1、,網(wǎng)絡(luò)衛(wèi)士安全管理系統(tǒng)TSM 安全信息管理平臺(tái),天融信安徽辦 肖慶斌,2011年5月,2,安全管理平臺(tái)概述 安全管理平臺(tái)在信息產(chǎn)業(yè)中的地位 安全管理平臺(tái)的幾個(gè)趨勢 天融信安全管理系統(tǒng)(TSM) 安全信息管理平臺(tái)介紹 成功案例,提綱,安全管理平臺(tái)概述,安全管理平臺(tái)(SOC)背景 傳統(tǒng)的NOC缺乏技術(shù)支撐。 隨著信息安全問題的日益突出，安全管理理論與技術(shù)的不斷發(fā)展，需要從安全的角度去管理整個(gè)網(wǎng)絡(luò)和系統(tǒng)，而傳統(tǒng)的NOC在這方面缺少技術(shù)支撐，于是，出現(xiàn)了SOC的概念。 SOC產(chǎn)生的動(dòng)因 安全產(chǎn)品在企業(yè)防護(hù)系統(tǒng)中形成一個(gè)個(gè)獨(dú)立的孤島，信息系統(tǒng)審計(jì)和內(nèi)控要求和等級保護(hù)要求，以及不斷增強(qiáng)的業(yè)務(wù)持續(xù)性需求，,

2、安全管理平臺(tái)概述,SOC本質(zhì)： 不是一款單純的產(chǎn)品，而是一個(gè)復(fù)雜的系統(tǒng)，他既有產(chǎn)品，又有服務(wù)，還有運(yùn)維(運(yùn)營)，SOC是技術(shù)、流程和人的有機(jī)結(jié)合。 SOC定義： 以資產(chǎn)為核心，以安全事件管理為關(guān)鍵流程，采用安全域劃分的思想，統(tǒng)一事件處理和策略管理；安全監(jiān)視控制和及時(shí)安全預(yù)警和響應(yīng)。,5,安全管理平臺(tái)概述 安全管理平臺(tái)發(fā)展現(xiàn)狀 安全管理平臺(tái)的幾個(gè)趨勢 天融信安全管理系統(tǒng)(TSM) 安全信息管理平臺(tái) 成功案例,提綱,安全管理平臺(tái)發(fā)展現(xiàn)狀,安全管理平臺(tái)在信息安全產(chǎn)業(yè)中的地位？ 信息安全產(chǎn)業(yè)是一個(gè)急速發(fā)展變化的產(chǎn) 業(yè)，安管平臺(tái)的內(nèi)涵和外延也會(huì)不斷的更新 但是安全管理平臺(tái)理念在整個(gè)信息安全產(chǎn)品 結(jié)構(gòu)中的

3、頂層地位始終不會(huì)改變。,安全管理平臺(tái)發(fā)展現(xiàn)狀,兩類客戶： 高度信息化的單位(電信、移動(dòng)、民航、金融、科研) 較早的建立了網(wǎng)管平臺(tái)，對安管平臺(tái)的認(rèn)識(shí)過程與國外基本保持一致，追求標(biāo)準(zhǔn)化。 其他企業(yè)和組織（政府、教育、企事業(yè)單位） 對安全管理平臺(tái)的認(rèn)識(shí)模糊，甚至連網(wǎng)管平臺(tái)都沒有。從而更加講求實(shí)效性。,安全管理平臺(tái)發(fā)展現(xiàn)狀,兩個(gè)維度 (產(chǎn)品與服務(wù)) 產(chǎn)品： 1、狹義上 安全設(shè)備的集中管理，包括集中的運(yùn)行狀態(tài)監(jiān)控、事 件采集分析、安全策略下發(fā)。 2、廣義上所有IT資源，甚至是業(yè)務(wù)系統(tǒng)進(jìn)行集中的安全管理，包括對IT資源的運(yùn)行監(jiān)控、事件采集分析，還包括風(fēng)險(xiǎn)管理與運(yùn)維等內(nèi)容,安全管理發(fā)展現(xiàn)狀,兩個(gè)維度 (產(chǎn)品

4、與服務(wù)) 服務(wù)： 以安全管理平臺(tái)為技術(shù)支撐為客戶提供延伸的服務(wù)安全服務(wù)。這里，客戶感受到的只是安全服務(wù)，而非產(chǎn)品本身。,10,安全管理平臺(tái)概述 安全管理平臺(tái)發(fā)展現(xiàn)狀 安全管理平臺(tái)的幾個(gè)趨勢 天融信安全管理系統(tǒng)(TSM) 安全信息管理平臺(tái) 成功案例,提綱,安全管理平臺(tái)發(fā)展的幾個(gè)趨勢,趨勢一：加強(qiáng)基礎(chǔ)信息采集,安全管理平臺(tái)發(fā)展的幾個(gè)趨勢,12,趨勢二：求同存異，各司其責(zé),與各種第三方系統(tǒng)的配合程度逐步提高 與網(wǎng)管 與資產(chǎn)管理 與工作流程 與物理安全等等.,安全管理平臺(tái)發(fā)展的幾個(gè)趨勢,趨勢三：結(jié)合服務(wù)與運(yùn)營,通過安全服務(wù)的結(jié)合，進(jìn)一步加強(qiáng)安全管理平臺(tái)對安全管理的支撐 構(gòu)建監(jiān)控服務(wù)中心 自評估服務(wù)系統(tǒng)

5、 企業(yè)自服務(wù)系統(tǒng) 知識(shí)管理系統(tǒng) 。,14,趨勢四：面向業(yè)務(wù)安全,基于業(yè)務(wù)的SOC 從資產(chǎn)價(jià)值走向業(yè)務(wù)價(jià)值 從信息安全走向業(yè)務(wù)安全 SOC與業(yè)務(wù)流程的整合（配置管理、工作流.）,安全管理平臺(tái)發(fā)展的幾個(gè)趨勢,15,安全管理平臺(tái)概述 安全管理平臺(tái)發(fā)展現(xiàn)狀 安全管理平臺(tái)的幾個(gè)趨勢 天融信安全管理系統(tǒng)(TSM) 安全信息管理平臺(tái)介紹,提綱,天融信安全信息管理平臺(tái),天融信安全管理平臺(tái)(簡稱TopAnalyzer)網(wǎng)絡(luò)衛(wèi)士安全管理系統(tǒng)（TSM）的核心組件。 從系統(tǒng)組件上，TopAnalyzer可以分為三大組件：服務(wù)器（TopAnalyzer Server）、代理（Agent）和數(shù)據(jù)庫（TopAnalyzer

6、 DataBase）。 代理（Agent）負(fù)責(zé)在網(wǎng)絡(luò)中采集全網(wǎng)安全事件，預(yù)處理（對原始安全事件進(jìn)行收集、過濾、歸并等操作）后發(fā)送給服務(wù)器（TopAnalyzer Server）； 服務(wù)器負(fù)責(zé)對預(yù)處理后的安全事件進(jìn)行集中分析、響應(yīng)、可視化輸出以及做出專家建議； 數(shù)據(jù)庫則負(fù)責(zé)集中存儲(chǔ)預(yù)處理后的安全事件。,TopAnalyzer結(jié)構(gòu)體系,從體系結(jié)構(gòu)設(shè)計(jì)上，TopAnalyzer共包括五個(gè)子系統(tǒng)： 資產(chǎn)管理子系統(tǒng) 用戶管理子系統(tǒng) 報(bào)表管理子系統(tǒng) 網(wǎng)絡(luò)管理子系統(tǒng) 以及安全管理子系統(tǒng)。,天融信安全信息管理平臺(tái),TopAnalyzer處理流程,各種安全產(chǎn)品,重要數(shù)據(jù)庫,關(guān)鍵網(wǎng)絡(luò)設(shè)備,關(guān)鍵應(yīng)用系統(tǒng),代理,SN

7、MP,ODBC,Log file,API,事件源,事件收集,事件處理與分析,管理服務(wù)器,數(shù)據(jù)庫,用戶交互,資產(chǎn)管理 脆弱性管理 風(fēng)險(xiǎn)管理 事件管理 網(wǎng)絡(luò)管理 關(guān)聯(lián)分析 安全預(yù)警 安全響應(yīng) 工單派發(fā) 報(bào)表輸出 ,SYSLOG,天融信安全信息管理平臺(tái),天融信安全管理平臺(tái),資產(chǎn)管理 脆弱性管理 風(fēng)險(xiǎn)管理 事件管理 網(wǎng)絡(luò)管理 實(shí)時(shí)關(guān)聯(lián)分析 實(shí)時(shí)事件監(jiān)視 安全預(yù)警管理,安全告警與響應(yīng) 用戶管理 安全策略管理 工單管理 知識(shí)庫管理 數(shù)據(jù)庫管理 輔助決策管理 報(bào)表輸出管理,功能特點(diǎn):,資產(chǎn)管理,TopAnalyzer通過對關(guān)鍵資產(chǎn)的實(shí)時(shí)監(jiān)控，分析和評估資產(chǎn)的風(fēng)險(xiǎn)和價(jià)值。主要包括： 資產(chǎn)類型管理 物理位置管理

8、 行政信息管理 漏洞查看和關(guān)聯(lián) 補(bǔ)丁查看和關(guān)聯(lián) 綜合查詢 變更歷史管理,天融信安全管理平臺(tái),天融信安全管理平臺(tái),脆弱性管理,TopAnalyzer能夠?qū)﹃P(guān)鍵資產(chǎn)進(jìn)行搜尋、分析和收集等 。主要包括： 脆弱性監(jiān)視 脆弱性收集,風(fēng)險(xiǎn)管理,通過風(fēng)險(xiǎn)管理，TopAnalyzer可以動(dòng)態(tài)、實(shí)時(shí)地對網(wǎng)絡(luò)所面臨的風(fēng)險(xiǎn)進(jìn)行評估分析，根據(jù)分析的結(jié)果提供各類風(fēng)險(xiǎn)視圖，并對到達(dá)一定級別的風(fēng)險(xiǎn)自動(dòng)地做出響應(yīng)。 主要包括： 風(fēng)險(xiǎn)評估 風(fēng)險(xiǎn)查看 風(fēng)險(xiǎn)報(bào)警,天融信安全管理平臺(tái),天融信安全管理平臺(tái),事件管理,TopAnalyzer對采集的各類安全事件執(zhí)行標(biāo)準(zhǔn)化、過濾、分類、歸并、響應(yīng)等事件處理過程，同時(shí)存儲(chǔ)到數(shù)據(jù)庫中。主要包括

9、： 事件采集 事件標(biāo)準(zhǔn)化 事件過濾 事件歸并 事件展示 事件瀏覽 事件監(jiān)視 事件響應(yīng) 輔助決策 動(dòng)態(tài)黑名單,網(wǎng)絡(luò)管理,TopAnalyzer能夠通過直觀、友好的網(wǎng)絡(luò)管理界面，可以實(shí)現(xiàn)對網(wǎng)絡(luò)中的設(shè)備、主機(jī)、應(yīng)用系統(tǒng)等方面的綜合管理與監(jiān)控。 主要包括網(wǎng)絡(luò)設(shè)備自動(dòng)發(fā)現(xiàn)、拓?fù)涔芾怼⒁晥D管理、性能管理、資產(chǎn)管理等功能。,天融信安全管理平臺(tái),實(shí)時(shí)關(guān)聯(lián)分析,TopAnalyzer采用基于狀態(tài)機(jī)的實(shí)時(shí)關(guān)聯(lián)檢測技術(shù)，通過有效的關(guān)聯(lián)全網(wǎng)的安全事件，可更加精確的判斷引發(fā)事件的真正原因和隱藏的威脅，并幫助分析攻擊的有效性，保護(hù)用戶關(guān)鍵的資產(chǎn)或關(guān)鍵的應(yīng)用。 通過使用已定義的關(guān)聯(lián)分析，可實(shí)現(xiàn)對攻擊場景和過程的還原。 有助

10、于降低入侵檢測系統(tǒng)（IDS）的信噪比，并且可以幫助用戶定位潛在的業(yè)務(wù)信息系統(tǒng)問題，提高和保證客戶業(yè)務(wù)信息系統(tǒng)的服務(wù)質(zhì)量（QoS）。 與傳統(tǒng)的基于事后數(shù)據(jù)及數(shù)據(jù)庫的事件關(guān)聯(lián)分析技術(shù)相比，系統(tǒng)更據(jù)有實(shí)時(shí)性，這樣就為快速響應(yīng)及動(dòng)態(tài)網(wǎng)絡(luò)攻擊防御提供了基礎(chǔ)。,天融信安全管理平臺(tái),通過關(guān)聯(lián)分析加速問題定位,系統(tǒng)不可用,Firewall? HOST? DB? Web Server ?,主機(jī)應(yīng)用異常導(dǎo)致服務(wù)問題！,天融信安全管理平臺(tái),安全告警與響應(yīng),TopAnalyzer在監(jiān)視到特定事件發(fā)生時(shí)，可以根據(jù)預(yù)先制定的規(guī)則予以及時(shí)響應(yīng)，做出報(bào)警、處理等操作，及時(shí)有效的應(yīng)對復(fù)雜的網(wǎng)絡(luò)安全情況。,天融信安全管理平臺(tái),用

11、戶管理,TopAnalyzer是一個(gè)多用戶系統(tǒng)，允許多個(gè)用戶同時(shí)登錄、查看或者處理用戶本身權(quán)限范圍內(nèi)可瀏覽到的信息。 用戶管理將實(shí)現(xiàn)如何配置角色和用戶，以及如何實(shí)現(xiàn)對資源的授權(quán)管理。,天融信安全管理平臺(tái),安全策略管理,TopAnalyzer所提供的安全策略管理功能可協(xié)助用戶制定各種級別，針對不同對象（人員、設(shè)備、應(yīng)用）的安全策略。 安全策略管理能夠?qū)崿F(xiàn)安全策略的數(shù)據(jù)導(dǎo)出、安全策略的數(shù)據(jù)統(tǒng)計(jì)、安全策略的定時(shí)發(fā)布、安全策略評估等功能 。,天融信安全管理平臺(tái),工單管理,TopAnalyzer提供工單管理的功能。 用戶可以手工創(chuàng)建/派發(fā)工單，也可以設(shè)定規(guī)則由系統(tǒng)在一定條件下自動(dòng)創(chuàng)建/派發(fā)工單。,天融信

12、安全管理平臺(tái),知識(shí)庫管理,知識(shí)庫是TopAnalyzer的重要部分。 它由典型安全事件處理經(jīng)驗(yàn)、安全問題分析報(bào)告、安全脆弱性數(shù)據(jù)庫和補(bǔ)丁庫、以及各種技術(shù)和管理專題資料組成。,天融信安全管理平臺(tái),數(shù)據(jù)庫管理,通過TopAnalyzer界面，可以直接查看TopAnalyzer所用數(shù)據(jù)庫的詳細(xì)信息，包括數(shù)據(jù)庫版本號、數(shù)據(jù)庫分區(qū)信息，并進(jìn)行導(dǎo)出、導(dǎo)入管理。,天融信安全管理平臺(tái),輔助決策管理,TopAnalyzer提供輔助決策功能，在處理事件時(shí)能夠采用標(biāo)準(zhǔn)的安全專家知識(shí)。 每當(dāng)管理員查看事件并調(diào)用輔助決策時(shí)，系統(tǒng)會(huì)根據(jù)事件的信息自動(dòng)匹配輔助決策，由用戶決定是否對事件進(jìn)行處理及如何處理。,天融信安全管理平臺(tái),天融信安全管理平臺(tái),動(dòng)態(tài)黑名單管理,TopAnalyzer可以通過關(guān)聯(lián)分析動(dòng)態(tài)維護(hù)動(dòng)態(tài)黑名單，也支持手工添加。通過動(dòng)態(tài)黑名單，可以清楚明了地知曉企業(yè)網(wǎng)絡(luò)中存在的威脅。,報(bào)表輸出管理,TopAnalyzer能夠?qū)ο到y(tǒng)中已經(jīng)生成的報(bào)表進(jìn)行管理，通過手工生成報(bào)表和計(jì)劃生成報(bào)表，提供各類統(tǒng)計(jì)信息的直觀綜合的視圖。,天融信安全管理平臺(tái),36,安全管理平臺(tái)概述 安全管理平臺(tái)在信息產(chǎn)業(yè)中的地位 安全管理平臺(tái)的幾個(gè)趨勢 天融信安全管理系統(tǒng)(TSM) 安全信息管理平臺(tái) 天融信安全管理平臺(tái)部署案例,