1泰合安全管理平台(泰合安全管理平台(TSOC))架构及功能架构及功能 �2 TSOC平台构成平台构成 概述概述 平台架构平台架构TSOC主要功能主要功能 主要模块主要模块 各模块功能介绍各模块功能介绍�3TSOCTSOC系统概述系统概述泰合安全管理平台,是为解决各安全产品间的协作问题而建立起来的一个信息泰合安全管理平台,是为解决各安全产品间的协作问题而建立起来的一个信息交换、信息存储、信息处理平台,通过该平台,可以对各安全产品进行控制管交换、信息存储、信息处理平台,通过该平台,可以对各安全产品进行控制管理泰合安全管理平台由用户管理、事件管理和安全管理中心三部分组成泰合安全管理平台由用户管理、事件管理和安全管理中心三部分组成用户管理是泰合安全管理平台的必要功能,为泰合安全管理平台的所有组件提用户管理是泰合安全管理平台的必要功能,为泰合安全管理平台的所有组件提供集中的统一用户认证与管理供集中的统一用户认证与管理 事件管理是泰合安全管理平台的基础组件,完成多种类型设备的日志、状态、事件管理是泰合安全管理平台的基础组件,完成多种类型设备的日志、状态、告警等信息的多级分布式采集与预处理,并实施必要的控制。
告警等信息的多级分布式采集与预处理,并实施必要的控制 安全管理中心是泰合安全管理平台的核心服务组件,重点完成采集信息的综合安全管理中心是泰合安全管理平台的核心服务组件,重点完成采集信息的综合分析、实时监控、展示查询、报表、配置管理、响应等功能,并提供与此相关分析、实时监控、展示查询、报表、配置管理、响应等功能,并提供与此相关的知识库的知识库 �4TSOCTSOC的平台构成的平台构成安全信息采集平台安全信息采集平台安全信息采集平台安全信息采集平台SIMSSIMS设备接口设备接口Device Interface防病毒防病毒主机应用主机应用入侵检测入侵检测防火墙防火墙网络设备网络设备安全风险管理平台安全风险管理平台安全风险管理平台安全风险管理平台SMCSMC用户接口用户接口User Interface决策层管理者操作者管理者操作者海量存储海量存储Data Base事件库事件库资源库资源库知识库知识库�5SMC安全管理中心安全管理中心数据库数据库SIMS监控屏幕监控屏幕监控屏幕监控屏幕网络行为监控网络行为监控脆弱性扫描脆弱性扫描交换机交换机路由器路由器服务器服务器防火墙防火墙安全网关安全网关入侵检测入侵检测漏洞信息:漏洞信息:日志信息:日志信息:访问信息:访问信息:展示信息:展示信息:SOC域域TSOC的部署方式�6TSOC 功能模块功能模块事件管理事件管理域与资产管理域与资产管理 报表管理报表管理 日志管理日志管理 响应管理响应管理用户管理用户管理预警管理预警管理风险管理风险管理脆弱性管理脆弱性管理工作流管理工作流管理实时监控实时监控设备管理设备管理知识库管理知识库管理关联分析关联分析 系统管理系统管理TSOCTSOC主要功能模块主要功能模块�7事件处理事件处理事件采集事件采集事件范式化事件范式化事件过滤事件过滤事件合并事件合并全面设备支持多种采集方式所有事件按照相同的策略进行范式化根据范式化后的字段进行过滤合并事件存储事件存储范式化后的事件统一入库事件分析事件分析事件分类、分级风险计算事件响应事件响应事件处理事件处理多种响应方式自定义工作流事件预警事件预警自动事件预警事件审计事件审计事件查询事件报表�8事件管理事件管理�9资产和安全域管理资产和安全域管理以一种结构化的方式来反映组以一种结构化的方式来反映组织的信息资产,从而有效地进织的信息资产,从而有效地进行管理行管理可以从逻辑或业务、技术等多可以从逻辑或业务、技术等多个方面来设计域结构个方面来设计域结构–地理视角–组织视角–业务视角–功能视角–网络视角–……�10脆弱性管理脆弱性管理两种导入方式两种导入方式–漏洞扫描工具提供关于脆弱性的可视界面提供关于脆弱性的可视界面漏洞管理漏洞管理查看资产的端口信息和漏洞查看资产的端口信息和漏洞信息信息�11风险管理风险管理发现风险高的域发现风险高的域发现风险高的子域发现风险高的子域发现风险高的资产发现风险高的资产发现风险高的事件发现风险高的事件对事件做出响应对事件做出响应�12关联分析关联分析关联分析实际是指从海量事件中有目的地发现和提取关联分析实际是指从海量事件中有目的地发现和提取出特定事件的过程和做法出特定事件的过程和做法通常是根据事件的类型、网络的安全策略、攻击上下通常是根据事件的类型、网络的安全策略、攻击上下文等进行分析文等进行分析通过关联来自不同地点、不同时间、不同层次、不同通过关联来自不同地点、不同时间、不同层次、不同类型的安全事件,类型的安全事件,来发现真正的安全风险来发现真正的安全风险,提高安全,提高安全报警的信噪比报警的信噪比对收集上来的安全事件进行关联性分析,发现事件之对收集上来的安全事件进行关联性分析,发现事件之件的关联性,件的关联性,以便进行有效的响应以便进行有效的响应�13关联分析规则关联分析规则关联分析–由用户预定义规则对两个或以上的事件进行关联,以准确发掘判断出众多事件中的安全事件。
–它基于小的时间片,实时性较强统计关联分析统计关联分析–按统计学,将某时间段中事件信息进行统一分析,参照一些基线及阀值,对安全态势进行判断和预测–基于大时间片,实时性低漏洞关联分析漏洞关联分析–漏洞关联分析是判断系统收集到的事件所对应的漏洞编号或端口与系统中存在的资产的漏洞编号或端口号是否符合,如果符合就触发关联事件–进一步降低系统的误报率�14响应管理响应管理可灵活定制的响应规则可灵活定制的响应规则多种响应方式多种响应方式–屏幕–声音–邮件–工单–对话框–设备控制�15工作流管理工作流管理�16工单管理工单管理�17安全预警人工预警人工预警–发布一条漏洞预警–分析漏洞的影响事件预警事件预警–基于已发生的事件–推测潜在威胁�18运行状态监控运行状态监控�19设备控制管理设备控制管理基于设备类型的脚本控制基于设备类型的脚本控制 支持批量操作支持批量操作事件自动触发控制响应事件自动触发控制响应�20用户管理用户管理基于角色的访问控制管理(基于角色的访问控制管理(Role-Based Access Control))三权分立的管理体制三权分立的管理体制–细分用户的资源访问权限和功能操作权限–不同用户的帐号和口令加密存放内置三个帐户内置三个帐户–用户管理系统管理员(UserAdmin)–审计管理员(AuditAdmin)–权限管理员 (SmcAdmin)�21用户管理用户管理监控人员组监控人员组配置人员组配置人员组管理人员组管理人员组权限拷贝权限拷贝�22报表管理报表管理领导领导主管主管分析人员分析人员操作人员操作人员�23综合监控综合监控�24安全信息知识库升级服务安全信息知识库升级服务�25Windows采集对象采集对象MicrosoftWindowsMicrosoftMicrosoft采集方式采集方式第一层第一层第二层第二层Agent强大的设备支持强大的设备支持�26泰合中心提供研发支持泰合中心提供研发支持泰合中心提供研发支持泰合中心提供研发支持或向合作伙伴开放开发接口或向合作伙伴开放开发接口或向合作伙伴开放开发接口或向合作伙伴开放开发接口研发人员研发人员研发人员研发人员4040多人,覆盖北京、多人,覆盖北京、多人,覆盖北京、多人,覆盖北京、上海上海上海上海强大的定制开发能力强大的定制开发能力�27资质完备资质完备《《计算机软件著作权登记证书计算机软件著作权登记证书》》《《计算机信息系统安全专用产品销售许可证计算机信息系统安全专用产品销售许可证》》《《涉密信息系统产品检测证书涉密信息系统产品检测证书》》《《国家信息安全认证产品型号证书国家信息安全认证产品型号证书》》《《军用信息安全产品认证证书军用信息安全产品认证证书》》《《计算机世界计算机世界》》2008年度产品奖年度产品奖2008年中国安全管理平台市场占有率第一2008年中国安全管理平台市场占有率第一2006年度计算机网络和信息防护解决方案优秀奖年度计算机网络和信息防护解决方案优秀奖2006年度中国计算机报编辑选择奖年度中国计算机报编辑选择奖�28广泛成功案例广泛成功案例�29谢谢谢谢欢迎莅临启明星辰大厦参观指导欢迎莅临启明星辰大厦参观指导�。