀区东北旺西路 8 号中关村软件园 21 号楼 启明星辰大厦 电话： 01082779088 传真： 01082779151 网址： 12 脆弱性管理 通过脆弱性管理可以掌握全网各个系统中存在的安全漏洞情况，结合当前安全的安全动态和预警信息，有助于各级安全管理机构及时调整安全策略，开展有针对性的安全工作，并且可以借助弱点评估中心的技术手段和安全考核机制可以有效督促各级安全管理机构将安全工作落实。 响应管理 仅仅及时检测到安全事件是不够的，必须做出即时的、正确的响应才能保证网络的安全。 响应管理作为 TSOC 的重要组成部分之一为响应服务实现工具化、程序化、规范化提供了管理平台。 响应管 理是根据当前的网络安全状态，及时调动有关资源做出响应，降低风险对网络的负面影响。 网络安全响应模块负责根据预定义好的安全策略规则，及时通过工单发布工作指令，调动有关资源做出响应。 应在安全管理平台上实现人机接口。 所有的工单经人工审核后，通过人工派单方式发送到相应的工单处理部门。 通过调用本程序，接收网络与安全事件监控模块、脆弱性管理模块、综合分析与预警模块等模块的预警信息。 实现与网络与安全事件监控模块、脆弱性管理模块、综合分析与预警模块等模块的接口，接收这些模块产生的预警信息，启动预警处理流程处理预警； 网络管 理 网络管理模块可通过 SNMP 协议或其它手段自动发现整个网络（局域网和广域网）的拓扑结构，对取得的网络拓扑结构通过比较直观的、可视化比较好的图形方式展现，在拓扑图上通过扩展能够显示故障、告警、性能、流量等网管信息。 TSOC 技术白皮书 启明星辰信息技术有限公司 地址：北京市海淀区东北旺西路 8 号中关村软件园 21 号楼 启明星辰大厦 电话： 01082779088 传真： 01082779151 网址： 13 系统通过配置能够对网络设备进行简单的命令操作，实现远程配置操作。 通过接收 Trap 信息和主动轮询两种方式及时地发现网络节点发生的各种故障，及时告警，通知管理员进行相关检查和管理。 通过监控各网络和网段的流量变化，及时反映当前网络的运行状态，并对所采集的性能数据进行分析，形成必要的报告，通过图表方式展 现出来。 根据性能数据、故障信息、告警信息形成统计报表。 策略管理 网络安全的整体性要求需要有统一安全策略和基于工作流程的管理。 通过为全网安全管理人员提供统一的安全策略，指导各级安全管理机构因地制宜的做好安全策略的部署工作，有利于在全网形成安全防范的合力，提高全网的整体安全防御能力，同时通过 TSOC 策略和配置管理平台的建设可以进一步完善整个 IP 网络的安全策略体系建设，为指导各项安全工作的开展提供行动指南，有效解决目前因缺乏口令、认证、访问控制等方面策略而带来到安全风险问题。 知识管理 安全信息管理是安全信息的 WEB 发布系统，不仅可以充分共享各种安全信息资源，而且也会成为各级网络安全运行管理机构和技术人员之间。 实现在安全管理中心 WEB 门户提供统一界面以安全 WEB 的形式发布最新的安全信息，并将处理的安全事件方法和方案收集起来，形成一个安全共享知识库，该信息库的数据以数据库的形式存储及管理，为培养高素质的网络 安全 技术人员提供培训资源。 安全信息管理模块包括安全管理信息、安全技术园地、安全案例库、补丁库、漏洞库、教学资料等栏目的信息发布管理和浏览，另外，提供 BBS 形式的安全技术信息交流功能。 TSOC 技术白皮书 启明星辰信息技术有限公司 地址：北京市海淀区东北旺西路 8 号中关村软件园 21 号楼 启明星辰大厦 电话： 01082779088 传真： 01082779151 网址： 14 资 产 管理 资产管理 主要是管理 TSOC 监控范围的各个系统和设备，是风险管理、事件监控协同工作和分析的基础。 实现对网络综合安全运行管理系统所管辖的设备和系统对象的管理。 它将其所辖 IP 设备资产与风险的重要程度关系，依据风险评估的结果、定期的漏洞扫描结果和本模块的信息资产相结合，遵从 ISO13335 标准的基于资产 CIA 属性，按照资产信息、漏洞、补丁与备件分类导入或登记入库，并为其他安全运行管理模块提供信息接口 ,比如响应管理中心、综合分析与预警平台等。 用户管理 提供用户集中管理的功能，对用户可以访问的资源权限进行细致的划分，具备安 全可靠的分级及分类用户管理功能，要求支持用户的身份认证、授权、用户口令修改等功能；支持不同的操作员具有不同的数据访问权限和功能操作权限。 系统管理员应能对各操作员的权限进行配置和管理，要有完整的安全控制手段 ,对用户和系统管理员的权限进行分级管理 , 相应的账号和口令加密存放，充分保证用户信息的安全性。 对系统操作员的密码有安全保障机制。 用户的账号等数据以数据库的形式进行加密存储及管理；对用户数据的管理保证其完整性和一致性 ,在系统出错的情况下 ,对用户数据要有有效的保护措施。 报表处理 作为整个系统的公共基 础模块，为各个功能提供报表支持。 报表输出格式可转换为 PDF 、 HTML、 RTF、 CSV 等多种常用的标准格式。 TSOC 提供的主要报表包括：  资产信息报表 提供总体资产报表、域资产分布报表、资产详细信息报表。  事件信息报表 TSOC 技术白皮书 启明星辰信息技术有限公司 地址：北京市海淀区东北旺西路 8 号中关村软件园 21 号楼 启明星辰大厦 电话： 01082779088 传真： 01082779151 网址： 15 提供域事件分布报表，按照不同事件类别提供各类事件的趋势报表。  脆弱性信息报表 提供脆弱性分布报表，提供脆弱性统计分析报表。  综合分析与预警报表 供综合安全风险分析的报表，提供风险查询报表，可以根据资产、域、趋势等进行分类输出，包括分析数据分布范围、受影响的系统、可能的严重程度等。