单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,*,SOC平台功能分析,市场上主流的,SOC,平台,东软,SOC,华三的,SecCenter,天融信的,Top Analyser&TSM,联想网御,安氏,ArcSight ESM,Cisco SIMS&MARS,RSA,产品规划,SOC,产品的价值,TSOC,的不足,短期和长期规划,东软,SOC,架构,数据采集层:,根据要求从网络设备、安全设备、主机系统等数据来源采集各种安全信息数据处理层,:将采集到的原始安全信息进行关联分析处理,实现格式标准化,根据策略进行数据归并和压缩后,存储到数据库中应用服务层:,从数据库中提取信息,按照策略完成数据的过滤、条件分析,为展示平台提供数据支持;同时还是展示平台进行资源配置的接口展示平台层,:实现,NetEye,安全运维平台的统一界面展示通过统一的图形化管理界面,,NetEye,安全运维平台实现了安全监控、维护、管理、展示的全部功能东软,SOC,东软,SOC,资产管理,脆弱性管理,风险管理,安全信息监控,策略管理,工单管理,知识库管理,安全预警,故障信息显示,报表,关联分析,TSOC,和东软,SOC,的比较,优点,不足,安全域管理,资产管理信息丰富,设备控制功能,工作流的功能比较弱,配置比较复杂,关联分析功能的预期效果比较差,SIMS,的配置和,SMC,分离,华三,SecCenter,SecCenter,的核心价值体现在于其事件关联功能上;,数据采集协议支持:,NetStream,、,NetFlow,、,CFlow,、,Syslog,、,Windows WMI,、,ODBC,定位于,SIEM,,不是,SOC,华三,SecCenter,监控,事件关联分析,网络的拓扑展示,TSOC,与华三的比较,优点,不足,风险分析,脆弱性管理,安全域的管理概念,工作流,综合监控的信息不明了,关联分析不足,网络管理能力不足,引擎配置没有整合到,SMC,中,引擎支持的日志收集格式较少,天融信,TSM,TSM,(,Trust Network Security Management System,)是天融信新一代网络安全综合管理平台。
TSM,采用代理,+,服务器,+,管理器的三层结构天融信,TSM,资产管理,网络拓扑管,理,理,策略管理,监控,事件智能检,测,测,事件分析,天融信,TopAnalyser,TopAnalyzer,作为,soc,中心的软件,平,平台,以风,险,险管理为核,心,心,资产管,理,理为基础,,事,事件管理为,主,主线,辅以,有,有效的管理,、,、监视与响,应,应功能,为,用,用户构建动,态,态的可信安,全,全管理体系,天融信,TopAnalyser,天融信,TopAnalyser,事件管理,安全分析与,报,报表,资产管理,知识库,实时监控,关联分析,基于专家系,统,统的辅助决,策,策系统,基于规则的,安,安全响应与,报,报警,全局内风险,管,管理与计算,工单管理,TSOC,和,TopAnalyser,的比较,优点,不足,脆弱性管理,资产信息丰富,报表内容比较丰富,实时监控的展示形式不丰富,关联分析不足,引擎配置没有整合到,SMC,中,设备控制相对较弱,数据库支持不广泛,联想网御,-,安全管理平,台,台,联想网御针,对,对对企业信,息,息安全比较,重,重视的中高,端,端用户推出,的,的第三代安,全,全管理平台,定,定位于集中,设,设备监控和,全,全局审计分,析,析,是网络,安,安全的中枢,神,神经系统,,也,也是联想网,御,御信息安全,解,解决方案的,核,核心。
联想网御,-,安全管理平,台,台,联想网御,-,安全管理平,台,台,联想网御,-,安全管理平,台,台,设备管理,设备监控,告警管理(,告,告警关联),日志审计,资产管理,策略管理(,防,防火墙和VPN的策略,配,配置),风险管理,级联管理(,多,多级),TSOC与,联,联想网御的,比,比较,优点,不足,脆弱性管理,安全域的管理概念,工作流,丰富的知识库,强大的关联分析功能,引擎配置没有整合到,SMC,中,缺少日志审计功能,缺少设备策略配置功能,只有,SIMS,的多级部署,安氏 SOC,资产管理,风险管理,脆弱性管理,工单预警,统计分析(,关,关联分析),知识库管理,指标管理,CiscoSIMS,是一个安全,信,信息管理(,SIM,)应用程序,,,,它可实现,与,与多种不同,安,安全产品之,间,间的异种机,互,互操作性,,因,因此可使网,络,络管理人员,集,集中监控、,管,管理和监督,企,企业网络的,安,安全性范式化后的,9,中事件:,访问,/,身份验证,/,授权,应用程序盗,用,用,配置,/,系统状态,拒绝服务,躲避,违反政策,侦察企图,未知,/,可疑,病毒,/,特洛伊木马,CiscoSIMS,风险和威胁,分,分析评估,监控,事件响应管,理,理,多级关联,知识库,CiscoCS-MARS,CS-MARS:(CiscoSecurity Monitoring,Analysisand Responder System),定义了事件,被,被处理的流,程,程(,8,个步骤),充分利用了,网,网络拓扑的,属,属性,来减,少,少误报、发,现,现网络热点,、,、找到最佳,防,防御点和提,高,高证据分析,能,能力,CiscoCS-MARS,智能网络拓,扑,扑发现,事件进程化,管,管理,风险关联分,析,析,流量异常分,析,析,误报分析,安全预警与,响,响应,脆弱性评估,报表,Arcsight ESM,Arcsight ESM,ArcSight,体系结构:,可,可满足世界,上,上规模最大,的,的、安全性,能,能要求最高,的,的网络的需,要,要,ArcSight ESM,的扩展不仅,限,限于单级部,署,署,多级和,对,对等方式部,署,署也能够很,好,好的进行扩,展,展。
因此,,您,您可以采用,最,最适合您企,业,业的方式进,行,行部署,无,论,论是部署单,个,个安全营运,中,中心,(SOC),,还是部署,地,地理位置分,散,散、相互间,必,必须不断共,享,享信息的多,个,个安全营运,中,中心Arcsight ESM,事件监控,响应处理,智能关联,合规性报告,多级部署,支持,Discovery,分析工具,RSA Envision,RSA Envision,关联预警,审计管理,安全事件管,理,理,行为合规性,检,检测,实时监控,预警(与基,线,线做比较),基线管理,脆弱性分析,集,集成,竞争对手功,能,能对比表,SOC,产品的价值,客户的价值,从众多安全,事,事件中分析,网,网络的安全,状,状况,进行,从,从宏观到微,观,观的展示可以定位出,安,安全事件的,焦,焦点,可以,做,做到逐步钻,取,取的达到准,确,确定位提供给客户,一,一份安全,/,合规性报告,是否可以提,供,供深度的事,后,后数据挖掘,企业内部的,价,价值,为企业的安,全,全产品提供,整,整体的解决,方,方案为公司提供,和,和大客户和,战,战略客户合,作,作提供基础,SOC,发展方向,实时监控,关联分析,数据智能挖,掘,掘,威胁管理,风险管理,等级保护,综合审计,数据存储,TSOC,现在的状况,SIMS,引擎数据采,集,集分类不合,理,理,功能全,但,是,是不精,产品业务流,程,程混乱,界面的监控,显,显示不突出,报表的内容,太,太苍白,用户的网络,安,安全宏观监,控,控没有,配置部署太,复,复杂,模块化程度,不,不高,产品,和,和定制开发,成,成本高,产品规划目,标,标,短期目标,加强,TSOC,的市场竞争,力,力,(,核心,功,功能,),),补充,从,从前,方,方来,的,的客,户,户需,求,求,长期,目,目标,立足,核,核心,功,功能,,,,深,度,度发,展,展核,心,心功,能,能,建,立,立,架,架,构,构,灵,灵,活,活,的,的,SOC,产,品,品,平,平,台,台,,,,,降,降,低,低,产,产,品,品,和,和,定,定,制,制,开,开,发,发,成,成,本,本,产,品,品,线,线,细,细,分,分,/,多,样,样,化,化,在,国,国,内,内,的,的,SOC,竞,争,争,(,(,技,技,术,术,),),中,中,应,应,该,该,处,处,于,于,NO.1,产,品,品,短,短,期,期,规,规,划,划,(,(,一,一,),),TSOC3.0.8.0,引,进,进,基,基,线,线,管,管,理,理,,,,,让,让,系,系,统,统,可,可,以,以,在,在,事,事,件,件,、,、,流,流,量,量,方,方,面,面,可,可,以,以,通,通,过,过,学,学,习,习,过,过,程,程,,,,,建,建,立,立,标,标,准,准,区,区,域,域,基,基,准,准,。
通,过,过,对,对,比,比,区,区,域,域,基,基,准,准,,,,,来,来,做,做,全,全,局,局,的,的,整,整,体,体,网,网,络,络,安,安,全,全,、,、,流,流,量,量,异,异,常,常,分,分,析,析,展,展,示,示,对,全,全,局,局,的,的,展,展,示,示,,,,,可,可,以,以,进,进,行,行,数,数,据,据,钻,钻,取,取,,,,,从,从,整,整,体,体,局,局,部,部,设,设,备,备,事,事,件,件,,,,,来,来,准,准,确,确,定,定,位,位,事,事,件,件,增,加,加,安,安,全,全,报,报,告,告,,,,,在,在,内,内,容,容,和,和,格,格,式,式,上,上,改,改,进,进,改,进,进,关,关,联,联,分,分,析,析,子,子,系,系,统,统,增,加,加,3,个,分,分,析,析,模,模,块,块,(,(,地,地,址,址,熵,熵,、,、,三,三,元,元,组,组,和,和,热,热,点,点,),),核,心,心,功,功,能,能,模,模,块,块,和,和,定,定,制,制,开,开,发,发,模,模,块,块,组,组,件,件,化,化,或,或,者,者,模,模,块,块,化,化,产,品,品,短,短,期,期,规,规,划,划,(,(,二,二,),),TSOC3.0.9.0,SIMS,和,SMC,的,整,整,合,合,多,级,级,管,管,理,理,引,入,入,VWP,平,台,台,组,组,件,件,部,分,分,功,功,能,能,模,模,块,块,化,化,(,(,主,主,要,要,集,集,中,中,在,在,定,定,制,制,开,开,发,发,模,模,块,块,多,多,的,的,功,功,能,能,),),网,络,络,拓,拓,扑,扑,产,品,品,长,长,期,期,规,规,划,划,(,(,一,一,),),产,品,品,架,架,构,构,重,重,新,新,设,设,计,计,,,,,做,做,到,到,灵,灵,活,活,可,可,拆,拆,分,分,。
尽,尽,量,量,做,做,到,到,系,系,统,统,可,可,以,以,与,与,WEB,服,务,务,器,器,无,无,关,关,和,和,数,数,据,据,库,库,系,系,统,统,无,无,关,关,做,一,一,个,个,产,产,品,品,基,基,础,础,平,平,台,台,-,威,胁,胁,管,管,理,理,综,合,合,监,监,控,控,基,线,线,管,管,理,理,流,量,量,管,管,理,理,关,联,联,分,分,析,析,知,识,识,库,库,报,表,表,产,品,品,长,长,期,期,规,规,划,划,(,(,二,二,),),在,产,产,品,品,平,平,台,台,基,基,础,础,上,上,开,开,发,发,风,风,险,险,管,管,理,理,平,平,台,台,资,产,产,管,管,理,理,风,险,险,管,管,理,理,脆,弱,弱,性,性,管,管,理,理,在,产,产,品,品,平,平,台,台,基,基,础,础,上,上,开,开,发,发,审,审,计,计,平,平,台,台,合,规,规,性,性,报,报,表,表,在,产,产,品,品,平,平,台,台,的,的,基,基,础,础,上,上,开,开,发,发,等,等,级,级,保,保,护,护,平,平,台,台,风,险。