泰合安全管理平台产品功能
发布时间:2011-09-20   录入:启明星辰

1.事件管理


事件管理处理事件收集、事件整合和事件可视化三方面工作。


事件管理功能首先要完成对事件的采集与处理。它通过代理(Agent)和事件采集器的部署,在所管理的骨干网络、不同的承载业务网及其相关支撑网络和系统上的不同安全信息采集点(防病毒控制台、入侵检测系统控制台、漏洞扫描管理控制台、身份认证服务器和防火墙等)获取事件日志信息,并通过安全通讯方式上传到安全运营中心中的安全管理服务器进行处理。


在事件收集的过程中,事件管理功能还将完成事件的整合工作,包括聚并、过滤、范式化,从而实现了全网的安全事件的高效集中处理。事件管理功能本身支持大多数被管理设备的日志采集,对于一些尚未支持的设备,可通过通用代理技术(UA)支持,确保事件的广泛采集。


在事件统一采集与整合的基础上,安全运营中心提供多种形式的事件分析与展示,将事件可视化,包括实时事件列表、统计图表、事件仪表盘等。此外,还能够基于各种条件进行事件的关联分析、查询、备份、维护,并生成报表。


2 .综合分析、风险评估和预警


综合分析是综合安全运营管理平台的核心模块,其接收来自安全事件监控中心的事件,依据资产管理和脆弱性管理中心的脆弱性评估结果进行综合的事件协同关联分析,并基于资产(CIA属性)进行综合风险评估分析,形成统一的5级风险级别,并按照风险优先级针对各个业务区域和具体事件产生预警,参照网络安全运行知识管理平台的信息,并依据安全策略管理平台的策略驱动响应管理中心进行响应处理。将预警传递到指定的安全管理人员,使安全管理人员掌握网络的最新安全风险动态,并为调整安全策略适应网络安全的动态变化提供依据。通过风险管理可以掌握组织的整体以及局部的风险状况,根据不同级别的风险状况,各级安全管理机构及时采取降低的风险的防范措施,从而将风险降低到组织可以接受的范围内。


预警模块中心从资产管理模块得到资产的基本信息,从脆弱性管理模块获取资产的脆弱性信息,从安全事件监控模块获取发生的安全事件。得到上述这些原始信息后,本模块进行综合安全风险分析。综合安全风险分析是分析整个企业面临的威胁和确保这些威胁所带来的挑战处于可以接受的范围内的连续流程。应能够根据各监控点的资产信息、脆弱性统计信息以及威胁分布信息,为每一个资产定量地计算出相应的风险等级,同时根据业务逻辑,分析此风险对其他系统的影响,计算出业务系统或区域的整体安全风险等级。


3. 脆弱性管理


通过脆弱性管理可以掌握全网各个系统中存在的安全漏洞情况,结合当前安全的安全动态和预警信息,有助于各级安全管理机构及时调整安全策略,开展有针对性的安全工作,并且可以借助弱点评估中心的技术手段和安全考核机制可以有效督促各级安全管理机构将安全工作落实。


4 .响应管理


仅仅及时检测到安全事件是不够的,必须做出即时的、正确的响应才能保证网络的安全。响应管理作为TSOC的重要组成部分之一为响应服务实现工具化、程序化、规范化提供了管理平台。
响应管理是根据当前的网络安全状态,及时调动有关资源做出响应,降低风险对网络的负面影响。网络安全响应模块负责根据预定义好的安全策略规则,及时通过工单发布工作指令,调动有关资源做出响应。应在安全管理平台上实现人机接口。所有的工单经人工审核后,通过人工派单方式发送到相应的工单处理部门。


通过调用本程序,接收网络与安全事件监控模块、脆弱性管理模块、综合分析与预警模块等模块的预警信息。实现与网络与安全事件监控模块、脆弱性管理模块、综合分析与预警模块等模块的接口,接收这些模块产生的预警信息,启动预警处理流程处理预警;


5 .网络管理


网络管理模块可通过SNMP协议或其它手段自动发现整个网络(局域网和广域网)的拓扑结构,对取得的网络拓扑结构通过比较直观的、可视化比较好的图形方式展现,在拓扑图上通过扩展能够显示故障、告警、性能、流量等网管信息。


系统通过配置能够对网络设备进行简单的命令操作,实现远程配置操作。通过接收Trap信息和主动轮询两种方式及时地发现网络节点发生的各种故障,及时告警,通知管理员进行相关检查和管理。通过监控各网络和网段的流量变化,及时反映当前网络的运行状态,并对所采集的性能数据进行分析,形成必要的报告,通过图表方式展现出来。根据性能数据、故障信息、告警信息形成统计报表。


6 .策略管理


网络安全的整体性要求需要有统一安全策略和基于工作流程的管理。通过为全网安全管理人员提供统一的安全策略,指导各级安全管理机构因地制宜的做好安全策略的部署工作,有利于在全网形成安全防范的合力,提高全网的整体安全防御能力,同时通过TSOC策略和配置管理平台的建设可以进一步完善整个IP网络的安全策略体系建设,为指导各项安全工作的开展提供行动指南,有效解决目前因缺乏口令、认证、访问控制等方面策略而带来到安全风险问题。


7. 知识管理


安全信息管理是安全信息的WEB发布系统,不仅可以充分共享各种安全信息资源,而且也会成为各级网络安全运行管理机构和技术人员之间。实现在安全管理中心WEB门户提供统一界面以安全WEB的形式发布最新的安全信息,并将处理的安全事件方法和方案收集起来,形成一个安全共享知识库,该信息库的数据以数据库的形式存储及管理,为培养高素质的网络安全技术人员提供培训资源。


安全信息管理模块包括安全管理信息、安全技术园地、安全案例库、补丁库、漏洞库、教学资料等栏目的信息发布管理和浏览,另外,提供BBS形式的安全技术信息交流功能。

 

8 .资产管理


资产管理主要是管理TSOC监控范围的各个系统和设备,是风险管理、事件监控协同工作和分析的基础。实现对网络综合安全运行管理系统所管辖的设备和系统对象的管理。它将其所辖IP设备资产与风险的重要程度关系,依据风险评估的结果、定期的漏洞扫描结果和本模块的信息资产相结合,遵从ISO13335标准的基于资产CIA属性,按照资产信息、漏洞、补丁与备件分类导入或登记入库,并为其他安全运行管理模块提供信息接口,比如响应管理中心、综合分析与预警平台等。


9 .用户管理


提供用户集中管理的功能,对用户可以访问的资源权限进行细致的划分,具备安全可靠的分级及分类用户管理功能,要求支持用户的身份认证、授权、用户口令修改等功能;支持不同的操作员具有不同的数据访问权限和功能操作权限。   


系统管理员应能对各操作员的权限进行配置和管理,要有完整的安全控制手段,对用户和系统管理员的权限进行分级管理, 相应的账号和口令加密存放,充分保证用户信息的安全性。对系统操作员的密码有安全保障机制。用户的账号等数据以数据库的形式进行加密存储及管理;对用户数据的管理保证其完整性和一致性,在系统出错的情况下,对用户数据要有有效的保护措施。


10 .报表处理


作为整个系统的公共基础模块,为各个功能提供报表支持。报表输出格式可转换为PDF 、HTML、RTF、CSV等多种常用的标准格式。TSOC提供的主要报表包括:


资产信息报表


提供总体资产报表、域资产分布报表、资产详细信息报表。


事件信息报表


提供域事件分布报表,按照不同事件类别提供各类事件的趋势报表。


脆弱性信息报表


提供脆弱性分布报表,提供脆弱性统计分析报表。


综合分析与预警报表


供综合安全风险分析的报表,提供风险查询报表,可以根据资产、域、趋势等进行分类输出,包括分析数据分布范围、受影响的系统、可能的严重程度等。


响应过程报表


提供响应模块发生的响应事件的统计报表,按照响应事件的紧急程度、响应对象、响应人员分类列表。


综合显示报表


提供综合显示模块的实时截屏报表,包括列表显示报表输出、拓扑安全信息报表输出、电子地图安全信息报表输出。


平台自身日志报表


提供平台自身日志的报表,包含访问人、访问次数、访问时间等。


11 .综合显示


综合显示模块作为整个安全管理平台统一人机界面接口,将各个界面的信息集中显示和发布,采用Web方式,支持各功能模块的信息显示和管理。综合显示模块提供多种的信息显示和发布方式。


基于列表的信息显示


提供列表方式的信息显示,通过简明清晰的列表来显示信息,支持信息的检索、排序和查询。


基于网络拓扑的信息显示


与网管系统接口相结合,在网络拓扑上提供信息显示,可以在逻辑层面定位事件发生的位置。


基于电子地图的信息显示


与电子地图系统接口相结合,在地理上提供信息显示,可以在物理层面定位事件发生的位置。


12 .工作流管理


TSOC提供一个统一而灵活的工作流程流程管理平台。可以为用户以及其它模块提供流程支持。
工作流管理模块主要包括两部分功能:


后台工作流管理:后台工作流管理负责同时定义、实现和维护多个流程。


前台用户界面:前台用户界面负责提供各种流程的用户实际操作界面。


用户使用工作流时,首先在工作流管理界面中,利用可视化、图形化的工作流编辑工具来定义各种业务流程。每个流程都可以由若干步骤和转移来实现,用户可以实现流程的前进、后退、分支、汇总等状态。


流程描述元素可能包括:


步骤:表示流程图中的某个结点


转移:表示流程图中某两个结点之间的连线,具有方向性


动作:包含自动动作和手动动作


定义好一个工作流后,就会自动生成与该工作流相关的工单界面。用户可以查看和处理与自己相关的来自各类工作流的工单。


另外,工作流模块还对外提供流程相关的接口,供外部系统或内部系统的其它模块调用。比如:用户在针对某个事件做工作流响应时,可以配置选择按照哪个工作流来进行处理。


13 .设备控制


设备控制管理模块提供了一个通用的、可扩展的设备控制框架,在TSOC中内置了两种控制协议:Telnet和SSH。如果某个设备支持通过这两种协议进行控制操作,那么用户就可以利用该模板提供的功能来对相关设备进行手动或自动的控制。


设备控制管理模块将设备控制抽象成以下三个层次:


? 设备控制功能:面向业务、面向操作,说明是“想要做什么”


? 设备控制脚本:面向设备类型,说明“如何操作该类型的设备”


? 设备控制策略:面向具体设备,说明“如何操作具体某个设备”


设备控制管理模块提供了友好的人工界面供用户来对以上层次进行配置,通过以上三层的配置,用户就可以在多个场合进行手动或自动设备控制。


举例来说:用户首先定义一个“关闭端口”的设备控制功能,然后再根据不同的设备类型来定义各个“关闭端口”的设备控制脚本,比如:“Linux的关闭端口”、“天清防火墙的关闭端口”等,接下来再为具体的设备定义设备控制策略,比如“关闭Linux主机(192.168.1.1)的端口”。当完成这些配置之后,用户就可以在设备管理中直接针对某个设备运行相关的设备控制策略,从而实现相关控制。


设备控制脚本是提供了一套简明的通用控制语法,用户在稍加学习之后,就可以按自己的意图写出相应的控制脚本。


设备控制管理模块还提供接口调用功能,相关模块通过该接品可以调用设备控制功能。比如:如果设置TSOC中的响应方式,就可以实现“检测、响应、控制”的自动操作。


14 .安全策略文档管理


组织进行安全管理离不开一系列安全规范制度和安全策略的指导,TSOC提供了一个集中管理和发布各类安全策略文档的模块。通过该模块,用户可以:


将组织的中各类安全规范制度和安全策略文档有层次的管理起来,用户可以将安全策略文档整理成树型结构,从而一目了然的展现上各策略之间的层次关系。


为每个策略同时维护多种发布格式,比如:txt、word、excel、pdf、html等,管理员可以方便的更新和发布各类格式的策略文档


每个策略文档都有一个 “策略标识”,策略标识等同于该策略文档的关键字的列表,通过“策略标识”可以拓展出策略查询及策略关联等功能。


安全策略文档管理包括两个部分的功能:


安全策略的定义、生成、审核、发布、访问


帮助用户制定组织的总体安全策略


帮助各个子策略的管理员制作所负责系统或设备的具体策略


总体安全策略经过审核后正式发布


普通用户可以在线阅读和下载安全策略


响应后对安全策略的关联与调用


当系统运行中发生了某类安全事件后则根据预定义规则自动调用对应的安全策略,供管理员参考。


15 .运行状态监控


创建实时的可视化网络设备状态,包括:CPU使用率、内存占用、硬盘占用和带宽占用等,使设备便于管理和分析。设备状态视图能对设备进行集中配置。可以根据网络应用环境,定制多种显示方式。


用户能联系特定的链接图、地理位置图和图表视图能够使不同层面的人员通过纠错生命周期来复制威胁鉴别过程。


16 .自身安全保障


安全运营中心作为整个网络安全运行的监控者和管理者,其中的每一步关键操作都会对整个网络安全产生重要影响,甚至会改变网络运行方式和运行状态,因此安全运营中心体系自身的安全性非常重要。安全运营中心体系的自身安全包括多方面,如物理安全,数据安全,通讯安全等。安全运营中心在总体设计时必须考虑安全运营中心体系的使用安全和管理流程安全。


在所有组件之间进行可选的加密方式确保安全的通信


引擎可利用数字证书对所有用户类代理进行身份验证


增强的用户和管理界面可采用基于SSL的身份验证


可在所有组件之间实现统一的配置

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号