SOC安全管理平台解决方案课件

点这里输入文字,二级标题,三级别标题,四级标题,五级标题,点这里输入标题及子标题,安全管理中心技术交流,议程,企业安全管理存在的主要问题,安氏安全管理中心解决方案概述,安氏安全管理中心解决方案的主要模块,配置建议,安氏安全管理中心解决方案优势,分散的体系增加成本,分散的专用解决方案,防火墙、入侵检测、认证、防毒,每个系统有自己的单独的管理监控系统,各种产品的安全信息缺乏联系和沟通,重复数据,无用数据,误报,海量数据,信息分配和共享不充分,传统安全产品仅仅提供面向安全人员的信息,但实际上，所有人都从自身角度触发需要了解安全信息,管理者：,安全到底如何了？,有没有一说话的数字？,一切是否在掌握之中？,我们的投资又什么回报？,安全管理员：,我关心所有和安全相关的信息,我更关注最新安全更新，主动的发现和响应,我要密切关注安全健康状况，对事件进行分析和处理,我需要处理各种安全工作流程，支持和协助系统管理员完成安全工作,系统管理员：,我也需要了解自己系统的安全情况！我在哪里可以看到？,让我处理故障，可是我不知道怎么处理啊？,能否让我经常学习一些安全知识？,以安全产品和事件为核心的不合理性,传统产品以事件为核心,孤立地看待安全事件,不便于信息的分配和使用,不能够提供关键的资产信息,不能从整体风险的角度来看待安全,需要建立以资产、风险为核心的体系,将所有信息归结到资产,再资产层面进行关联和分析,将资产归结到管理员,缺乏智能关联和基于知识的分析,我们最主要的一些烦恼,海量事件：看着事件不断涌现，很难抓住重点，海量事件意味着巨大的工作量，海量事件日益成为日常工作中的首要难题,我需要了解我的系统是否健康，哪里的问题最为严重，需要我去处理，但是我仅仅看到一堆原始的日志,收到这样的告警：一台,UNIX,服务器受到,telnet,溢出攻击，但是我们检查发现该服务器已经打了补丁,IDS,报告一个服务器被攻击了，但是我们不知道这个攻击有没有成功,我发现问题了，可是我该怎么解决，哪里有可以参考的信息？,议程,企业安全管理存在的主要问题,安氏安全管理中心解决方案概述,安氏安全管理中心解决方案的主要模块,配置建议,安氏安全管理中心解决方案优势,安氏推出安全管理中心解决方案,安全管理中心解决方案（,SOC,）替您解决种种烦恼,建立以管理者和资产为核心的管理体系,将所有安全产品和事件通过统一的界面联系起来,提供智能，包括各种关联分析,提供完善的安全功能，包括漏洞管理、威胁管理、知识管理、响应管理、配置管理,以安全资产为核心的管理系统,系统管理员,安全管理员,领导,系统管理员,领导,资产,资产,资产,资产,资产,资产,系统,安全事件,漏洞,SOC,解决方案降低您的安全风险,通过安全管理中心解决方案，我们可以更快地发现和响应，从而在问题扩大或者造成损失之前解决它,江苏移动,安全风险,时间,采用安氏,SOC,未采用安氏,SOC,安全管理中心可以为我们带来的回报,没有安全管理中心,有安全管理中心,每个管理员可以管理的安全设备数目,费用,需要管理的安全设备数量,安全管理中心体系架构,安全管理中心模块架构,可定制界面,安全处理核心,角色管理,系统维护,资产管理,安氏,SOC,框架,威胁管理,漏洞管理,配置管理,知识管理,响应管理,议程,企业安全管理存在的主要问题,安氏安全管理中心解决方案概述,安氏安全管理中心解决方案的主要模块,配置建议,安氏安全管理中心解决方案优势,SOC,主框架,可定制的,WEB,界面,强大的安全处理核心,资产管理,角色管理,系统维护,漏洞管理,内置,Scanner,支持基于,SOC,界面的配置、升级、维护、扫描计划定制、数据自动进入数据库,安氏认证,scanner,：配置和驱动,Scanner,支持,Internet Scanner,将漏洞扫描升级为基于资产的风险管理的概念，并且支持支持关联分析，使扫描结果更为有效,安氏支持,scanner,：手工导入,支持其它扫描器扫描结果手工导入,强大的内置,scanner,Scanner,本身强大的功能,支持远程安装，支持多主机部署,可以扫描多达,1500,个漏洞，以及,500,种以上的信息,支持高速扫描,支持全面扫描，例如对,www,服务的扫描不限于,80,端口,灵活的可定制策略,快速更新，每周更新保证最快最及时为用户提供更新,SOC,和,scanner,结合带来的优势,远程多用户管理,被动扫描,关联：基于资产将入侵检测、防火墙和扫描器的信息关联在一起,借助与,ids,的关联，将作业计划内对资产扫描产生的事件标志为一般日志，防止误报,借助,SOC,的作业计划能力灵活定义定期扫描,借助,SOC,的角色管理能力限制随意的扫描，保证正确的授权,借助,SOC,的响应管理模块，可以使用,email,、短信等方式通知，并且可以实现工单的派发,借助,SOC,的资产系统，支持漏洞基于业务系统（多个资产组成的集合）的分布统计,事件管理,利用,wizard,解决方案提供灵活的可定制的事件收集，支持可视化编写,支持事件的高级处理，包括：,数据过滤,标准化,数据合并,分级,实时数据关联,支持将事件归纳到资产,配置管理,产品配置和控制,Linktrust Cyberwall,系列,Linktrust IDS,系列,配置的收集、备份和审计,知识管理,全面的漏洞库：,3200,种各类技术和管理类漏洞,安氏安全信息通告服务,安全园地：各类知识和手册,项目实施文档,讨论社区,响应管理,响应管理,Email,短信,SNMP Trap,应用程序接口,可定制接口,工单管理是响应管理中最核心的部分,通过提供应用程序接口和,API,接口灵活提供各种外部响应手段,工单管理,一个工单的处理流程案例,发现事件,关联分析,产生高级告警,预备工单,知识库,资产库,自动化的发现,通过监控发现高级告警,风险管理中心,安全主管,系统管理员,创建,/,重新发送工单,Email/,短信通知,接收工单,处理事故,汇报结果,检查结果是否满意,End,否,是,议程,企业安全管理存在的主要问题,安氏安全管理中心解决方案概述,安氏安全管理中心解决方案的主要模块,配置建议,安氏安全管理中心解决方案优势,分阶段实施短期目标,短期目标,一定的安全事件集中收集和处理能力：实现现有安全产品的事件收集和集中管理,基本的资产和风险管理体系：导入评估资产和相关的资产价值、漏洞、威胁、风险,安全知识共享体系：初始漏洞库、安全通告知识、本次项目中的相关文档,基本的安全事件响应管理系统：工单系统,集中的安全设备配置管理：通过集中厂商的配置管理系统实现,中期目标,长期目标,建议,SOC,配置举例,软件,数量,说明,安全管理中心主框架软件包,1,1000,资产,漏洞管理,1,50,50,设备,威胁管理,1,60,设备,响应管理,1,配置管理,1,50,设备,知识管理,1,1,年,Oracle,1,数据库,分阶段实施中期目标,短期目标,中期目标,实现安全事件管理功能对更多安全设备的覆盖,安全事件响应管理系统与网管系统,/emos,的联动,全面的风险、事件与响应管理的联动，更加全面地针对性优化规则和响应能力,配置策略的自动收集和审核,安全软件,/,补丁管理,多级系统接口,长期目标,分阶段实施短期目标,短期目标,中期目标,长期目标,配置管理的自动化和集中化,知识管理的体系化,风险管理的全面自动化和可衡量,相关性和数据挖掘实现的趋势分析、决策支持,与其它信息系统的高度融合,设备部署,防火墙及服务器日志采集服务器：,Intel,服务器，,win2k,入侵检测日志采集服务器：,Intel,服务器，,win2k,Internet Scanner,主机,事件处理服务器,Solaris9+Oracle9i,风险管理核心服务器,intel,服务器,win2ksvr,高级模块及门户服务器,intel,服务器,win2003svr,sharepoint,crystal Enterprise,数据采集,-,防火墙及主机,Server agent,PIX Agent,Cyberwall Agent,Agent Manager,Linktrust Log Manager,ODBC,Syslog,日志主机,日志服务器,Soket,Socket,PIX,PIX,Linktrust Cyberwall,Linktrust Cyberwall,Linktrust Cyberwall,Intel 1CPU,1G,内存,100G,硬盘,服务器,服务器,服务器,数据采集,Linktrust network Defender,LND Agent,Agent Manager,LND Manager,SQL Server2000,ODBC,Intel 1CPU,1G,内存,100G,硬盘,LND Sensor,LND Sensor,LND Sensor,议程,企业安全管理存在的主要问题,安氏安全管理中心解决方案概述,安氏安全管理中心解决方案的主要模块,配置建议,安氏安全管理中心解决方案优势,优势概述,国内唯一有成功案例的供应商,专门的,SOC,研发队伍,强大的智能处理引擎,全面的安全产品即插即用支持,其他优势,国内唯一有成功案例的供应商,江苏移动,浙江电信,中信集团,平安保险,浙江移动,北京电信,江苏电信,安氏公司研发体系简介,安氏安全实验室（,STForce Security Technical Force,） 国内最早的安全实验室，专业的安全研究和跟踪,安全产品和软件项目开发,强有力的研发队伍（全公司约,160,人）,完善的软件工程规范：适合公司的一整套软件工程规范,以,SW-CMM1.1,版提出的,SW-CMM,框架为参考,符合,ISO9000,质量保证体系,吸取,Team Software Process,（,TSP,小组软件过程）、,Extreme Programming,（,XP,极限编程）等其他开发过程的长处研发,目标：“规范、简明、准确、反馈”,专门的,SOC,研发队伍,在南京建立专门的,SOC,研发中心,目前组建,50,人的专门,soc,研发队伍,目前组建,4,5,人专门实施和支持队伍,2004,年,6,月推出全新的,SOC2.0,基于公司已经建立的研发规范和流程,全公司共享的配置管理、测试和,QA,队伍,ST-FORCE,小组提供安全模型和技术方面的技术支持,依托安氏公司强大的服务队伍实现的安全知识的提供和更新,安氏开发管理简介,以需求规格说明为中心（使用,Use Case,描述软件规格说明）,严格的变更控制（变更控制委员会,Change Control Board,）,完善的配置管理和版本管理（,CVS,）,单元测试自动化（,CUnit,、,CppUnit,、,JUnit,）,独立的,QA,审核,强大的,Bug,跟踪（,StarTeam,）,规范的文档输出,每日创建（,Nightly Build,）,增量形迭代式开发,Real-time Correlation,业界首个实时关联引擎，重点完成实时分析、自动响应和解决,基于内存的数据库技术提高关联速度,125,个预先定义的关联规则,根据用户定义的规则，自动，持续地分析遍布整个企业的，格式化的实时的事项数据,可以对任何字段进行关联，没有限制,支持通过,Rules Wizard,快速生成关联规则,对所有收集到的日志进行关联，只要能收集，就能关联,极高的性能和可扩展性，支持多个规则级同时应用和方便切换,当关联性规则满足时，可以创建,incident,对可能的攻击作出及时有效的回应,产生的,Correlation Event,可以通过实时界面查看，也可以通过报表展示,可以导入和导出,Correlation,规则，导出后为,xml,文件格式,Sentinel Console ,事项关联,工作原理,从,Agent,收到事项,Correlation Engine,规则,correlation,数据库,Console,事项监视,Sentinel,收到数据，,correlation Engine,按照定义好的规则进行检查，如果发现相关事项，进行记录，达到规则条件，发出,correlation,事项,事件关联,Correlation rule,种类,Watchlist,Advanced Watchlist,Basic Correlation,Advanced Correlation,Free rule Language,事件关联,Watchlist,通过向导（,Wizard,）建立,该,correlation,规则允许指定一个文本值，,correlation Engine,会在接收到的所有事项的所有的,Meta-tag,中进行检查,例如：,Watchlist,能够检查一个黑客的源,ip,地址，一旦在任何事项的任何位置发现该地址，立即报告并作出对策,事件关联,Advanced Watchlist,Advanced Watchlist,和,Watchlist,类似，但可以允许用户使用,Filter,进行检查,可以选择一个现有的,Filter,，也可以创建一个新的,Filter,事件关联,Basic Correlation,通过向导（,Wizard,）建立,可以对一段时间内，满足定义的条件的事项进行计数,例如，可以对同一个源,IP,地址在五分钟内出现五次进行报告，不管是否来自不同的设备，如防火墙，,IDS,事件关联,Advanced Correlation,通过向导（,Wizard,）建立,不仅具有简单,Correlation,规则所有的特性,还可以就一段时间内满足条件的事项的某些,meta-tag,进行再次比较,例如，,Advanced correlation,规则可以监视一段时间内从同一个源地址到同一个目的地址,相同事项名称,当这些事项达到一定的数量,并且来自内网和外网,发出一个,Correlation,事项,事件关联,Free rule Language,这并不是一种新的,Correlation,规则,与前面几种不同的是,他不使用向导而是直接通过文本编辑器来完成各种,Correlation,规则的定义,定义该规则需要使用,ruleLG,这是一种关联性规则定义语言,使用该语言用户可以获得定义,Correlation,的完全的控制,不再受各种,Correlation Wizard,的限制,支持三种操作,Filter, Window, Trigger,支持三种运算符,Flow, Union, Intersection,基于资产的关联,将,IDS,事件与扫描结果进行关联,允许对事件进行合并,允许对事件重现评定级别,允许触发工单,基于知识的关联,工单的处理可以自动关联到以下知识：,专门的关联知识库,漏洞库,安全文档,安氏安全通告,以往案例,支持的产品,(partial list),支持的产品,(partial list),其他优势,以资产为核心的全新视角,完整的安全管理架构,丰富的主动响应能力,定期更新的知识服务,企业级的分布能力,界面截图,界面截图（续,1,）,界面截图（续,2,）,Questions & Answers,