LinkTrustSOC产品简介

《LinkTrustSOC产品简介》由会员分享，可在线阅读，更多相关《LinkTrustSOC产品简介（24页珍藏版）》请在装配图网上搜索。

1、word文档命名：LinkTrust _ PWP_SOC_ 001_100_PM_ZHUQI_100810_I文档编号：2913001100ISOC V4产品白皮书20 / 24版本控制版本号日期状态变更说明修订人审核人V0.1C创建SOC V4产品白皮书朱祺VM修改SOC V4产品白皮书朱祺状态标识：C Created A - Added M - Modified D - Deleted目录第一章安全管理面临的问题1安全产品的零散性1海量数据带来的效率低下和可管理性缺失1缺乏统一的基于资产和风险的视图2来自公司内部和外部的法规要求2第二章以SOC为核心的安全框架3建立以风险为核心的安全管理体

2、系3建立以ISO17799为核心的安全运维保障体系4安全管理中心的定义5第三章安氏领信安全管理中心功能概述7总体实现概述7安全门户(Portal)功能7风险管理系统8告警监控8风险管理9工单预警9IP事件管理10数据查询10脆弱性管理系统11漏洞管理11配置管理12变更管理12知识库管理系统13安全知识13预处理手册13安全公告14设备状态管理系统14安全事件管理系统14事件收集体系14事件处理和关联分析15其他功能15报表管理系统15报表查看15报表管理16第四章SOC解决方案优势概述17国内最全面安全管理中心建设和服务经验17专门的SOC研发中心17以资产为核心的全新安全视角18灵活的统计

3、告警规如此设置18强大的关联分析能力18企业级的分布能力18极高的处理性能18强大的智能处理引擎18全面的安全产品支持18经过实践检验的持续性风险计算模型19灵活可扩展的软件架构19内置scanner的解决方案19配置的自动收集和审计19变更自动检查19第五章系统运行环境20硬件平台20操作系统平台20数据库平台20系统软件20第一章 安全管理面临的问题随着安全越来越被企业重视，企业部署了大量的安全产品，但是大量的安全产品带来了巨大的可管理性问题，安氏领信密切关注相关的管理性问题，并开发了安全管理中心产品来解决这些管理性问题。安全管理存在的主要的问题如下：安全产品的零散性安全领域有一个很大的特

4、点，即它和现有的所有层面的IT技术和产品都有关联：与网络技术、主机操作系统、应用软件、设备硬件、人为管理、内容安全、 网等所有领域都有关系。安全有无数的细分领域：防火墙、入侵检测、扫描器、4A、审计、补丁管理、集中认证、一次性口令、加密存储、链路层加密、防毒、内容安全、sniffer、forensics、PKI、安全服务、策略管理等等，每个领域都有一个或多个强大的厂商，在这样一个零散的环境中，需要面对每个厂商不同的管理界面，这对大型企业的安全管理人员是一个非常大的挑战。海量数据带来的效率低下和可管理性缺失安全产品部署的过程中，最为严重和突出的现象是会出现大量的安全信息，一个标准的网络入侵检测系

5、统采用缺省的策略，在一个百兆的上每天可能产生超过数十万数量的事件，海量的数据常常让我们的安全产品变得没有任何意义，即使经过调整和优化的策略，也充斥着无意义数据和误报。入侵检测等安全产品也正是因为这种原因被人诟病。有些无效数据是由安全产品的机制自身导致的，它本身无法彻底解决该问题，下面的图说明了各种安全产品产生的噪音。企业面临的难题是，必须减少但不丢失安全事件，这样才能让我们对安全产品的管理变得可能和有效率。缺乏统一的基于资产和风险的视图大局部安全系统纯粹是基于事件的系统，即不能关联到资产，也不能表现资产价值、业务系统价值，换句话说，系统报出来的信息不是按照企业需要的方式展现出来，企业需要看到的

6、视图是按照业务系统和资产查看安全信息，报警要按照资产价值统一计算风险，并提供适宜的视图。来自公司内部和外部的法规要求对于大型公司而言，越来越多的政策法规对安全提出了具体明确的要求，例如萨班斯法案SOX404条款，对信息内控提出明确要求，其中安全占据重要地位，特别是对安全日志、某某口令的流程管理和审计管理，给用户带来大量管理工作，需要自动化系统能够有效对这些控制和管理进展支撑。第二章 以SOC为核心的安全框架建立以风险为核心的安全管理体系信息安全Information security安全的主要目标是保护信息和信息资产的某某性(Confidentiality)、完整性(Integrity)和可用

7、性(Availability)的保持。 某某性定义为保障信息仅仅为那些被授权使用的人获取。 完整性定义为保护信息与其处理方法的准确性和完整性。 可用性定义为保障授权使用人在需要时可以获取信息和使用相关的资产。如何保证信息资产的某某性、完整性和可用性呢？必须用风险管理的手段来实现，风险管理是企业安全管理的核心，正确的风险管理方法是不断评估和监控企业信息资产中存在的风险，并采取一定的防护措施和响应管理流程，保证对风险的抑制。我们在进展风险的控制过程中，参考了ISO13335的模型：我们可以看出，风险控制是一个动态的模型，我们在风险控制的过程中最主要需要考量的因素是：资产与其价值、威胁、漏洞和防护措

8、施。通过他们，我们计算出需要关注的风险值：资产与资产价值：资产是只对某个组织有价值的东西，信息资产分别具有不同的安全属性，某某性、完整性和可用性分别反映了资产在三个不同方面的特性。安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察三种不同安全属性，可以得出一个能够根本反映资产价值的数值。威胁：威胁是对系统和企业网的资产引起不期望事件而造成的损害的潜在可能性。威胁可能源于对企业信息直接或间接的攻击，例如非授权的泄露、篡改、删除等，在某某性、完整性或可用性等方面造成损害。威胁也可能源于偶发的、或蓄意的事件。一般来说，威胁总是要利用企业网络中的系统、应用或服务的弱点弱点的定义参见弱点一

9、章才可能成功地对资产造成伤害。漏洞：弱点和资产严密相连，它可能被威胁利用、引起资产损失或伤害。值得注意的是，弱点本身不会造成损失，它只是一种条件或环境、可能导致被威胁利用而造成资产损失。防护措施：防护措施可以是安全产品部署、策略执行、人工加固等，防护措施通过降低威胁发生的可能性，将风险降到可承受的X围之内。所有的安全产品和安全技术都是通过改变风险的某一属性从而达到降低风险的目标，最终保护了我们宝贵的信息资产。建立以ISO17799为核心的安全运维保障体系仅仅有风险的监控和预警以与部署防X措施还是不够的，比拟关键的核心环节是如何建立起一套有效的安全保障体系，通过安全组织、安全策略和安全管理流程来

10、有效保证各种安全设施正常运作，最大程度保证企业风险在可控X围内。安氏领信安全管理中心解决方案充分参考了业界主要标准ISO17799，通过帮助用户建设安全管理中心，建立一套完整的监控和运维管理体系。ISO17799：由英国标准协会BSI在1999年首次提出的BS7799安全管理标准，2000年正式成为ISO/IEC 17799，并于2005年开展为最新版本ISO/IEC 27001。 该标准通过11个大类的安全目标和安全控制，构建了信息安全管理系统的框架，为各机构进展信息安全管理工作提供根底的依据。该标准为我们提供安全组织、安全策略、安全管理方面的最优实践指引，安氏领信将自己SOC维护体系与其严

11、密有效结合起来，形成完整的安全管理解决方案，为用户提供的不仅仅是一套技术产品，而且包括管理和资讯的全面经验。上图中深色局部是安氏SOC系统的管理X围。安全管理中心的定义安全管理中心SOC：Security Operation Center是协助用户实现安全策略管理、安全组织管理、安全运作管理和安全技术框架的中心枢纽。安全管理中心是一种安全管理的形式，他的职能分成管理层面的职能和技术层面的职能，他的存在有效地将企业的策略管理、安全组织管理、安全运作管理和安全技术框架结合在一起，保持一致性。安全管理中心的主要职能包括：风险管理中心：全面收集信息资产的漏洞和相关事件，通过关联分析去除各种误报，发现有

12、用信息，给出级别度量。系统能够自动完成以往需专家完成的风险计算工作，并自动触发任务单和响应来降低风险，达到管理和控制风险的效果。服务管理中心：该中心提供日常运维工作的服务保障体系；包括各种资产配置库、安全知识管理、流程管理实现等；例如工单管理用于追踪风险和事故的处理情况；例如预警管理可以实现主动的预警，通过企业安全管理中心和各个安全服务供给商共同合作，形成一条完整的预警处理链，可以保证在漏洞出现还未被利用前就送达各个管理员并保证被采取了应对的措施；还有通过对日常工作的评价来促使我们找到如何提高安全水平的方法。专业安全系统：安全管理中心还提供各种专项的安全集中管理功能来保证用户对某些专门安全问题

13、的管理，例如某某口令管理、安全终端管理包括防毒、桌面管理等；接口管理：安全管理中心不会独立于整个企业的IT管理系统独立运载，整个维护运作组织也是整个企业维护运作组织的一局部，SOC充分考虑企业内部IT系统融合的需求，提供各类灵活接口。安全管理中心与4A系统关系如如下图所示：安全管理中心是企业安全管理工作的技术支撑平台，4A系统是企业的专业安全子系统，二者统一管理企业的IT资源，共用企业的安全目录。SOC系统主要管理资源的例外事件、配置数据、性能数据、漏洞数据等，而4A系统主要是管理资源信息、某某信息、合法事件等，4A系统本身产生的异常事件同时发送给SOC系统，SOC系统可以承受4A系统的集中认

14、证和某某管理。第三章 安氏领信安全管理中心功能概述总体实现概述SOC系统由统一的Web Portal、安全数据采集、SOC服务、WEB管理平台、对外接口等局部组成，如如下图：安氏领信SOC系统中，由安全门户、风险管理、脆弱性管理、事件管理、报表中心、知识库管理、设备状态管理七大子系统组成，下面的章节我们会详细介绍每个局部的功能简介。安全门户(Portal)功能安全门户主要具有以下特点：1支持界面自定义支持用户自定义系统界面支持用户自定义页面布局2支持多种主题用户可以根据使用习惯自定义界面风格内置六种主题，并支持用户自定义主题3门户安全性多种认证方式保障门户安全性支持portlet权限控制4门户

15、根底功能门户主要包括资产管理、用户管理、系统管理、主题管理、首页管理以下是安全portal的界面：风险管理系统风险管理子系统是SOC系统中核心管理系统，主要包括告警监控、风险管理和服务管理。告警监控实现对安全管理平台内告警信息集中监控和集中处理功能，并提供告警规如此设置。以下是告警监控的一个界面示例：风险管理风险管理是基于ISO13335和ISO17799为 核心的风险计算分析和展现。可以从地域、业务系统、IP地址段等视角查看资产风险，与时掌握资产中产生的安全事件、配置脆弱性和安全漏洞。以下是风险管理的界面一个界面示例：在风险查看中，根据不同的风险等级，使用不同颜色的图标显示，使用户可以一目了

16、然的掌握地域、业务系统、资产的风险状况。工单预警工单预警中内置的工单管理，他们与系统的告警监控、风险查看、安全事件、漏洞等进展了无缝衔接。以下是预设的工单流程图：系统提供工单新建、承受、分配、处理、求助、完成、关闭等工单状态，完成表现业务处理的各个流程。预警管理用于为用户管理系统预警之用；用户可以创建、发布、确认安全预警。IP事件管理以IP段为视角向用户提供观察系统原始事件的功能，如如下图所示：数据查询数据查询页面中的资产按照业务系统、地域、标准系统三种维度显示，用户可根据不同需要选择分类显示。可以查询的数据包括资产上的漏洞、配置问题、配置、变更、事件、告警以与原始事件，如如下图所示:脆弱性管

17、理系统脆弱性管理系统是对漏洞、配置脆弱性数据的分析和展现，全面表现资产的脆弱性状况，为安全评估和加固提供详细的数据。漏洞管理漏洞管理从不同角度查看概览信息、漏洞状况与分布情况。漏洞管理的一个示例界面如下：漏洞管理实现对扫描任务、扫描报告的定制和查看，可以展现漏洞名称、漏洞影响端口、漏洞严重级别、漏洞相关资产以与漏洞处理的相关措施，为企业安全管理评估加固工作提供详细数据。配置管理配置脆弱性信息主要包括系统的本地安全脆弱性信息，如如下图：配置管理可以提供对系统配置信息的分析和安全基线评估工作，并支持对配置脆弱性信息的自动审核和人工审核功能，从而更全面地记录资产本身存在的脆弱性信息。变更管理变更管理

18、的主要用途是向用户提供发现文件、目录、注册表、进程、端口的变化情况，如如下图所示：知识库管理系统安全知识安全知识分为以下几类：设备事件、扫描漏洞、案例知识库、安全公告、安全评价指标、安全指标评价告警、配置管理，其形式如如下图所示：预处理手册预处理手册向用户提供了确切的处理某些告警的方法。预处理手册分为恶意软件、网络攻击、设备故障、安全漏洞、配置违规、其他这几大类。安全公告安全公告一般为用户提供了安全方面的相关通知，其形式如如下图：设备状态管理系统设备状态管理通过使用SNMP方式向被管理设备获取相关网管信息，然后通过被管理设备的连通情况、CPU、内存的负载情况、网络接口可用情况综合计算设备健康情

19、况，其值在0100之间，越高越健康，如如下图所示：安全事件管理系统安全事件管理主要完成对事件的集中收集、管理和分析。主要的功能包括事件收集、事件集中处理和实时关联分析。事件收集体系事件收集主要是对事件采集和格式化的过程。能够支持以下事件源：1、在企业中广泛使用的不同型号、不同厂家的防火墙、入侵检测系统等安全设备；2、操作系统记录的重要安全相关的日志和事件告警，支持Windows 2000/2003/NT/XP/Vista/7，各种版本的UNIX系统；3、各种类型的数据库日志，例如ORACLE，MS SQL SERVER；4、防病毒系统、访问控制系统、用户集中管理和认证系统；5、各种应用系统的日

20、志；能够通过多种方式收集事件源发送的安全事件：1、文件方式，可以通过读取事件源的日志文件，来获取其中与安全有关的信息；2、SNMP trap，接收来自设备的SNMP Trap的事件；3、Syslog方式，以Syslog方式接收安全事件；4、ODBC方式，可以通过ODBC数据库接口获取事件源存放在各种数据库中的安全相关信息；5、网络SOCKET接口方式，可以通过TCP/IP网络，以Socket通信的方式获得安全事件；6、OPSEC接口方式，可以接收来自本类型的安全事件服务器发送来的事件；7、第三方agent或者应用程序，第三方的应用程序或者agent可以通过以上方式或者标准输出直接将安全事件转发

21、给安全事件采集系统。事件处理和关联分析事件处理和关联分析主要负责对事件进展标准化、集中存储、合并、关联分析和统计。对于事件的过滤、归并、关联分析， SOC提供了丰富的脚本定义语言，能定义任何符合用户需求的规如此。其他功能事件管理内置响应中心，用户可以定义各种响应条件，支持对满足用户条件的事件触发相应的响应，目前支持的相应方式有：SNMP Trap、Syslog、短信、Email、图形化显示、工单、预警等。可以根据用户选择开发相应的其他响应接口。报表管理系统报表管理系统是对报表模板、报表实例、报表任务的管理和展现。同时，所有报表可以以PDF、Excel、Word方式导出并存放在本地。报表查看根据

22、已定义的的报表实例，统计报表结果并进展展现。以下是报表查看的一个界面示例：系统可以根据定义的报表查询条件配置相应的报表任务，实现报表的自动生成和定期删除功能，从而提高报表的查询和统计速度，满足多人并发访问报表系统的需求，并提供报表的批量导出功能。报表管理主要用于定义报表模板和报表查询条件，并可以针对报表模板定制报表发送任务，定时发送统计报表。以下是报表管理的一个界面示例：用户可以在报表管理中根据自己需求自定义报表模板，导入系统中进展报表呈现，从而可以大大提高报表系统对用户的满意度。第四章 SOC解决方案优势概述安氏领信提供了业界领先的安全管理中心SOC解决方案，其解决方案的主要优势表现在：国内

23、最全面安全管理中心建设和服务经验在2002年即签订了中国第一个安全管理中心的项目，在2003年又签订了多个安全管理中心的项目，并在2004年实现多级SOC建设，目前已经取得了电信、金融、电力、企业等多个行业的实施经验，在行业内产生了巨大的影响。通过这些经验，安氏领信不断完善自身的SOC产品，并且建立起一支强大的服务队伍。管理类的项目，实施经验和不断的服务尤其重要，我们的经验和服务会带给客户更加高效可信的安全管理体系。专门的SOC研发中心2002年，安氏领信就在某某设立了研发中心，开始了SOC产品的研究和开发，到现在已形成近百人的开发和研究团队，是国内最早提出SOC并开始系统研究的公司。我们的S

24、OC运营体系分为产品部、项目管理部、测试部和用户服务部。产品部负责SOC产品的研究、演进和实现；项目管理部负责SOC在客户的落地，不仅包括工程管理，也包括产品客户化方面的工作；测试部负责产品和客户化开发的测试；用户服务局部为、某某、某某和某某四个大区，负责全国SOC项目的技术支持和现场服务。安氏秉承“用户至上的服务理念，为客户服务和创造价值是我们生存和开展的根底，高效保障客户业务的安全运营是我们共同的终极目标。以资产为核心的全新安全视角以往的安全管理系统往往是建立在安全产品和事件的根底上，为安全管理员提供协助，而安氏领信的安全颠覆了这种视角，建立全面的安全管理系统，让每个管理员都可以查看自己需

25、要的安全信息，以资产为核心，实现全面安全。灵活的统计告警规如此设置 系统内置丰富的统计告警规如此，并支持扩展和自定义规如此，这些规如此从不同层面上反映当前的安全管理状况，所有的规如此都可以根据定义的条件触发相应的告警。强大的关联分析能力支持事件关联和定损关联，能够基于资产进展综合风险分析和计算。企业级的分布能力支持多级SOC的数据交互或者同步，并在中国电信项目中首先得到了应用。同时领信SOC建立了灵活的授权体系，不同群体之间互不影响，感觉就像在使用一套独立的系统。极高的处理性能支持大量资产以与每日数千万事件的处理，支持分布式采集与处理。强大的智能处理引擎不但支持基于事件的关联分析，而且支持基于

26、资产的关联分析，分析的结果可以关联到知识库和解决方案。特别是定损关联，是安氏领信多年对攻击事件和扫描漏洞的深入研究保证了知识的积累和应用。全面的安全产品支持支持大量现有安全产品的集中监控，保证即插即用。经过实践检验的持续性风险计算模型安氏领信在安全理念方面再次迈进一步，实现了SOC需要的持续性风险计算模型，从而保证从风险角度综合评价安全。灵活可扩展的软件架构领信SOC核心层采用了消息总线技术，通过总线架起组件之间联系的纽带，由此带来了三方面的好处：第一、减少了组件之间的私有通信接口，方便了组件跨安全域之间的分布式部署；第二、每个组件就像一块块的积木，它们通过消息总线组合在一起，使SOC更具灵活

27、性和可扩展性；第三、消息总线是企业EAI的关键技术，SOC采用了消息总线后，大大方便了其与第三方安全系统甚至其它应用之间的集成；在表现层，领信SOC采用了Portal技术，既方便应用之间的信息整合，也满足用户更具个性化的展示要求。内置scanner的解决方案通过内置scanner，将传统的扫描工具上升到基于资产的漏洞管理的高度，通过SOC解决方案的强大功能获得了企业级的漏洞管理、维护和关联功能配置的自动收集和审计支持定期的配置收集和审计，实现了人工评估的自动化。变更自动检查支持定期的变更检查，通过对目录、文件、进程、端口启动项、注册表等信息的获取比对，发现系统中可能存在的变更问题。第五章 系统运行环境硬件平台SUN主机IBM主机PC服务器操作系统平台Solaris10WINDOWS服务器系列数据库平台Oracle10g系统软件