泰合安全运营中心项目解决方案

. 泰合信息安全运营中心系统TSOCXXXX项目解决方案建议书模板启明星辰信息技术股份Beijing Venus Information Tech. Inc.二零一二年五月56 / 57目 录泰合信息安全运营中心系统TSOC1XXXX项目解决方案建议书模板11安全管理中心总体方案31.1遵循的标准31.1.1遵循的国际国标准和规31.1.2参考的企业标准、规和指南41.2平台总体方案体系架构51.2.1功能体系架构51.2.2平台软件架构52平台的功能特点72.1系统平台WEB门户入口界面72.2资产与业务域管理82.2.1资产管理92.2.2业务域管理112.3漏洞信息采集与脆弱性管理122.3.1漏洞信息采集122.3.2脆弱性管理132.4事件/业务安全监控管理152.4.1事件采集与整合152.4.2事件/业务安全可视化监控182.5宏观趋势分析212.6综合关联分析222.6.1规则关联分析232.6.2统计关联分析242.6.3漏洞关联分析242.7流量分析模型252.8基线管理262.9安全策略管理272.10网元管理功能272.10.1拓扑监控272.10.2网元状态监控282.10.3TCP端口监控282.10.4数据库监控282.11工作流管理282.12设备控制管理292.13多级管理302.14风险监控与管理322.14.1事件风险监控322.14.2资产风险监控332.14.3安全域风险监控342.14.4实时风险监控352.15安全预警管理372.16安全策略文档管理392.17安全信息知识库管理402.18综合显示与报表报告422.19安全响应管理432.20用户管理442.21系统健康管理453典型应用473.1系统部署473.2多级部署483.3日常管理494方案特点与效果展示504.1面向业务的资产与风险管理504.2安全事件和漏洞监控514.3多种响应方式534.4多种关联分析方法544.5网元状态监控544.6拓扑与GIS展示554.7丰富的知识库571 安全管理中心总体方案启明星辰信息技术股份泰合信息安全运营中心系统解决方案以下简称安全管理中心以实用性和可扩展性为设计指导思想,将安全管理员从复杂的设备配置和海量日志信息中解脱出来,把精力专注于发现和处理各种重要安全事件；同时又将各自独立的安全设备组成为一个有机的整体,通过基于资产管理的事件关联分析和管理,及时发现安全风险、安全事件和业务安全隐患,并结合安全策略和安全知识的管理,提供多种安全响应机制,从而使得客户能够实时掌控网络的安全态势。安全管理中心与客户可以已经部署的各类安全设备形成一个完整的安全保障体系,从而实现了高效、全面的网络安全防护、检测和响应。它完全具备监控、预警、响应、追踪等功能,并具备可审计功能,即对部安全管理人员的相关操作进行日志记录。1.1 遵循的标准安全管理中心总体设计及实施遵循以下标准和规：1.1.1 遵循的国际国标准和规 安全管理中心建设服务服从信息安全风险评估方法按照国信办颁发的关于印发的通知国信办20069号 ISO-17799/BS 7799/ISO27001信息安全管理体系国际标准, 公安部颁布的信息安全等级保护管理办法试行及相关规定 CCISO15408 和GB/T18336 信息技术安全性评估准则 ISO-13335 IT 安全管理指南 工作流管理联盟WFMC 定义的工作流标准 软件开发服从CMM要求1.1.2 参考的企业标准、规和指南 信息安全保障框架系列模型图1. VISAF模型VISAF的保障功能要素模型FEM - Function Element Model,或者用缩写表达式表示为AST。这个模型提出安全的最根本问题是被保护的资产、对于资产的威胁和防护措施。防护措施又分为人组织、过程策略、运营和技术三个大方面。技术则形成一个AIDARC模型。n 鉴别和认证 Identification & Authenticationn 逻辑访问控制 Access Controln 检测、监控和预警Detection, Monitoring&Early warningn 审计和跟踪 Audit Trailn 恢复和冗余 Redundancy & Recoveryn 容安全 Content Security1.2 平台总体方案体系架构1.2.1 功能体系架构安全管理中心主要由以下部分组成：资产信息管理模块、安全事件/业务监控管理模块、脆弱性管理模块、漏洞关联分析、统计关联分析和基于规则的关联分析模块、宏观趋势分析模块、流量分析模块、基线管理模块、风险评估管理模块、安全策略管理模块、网元管理模块、统一安全预警模块、综合显示和报表报告系统、响应管理系统、安全信息管理、系统健康管理和用户管理模块组成。其功能体系架构如下图所示：图2. 功能体系结构1.2.2 平台软件架构安全管理中心软件总体体系架构如下图所示：安全管理中心 SMC安全信息管理系统 SIMS数据分析中心DAC图3. 软件总体结构整个系统分为SMC、DAC和V-SIMS三部分。SMC：安全管理中心,安全管理中心以B/S/D三层架构实现监控、管理、响应、报表等功能；DAC：数据分析中心,其以后台服务方式实现综合分析、关联分析、资产发现、脆弱性信息采集分析等数据分析处理功能；V-SIMS：安全信息管理系统,它完成了安全信息的采集、过滤、聚并、入库等功能。便于实现分布分级部署事件采集引擎。安全管理中心按照三层软件架构体系设计,如下图所示：图4. 泰合信息安全运营中心三层体系结构2 平台的功能特点安全管理中心的系统平台包括下列核心模块/功能： 统一入口模块 资产管理模块 脆弱性管理模块 事件安全管理模块 关联分析模块 宏观趋势分析模块 流量分析模块 基线管理模块 安全策略管理模块 网元管理模块 工作流管理模块 设备控制管理模块 多级管理模块 风险管理模块 安全预警模块 安全策略文档管理模块 安全知识管理模块 综合信息显示与报表模块 响应管理模块 用户管理模块 系统自身健康管理模块下面将对这些模块的功能及技术实现作逐一描述。2.1 系统平台WEB门户入口界面统一WEB门户入口界面所提供的基本功能如下： 针对整个管理信息平台,提供用户集中管理的功能,对用户可以访问的资源进行细致的划分； 用统一的系统管理接口,各子信息系统的界面统一； 发布最新的漏洞说明、攻击特征说明； 具备安全可靠的分级及分类管理功能,具体要求支持用户的身份认证、授权等功能；支持用户口令修改；支持不同的操作员具有不同的数据访问权限和功能操作权限,系统管理员应能对各操作员的权限进行配置和管理； 系统设计采用模块化,具有良好的可扩展和自开发能力,能针对用户录入、删除、修改密码等功能分不同模块,以便针对以后不同的需求进行分模块修改； 系统有完整的安全控制手段,对用户和系统管理员的权限进行分级管理, 相应的账号和口令都是加密后存放在数据库中的。充分保证了用户信息的安全性。对系统操作员的密码有安全保障机制； 用户数据管理严格,每天增量备份,保证其完整性和一致性,所以在系统出错的情况下,用户数据是安全的。 模块之间的敏感数据传输是加密的,因此TSOC组件之间的通信安全是可靠、安全的。2.2 资产与业务域管理在信息安全的资产管理系统中一个重要的概念是业务单元BU或称资产的逻辑网络区域,BU是企业业务的重要组成部分,它是各个资产的组合。在资产管理中,BU的视图也是我们展示的一个重点。资产的BU可以是在安全管理中心建设时依据事前风险评估划分出来的不同的安全域进行管理。安全管理中心系统产品的资产管理属性集包含了客户所要求管辖的资产信息属性要求。资产信息管理模块的域管理具备以下功能： 支持具有相同资产属性的域管理方式。 支持自动同步在不同域下的资产属性管理。 支持资产的域继承功能。 允许用户根据业务系统、网段等不同的属性对信息系统进行安全域划分。 支持同一资产隶属不同的安全域,支持多层次安全域管理。 用户可以对安全域进行重要性赋值。 用户可以对安全域进行事件监控、风险监控和脆弱性评估,了解其安全状况。 在某种程度上可以作为下级单位的信息安全建设考核指标参考。 域风险历史查询：提供多种条件的安全域风险查询工具,可以更好地关注重要安全域的风险状况。 域配置：提供各级安全域的添加、删除、修改维护功能,以及资产移入、移出安全域的功能。2.2.1 资产管理资产是企业、机构直接赋予了价值因而需要保护的东西。它可能是以多种形式存在,有无形的、有有形的,有硬件、有软件,有文档、代码,也有服务、企业形象等。它们分别具有不同的价值属性和存在特点,存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。为此,有必要对企业、机构中的信息资产进行科学分类,以便于进行后期的信息资产抽样、制定风险评估策略、分析安全功能需求等活动。所要管理资产含安全设备、网络设备及主机及应用系统包括：本处需要修改,调整为客户被管设备列表。下表仅为示例。序号编号类型型号数量日志采集方式支持情况支持条件备注1Router1城域网核心路由器Quidway NetEngine80E1Syslog支持2Virus防病毒软件瑞星900点SNMP支持概括来讲,资产管理过程包括：资产信息获取、配置,风险计算,结果呈献三个主要过程。图5. 资产管理工作过程资产管理工作过程在平台中的实现如下： 遵循BS 7799 / ISO 17799 / ISO27001和ISO13335的资产管理规,允许对信息资产的价值进行有效评估,从而确定信息资产的安全需求完整性需求、性需求和可用性需求,可以协助用户有效管理信息资产的各类属性。 资产可通过手工录入、excel模板下载批量导入和资产自动发现的方式录入。 录入的资产具有详细的信息描述以及CIA特性性、完整性、可用性。 资产的CIA特性参与风险计算,用于计算资产风险和整体风险趋势。 通过用户界面对资产信息进行详细、直观的图表化展示。 平台支持资产状况信息批量导出,形成文档备份,便于日后查询。显示界面示例如下图：图6. 域与资产管理2.2.2 业务域管理业务域由若干资产所组成,可以继承资产的属性,如资产CIA、资产权重等,同时参与风险计算。业务域管理包括：业务域配置、风险计算、结果呈献三个主要过程。图7. 业务域管理工作过程业务域管理工作过程在平台中的实现如下： 对业务域进行配置,业务域中应该包括所包含资产信息、资产权重,同时对业务域进行必要的描述和标识。 对指定业务域可进行手工增加、录入资产信息,也可从已有资产信息库中批量选择导入资产信息。 业务域的CIA特性由所包含资产的CIA特性决定,参与风险计算,用于计算业务域风险和整体风险趋势。 用户界面对业务域资产分布、业务域风险进行图形化、直观的展示。业务域实例：2.3 漏洞信息采集与脆弱性管理2.3.1 漏洞信息采集漏洞信息采集包括：多种方式漏洞信息采集、结果输入脆弱性管理模块两个主要过程。漏洞信息采集在平台中的实现过程如下： 接收漏洞扫描器的扫描结果。 对于平台不支持的扫描器类型,可将扫描结果按照模板规化后通过人工方式导入。 将人工审计信息通过模板规化后人工导入。 通过漏洞信息采集模块将上面几种信息输入方式进行收集和处理后送给脆弱性管理模块,进行脆弱性关联漏洞关联分析,参与风险计算后将结果呈现。2.3.2 脆弱性管理脆弱性管理能够通过人工审计风险评估和漏洞扫描工具两种方式,收集整个网络的弱点情况并进行统一管理,对收集的信息进行统一的式化处理后,对脆弱性信息提供查询和展现功能,使得管理人员可以清楚的掌握全网的安全健康状况。平台目前提供与主流远程评估产品的接口,完成远程脆弱性信息的搜集。支持远程评估产品为： 天镜、极光、Nessus等主流漏洞扫描产品。脆弱性管理模块主要功能如下： 配置天镜漏洞扫描系统； 能够将漏洞扫描软件的扫描结果导入系统； 能够将多次扫描的结果进行归并分析,得出更为精确的扫描结果； 能够将扫描结果与资产的原有属性进行比较,并给出冲突项提交用户确认； 支持资产的脆弱性管理,允许查看资产和安全域的脆弱性指标； 提供基于漏洞的关联,自动判断当前发生的信息安全事件是否真的对目标资产构成威胁,对于并不存在相关漏洞的事件,系统会自动降低其优先级,对于存在相关漏洞的事件则提升其优先级,使得用户可以更专注于真正会造成危害的事件。脆弱性管理包括：漏洞扫描和人工审计信息采集、资产/业务域关联分析、结果呈献三个主要过程。图8. 脆弱性管理过程脆弱性管理在平台中的实现如下： 通过天镜脆弱性扫描系统对资产进行定期自动扫描或手工扫描。 资产的扫描和人工审计所发现的脆弱性信息输入脆弱性管理模块。 脆弱性信息与资产信息进行关联并参与风险计算。 通过整体脆弱性展示,脆弱性排名等进行直观的脆弱性展示。 支持脆弱性数据查询和整体数据导出。图9. 脆弱性管理2.4 事件/业务安全监控管理事件/业务安全监控模块负责实时监控网络的安全事件。通过事件/业务安全监控模块监控网络各个网络设备、主机应用系统等日志信息,以及安全产品的安全事件日志信息等,及时发现正在和已经发生的安全事件,协助进行安全决策,确保网络和业务系统的安全、可靠运行。2.4.1 事件采集与整合通过部署在事件采集服务器上的安全管理中心的事件集中采集系统-V-SIMS系统,在泰合信息安全运营中心所管辖网络和系统上的不同安全信息采集点,集中收集安全事件到泰合信息安全运营中心中的安全管理服务器进行处理,即：根据可预先定义的配置进行聚并、过滤处理、并把各种类型的安全数据格式化成统一的格式,从而实现了安全事件的集中收集和处理,具备了实时事件/业务安全监控能力,又可利用安全事件查询的功能和强大的数据挖掘统计分析功能,具备了事后调查取证的能力。信息安全事件管理中心的事件集中采集系统V-SIMS是完全具有自主知识产权的软件产品,属于泰合信息安全运营中心系统的一部分,包括管理服务MS、事件收集器EC、专用/通用代理管理UAM、专用/通用代理引擎UAE、专用/通用日志策略编辑器UAPE几个部分,负责在事件收集器和安全设备之间通信,用于采集、化并上报安全设备的报警日志,同时采集并上报安全设备的状态,并提供对多种安全设备的管理能力。V-SIMS系统拥有专用代理/通用代理Universal Agent用以支持不同的设备及系统,V-SIMS引入的集中监管、分布式部署的多级管理体系,全面符合多级、分布式、跨地域的各类业务的管理模式,真正实现分布式产品的结构统一协调管理,建立安全信息的全局管理机制。只有能够进行整个网络围的部署,才能管理整个网络中的安全设备,也才能够进行全网的事件管理。全网围V-SIMS的分布式部署可能是不同城市、不同地区、甚至不同省份、不同国家的分布,这与网络规模和网络拓扑是相关的。通过分布式分级部署,可以实现将各个独立的子系统连成一个分布式的整体安全事件采集体系。安全事件采集包括：分布代理收集信息、安全事件采集过滤、事件关联分析、结果输出展示几个主要过程。事件集中采集系统-V-SIMS系统部分操作界面视图如下图所示：图10. 事件集中采集系统过滤条件图11. 事件集中采集系统添加新元件目前,安全管理中心的事件集中采集系统-V-SIMS系统通过各种专用代理已经能够支持国外主流的安全设备：入侵防御系统、过滤网关、抗拒绝服务攻击系统、VPN系统、防火墙系统、入侵检测系统、防病毒系统、漏洞扫描系统、安全审计系统等；主流操作系统：Windows操作系统、支持主流Linux系统,支持主流Unix系统等；主流应用程序：Web、Mail、DNS等。安全管理中心的事件集中采集系统-V-SIMS系统拥有通用代理工具包通过配置就完全支持SNMP、SYSLOG、ODBC、WMI等方式采集事件日志。针对特定系统的日志格式,利用通用代理工具包配置实现。2.4.2 事件/业务安全可视化监控事件/业务监控模块及综合显示报表报告模块其功能完全满足以下要求：1事件显示和查询功能提供丰富的事件显示和查找的功能,以便管理员对非法入侵事件和行为有很好的追踪和分析处理。 支持提供多种查询处理的方式,可以根据事件的各个字段来设定的过滤条件,查询到相关的事件记录； 支持传统的网格、线形图、圆饼图、条状图、区域图和重叠区域图等多种方式来显示特定事件； 支持用于关联业务情况的自定义事件图,并能满足业务网络和逻辑网络的多级显示； 支持在选定事件的围,根据事件的不同查询条件进行图形化显示。2支持安全态势的实时监视 支持按照资产类别、事件关联关系、地理事件图形、时间、最后状态、系统特征、特点前几位等类型进行实时监视； 支持过滤事件的各个字段进行自定义实时监视。3支持在线和离线的事件可视化安全管理中心事件/业务监控模块部分显示界面示例视图如下： 根据需要,可通过配置监控条件及过滤条件的客户化实时事件监控界面 高危事件监控界面：图12. 事件监控高危事件 域风险拓扑显示和GIS显示界面：图13. 全局域拓扑展示图14. SOC安全域拓扑展示 事件报表报告界面示例图15. 高报警设备2.5 宏观趋势分析宏观趋势分析功能提供了对安全事件监测上报的事件和流量信息,进行综合的模型分析,并提供宏观的展示和丰富报表功能。同时,系统自身对提供从宏观到微观的详细展示功能。熵模型：通过安全事件检测功能上报上来的事件,网络态势感知监控系统对所有的事件按照上报的引擎分类进行计算源地址熵和目的地址熵,同时也计算出源、目的地址熵的每个时间点的基线值。利用EWMA的算法,判断当前时刻的熵值与学习期间的熵值相比判断各个线路的地址熵数据是否异常。三元组模型：通过安全事件检测功能上报上来的事件,网络态势感知监控系统对所有的事件按照上报的引擎分类进行,然后对事件按照三个维度进行全组合分析,找出各个线路各种组合排名靠前的TopN 的数据,并罗列出汇总的信息。单一方式攻击：源地址、目的地址、事件类型均相同的事件集合,说明：攻击者采用同一方法,对同一目标进行反复攻击的态势。多种攻击方式：源地址、目的地址相同,事件类型任意的事件集合,说明：攻击者尝试多种方法,对同一目标进行反复攻击的态势。查找攻击目标：源地址、事件类型相同,目的地址任意的事件集合,说明：攻击者采用同一方法,查找可利用的目标的态势。遭受同种攻击：目的地址、事件类型相同,源地址任意的事件集合,说明：同一目标被多个攻击者采用同种方法反复攻击的态势。主要攻击来源：源地址相同,目的地址、事件类型任意的事件集合,说明：发出最多攻击事件主机的态势。濒危受害目标：目的地址相同,源地址、事件类型任意的事件集合,说明：被攻击次数最多的主机的态势。频发事件排名：事件类型相同,源地址、目的地址任意的事件集合,说明：被利用最多的攻击事件的态势。热点事件模型：通过安全事件检测功能上报上来的事件,网络态势感知监控系统对各个引擎关注的热点事件进行汇总,并分析每个引擎的每类事件的发展趋势,同时根据发展趋势和热点事件的历史基线指标进行对比,来判断各个线路的事件的发展趋势是否异常。事件数量模型本模型根据监控当前日志事件的在一段检测期中,各种类型事件的数量数目,来分析当前被监控网络中安全的态势指标是否有异常,并对总体的安全态势起到数据支撑的作用。事件扩散模型本模型根据监控当前日志事件的在一段检测期中,各种类型事件的数量变化,来分析当前被监控网络中安全的态势指标是否有异常,并对总体的安全态势起到数据支撑的作用。2.6 综合关联分析综合关联分析完成各种安全关联分析功能,关联分析能够将原始的设备报警进一步规化并归纳为典型安全事件类别,从而协助使用者更快速地识别当前威胁的性质。系统提供三种关联分析类型：基于规则的事件关联分析、统计关联分析和漏洞关联分析。根据此关联分析模块的功能,结合客户业务应用系统的事件特征、分析与制定安全域与业务安全控制策略和基于业务应用的流程异常监控,制定相关的特定关联分析规则。关联分析包括：对安全事件的规则关联、统计关联,对安全事件和安全漏洞的漏洞关联,结果输入风险管理模块几个主要过程。图16. 综合关联分析2.6.1 规则关联分析基于规则的事件关联分析是把各种安全事件按照时间的先后序列与时间间隔进行检测,判断事件之间的相互关系是否符合预定义的规则,从而触发分析总结出来的关联分析后事件。配置关联分析规则显示界面示例：图17. 基于规则的关联分析2.6.2 统计关联分析统计关联分析是用户通过定义一定时间发生的符合条件的事件量达到规定量,从而触发关联事件。图18. 统计关联分析2.6.3 漏洞关联分析漏洞关联分析是系统收集到的事件对应的漏洞编号或端口与系统中存在的资产的漏洞编号或端口号符合,从而触发关联事件。目的是为了进一步降低系统的误报率。图19. 漏洞关联分析2.7 流量分析模型关于流量分析,我们从流量的角度来审视当前被监控网络的安全态势情况,并为流量数据建立了各种模型,模型从整体,到局部,然后到细节分成总体流量、协议流量、端口流量和应用流量四个模型进行对流量数据进行分析。平台也从总体到局部最后到细节全方位的来分析我们的安全态势。总流量模型根据流量基线算法,我们需要计算出被监控网络总体流量基线,本模型对监控网络的总体流量进行实时计算分析,根据学习到的总体流量的基线数据分析出当前流量是否异常。同时,总体流量指标也是流量总体安全分析的基础数据之一。协议流量模型根据流量基线算法,我们需要计算出被监控网络协议流量TCP,UDP,ICMP,其他协议基线,本模型对监控网络的上述协议流量进行实时计算分析,根据学习到的上述协议流量的基线数据分析出当前各种协议流量是否异常。同时,协议流量指标也是流量总体安全分析的基础数据之一。端口流量模型根据流量基线算法,我们需要计算出被监控网络端口流量注：端口是用户可以进行自定义,用户可以根据需要配置相应端口数据,例如80,21等端口基线,本模型对监控网络的上述端口流量进行实时计算分析,根据学习到的上述端口流量的基线数据分析出当前各种端口流量是否异常。同时,端口流量指标也是流量总体安全分析的基础数据之一。应用流量模型根据流量基线算法,我们需要计算出被监控网络应用流量注：应用流量是用户可以进行自定义,用户可以根据需要配置相应端口和IP地址基线,本模型对监控网络的上述应用流量进行实时计算分析,根据学习到的上述应用流量的基线数据分析出当前各种应用流量是否异常。同时,应用流量指标也是流量总体安全分析的基础数据之一。2.8 基线管理本系统从原来的单一的日志数据,扩展到日志和流量两种数据来分析网络的安全态势问题,同时增加了更多的模型来帮助用户解决安全问题。针对这些模型,我们为每个模型都建立了相应的基线。TSOC的基线是动态基线,系统会通过自学习的过程为每个模型动态的建立起相应的基线,为每个模型分析安全态势提供了理论依据。基线的学习周期用户可以根据自己的需要来配置,这个版本中,我们引入了如下的基线： 地址熵基线 热点验证基线 高级事件数量基线 高级事件扩散基线 流量基线：流量基线中包含了总体流量、协议流量、端口流量和应用流量基线2.9 安全策略管理安全策略管理模块可充分利用风险评估的结果进一步完善网络的安全策略管理体系建设,为全网安全运行管理人员提供统一的安全策略,为各项安全工作的开展提供指导,有效解决因缺乏口令、认证、访问控制等方面策略而带来的安全风险问题。图20. 安全策略管理2.10 网元管理功能2.10.1 拓扑监控1能发现网络的拓扑结构,并提供图形方式的拓扑结构展现2通过接收Trap信息和主动轮询两种方式及时地发现网络节点发生的各种故障,及时告警,通知管理员进行相关检查和管理3能在拓扑图上通过扩展能够显示cpu、存、硬盘等信息4提供关于链路的连通性等信息2.10.2 网元状态监控1能够监控网络设备、安全设备、主机等的状态信息2能够采集cpu、存、延时等状态信息并且图形化展示3可以监控端口流量信息2.10.3 TCP端口监控可以监控指定ip地址的端口状态信息2.10.4 数据库监控1支持对数据库状态信息的采集。装填信息包含但不限于：数据库类型、数据库服务器主机名、数据库服务器ip地址、数据库版本、数据库缓冲区大小、表空间利用率、数据库会话连接数、lock信息等2能够支持oracle、sqlserver等主流数据库的状态信息采集3提供数据库监控功能,能够实时监控数据库的各种状态,提供图像化进行呈现。并且可以针对状态信息设定告警阈值,自动进行告警。2.11 工作流管理TSOC提供一个统一而灵活的工作流程管理平台。可以为用户以及其它模块提供流程支持。工作流管理模块主要包括两部分功能：l 后台工作流管理：后台工作流管理负责同时定义、实现和维护多个流程。l 前台用户界面：前台用户界面负责提供各种流程的用户实际操作界面。用户使用工作流时,首先在工作流管理界面中,利用可视化、图形化的工作流编辑工具来定义各种业务流程。每个流程都可以由若干步骤和转移来实现,用户可以实现流程的前进、后退、分支、汇总等状态。流程描述元素可能包括：l 步骤：表示流程图中的某个结点l 转移：表示流程图中某两个结点之间的连线,具有方向性l 动作：包含自动动作和手动动作图21. 工作流管理流程图定义好一个工作流后,就会自动生成与该工作流相关的工单界面。用户可以查看和处理与自己相关的来自各类工作流的工单。另外,工作流模块还对外提供流程相关的接口,供外部系统或部系统的其它模块调用。比如：用户在针对某个事件做工作流响应时,可以配置选择按照哪个工作流来进行处理。2.12 设备控制管理设备控制管理模块提供了一个通用的、可扩展的设备控制框架,在TSOC中置了两种控制协议：Telnet和SSH。如果某个设备支持通过这两种协议进行控制操作,那么用户就可以利用该模板提供的功能来对相关设备进行手动或自动的控制。设备控制管理模块将设备控制抽象成以下三个层次：l 设备控制功能：面向业务、面向操作,说明是想要做什么l 设备控制脚本：面向设备类型,说明如何操作该类型的设备l 设备控制策略：面向具体设备,说明如何操作具体某个设备图22. 设备控制脚本配置设备控制管理模块提供了友好的人工界面供用户来对以上层次进行配置,通过以上三层的配置,用户就可以在多个场合进行手动或自动设备控制。举例来说：用户首先定义一个关闭端口的设备控制功能,然后再根据不同的设备类型来定义各个关闭端口的设备控制脚本,比如：Linux的关闭端口、天清防火墙的关闭端口等,接下来再为具体的设备定义设备控制策略,比如关闭Linux主机的端口。当完成这些配置之后,用户就可以在设备管理中直接针对某个设备运行相关的设备控制策略,从而实现相关控制。设备控制脚本是提供了一套简明的通用控制语法,用户在稍加学习之后,就可以按自己的意图写出相应的控制脚本。设备控制管理模块还提供接口调用功能,相关模块通过该接口可以调用设备控制功能。比如：如果设置TSOC中的响应方式,就可以实现检测、响应、控制的自动操作。2.13 多级管理多级管理模块上下级之间数据传输的容能够通过策略进行配置,包括：上级能够向下级下发全局策略；下级能够定期上报安全报表日报、周报、月报、季报、年报；下级能够按照上级要求自动上报高风险事件；下级能够通过上级向全网发出安全预警等。该页面展示了6个图表,分别是：总体运行天数,连续运行天数,全局域风险值,资产总数,事件数,漏洞数；每个图表有该平台自身的和下级平台上报的这些数据,上级平台的数据不会在该页面展示。在多级管理模块中： 在下级平台上注册,页面上完善自身的平台信息后,人工指定上级IP,并向上级提交注册。注册申请由上级指定权限的人员进行审核,审核通过后生效。平台自身可查看自己的上、下级列表、级联通道的状态。 下级可对上级上报全局域风险、运行天数、资产总数、事件数、漏洞数信息,下级能够按照上级要求自动上报高风险事件,下级能够通过上级向全网发出安全预警,上报周期可配置。上级可以通过监控界面查看下级上报数据,上级能够向下级下发全局策略。 配置自定义报表任务时,可选择是否上报给上级,如选择是,报表生成后将自动上报。对已生成的报表可通过界面操作手动上报。下级能够定期上报安全报表日报、周报、月报、季报、年报。2.14 风险监控与管理风险管理模块具备事件、资产和域的风险管理功能。包括：风险计算、安全响应和预警、结果呈献三个主要过程。图23. 风险管理工作过程风险管理在平台中的实现过程如下： 借助于资产管理模块、事件管理模块和脆弱性管理模块的信息统一进行风险计算,形成风险信息。 根据高风险信息发出安全预警、产生安全响应,查询安全策略及时调动资源降低风险。 风险信息通过图表可视化直观显示,便于决策者随时了解系统风险情况,作出安全决策。2.14.1 事件风险监控n 能够关联出安全事件所影响到的信息资产；n 根据事件的威胁级别、事件的类型、资产的安全需求,估算出安全事件对信息系统安全性的影响：u 能够估算出安全事件对信息系统性的影响；u 能够估算出安全事件对信息系统完整性的影响；u 能够估算出安全事件对信息系统可用性的影响；n 能够根据安全事件对信息系统的危害进行评级；n 实时给出高危害安全事件的列表；图24. 风险监控2.14.2 资产风险监控 根据资产的安全需求、资产面临的威胁进行综合评估,给出当前资产的风险状况：u 性风险：标示信息资产由于泄密可能造成的损失；u 完整性风险：标示信息资产由于数据被篡改可能造成的损失；u 可用性风险：标示信息资产由于无常工作可能造成的损失； 能够根据资产风险的状况对资产进行评级：u 红色：表示资产处于高风险状态,需要立即进行处理；u 橙色：表示资产处于较高风险状态,需要及时进行处理；u 黄色：表示资产面临一定的风险,需要关注；u 蓝色：表示资产处于较为安全的状态；u 绿色：表示资产几乎未受到任何威胁,处于安全状况； 能够根据资产的风险状况进行排序,给出高风险资产清单； 用户可以从资产风险追踪到相关的高风险事件,从而有效判断资产风险的来源,并进行正确的处理；图25. 资产风险监控2.14.3 安全域风险监控 根据安全域中各子域和资产的风险,并考虑权重,给出当前安全域的风险状况：u 性风险：标示安全域由于信息资产泄密可能造成的损失；u 完整性风险：标示安全域由于信息资产数据被篡改可能造成的损失；u 可用性风险：标示安全域由于系统无常工作可能造成的损失； 能够根据资产风险的状况对资产进行评级：u 红色：表示安全域处于高风险状态,需要立即进行处理；u 橙色：表示安全域处于较高风险状态,需要及时进行处理；u 黄色：表示安全域面临一定的风险,需要关注；u 蓝色：表示安全域处于较为安全的状态；u 绿色：表示资产几乎未受到任何威胁,处于安全状况； 能够根据资产的风险状况进行排序,给出高风险资产清单； 用户可以从安全域风险追踪到子域风险和资产风险,从而关联到相关的高风险事件,从而有效判断风险的来源,并进行正确的处理；图26. 域风险监控2.14.4 实时风险监控实时监控界面示例如下：图27. 实时风险监控图28. 总体安全风险趋势2.15 安全预警管理安全预警对来自于不同威胁事件和脆弱性模块的资产漏洞状态信息,根据规则的事件关联分析、漏洞关联分析和风险评估的进行准确分析计算,形成统一的5级风险级别,为安全管理人员进行安全预警。风险级别如下：n 红色：表示高风险状态,需要立即进行处理；n 橙色：表示较高风险状态,需要及时进行处理；n 黄色：表示面临一定的风险,需要关注；n 蓝色：表示较为安全的状态；n 绿色：表示几乎未受到任何威胁,处于安全状况。安全预警模块提供两种预警方式：n 基于脆弱性的预警：在接到安全厂商及软件系统发布厂商的新的漏洞通告时,安全预警模块调用关联分析中的基于漏洞的关联分析等模块,计算出该漏洞所影响的设备、系统和业务情况,从而得到该漏洞的风险等级。n 基于事件的预警：在接到新的威胁事件时,安全预警模块将调用基于规则的事件关联、基于统计的关联分析等模块,得到本威胁事件的影响值及影响围,当该事件的影响值超过一定阀值后,将其进行展示,从而指导管理人员做好有效的防工作。安全预警模块操作及显示界面示例如下：图29. 风险预警可以自定义预警信息,下面以熊猫烧香病毒为例进行说明,如下图所示：图30. 安全风险预警自定义2.16 安全策略文档管理组织进行安全管理离不开一系列安全规制度和安全策略的指导,TSOC提供了一个集中管理和发布各类安全策略文档的模块。通过该模块,用户可以：将组织中的各类安全规制度和安全策略文档有层次的管理起来,用户可以将安全策略文档整理成树型结构,从而一目了然的展现上各策略之间的层次关系。为每个策略同时维护多种发布格式,比如：txt、word、excel、pdf、html等,管理员可以方便的更新和发布各类格式的策略文档每个策略文档都有一个 策略标识,策略标识等同于该策略文档的关键字的列表,通过策略标识可以拓展出策略查询及策略关联等功能。图31. 安全策略文档管理安全策略文档管理包括两个部分的功能：安全策略的定义、生成、审核、发布、访问帮助用户制定组织的总体安全策略帮助各个子策略的管理员制作所负责系统或设备的具体策略总体安全策略经过审核后正式发布普通用户可以在线阅读和下载安全策略响应后对安全策略的关联与调用当系统运行中发生了某类安全事件后则根据预定义规则自动调用对应的安全策略,供管理员参考。2.17 安全信息知识库管理安全信息管理模块的功能是提供一个信息管理中心,将安全管理信息收集起来,形成统一的安全共享知识库,完成安全信息管理和WEB发布,主要包括安全事件库、设备原始事件库、安全案例库、安全公告、处置预案库、中国漏洞库CNCVE和安全等栏目的信息发布管理和浏览。目的是方便管理员进行信息管理和方便用户进行信息查询与浏览。安全信息知识库管理模块为用户提供知识库分级、分组的授权访问管理和容上传、增、删、改等维护功能。总体结构如下：n 安全事件库,包括病毒蠕虫、拒绝服务攻击等9大类n 安全案例库u 网页篡改u 网络蠕虫u 拒绝服务攻击u 特洛伊木马u 计算机病毒u 黒客攻击u 攻击数据库等图32. 案例库n 安全知识库u 中国漏洞库CNCVE图33. 安全知识库n 处置预案库图34. 安全处置预案库2.18 综合显示与报表报告综合显示与报表报告模块是由拓扑显示、地图GIS显示、实时的Dashboard显示等综合显示及功能报表组成。功能报表让用户更直接的看到资产、风险、脆弱性、事件和设备的分布以及趋势以及用户使用平台情况报表和定制报表,定制报表功能是由系统提供预制各式报表模版,便于客户化定制报表的生成。具体报表由折线图、区域图或者饼状图组成。图35. 风险报表-域风险趋势2.19 安全响应管理安全响应管理模块作为泰合信息安全运营中心系统的一部分,与其它模块间有着丰富的数据交互,通过与网络与事件/业务监控模块、脆弱性管理模块、关联分析模块、安全预警模块等模块的接口,接收这些模块产生的预警信息,启动安全响应处理流程处理预警通知。在确认响应以后,通过响应接口、短信、图形界面、工单、snmp trap等通知到接收者。工单被接收者响应处理并经审批以后的历史工单可以导入到安全知识库的案例库中去。安全策略管理包括：工单生成、工单处理、工单跟踪、知识库管理几个主要过程。图36. 工作任务管理安全响应管理模块基于工作流的任务管理显示界面示例：图37. 工作任务状态跟踪2.20 用户管理安全管理中心用户管理模块采用三权分立的管理体制,默认设置了用户管理系统管理员、安全运营中心管理员、审计管理员分别管理。泰合信息安全运营中心系统用户管理采用基于角色的访问控制策略,即依据对系统中角色行为来限制对资源的访问。角色可以理解成为工作所涉及相同行为和责任围的一组人,因此给予角色权限,要比单独为个人授权方便得多,这样便于企业授权管理。用户管理系统管理员包括用户管理和用户组管理,通过用户管理赋予系统管理用户进行用户组权限管理。不同角色的用户组拥有不同的权限,用户组管理依据对系统中不同安全运营中心管理员角色行为来限制对资源的访问。角色可以理解成为工作所涉及相同行为和责任围的一组人,因此给予角色权限,要比单独为个人授权方便得多,这样便于企业授权管理；不同角色的用户组拥有不同的权限,这样用户组中的用户就不可以获得滥用系统资源的特权,利于责任独立；角色的层次化使用户在现实世界中的等级化与系统资源的等级之间形成了对照,便于系统的管理。审计管理员仅具有审计功能权限,通过用户管理系统的审计与登录安全运营中心才能查看到的审计容区别在于,查看的对象不同。此处主要审计对用户的各项操作,包括用户登录注销、新增、修改、删除用户或用户组等功能。图38. 审计员用户2.21 系统健康管理利用系统健康管理模块可便于系统自身安全及维护管理,它包括组织管理、系统数据库及功能组件运行状态监控、日志维护及其他一些与系统本身相关的运行维护的管理和配置功能。平台数据库及平台组件运行状态监控显示界面示例：图39. 数据库状态监控图40. 平台系统自身组件状态监控3 典型应用3.1 系统部署系统部署可以分为核心系统部署配置和数据采集系统部署配置两大步骤。1、核心系统部署和配置核心系统一般包括：管理服务器、数据库服务器、事件采集服务器 管理服务器：完成对数据处理、显示和报告功能。 数据库服务器：实现数据存储功能。 事件采集服务器：完成对各种安全设备、网络设备、主机应用系统的弱点数据采集和威胁数据采集功能。又可以分为弱点数据采集模块实现对漏洞扫描和人工审计数据采集和威胁数据采集模块实现对各种安全设备、网络设备、主机应用系统安全事件采集。2、数据采集系统部署和配置数据采集系统指部署在被评估环境中的各种可以提供弱点数据和威胁数据的设备,包括已有设备和风险自评估必须使用的设备。 确定数据采集的围和对象。 已有安全设备,如：防火墙、防病毒等系统数据采集。 部署新的风险评估必备安全设备,如：网络入侵检测、审计系统、漏洞扫描系统,并配置数据采集。 对核心业务和资产配置数据采集,如：关键数据库、操作系统日志采集。部署结构示意图如下所示：图41. 系统部署示意图3.2 多级部署系统支持多层的级联管理模式,具备分布式大规模部署的能力,能够实现多级级联,并具备对分布、多级环境下的大规模的代理进行远程管理、监测、控制的能力。适用于大型企业多分支机构的集中管控,或者集团管控。系统的多级管理模块允许上级管理中心对下级管理中心的节点进行集中管理和展示,上级管理中心可以访问下级管理中心。如下图所示,系统支持多级级联部署：图42. 多级级联管理部署图3.3 日常管理平台建设的目的不仅仅是为了完成对信息系统的数据采集分析,其最终任务是实现对资产和业务域的风险管理。根据组织中所扮演的角色不同,管理者和操作者通过安全管理中心完成不同的工作。在日常工作中管理层通过安全管理中心完成以下工作： 资产/业务系统风险监控和趋势分析 资产/业务系统安全威胁趋势分析 资产/业务系统脆弱性趋势分析 通过工单和策略管理模块调配资源实现风险管理在日常工作中操作者通过安全管理中心完成以下工作： 资产/业务系统风险监控 资产/业务系统威胁和事件监控 资产/业务系统安全漏洞监控 平台所辖网络设备、安全产品、主机系统、应用系统的工作状态监控4 方案特点与效果展示通过部署和实施泰合安全管理中心可以达到和实现如下效果：4.1 面向业务的资产与风险管理是基于网络和系统进行安全检查和评估的基础,域的分类是抗渗透的防护方式,是基于网络和系统进行安全建设的部署依据,而域边界是灾难发生时的抑制点,防止影响的扩散,因此,域管理的好坏直接影响到系统安全评估与监控性能的好坏,并直接影响到监管系统的健壮性。域的分类方式有多种,划分的基准包括分布式的网络结构,业务流程的优化单元,防护体系的层次结构,系统的安全等级等。在安全管理中心中,域被认为是一个大于资产的概念,是多个有相似安全需求或完成相似业务功能的信息资产组。资产信息管理模块支持对平台所辖信息系统在资产管理的基础上进行域管理的功能,同时也支持对域安全风险的评估。对于复杂信息系统,IT管理员可以将主要精力用于关注域风险和核心资产风险,这样可以有效降低安全管理的难度和复杂性。域的风险和威胁往往反映了业务所面临的风险和威胁,相对于单一的资产风险评估和监控更能反映业务系统所面临的风险和威胁。1、清晰展示业务域与资产的关系详细请参考业务域管理中相关容。2、提供全面的风险监控信息：图43. 总体安全监控3、资产风险全面监控：图44. 业务域风险监控4.2 安全事件和漏洞监控安全事件监控负责实时监控网络的安全事件状态,是实时掌握全网的安全威胁状况的重要手段之一。通过事件监控模块监控网络各个网络设备、主机系统等日志信息,以及安全产品的安全事件日志信息等,及时发现已经发生和正在发生的安全事件,通过响应管理模块采取措施,保证网络和业务系统的安全、可靠运行,实时将其结果输入综合分析决策支持与预警平台。脆弱性监控完成对信息系统中以资产为基本对象的漏洞检测,是分析业务系统脆弱性的主要技术手段。通过控制和采集漏洞扫描结果,结合人工审计结果,综合分析资产/业务系统的已知漏洞,及时进行修补和告警,确保核心资产的安全性,确保信息系统的业务连续性。1、提供直观的安全事件趋势分析图45. 安全事件统计分析2、详细安全事件实时监控图46. 事件实时监控3、资产/业务域安全漏洞监控图47. 安全漏洞监控4.3 多种响应方式平台通过多种响应方式完善了从防护到检测再到响应的一个安全事件处理过程的闭环。1、多种响应策略设置通过对安全事件进行、工单、声音、数据库等响应方式的设置,实现自定义用户响应策略。图48. 响应策略管理2、支持工单管理提供了从工单生成、提交、编辑、状态监控、查询到关闭工单的完整的闭环管理,如果客户已经或正在考虑实施ITIL,可以将工单管理融合到ITIL流程之中。图49. 工单管理4.4 多种关联分析方法1、漏洞关联分析漏洞关联的目的在于要识别出假肯定警报,同时为那些尚未确定是否为假肯定或假警报的事件分配一个置信等级。这种方法的主要优点在于,它能极大提高威胁运算的有效性并可提供适用于自动响应和/或告警的事件。详细请参考漏洞关联分析中相关容。2、规则关联分析详细请参考规则关联分析中相关容。3、统计关联分析详细请参考统计关联分析中相关容。4.5 网元状态监控可以通过获取状态、获取设备的状态信息,如设备IP、设备名称、系统名称、连通状态、资源占用率等状态信息,可以及时发现网络中设备的资源占用情况,利于进行有针对性的安全管理。图50. 网元状态监控4.6 拓扑与GIS展示拓扑展示并非对网络拓扑的呈献,而是以资产/业务为对象的直观展示和状态监控。是管理者和操作者直接了解平台所辖围资产和业务系统分布情况、工作状态的理想工具。提供了跟HP OpenView网管系统接口,从网管系统获取事件信息、资产状态信息和网络拓朴信息,传递给资产管理模块。1、业务域拓扑展示图51. 业务域拓扑2、资产拓扑展示可以通过业务域关联到其下属子域以及所包含的资产和设备。如下图所示：图52. 资产拓扑提供了跟MapInfo地理信息系统的接口,可以将资产域的地理信息应用在综合显示模块中。可以将地图作为背景图,在地图上显示监控点。图53. GIS展示全国同时,地图可以根据客户的需要灵活替换,比如可以将行政区划图、网络拓扑图等作为地图,在上面标识已经部署的监控点。下面以行政区划图为例：图54. GIS展示4.7 丰富的知识库系统的知识管理中心既提供一般知识管理功能,比如安全知识库、培训和人员考核等,也提供了强大的漏洞库、事件特征库、补丁库、安全配置知识库和应急响应知识库等。启明星辰公司作为国家CNCVE项目的承担单位拥有自主产权的漏洞库和事件特征库,泰合风险管理和自评估系统的漏洞库和事件特征库兼容了国国际上流行的各种漏洞库,比如CNCVE,CVE,Bugtraq等,同时启明星辰