1、 短期和長期規(guī)劃3 數(shù)據(jù)采集層：數(shù)據(jù)采集層：根據(jù)要求從網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)系統(tǒng)等數(shù)據(jù)來源采集各種安全信息。 數(shù)據(jù)處理層數(shù)據(jù)處理層：將采集到的原始安全信息進(jìn)行關(guān)聯(lián)分析處理，實(shí)現(xiàn)格式標(biāo)準(zhǔn)化，根據(jù)策略進(jìn)行數(shù)據(jù)歸并和壓縮后，存儲(chǔ)到數(shù)據(jù)庫中。 應(yīng)用服務(wù)層：應(yīng)用服務(wù)層：從數(shù)據(jù)庫中提取信息，按照策略完成數(shù)據(jù)的過濾、條件分析，為展示平臺(tái)提供數(shù)據(jù)支持；同時(shí)還是展示平臺(tái)進(jìn)行資源配置的接口。 展示平臺(tái)層展示平臺(tái)層：實(shí)現(xiàn)NetEye安全運(yùn)維平臺(tái)的統(tǒng)一界面展示。通過統(tǒng)一的圖形化管理界面，NetEye安全運(yùn)維平臺(tái)實(shí)現(xiàn)了安全監(jiān)控、維護(hù)、管理、展示的全部功能。 45 資產(chǎn)管理資產(chǎn)管理 脆弱性管理脆弱性管理 風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管

2、理 安全信息監(jiān)控安全信息監(jiān)控 策略管理策略管理 工單管理工單管理 知識(shí)庫管理知識(shí)庫管理 安全預(yù)警安全預(yù)警 故障信息顯示故障信息顯示 報(bào)表報(bào)表 關(guān)聯(lián)分析關(guān)聯(lián)分析6優(yōu)點(diǎn) 不足安全域管理資產(chǎn)管理信息豐富設(shè)備控制功能工作流的功能比較弱配置比較復(fù)雜關(guān)聯(lián)分析功能的預(yù)期效果比較差SIMS的配置和SMC分離7 SecCenter的核心價(jià)值體現(xiàn)在于其事件關(guān)聯(lián)功能上； 數(shù)據(jù)采集協(xié)議支持：NetStream、NetFlow、CFlow、Syslog、Windows WMI、ODBC 定位于SIEM，不是SOC8 監(jiān)控 事件關(guān)聯(lián)分析 網(wǎng)絡(luò)的拓?fù)湔故?優(yōu)點(diǎn) 不足風(fēng)險(xiǎn)分析脆弱性管理安全域的管理概念工作流綜合監(jiān)控的信息不明

3、了關(guān)聯(lián)分析不足網(wǎng)絡(luò)管理能力不足引擎配置沒有整合到SMC中引擎支持的日志收集格式較少10 TSM（Trust Network Security Management System）是天融信新一代網(wǎng)絡(luò)安全綜合管理平臺(tái)。 TSM采用代理+服務(wù)器+管理器的三層結(jié)構(gòu)。11 資產(chǎn)管理資產(chǎn)管理 網(wǎng)絡(luò)拓?fù)涔芾砭W(wǎng)絡(luò)拓?fù)涔芾?策略管理策略管理 監(jiān)控監(jiān)控 事件智能檢測事件智能檢測 事件分析事件分析12 TopAnalyzer 作為soc 中心的軟件平臺(tái)，以風(fēng)險(xiǎn)管理為核心，資產(chǎn)管理為基礎(chǔ)，事件管理為主線，輔以有效的管理、監(jiān)視與響應(yīng)功能，為用戶構(gòu)建動(dòng)態(tài)的可信安全管理體系。1314 事件管理事件管理 安全分析與報(bào)表安全分

4、析與報(bào)表 資產(chǎn)管理資產(chǎn)管理 知識(shí)庫知識(shí)庫 實(shí)時(shí)監(jiān)控實(shí)時(shí)監(jiān)控 關(guān)聯(lián)分析關(guān)聯(lián)分析 基于專家系統(tǒng)的輔助決策系統(tǒng) 基于規(guī)則的安全響應(yīng)與報(bào)警 全局內(nèi)風(fēng)險(xiǎn)管理與計(jì)算全局內(nèi)風(fēng)險(xiǎn)管理與計(jì)算 工單管理工單管理15優(yōu)點(diǎn) 不足脆弱性管理資產(chǎn)信息豐富報(bào)表內(nèi)容比較豐富實(shí)時(shí)監(jiān)控的展示形式不豐富關(guān)聯(lián)分析不足引擎配置沒有整合到SMC中設(shè)備控制相對較弱數(shù)據(jù)庫支持不廣泛16 聯(lián)想網(wǎng)御針對對企業(yè)信息安全比較重視的中高端用戶推出的第三代安全管理平臺(tái)定位于集中設(shè)備監(jiān)控和全局審計(jì)分析，是網(wǎng)絡(luò)安全的中樞神經(jīng)系統(tǒng)，也是聯(lián)想網(wǎng)御信息安全解決方案的核心。171819 設(shè)備管理設(shè)備管理 設(shè)備監(jiān)控設(shè)備監(jiān)控 告警管理（告警關(guān)聯(lián)）告警管理（告警關(guān)聯(lián)）

5、日志審計(jì)日志審計(jì) 資產(chǎn)管理資產(chǎn)管理 策略管理（防火墻和策略管理（防火墻和VPN的策略配置）的策略配置） 風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理 級(jí)聯(lián)管理（多級(jí)）級(jí)聯(lián)管理（多級(jí)）20優(yōu)點(diǎn) 不足脆弱性管理安全域的管理概念工作流豐富的知識(shí)庫強(qiáng)大的關(guān)聯(lián)分析功能引擎配置沒有整合到SMC中缺少日志審計(jì)功能缺少設(shè)備策略配置功能只有SIMS的多級(jí)部署21 資產(chǎn)管理資產(chǎn)管理 風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理 脆弱性管理脆弱性管理 工單預(yù)警工單預(yù)警 統(tǒng)計(jì)分析（關(guān)聯(lián)分析）統(tǒng)計(jì)分析（關(guān)聯(lián)分析） 知識(shí)庫管理知識(shí)庫管理 指標(biāo)管理指標(biāo)管理22 是一個(gè)安全信息管理（SIM）應(yīng)用程序，它可實(shí)現(xiàn)與多種不同安全產(chǎn)品之間的異種機(jī)互操作性，因此可使網(wǎng)絡(luò)管理人員集中監(jiān)控、管

6、理和監(jiān)督企業(yè)網(wǎng)絡(luò)的安全性。 范式化后的9中事件： 訪問訪問 / 身份驗(yàn)證身份驗(yàn)證 / 授權(quán)授權(quán) 應(yīng)用程序盜用應(yīng)用程序盜用 配置配置 / 系統(tǒng)狀態(tài)系統(tǒng)狀態(tài) 拒絕服務(wù)拒絕服務(wù) 躲避躲避 違反政策違反政策 偵察企圖偵察企圖 未知未知 / 可疑可疑 病毒病毒 / 特洛伊木馬特洛伊木馬23 風(fēng)險(xiǎn)和威脅分析評估 監(jiān)控 事件響應(yīng)管理 多級(jí)關(guān)聯(lián) 知識(shí)庫24 CS-MARS:(Cisco Security Monitoring, Analysis and Responder System) 定義了事件被處理的流程（8個(gè)步驟） 充分利用了網(wǎng)絡(luò)拓?fù)涞膶傩裕瑏頊p少誤報(bào)、發(fā)現(xiàn)網(wǎng)絡(luò)熱點(diǎn)、找到最佳防御點(diǎn)和提高證據(jù)分析能力2

7、5 智能網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn) 事件進(jìn)程化管理 風(fēng)險(xiǎn)關(guān)聯(lián)分析 流量異常分析 誤報(bào)分析 安全預(yù)警與響應(yīng) 脆弱性評估 報(bào)表2627ArcSight 體系結(jié)構(gòu)：可滿足世界上規(guī)模最體系結(jié)構(gòu)：可滿足世界上規(guī)模最大的、安全性能要求最高的網(wǎng)絡(luò)的需要大的、安全性能要求最高的網(wǎng)絡(luò)的需要 ArcSight ESM 的擴(kuò)展不僅限于單級(jí)部署，多級(jí)和對等方式部署也能夠很好的進(jìn)行擴(kuò)展。因此，您可以采用最適合您企業(yè)的方式進(jìn)行部署，無論是部署單個(gè)安全營運(yùn)中心 (SOC)，還是部署地理位置分散、相互間必須不斷共享信息的多個(gè)安全營運(yùn)中心。 28 事件監(jiān)控 響應(yīng)處理 智能關(guān)聯(lián) 合規(guī)性報(bào)告 多級(jí)部署 支持Discovery分析工具2930 關(guān)

8、聯(lián)預(yù)警關(guān)聯(lián)預(yù)警 審計(jì)管理審計(jì)管理 安全事件管理安全事件管理 行為合規(guī)性檢測行為合規(guī)性檢測 實(shí)時(shí)監(jiān)控實(shí)時(shí)監(jiān)控 預(yù)警（與基線做比較）預(yù)警（與基線做比較） 基線管理基線管理 脆弱性分析集成脆弱性分析集成3132客戶的價(jià)值客戶的價(jià)值從眾多安全事件中分析網(wǎng)絡(luò)的安全狀況，進(jìn)行從宏觀到微觀的展示?？梢远ㄎ怀霭踩录慕裹c(diǎn)，可以做到逐步鉆取的達(dá)到準(zhǔn)確定位。提供給客戶一份安全/合規(guī)性報(bào)告。是否可以提供深度的事后數(shù)據(jù)挖掘。企業(yè)內(nèi)部的價(jià)值企業(yè)內(nèi)部的價(jià)值為企業(yè)的安全產(chǎn)品提供整體的解決方案。為公司提供和大客戶和戰(zhàn)略客戶合作提供基礎(chǔ)33 實(shí)時(shí)監(jiān)控實(shí)時(shí)監(jiān)控 關(guān)聯(lián)分析關(guān)聯(lián)分析 數(shù)據(jù)智能挖掘數(shù)據(jù)智能挖掘 威脅管理威脅管理 風(fēng)險(xiǎn)

9、管理風(fēng)險(xiǎn)管理 等級(jí)保護(hù)等級(jí)保護(hù) 綜合審計(jì)綜合審計(jì) 數(shù)據(jù)存儲(chǔ)數(shù)據(jù)存儲(chǔ)34 SIMS引擎數(shù)據(jù)采集分類不合理 功能全，但是不精 產(chǎn)品業(yè)務(wù)流程混亂 界面的監(jiān)控顯示不突出 報(bào)表的內(nèi)容太蒼白 用戶的網(wǎng)絡(luò)安全宏觀監(jiān)控沒有 配置部署太復(fù)雜 模塊化程度不高，產(chǎn)品和定制開發(fā)成本高35 短期目標(biāo)短期目標(biāo) 加強(qiáng)TSOC的市場競爭力(核心功能） 補(bǔ)充從前方來的客戶需求 長期目標(biāo)長期目標(biāo) 立足核心功能，深度發(fā)展核心功能 建立架構(gòu)靈活的SOC產(chǎn)品平臺(tái)，降低產(chǎn)品和定制開發(fā)成本 產(chǎn)品線細(xì)分/多樣化 在國內(nèi)的SOC競爭（技術(shù)）中應(yīng)該處于NO.136 TSOC3.0.8.0 引進(jìn)基線管理，讓系統(tǒng)可以在事件、流量方面可以通過學(xué)習(xí)過程

10、，建立標(biāo)準(zhǔn)區(qū)域基準(zhǔn)。 通過對比區(qū)域基準(zhǔn)，來做全局的整體網(wǎng)絡(luò)安全、流量異常分析展示。 對全局的展示，可以進(jìn)行數(shù)據(jù)鉆取，從整體局部設(shè)備事件 ，來準(zhǔn)確定位事件。 增加安全報(bào)告，在內(nèi)容和格式上改進(jìn)。 改進(jìn)關(guān)聯(lián)分析子系統(tǒng)。 增加3個(gè)分析模塊（地址熵、三元組和熱點(diǎn)） 核心功能模塊和定制開發(fā)模塊組件化或者模塊化37 TSOC3.0.9.0 SIMS和SMC的整合 多級(jí)管理 引入VWP平臺(tái)組件 部分功能模塊化（主要集中在定制開發(fā)模塊多的功能） 網(wǎng)絡(luò)拓?fù)?8 產(chǎn)品架構(gòu)重新設(shè)計(jì)，做到靈活可拆分。盡量做到系統(tǒng)可以與WEB服務(wù)器無關(guān)和數(shù)據(jù)庫系統(tǒng)無關(guān)。 做一個(gè)產(chǎn)品基礎(chǔ)平臺(tái)-威脅管理 綜合監(jiān)控綜合監(jiān)控 基線管理基線管理 流量管理流量管理 關(guān)聯(lián)分析關(guān)聯(lián)分析 知識(shí)庫知識(shí)庫 報(bào)表報(bào)表39 在產(chǎn)品平臺(tái)基礎(chǔ)上開發(fā)風(fēng)險(xiǎn)管理平臺(tái)在產(chǎn)品平臺(tái)基礎(chǔ)上開發(fā)風(fēng)險(xiǎn)管理平臺(tái) 資產(chǎn)管理 風(fēng)險(xiǎn)管理 脆弱性管理 在產(chǎn)品平臺(tái)基礎(chǔ)上開發(fā)審計(jì)平臺(tái)在產(chǎn)品平臺(tái)基礎(chǔ)上開發(fā)審計(jì)平臺(tái) 合規(guī)性報(bào)表 在產(chǎn)品平臺(tái)的基礎(chǔ)上開發(fā)