1.强大的安全事件集中收集分析和处理能力
系统所支持的管理对象涵盖网络设备、主机系统和安全系统，安全产品包括防火墙系统、NIDS系统、Cisco Guard IPS、Nokia Firewall、漏洞扫描系统、防病毒系统、网络安全审计、身份认证系统等，网络产品包括路由器、交换机、Windows操作系统主机、Solaris操作系统主机、Oracle数据库、不同版本的WebLogic、流量管理系统等。
系统目前支持的采集方式包括：
? Syslog
? SNMP各版本
? 启明星辰VIP
? 数据库（ODBC）
? XML
? TEXT文本
2.集成的多种关联分析方法
通过关联分析模块完成各种安全关联分析功能，关联分析能够将原始的设备报警进一步规范化并归纳为典型安全事件类别，从而协助使用者更快速地识别当前威胁的性质。
系统提供三种关联分析类型：基于规则的事件关联分析、漏洞关联分析和统计关联分析。
? 事件关联分析
可以在一定时间范围内根据事件的源地址、目的地址、源端口、目的端口及事件的类型等结合事件的等级、CIA属性等参数，对事件进行关联分析，这种关联分析的目的在于减少报警信息，对事件进行归并过滤。
? 漏洞关联分析
漏洞关联分析的目的在于要识别出假报警，同时为那些尚未确定是否为假肯定或假警报的事件分配一个置信等级。这种方法的主要优点在于，它能极大提高威胁运算的有效性并可提供适用于自动响应和/或告警的事件。
漏洞关联分析引擎使安全人员能确定不同事件的优先级从而及时地对这些事件做出响应。从多个来源收集漏洞数据。然后将这一数据关联到从代理处收集的资产威胁数据并为每个系统分配一个风险分数。
当观察到事件时，安全管理员可实时和自动地将正在发生的该事件与系统的漏洞分数进行比较和评价并确定是否应该采取措施。如果系统不容易遭到该事件的攻击，则无需采取任何行动。
通过将若干加权暴露参数相加，即可分配一个绝对的漏洞分数。在多个系统上进行规范化可提供适用于风险运算的系数。
? 统计关联
用户可以根据实际情况定义事件的触发条件，然后统计所发生的事件，如果在一定时间内发生的事件符合所定义的条件则触发关联事件。
3.基于业务单元（BU）或安全域的风险评估
风险管理是一个评价对整个企业的威胁并确保这些威胁所构成的风险在可接受程度内的连续过程 – 也包括那些尚属未知的威胁。风险是由威胁、CIA属性及价值和漏洞组成的。威胁是那些对网络资产可能构成危险的活动。网络资产的价值以及驻留在网络中的信息的价值本质上都是主观的因此会随时间而改变。它通常是由系统在公司中所发挥的作用以及该系统所存储或处理的数据来限定的。漏洞系指可导致威胁造成破坏的系统和软件薄弱环节。
采用能计算威胁和风险分数并将这些统计数据关联到针对该环境而定制的基于规则的计算结果中的专用公式为企业提供了威胁和风险评估。系统的评分功能可连续处理低水平攻击，以识别出表示高风险威胁的模式。其独特的评分算法可通过采用高级关联技术而检测出不同类型的威胁和攻击，可使企业识别出杂音、减少假肯定次数并迅速识别出真正的威胁，从而加快响应速度。
对网络中资产（主机及其应用系统、网络设备、安全设备）的安全事件的收集和管理，资产的脆弱状态信息收集和管理，结合事件、脆弱状态信息和资产/域所承载业务的CIA属性及价值进行综合关联分析计算，形成统一5级风险级别，便于安全管理人员及时掌握网络中各个业务域/安全域/地理域/行政域及关键资产的最新安全风险动态。通过各种风险的计算，并将计算后的结果提交给风险计算与监测模块形成统一的预/告警信息，便于信息安全管理人员从全局动态把握网络中各个业务域/安全域/地理域/行政域及关键资产的安全风险趋势。
其功能示意图如下：
 
4.多样化的安全预警
安全预警是一种有效预防措施。结合安全漏洞的跟踪和研究，及时发布有关的安全漏洞信息和解决方案，督促和指导各级安全管理部门及时做好安全防范工作，防患于未然。同时通过安全威胁管理模块所掌握的全网安全动态，有针对性指导各级安全管理机构做好安全防范工作，特别是针对当前发生频率较高的攻击做好预警和防范工作。
安全预警对来自于不同威胁事件和脆弱性模块的资产漏洞状态信息，根据规则的事件关联分析、漏洞关联分析和风险评估的进行准确分析计算，形成统一的5级风险级别，为安全管理人员进行安全预警。
? 基于脆弱性的预警
在接到安全厂商及软件系统发布厂商的新的漏洞通告时，安全预警模块调用关联分析中的基于漏洞的关联分析等模块，计算出该漏洞所影响的设备、系统和业务情况，从而得到该漏洞的风险等级。
? 基于事件的预警
在接到新的威胁事件时，安全预警模块将调用基于规则的事件关联、基于统计的关联分析等模块，得到本威胁事件的影响值及影响范围，当该事件的影响值超过一定阀值后，将其进行展示，从而指导管理人员做好有效的防范工作。
5.兼容国际的漏洞标准
启明星辰TSOC的漏洞评估管理通过人工审计和漏洞扫描工具两种方式，收集整个网络的弱点情况并进行统一管理，使得管理人员可以清楚的掌握全网的安全健康状况。
漏洞评估管理具有统一的可视界面，显示各个系统的安全漏洞分布情况，包括以下内容：
? 以显著的图示方式表示各个系统的漏洞级别；
? 该漏洞相关的链接信息，包括CVE编号、漏洞描述、受影响的系统类型以及漏洞的解决方案等信息；
? 统计信息，即给出漏洞的分布、数量等统计信息。
6.可视化的设备状态集中监控
自动扫描网络，图形化显示整个网络连接状况，能够监测网络设备的CPU、内存等占用率，并在设备异常或链路异常时提示告警。实现对网络设备的拓扑管理、故障管理、性能管理、告警管理、日志和报表管理。保障网络环境运行质量，降低网络出现故障的频率，帮助管理员对整个系统的分析、管理和优化。
7.多样化的显示方式
提供不同的数据视图，包括：整个网络的可视化视图、具体应用服务器的深入视图、关于以规则为基础的相关数据的交叉视图，以及可显示与最优风险水平不同的统计视图。还可实现关于以资产及业务为基础的风险的视图，如“对资产及业务的影响”和“攻击的可能性”等简单而有效的视图，使企业能更轻松地根据自身的独特需求来安排纠正措施的优先级。
8.全面的知识管理
启明星辰TSOC的知识管理模块既提供一般知识管理功能，比如安全知识库、培训和人员考核等，也提供了强大的漏洞库、事件特征库、安全配置知识库和案例库等。
另外，启明星辰公司作为国家CNCVE项目的承担单位拥有自主产权的漏洞库和事件特征库，TSOC的漏洞库和事件特征库兼容了国内国际上流行的各种漏洞库，比如CNCVE，CVE等，同时启明星辰的积极防御实验室会及时发布最新发现的各种安全漏洞，并定期对已知漏洞进行总结。
9.灵活部署具有极强可扩展性
启明星辰TSOC采用典型的B/S/D架构和三层体系架构（数据采集层、分析处理层和安全管理呈现表示层），系统采用模块化设计，拥有多层次的分布计算能力和多级灵活的大规模部署能力，具备极强可扩展性。
10.支持多平台
启明星辰TSOC目前支持Windows、Linux、Solaris（For SPARC）三个操作系统平台，并易于移植到其它平台。