泰合信息安全运营中心系统解决方案

泰合信息安全运营中心系统解决方案内容摘要：

从已有资产信息库中批量选择导入资产信息。  业务域的 CIA 特性特性由所包含 资产的 CIA 特性决定，参与风险计算，用于计算业务域风险和整体风险趋势。  用户界面对业务域资产分布、业务域风险进行图形化、直观的展示。 业务域实例： 漏洞信息采集与 脆弱性管理 漏洞信息采集 漏洞信息采集包括：多种方式漏洞信息采集、结果输入脆弱性管理模块两个主要过程。 北京启明星辰信息技术有限公司 第 14 页 Tel: 861082779088 Fax: 861082779151 漏洞信息采集在平台中的实现过程如下：  接收漏洞扫描器的扫描结果。  对于平台不 支持的扫描器类型，可将扫描结果按照模板规范化后通过人工方式导入。  将人工审计信息通过模板规范化后人工导入。  通过漏洞信息采集模块将上面几种信息输入方式进行收集和处 理后送给脆弱性管理模块 ， 进行脆弱性关联（漏洞关联）分析，参与风险计算后将 结果呈现。 脆弱性管理 脆弱性管理能够通过人工审计（风险评估）和漏洞扫描工具两种方式，收集整个网络的弱点情况并进行统一管理，对收集的信息进行统一的范式化处理后，对脆弱性信息提供查询和展现功能，使得管理人员可以清楚的掌握全网的安全健康状况。 平台目前提供与主流远程评估产品的接口，完成远程脆弱性信息的搜集。 支持远程评估产品为： 天镜、极光、 Nessus 等主流漏洞扫描产品。 脆弱性管理模块主要功能如下：  配置天镜漏洞扫描系统  能够将漏洞扫描软 件的扫描结果导入系统；  能够将多次扫描的结果进行归并分析，得出更为精确的扫描结果；  能够将扫描结果与资产的原有属性进行比较，并给出冲突项提交用户确认； 北京启明星辰信息技术有限公司 第 15 页 Tel: 861082779088 Fax: 861082779151  支持资产的脆弱性管理，允许查看资产和安全域的脆弱性指标；  提供基于漏洞的关联，自动判断当前发生的信息安全事件是否真的对目标资产构成威胁，对于并不存在相关漏洞的事件，系统会自动降低其优先级，对于存在相关漏洞 的事件则提升其优先级，使得用户可以更专注于真正会造成危害的事件。 脆弱性管理 包括：漏洞扫描和人工审计信息采集、资产 /业务域关联分析、结果呈献三个主要过程。 图 8. 脆弱性管理过程 脆弱性管理在平台中的实现如下：  通过天镜脆弱性扫描系统对资产进行定期自动扫描或手工扫描。  资产的扫描和人工审计所发现的脆弱性信息输入脆弱性管理模块  脆弱性信息与资产信息进行关联并参与风险计算。  通过整体脆弱性展示，脆弱性排名等进行直观的脆弱性展示。  支持脆弱性数据查询和整体数据导出。 北京启明星辰信息技术有限公司 第 16 页 Tel: 861082779088 Fax: 861082779151 图 9. 脆弱性管理 事件 /业务安全监控管理 事件 /业务安全 监控 模块 负责实时监控网络的安全事件。 通过事件 /业务安全监控模块监控网络各个网络设备、主机 应用 系统等日志信息，以及安全产品的安全事件日志信息等，及时 发现正在和已经发生的安全事件， 协助进行安全决策，确 保网络和业务系统的安全、可靠运行。 事件采集与整合 通过部署在事件采集服务器上的 安全管理中心 的事件集中采集系统VSIMS 系统，在泰合信息安全运营中心所管辖网络和系统上的不同安全信息采集点 (网络设备、主机系统，而且还 涵盖已经部署的安全系统， 包括 入侵防御系统、 VPN 系统、防 火墙系统、 IDS 系统、 审计系统、 防病毒系统等 等 )，集中收集安全事件到泰合信息安全运营中心中的安全管理服务器进行处理，即： 根据可预先定义的配置 进行聚并、过滤处理、并 把各种类型的安全数据格式 化成统一 北京启明星辰信息技术有限公司 第 17 页 Tel: 861082779088 Fax: 861082779151 的格式 ，从而实现了 安全事件的集中收集和处理，具备了实时事件 /业务安全监控能力，又可利用安全事件查询的功能和强大的数据挖掘统计分析功能，具备了事后调查取证的能力。 信息安全事件管理中心的事件集中采集系统（ VSIMS） 是 完全 具有自主知识产权的软件产品，属于 泰合信息安全运营中心系统 的一部分， 包括管理服务（ MS）、事件收集器（ EC）、专用 /通用代理管理（ UAM）、专用 /通用代理引擎（ UAE）、专用 /通用日志策略编辑器（ UAPE）几个部分， 负责在事件收集器和安全设备之间 通信， 用于采集、范化并上报安全设备的报 警日志，同时采集并上报安全设备的状态，并提供对多种安全设备的管理能力。 VSIMS 系统拥有专用代理 /通用代理 （ Universal Agent） 用以支持不同的设备及系统， VSIMS 引入的集中监管、 分布式 部署的多级管理体系，全面符合 多级、分布式、跨地域的各类 业务的管理模式，真正实现分布式产品的结构统一协调管理，建立安全信息的全局 管理 机制。 只有能够进行整个网络范围内的部署，才能 管理 整个网络中的安全 设备 ，也才能够进行全网的 事件管理。 全网范围内VSIMS 的分布式部署可能是不同城市、不同地区、甚至不同省份 、不同国 家 的分布，这与网络规模 和网络拓扑 是相关的。 通过分布式分级部署，可以实现将各个独立的子系统连成一个分布式的整体安全事件采集体系。 安全事件采集包括：分布代理收集信息、安全事件采集过滤、事件关联分析、结果输出展示几个主要过程。 北京启明星辰信息技术有限公司 第 18 页 Tel: 861082779088 Fax: 861082779151 事件集中采集系统 VSIMS 系统 部分操作界面视图如下图所示： 图 10. 事件集中采集系统－过滤条件 图 11. 事件集中采集系统－添加新元件 北京启明星辰信息技术有限公司 第 19 页 Tel: 861082779088 Fax: 861082779151 目前， 安全管理中心 的事件集中采集系统 VSIMS 系统通过各种专用代理 已经能够支持国内外主流的安全设备：入侵防御系统、邮件过滤网关、抗拒绝服务攻击系统、 VPN 系统、防火墙系统、入侵检测系统、防病毒系统、漏洞扫描系统、安全审计系统等；主流操作系统： Windows 操作系统 (NT/2020/XP/2020)、支持主流 Linux 系统，支持主流 Unix 系统等；主流应用程序： Web、 Mail、 DNS等。 安全管理中心 的事件集中采集系统 VSIMS 系统拥有通用代理 工具包通过配置就完全支持 SNMP、 SYSLOG、 ODBC、 WMI 等方式 采集 事件 日志。 针对 特定系统的日志格式， 利用通用代理 工具 包配置实现。 事件 /业务安全可视化监控 事件 /业务监控模块及综合显示报表报告模块其功能完全满足以下要求： 1．事件显示和查询功能 提供丰富的 事件 显示和查找的功能，以便管理员对 非法 入侵事件和行为有很好的追踪和分析处理。  支持 提供多种查询处理的方式， 可以 根据 事件的各个字段来 设定的过滤条件，查询到相关的 事件 记录 ；  支持传统的网格、线形图、圆饼图、条状图、区域图和重叠区域图等多种方式来显示特定事件；  支持用于关联业务情况的自定义事件图，并能满足业务网络和逻辑网络的多级显示；  支持在选定事件的范围内，根据事件的不同查 询条件进行图形化显示。 2．支持安全态势的实时监视  支持按照资产类别、事件关联关系、地理事件图形、时间、最后状态、系统特征、特点前几位等 类型 进行实时监视；  支持过滤事件的各个字段进行自定义实时监视。 3．支持在线和离线的事件可视化 安全管理中心 事件 /业务监控模块部分显示界面示例视图如下： 北京启明星辰信息技术有限公司 第 20 页 Tel: 861082779088 Fax: 861082779151  根据需要，可通过配置监控条件及过滤条件的客户化实时事件监控界面  高危事件监控界面： 图 12. 事件监控－高危事件  域 风险拓扑显示和 GIS 显示界面： 图 13. 全局域拓扑展示 北京启明星辰信息技术有限公司 第 21 页 Tel: 861082779088 Fax: 861082779151 图 14. SOC 安全 域拓扑展示  事件报表报告界面示例 图 15. 高报警设 备 北京启明星辰信息技术有限公司 第 22 页 Tel: 861082779088 Fax: 861082779151 综合 关联分析 综合关联分析 完成各种安全关联分析功能，关联分析能够将原始的设备报警进一步规范化并归纳为典型安全事件类别，从而协助使用者更快速地识别当前威胁的性质。 系统提供三种关联分析类型：基于规则的事件关联分析、统计关联分析和漏洞关联分析。 根据此关联分析模块的功能，结合 客户 业务应用系统的事件特征、分析与制定安全域与业务安全控制策略和基于业务应用的流程异常监控，制定相关的特定关联分析规则。 关联分析包括：对安全事件的规则关联、统计关联，对安全事件和安全漏洞的漏洞关联，结果输入风险管理模块几个主要过程。 图 16. 综合关联分析 规则 关联分析 基于规则的事件关联分析是把各种安全事件按照时间的先后序列与时间间隔进行检测，判断事件之间的相互关系是否符合预定义的规则，从而触发分析总结出来的关联分析后事件。 配置关联分析规则显示界面示例： 北京启明星辰信息技术有限公司 第 23 页 Tel: 861082779088 Fax: 861082779151 图 17. 基于规则的关联分析 统计关联分析 统计关联分析是用户通过定义一定时间内发生的符合条件的事件量达到规定量，从而触发关联事件。 图 18. 统计关联分析 北京启明星辰信息技术有限公司 第 24 页 Tel: 861082779088 Fax: 861082779151 漏洞关联分析 漏洞关联分析是系统收集到的事件 对应的漏洞编号或端口与系统中存在的资产的漏洞编号或端口号符合，从而触发关联事件。 目的是为了进一步降低 系统的误报率。 图 19. 漏洞关联分析 安全策略管理 安全策略管理模块可充分利用风险评估的结果进一步完善 网络的安全策略管理管理体系建设，为全网安全运行管理人员提供统一的安全策略，为各项安全工作的开展提供指导，有效解决因缺乏口令、认证、访问控制等方面策略而带来的安全风险问题。 北京启明星辰信息技术有限公司 第 25 页 Tel: 861082779088 Fax: 861082779151 图 20. 安全策略管理 网络管理功能 有两种方法实现网络管理： 如果客户已经部署了 HP OpenView 等网管系统 ，就可以提供接口，读取资产等信息 ，反映在拓扑上 ； 自身提供网络管理模块 （ VNOC） ，实现对网络的简单管理。 网络管理模块可通过 SNMP 协议或其它手段自动发现整个网络（局域网和广域网）的拓扑结构，对取得的网络拓扑结构通过比较直观的、可视化比较好的图形方式展现，在拓扑图上通过扩展能够显示故障、告警、性能、流量等网管信息。 系统通过配置能够对网络设备进行简单的命令操作，实现远程配置操作。 通过接收 Trap 信息和主动轮询两种方式及时地发现网络节点发生的各种故障，及时告警，通知管理员进行相关检查和管理。 通过监控各网络和网段的流量变化，及时反映当前网络的运行状态，并对所采集的性能数据进行分析，形成必要的报告，通过图表方式展现出来。 根据性能数据、故 障信息、告警信息形成统计报表。 北京启明星辰信息技术有限公司 第 26 页 Tel: 861082779088 Fax: 861082779151 工作流管理 TSOC 提供一个统一而灵活的工作流程流程管。