《泰合安全系统运营中心-解决方案设计(共69页).doc》由会员分享,可在线阅读,更多相关《泰合安全系统运营中心-解决方案设计(共69页).doc(58页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、精选优质文档-倾情为你奉上泰合信息安全运营中心系统(TSOC)XXXX项目解决方案建议书模板北京启明星辰信息技术股份有限公司Beijing Venus Information Tech. Inc.二零一二年五月专心-专注-专业目 录 1 安全管理中心总体方案北京启明星辰信息技术股份有限公司泰合信息安全运营中心系统解决方案(以下简称“安全管理中心”)以实用性和可扩展性为设计指导思想,将安全管理员从复杂的设备配置和海量日志信息中解脱出来,把精力专注于发现和处理各种重要安全事件;同时又将各自独立的安全设备组成为一个有机的整体,通过基于资产管理的事件关联分析和管理,及时发现安全风险、安全事件和业务安全
2、隐患,并结合安全策略和安全知识的管理,提供多种安全响应机制,从而使得客户能够实时掌控网络的安全态势。安全管理中心与客户可以已经部署的各类安全设备形成一个完整的安全保障体系,从而实现了高效、全面的网络安全防护、检测和响应。它完全具备监控、预警、响应、追踪等功能,并具备可审计功能,即对内部安全管理人员的相关操作进行日志记录。1.1 遵循的标准安全管理中心总体设计及实施遵循以下标准和规范:1.1.1 遵循的国际国内标准和规范 安全管理中心建设服务服从信息安全风险评估方法按照国信办颁发的关于印发的通知(国信办【2006】9号) ISO-17799/BS 7799/ISO27001信息安全管理体系国际标
3、准, 公安部颁布的信息安全等级保护管理办法(试行)及相关规定 CCISO15408 和GB/T18336 信息技术安全性评估准则 ISO-13335 IT 安全管理指南 工作流管理联盟WFMC 定义的工作流标准 软件开发服从CMM要求1.1.2 参考的企业标准、规范和指南 信息安全保障框架(VISAF)系列模型图1. VISAF模型VISAF的保障功能要素模型(FEM - Function Element Model),或者用缩写表达式表示为AST(PPT*AIDARC)。这个模型提出安全的最根本问题是被保护的资产、对于资产的威胁和防护措施。防护措施又分为人(组织)、过程(策略、运营)和技术三
4、个大方面。技术则形成一个AIDARC模型。n 鉴别和认证 Identification & Authenticationn 逻辑访问控制 Access Controln 检测、监控和预警Detection, Monitoring&Early warningn 审计和跟踪 Audit Trailn 恢复和冗余 Redundancy & Recoveryn 内容安全 Content Security1.2 平台总体方案体系架构1.2.1 功能体系架构安全管理中心主要由以下部分组成:资产信息管理模块、安全事件/业务监控管理模块、脆弱性管理模块、漏洞关联分析、统计关联分析和基于规则的关联分析模块、宏观
5、趋势分析模块、流量分析模块、基线管理模块、风险评估管理模块、安全策略管理模块、网元管理模块、统一安全预警模块、综合显示和报表报告系统、响应管理系统、安全信息管理、系统健康管理和用户管理模块组成。其功能体系架构如下图所示:图2. 功能体系结构1.2.2 平台软件架构安全管理中心软件总体体系架构如下图所示:安全管理中心 SMC安全信息管理系统 SIMS数据分析中心(DAC)图3. 软件总体结构整个系统分为SMC、DAC和V-SIMS三部分。SMC:安全管理中心,安全管理中心以B/S/D三层架构实现监控、管理、响应、报表等功能;DAC:数据分析中心,其以后台服务方式实现综合分析、关联分析、资产发现、
6、脆弱性信息采集分析等数据分析处理功能;V-SIMS:安全信息管理系统,它完成了安全信息的采集、过滤、聚并、入库等功能。便于实现分布分级部署事件采集引擎。安全管理中心按照三层软件架构体系设计,如下图所示:图4. 泰合信息安全运营中心三层体系结构2 平台的功能特点安全管理中心的系统平台包括下列核心模块/功能: 统一入口模块 资产管理模块 脆弱性管理模块 事件安全管理模块 关联分析模块 宏观趋势分析模块 流量分析模块 基线管理模块 安全策略管理模块 网元管理模块 工作流管理模块 设备控制管理模块 多级管理模块 风险管理模块 安全预警模块 安全策略文档管理模块 安全知识管理模块 综合信息显示与报表模块
7、 响应管理模块 用户管理模块 系统自身健康管理模块下面将对这些模块的功能及技术实现作逐一描述。2.1 系统平台WEB门户入口界面统一WEB门户入口界面所提供的基本功能如下: 针对整个管理信息平台,提供用户集中管理的功能,对用户可以访问的资源进行细致的划分; 用统一的系统管理接口,各子信息系统的界面统一; 发布最新的漏洞说明、攻击特征说明; 具备安全可靠的分级及分类管理功能,具体要求支持用户的身份认证、授权等功能;支持用户口令修改;支持不同的操作员具有不同的数据访问权限和功能操作权限,系统管理员应能对各操作员的权限进行配置和管理; 系统设计采用模块化,具有良好的可扩展和自开发能力,能针对用户录入
8、、删除、修改密码等功能分不同模块,以便针对以后不同的需求进行分模块修改; 系统有完整的安全控制手段,对用户和系统管理员的权限进行分级管理, 相应的账号和口令都是加密后存放在数据库中的。充分保证了用户信息的安全性。对系统操作员的密码有安全保障机制; 用户数据管理严格,每天增量备份,保证其完整性和一致性,所以在系统出错的情况下,用户数据是安全的。 模块之间的敏感数据传输是加密的,因此TSOC组件之间的通信安全是可靠、安全的。2.2 资产与业务域管理在信息安全的资产管理系统中一个重要的概念是业务单元(BU)或称资产的逻辑网络区域,BU是企业业务的重要组成部分,它是各个资产的组合。在资产管理中,BU的
9、视图也是我们展示的一个重点。资产的BU可以是在安全管理中心建设时依据事前风险评估划分出来的不同的安全域进行管理。安全管理中心系统产品的资产管理属性集包含了客户所要求管辖的资产信息属性要求。资产信息管理模块的域管理具备以下功能: 支持具有相同资产属性的域管理方式。 支持自动同步在不同域下的资产属性管理。 支持资产的域继承功能。 允许用户根据业务系统、网段等不同的属性对信息系统进行安全域划分。 支持同一资产隶属不同的安全域,支持多层次安全域管理。 用户可以对安全域进行重要性赋值。 用户可以对安全域进行事件监控、风险监控和脆弱性评估,了解其安全状况。 在某种程度上可以作为下级单位的信息安全建设考核指
10、标参考。 域风险历史查询:提供多种条件的安全域风险查询工具,可以更好地关注重要安全域的风险状况。 域配置:提供各级安全域的添加、删除、修改维护功能,以及资产移入、移出安全域的功能。2.2.1 资产管理资产是企业、机构直接赋予了价值因而需要保护的东西。它可能是以多种形式存在,有无形的、有有形的,有硬件、有软件,有文档、代码,也有服务、企业形象等。它们分别具有不同的价值属性和存在特点,存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。为此,有必要对企业、机构中的信息资产进行科学分类,以便于进行后期的信息资产抽样、制定风险评估策略、分析安全功能需求等活动。所要管理资产(含安全设备、网络设备
11、及主机及应用系统)包括:【本处需要修改,调整为客户被管设备列表。下表仅为示例。】序号编号类型型号数量日志采集方式支持情况支持条件备注1Router1城域网核心路由器Quidway NetEngine80E1Syslog支持2Virus防病毒软件瑞星900点SNMP支持概括来讲,资产管理过程包括:资产信息获取、配置,风险计算,结果呈献三个主要过程。图5. 资产管理工作过程资产管理工作过程在平台中的实现如下: 遵循BS 7799 / ISO 17799 / ISO27001和ISO13335的资产管理规范,允许对信息资产的价值进行有效评估,从而确定信息资产的安全需求(完整性需求、保密性需求和可用性
12、需求),可以协助用户有效管理信息资产的各类属性。 资产可通过手工录入、excel模板下载批量导入和资产自动发现的方式录入。 录入的资产具有详细的信息描述以及CIA特性(保密性、完整性、可用性)。 资产的CIA特性参与风险计算,用于计算资产风险和整体风险趋势。 通过用户界面对资产信息进行详细、直观的图表化展示。 平台支持资产状况信息批量导出,形成文档备份,便于日后查询。显示界面示例如下图:图6. 域与资产管理2.2.2 业务域管理业务域由若干资产所组成,可以继承资产的属性,如资产CIA、资产权重等,同时参与风险计算。业务域管理包括:业务域配置、风险计算、结果呈献三个主要过程。图7. 业务域管理工
13、作过程业务域管理工作过程在平台中的实现如下: 对业务域进行配置,业务域中应该包括所包含资产信息、资产权重,同时对业务域进行必要的描述和标识。 对指定业务域可进行手工增加、录入资产信息,也可从已有资产信息库中批量选择导入资产信息。 业务域的CIA特性由所包含资产的CIA特性决定,参与风险计算,用于计算业务域风险和整体风险趋势。 用户界面对业务域资产分布、业务域风险进行图形化、直观的展示。业务域实例:2.3 漏洞信息采集与脆弱性管理2.3.1 漏洞信息采集漏洞信息采集包括:多种方式漏洞信息采集、结果输入脆弱性管理模块两个主要过程。漏洞信息采集在平台中的实现过程如下: 接收漏洞扫描器的扫描结果。 对
14、于平台不支持的扫描器类型,可将扫描结果按照模板规范化后通过人工方式导入。 将人工审计信息通过模板规范化后人工导入。 通过漏洞信息采集模块将上面几种信息输入方式进行收集和处理后送给脆弱性管理模块,进行脆弱性关联(漏洞关联)分析,参与风险计算后将结果呈现。2.3.2 脆弱性管理脆弱性管理能够通过人工审计(风险评估)和漏洞扫描工具两种方式,收集整个网络的弱点情况并进行统一管理,对收集的信息进行统一的范式化处理后,对脆弱性信息提供查询和展现功能,使得管理人员可以清楚的掌握全网的安全健康状况。平台目前提供与主流远程评估产品的接口,完成远程脆弱性信息的搜集。支持远程评估产品为: 天镜、极光、Nessus等
15、主流漏洞扫描产品。脆弱性管理模块主要功能如下: 配置天镜漏洞扫描系统; 能够将漏洞扫描软件的扫描结果导入系统; 能够将多次扫描的结果进行归并分析,得出更为精确的扫描结果; 能够将扫描结果与资产的原有属性进行比较,并给出冲突项提交用户确认; 支持资产的脆弱性管理,允许查看资产和安全域的脆弱性指标; 提供基于漏洞的关联,自动判断当前发生的信息安全事件是否真的对目标资产构成威胁,对于并不存在相关漏洞的事件,系统会自动降低其优先级,对于存在相关漏洞的事件则提升其优先级,使得用户可以更专注于真正会造成危害的事件。脆弱性管理包括:漏洞扫描和人工审计信息采集、资产/业务域关联分析、结果呈献三个主要过程。图8
16、. 脆弱性管理过程脆弱性管理在平台中的实现如下: 通过天镜脆弱性扫描系统对资产进行定期自动扫描或手工扫描。 资产的扫描和人工审计所发现的脆弱性信息输入脆弱性管理模块。 脆弱性信息与资产信息进行关联并参与风险计算。 通过整体脆弱性展示,脆弱性排名等进行直观的脆弱性展示。 支持脆弱性数据查询和整体数据导出。图9. 脆弱性管理2.4 事件/业务安全监控管理事件/业务安全监控模块负责实时监控网络的安全事件。通过事件/业务安全监控模块监控网络各个网络设备、主机应用系统等日志信息,以及安全产品的安全事件日志信息等,及时发现正在和已经发生的安全事件,协助进行安全决策,确保网络和业务系统的安全、可靠运行。2.
17、4.1 事件采集与整合通过部署在事件采集服务器上的安全管理中心的事件集中采集系统-V-SIMS系统,在泰合信息安全运营中心所管辖网络和系统上的不同安全信息采集点(网络设备、主机系统,而且还涵盖已经部署的安全系统,包括入侵防御系统、VPN系统、防火墙系统、IDS系统、审计系统、防病毒系统等等),集中收集安全事件到泰合信息安全运营中心中的安全管理服务器进行处理,即:根据可预先定义的配置进行聚并、过滤处理、并把各种类型的安全数据格式化成统一的格式,从而实现了安全事件的集中收集和处理,具备了实时事件/业务安全监控能力,又可利用安全事件查询的功能和强大的数据挖掘统计分析功能,具备了事后调查取证的能力。信
18、息安全事件管理中心的事件集中采集系统(V-SIMS)是完全具有自主知识产权的软件产品,属于泰合信息安全运营中心系统的一部分,包括管理服务(MS)、事件收集器(EC)、专用/通用代理管理(UAM)、专用/通用代理引擎(UAE)、专用/通用日志策略编辑器(UAPE)几个部分,负责在事件收集器和安全设备之间通信,用于采集、范化并上报安全设备的报警日志,同时采集并上报安全设备的状态,并提供对多种安全设备的管理能力。V-SIMS系统拥有专用代理/通用代理(Universal Agent)用以支持不同的设备及系统,V-SIMS引入的集中监管、分布式部署的多级管理体系,全面符合多级、分布式、跨地域的各类业务
19、的管理模式,真正实现分布式产品的结构统一协调管理,建立安全信息的全局管理机制。只有能够进行整个网络范围内的部署,才能管理整个网络中的安全设备,也才能够进行全网的事件管理。全网范围内V-SIMS的分布式部署可能是不同城市、不同地区、甚至不同省份、不同国家的分布,这与网络规模和网络拓扑是相关的。通过分布式分级部署,可以实现将各个独立的子系统连成一个分布式的整体安全事件采集体系。安全事件采集包括:分布代理收集信息、安全事件采集过滤、事件关联分析、结果输出展示几个主要过程。事件集中采集系统-V-SIMS系统部分操作界面视图如下图所示:图10. 事件集中采集系统过滤条件图11. 事件集中采集系统添加新元
20、件目前,安全管理中心的事件集中采集系统-V-SIMS系统通过各种专用代理已经能够支持国内外主流的安全设备:入侵防御系统、邮件过滤网关、抗拒绝服务攻击系统、VPN系统、防火墙系统、入侵检测系统、防病毒系统、漏洞扫描系统、安全审计系统等;主流操作系统:Windows操作系统(NT/2000/XP/2003)、支持主流Linux系统,支持主流Unix系统等;主流应用程序:Web、Mail、DNS等。安全管理中心的事件集中采集系统-V-SIMS系统拥有通用代理工具包通过配置就完全支持SNMP、SYSLOG、ODBC、WMI等方式采集事件日志。针对特定系统的日志格式,利用通用代理工具包配置实现。2.4.
21、2 事件/业务安全可视化监控事件/业务监控模块及综合显示报表报告模块其功能完全满足以下要求:1事件显示和查询功能提供丰富的事件显示和查找的功能,以便管理员对非法入侵事件和行为有很好的追踪和分析处理。 支持提供多种查询处理的方式,可以根据事件的各个字段来设定的过滤条件,查询到相关的事件记录; 支持传统的网格、线形图、圆饼图、条状图、区域图和重叠区域图等多种方式来显示特定事件; 支持用于关联业务情况的自定义事件图,并能满足业务网络和逻辑网络的多级显示; 支持在选定事件的范围内,根据事件的不同查询条件进行图形化显示。2支持安全态势的实时监视 支持按照资产类别、事件关联关系、地理事件图形、时间、最后状
22、态、系统特征、特点前几位等类型进行实时监视; 支持过滤事件的各个字段进行自定义实时监视。3支持在线和离线的事件可视化安全管理中心事件/业务监控模块部分显示界面示例视图如下: 根据需要,可通过配置监控条件及过滤条件的客户化实时事件监控界面 高危事件监控界面:图12. 事件监控高危事件 域风险拓扑显示和GIS显示界面:图13. 全局域拓扑展示图14. SOC安全域拓扑展示 事件报表报告界面示例图15. 高报警设备2.5 宏观趋势分析宏观趋势分析功能提供了对安全事件监测上报的事件和流量信息,进行综合的模型分析,并提供宏观的展示和丰富报表功能。同时,系统自身对提供从宏观到微观的详细展示功能。熵模型:通
23、过安全事件检测功能上报上来的事件,网络态势感知监控系统对所有的事件按照上报的引擎分类进行计算源地址熵和目的地址熵,同时也计算出源、目的地址熵的每个时间点的基线值。利用EWMA的算法,判断当前时刻的熵值与学习期间的熵值相比判断各个线路的地址熵数据是否异常。三元组模型:通过安全事件检测功能上报上来的事件,网络态势感知监控系统对所有的事件按照上报的引擎分类进行,然后对事件按照三个维度进行全组合分析,找出各个线路各种组合排名靠前的TopN 的数据,并罗列出汇总的信息。单一方式攻击:源地址、目的地址、事件类型均相同的事件集合,说明:攻击者采用同一方法,对同一目标进行反复攻击的态势。多种攻击方式:源地址、
24、目的地址相同,事件类型任意的事件集合,说明:攻击者尝试多种方法,对同一目标进行反复攻击的态势。查找攻击目标:源地址、事件类型相同,目的地址任意的事件集合,说明:攻击者采用同一方法,查找可利用的目标的态势。遭受同种攻击:目的地址、事件类型相同,源地址任意的事件集合,说明:同一目标被多个攻击者采用同种方法反复攻击的态势。主要攻击来源:源地址相同,目的地址、事件类型任意的事件集合,说明:发出最多攻击事件主机的态势。濒危受害目标:目的地址相同,源地址、事件类型任意的事件集合,说明:被攻击次数最多的主机的态势。频发事件排名:事件类型相同,源地址、目的地址任意的事件集合,说明:被利用最多的攻击事件的态势。
25、热点事件模型:通过安全事件检测功能上报上来的事件,网络态势感知监控系统对各个引擎关注的热点事件进行汇总,并分析每个引擎的每类事件的发展趋势,同时根据发展趋势和热点事件的历史基线指标进行对比,来判断各个线路的事件的发展趋势是否异常。事件数量模型本模型根据监控当前日志事件的在一段检测期中,各种类型事件的数量数目,来分析当前被监控网络中安全的态势指标是否有异常,并对总体的安全态势起到数据支撑的作用。事件扩散模型本模型根据监控当前日志事件的在一段检测期中,各种类型事件的数量变化,来分析当前被监控网络中安全的态势指标是否有异常,并对总体的安全态势起到数据支撑的作用。2.6 综合关联分析综合关联分析完成各
26、种安全关联分析功能,关联分析能够将原始的设备报警进一步规范化并归纳为典型安全事件类别,从而协助使用者更快速地识别当前威胁的性质。系统提供三种关联分析类型:基于规则的事件关联分析、统计关联分析和漏洞关联分析。根据此关联分析模块的功能,结合客户业务应用系统的事件特征、分析与制定安全域与业务安全控制策略和基于业务应用的流程异常监控,制定相关的特定关联分析规则。关联分析包括:对安全事件的规则关联、统计关联,对安全事件和安全漏洞的漏洞关联,结果输入风险管理模块几个主要过程。图16. 综合关联分析2.6.1 规则关联分析基于规则的事件关联分析是把各种安全事件按照时间的先后序列与时间间隔进行检测,判断事件之
27、间的相互关系是否符合预定义的规则,从而触发分析总结出来的关联分析后事件。配置关联分析规则显示界面示例:图17. 基于规则的关联分析2.6.2 统计关联分析统计关联分析是用户通过定义一定时间内发生的符合条件的事件量达到规定量,从而触发关联事件。图18. 统计关联分析2.6.3 漏洞关联分析漏洞关联分析是系统收集到的事件对应的漏洞编号或端口与系统中存在的资产的漏洞编号或端口号符合,从而触发关联事件。目的是为了进一步降低系统的误报率。图19. 漏洞关联分析2.7 流量分析模型关于流量分析,我们从流量的角度来审视当前被监控网络内的安全态势情况,并为流量数据建立了各种模型,模型从整体,到局部,然后到细节
28、分成总体流量、协议流量、端口流量和应用流量四个模型进行对流量数据进行分析。平台也从总体到局部最后到细节全方位的来分析我们的安全态势。总流量模型根据流量基线算法,我们需要计算出被监控网络内总体流量基线,本模型对监控网络内的总体流量进行实时计算分析,根据学习到的总体流量的基线数据分析出当前流量是否异常。同时,总体流量指标也是流量总体安全分析的基础数据之一。协议流量模型根据流量基线算法,我们需要计算出被监控网络内协议流量(TCP,UDP,ICMP,其他协议)基线,本模型对监控网络内的上述协议流量进行实时计算分析,根据学习到的上述协议流量的基线数据分析出当前各种协议流量是否异常。同时,协议流量指标也是
29、流量总体安全分析的基础数据之一。端口流量模型根据流量基线算法,我们需要计算出被监控网络内端口流量(注:端口是用户可以进行自定义,用户可以根据需要配置相应端口数据,例如80,21等端口)基线,本模型对监控网络内的上述端口流量进行实时计算分析,根据学习到的上述端口流量的基线数据分析出当前各种端口流量是否异常。同时,端口流量指标也是流量总体安全分析的基础数据之一。应用流量模型根据流量基线算法,我们需要计算出被监控网络内应用流量(注:应用流量是用户可以进行自定义,用户可以根据需要配置相应端口和IP地址)基线,本模型对监控网络内的上述应用流量进行实时计算分析,根据学习到的上述应用流量的基线数据分析出当前
30、各种应用流量是否异常。同时,应用流量指标也是流量总体安全分析的基础数据之一。2.8 基线管理本系统从原来的单一的日志数据,扩展到日志和流量两种数据来分析网络内的安全态势问题,同时增加了更多的模型来帮助用户解决安全问题。针对这些模型,我们为每个模型都建立了相应的基线。TSOC的基线是动态基线,系统会通过自学习的过程为每个模型动态的建立起相应的基线,为每个模型分析安全态势提供了理论依据。基线的学习周期用户可以根据自己的需要来配置,这个版本中,我们引入了如下的基线: 地址熵基线 热点验证基线 高级事件数量基线 高级事件扩散基线 流量基线:流量基线中包含了总体流量、协议流量、端口流量和应用流量基线2.
31、9 安全策略管理安全策略管理模块可充分利用风险评估的结果进一步完善网络的安全策略管理体系建设,为全网安全运行管理人员提供统一的安全策略,为各项安全工作的开展提供指导,有效解决因缺乏口令、认证、访问控制等方面策略而带来的安全风险问题。图20. 安全策略管理2.10 网元管理功能2.10.1 拓扑监控1)能发现网络的拓扑结构,并提供图形方式的拓扑结构展现2)通过接收Trap信息和主动轮询两种方式及时地发现网络节点发生的各种故障,及时告警,通知管理员进行相关检查和管理3)能在拓扑图上通过扩展能够显示cpu、内存、硬盘等信息4)提供关于链路的连通性等信息2.10.2 网元状态监控1)能够监控网络设备、
32、安全设备、主机等的状态信息2)能够采集cpu、内存、延时等状态信息并且图形化展示3)可以监控端口流量信息2.10.3 TCP端口监控可以监控指定ip地址的端口状态信息2.10.4 数据库监控1)支持对数据库状态信息的采集。装填信息包含但不限于:数据库类型、数据库服务器主机名、数据库服务器ip地址、数据库版本、数据库缓冲区大小、表空间利用率、数据库会话连接数、lock信息等2)能够支持oracle、sqlserver等主流数据库的状态信息采集3)提供数据库监控功能,能够实时监控数据库的各种状态,提供图像化进行呈现。并且可以针对状态信息设定告警阈值,自动进行告警。2.11 工作流管理TSOC提供一
33、个统一而灵活的工作流程管理平台。可以为用户以及其它模块提供流程支持。工作流管理模块主要包括两部分功能:l 后台工作流管理:后台工作流管理负责同时定义、实现和维护多个流程。l 前台用户界面:前台用户界面负责提供各种流程的用户实际操作界面。用户使用工作流时,首先在工作流管理界面中,利用可视化、图形化的工作流编辑工具来定义各种业务流程。每个流程都可以由若干步骤和转移来实现,用户可以实现流程的前进、后退、分支、汇总等状态。流程描述元素可能包括:l 步骤:表示流程图中的某个结点l 转移:表示流程图中某两个结点之间的连线,具有方向性l 动作:包含自动动作和手动动作图21. 工作流管理流程图定义好一个工作流
34、后,就会自动生成与该工作流相关的工单界面。用户可以查看和处理与自己相关的来自各类工作流的工单。另外,工作流模块还对外提供流程相关的接口,供外部系统或内部系统的其它模块调用。比如:用户在针对某个事件做工作流响应时,可以配置选择按照哪个工作流来进行处理。2.12 设备控制管理设备控制管理模块提供了一个通用的、可扩展的设备控制框架,在TSOC中内置了两种控制协议:Telnet和SSH。如果某个设备支持通过这两种协议进行控制操作,那么用户就可以利用该模板提供的功能来对相关设备进行手动或自动的控制。设备控制管理模块将设备控制抽象成以下三个层次:l 设备控制功能:面向业务、面向操作,说明是“想要做什么”l
35、 设备控制脚本:面向设备类型,说明“如何操作该类型的设备”l 设备控制策略:面向具体设备,说明“如何操作具体某个设备”图22. 设备控制脚本配置设备控制管理模块提供了友好的人工界面供用户来对以上层次进行配置,通过以上三层的配置,用户就可以在多个场合进行手动或自动设备控制。举例来说:用户首先定义一个“关闭端口”的设备控制功能,然后再根据不同的设备类型来定义各个“关闭端口”的设备控制脚本,比如:“Linux的关闭端口”、“天清防火墙的关闭端口”等,接下来再为具体的设备定义设备控制策略,比如“关闭Linux主机(192.168.1.1)的端口”。当完成这些配置之后,用户就可以在设备管理中直接针对某个
36、设备运行相关的设备控制策略,从而实现相关控制。设备控制脚本是提供了一套简明的通用控制语法,用户在稍加学习之后,就可以按自己的意图写出相应的控制脚本。设备控制管理模块还提供接口调用功能,相关模块通过该接口可以调用设备控制功能。比如:如果设置TSOC中的响应方式,就可以实现“检测、响应、控制”的自动操作。2.13 多级管理多级管理模块上下级之间数据传输的内容能够通过策略进行配置,包括:上级能够向下级下发全局策略;下级能够定期上报安全报表(日报、周报、月报、季报、年报);下级能够按照上级要求自动上报高风险事件;下级能够通过上级向全网发出安全预警等。该页面展示了6个图表,分别是:总体运行天数,连续运行
37、天数,全局域风险值,资产总数,事件数,漏洞数;每个图表有该平台自身的和下级平台上报的这些数据,上级平台的数据不会在该页面展示。在多级管理模块中: 在下级平台上注册,页面上完善自身的平台信息(即属性信息)后,人工指定上级IP,并向上级提交注册。注册申请由上级指定权限的人员进行审核,审核通过后生效。平台自身可查看自己的上、下级列表、级联通道的状态。 下级可对上级上报全局域风险、运行天数、资产总数、事件数、漏洞数信息,下级能够按照上级要求自动上报高风险事件,下级能够通过上级向全网发出安全预警,上报周期可配置。上级可以通过监控界面查看下级上报数据,上级能够向下级下发全局策略。 配置自定义报表任务时,可
38、选择是否上报给上级,如选择是,报表生成后将自动上报。对已生成的报表可通过界面操作手动上报。下级能够定期上报安全报表(日报、周报、月报、季报、年报)。2.14 风险监控与管理风险管理模块具备事件、资产和域的风险管理功能。包括:风险计算、安全响应和预警、结果呈献三个主要过程。图23. 风险管理工作过程风险管理在平台中的实现过程如下: 借助于资产管理模块、事件管理模块和脆弱性管理模块的信息统一进行风险计算,形成风险信息。 根据高风险信息发出安全预警、产生安全响应,查询安全策略及时调动资源降低风险。 风险信息通过图表可视化直观显示,便于决策者随时了解系统风险情况,作出安全决策。2.14.1 事件风险监
39、控n 能够关联出安全事件所影响到的信息资产;n 根据事件的威胁级别、事件的类型、资产的安全需求,估算出安全事件对信息系统安全性的影响:u 能够估算出安全事件对信息系统保密性的影响;u 能够估算出安全事件对信息系统完整性的影响;u 能够估算出安全事件对信息系统可用性的影响;n 能够根据安全事件对信息系统的危害进行评级;n 实时给出高危害安全事件的列表;图24. 风险监控2.14.2 资产风险监控 根据资产的安全需求、资产面临的威胁进行综合评估,给出当前资产的风险状况:u 保密性风险:标示信息资产由于泄密可能造成的损失;u 完整性风险:标示信息资产由于数据被篡改可能造成的损失;u 可用性风险:标示
40、信息资产由于无法正常工作可能造成的损失; 能够根据资产风险的状况对资产进行评级:u 红色:表示资产处于高风险状态,需要立即进行处理;u 橙色:表示资产处于较高风险状态,需要及时进行处理;u 黄色:表示资产面临一定的风险,需要关注;u 蓝色:表示资产处于较为安全的状态;u 绿色:表示资产几乎未受到任何威胁,处于安全状况; 能够根据资产的风险状况进行排序,给出高风险资产清单; 用户可以从资产风险追踪到相关的高风险事件,从而有效判断资产风险的来源,并进行正确的处理;图25. 资产风险监控2.14.3 安全域风险监控 根据安全域中各子域和资产的风险,并考虑权重,给出当前安全域的风险状况:u 保密性风险
41、:标示安全域由于信息资产泄密可能造成的损失;u 完整性风险:标示安全域由于信息资产数据被篡改可能造成的损失;u 可用性风险:标示安全域由于系统无法正常工作可能造成的损失; 能够根据资产风险的状况对资产进行评级:u 红色:表示安全域处于高风险状态,需要立即进行处理;u 橙色:表示安全域处于较高风险状态,需要及时进行处理;u 黄色:表示安全域面临一定的风险,需要关注;u 蓝色:表示安全域处于较为安全的状态;u 绿色:表示资产几乎未受到任何威胁,处于安全状况; 能够根据资产的风险状况进行排序,给出高风险资产清单; 用户可以从安全域风险追踪到子域风险和资产风险,从而关联到相关的高风险事件,从而有效判断
42、风险的来源,并进行正确的处理;图26. 域风险监控2.14.4 实时风险监控实时监控界面示例如下:图27. 实时风险监控图28. 总体安全风险趋势2.15 安全预警管理安全预警对来自于不同威胁事件和脆弱性模块的资产漏洞状态信息,根据规则的事件关联分析、漏洞关联分析和风险评估的进行准确分析计算,形成统一的5级风险级别,为安全管理人员进行安全预警。风险级别如下:n 红色:表示高风险状态,需要立即进行处理;n 橙色:表示较高风险状态,需要及时进行处理;n 黄色:表示面临一定的风险,需要关注;n 蓝色:表示较为安全的状态;n 绿色:表示几乎未受到任何威胁,处于安全状况。安全预警模块提供两种预警方式:n
43、 基于脆弱性的预警:在接到安全厂商及软件系统发布厂商的新的漏洞通告时,安全预警模块调用关联分析中的基于漏洞的关联分析等模块,计算出该漏洞所影响的设备、系统和业务情况,从而得到该漏洞的风险等级。n 基于事件的预警:在接到新的威胁事件时,安全预警模块将调用基于规则的事件关联、基于统计的关联分析等模块,得到本威胁事件的影响值及影响范围,当该事件的影响值超过一定阀值后,将其进行展示,从而指导管理人员做好有效的防范工作。安全预警模块操作及显示界面示例如下:图29. 风险预警可以自定义预警信息,下面以“熊猫烧香”病毒为例进行说明,如下图所示:图30. 安全风险预警自定义2.16 安全策略文档管理组织进行安
44、全管理离不开一系列安全规范制度和安全策略的指导,TSOC提供了一个集中管理和发布各类安全策略文档的模块。通过该模块,用户可以:将组织中的各类安全规范制度和安全策略文档有层次的管理起来,用户可以将安全策略文档整理成树型结构,从而一目了然的展现上各策略之间的层次关系。为每个策略同时维护多种发布格式,比如:txt、word、excel、pdf、html等,管理员可以方便的更新和发布各类格式的策略文档每个策略文档都有一个 “策略标识”,策略标识等同于该策略文档的关键字的列表,通过“策略标识”可以拓展出策略查询及策略关联等功能。图31. 安全策略文档管理安全策略文档管理包括两个部分的功能:安全策略的定义
45、、生成、审核、发布、访问帮助用户制定组织的总体安全策略帮助各个子策略的管理员制作所负责系统或设备的具体策略总体安全策略经过审核后正式发布普通用户可以在线阅读和下载安全策略响应后对安全策略的关联与调用当系统运行中发生了某类安全事件后则根据预定义规则自动调用对应的安全策略,供管理员参考。2.17 安全信息知识库管理安全信息管理模块的功能是提供一个信息管理中心,将安全管理信息收集起来,形成统一的安全共享知识库,完成安全信息管理和WEB发布,主要包括安全事件库、设备原始事件库、安全案例库、安全公告、处置预案库、中国漏洞库(CNCVE)和安全链接等栏目的信息发布管理和浏览。目的是方便管理员进行信息管理和方便用户进行信息查询与浏览。安全信息知识库管理模块为用户提供知识库分级、分组的授权访问管理和内容上传、增、删、改等维护功能。总体结构如下:n 安全事件库,包括病毒蠕虫、拒绝服务攻击等9大类n 安全案例库u 网页篡改u 网络蠕虫u 拒绝服务攻击u 特洛伊木马u 计算机病毒u 黒客攻击u 攻击数据库等图32. 案例库n 安全知识库u 中国漏洞库(CNCVE)图33. 安全知识库n 处置预案库图34. 安全处置预案库2.18 综合显示与报表报告综合显示与报表报告模块是由拓扑显示、地图(GIS)显示、实时的Dash
限制150内