SOC安全管理平台解决方案

安氏推出安全管理中心解决方案
安全管理中心解决方案（SOC）替 您解决种种烦恼
建立以管理者和资产为核心 的管理体系
将所有安全产品和事件通过 统一的界面联系起来
提供智能，包括各种关联分 析 提供完善的安全功能，包括 漏洞管理、威胁管理、知识 管理、响应管理、配置管理
以安全资产为核心的管理系统
领导 领导
可以对任何字段进行关联，没有限制 支持通过Rules Wizard快速生成关联规则 对所有收集到的日志进行关联，只要能收集，就能关联 极高的性能和可扩展性，支持多个规则级同时应用和方便切换 当关联性规则满足时，可以创建incident
对可能的攻击作出及时有效的回应
产生的Correlation Event可以通过实时界面查看，也可以通过报表展示 可以导入和导出Correlation规则，导出后为xml文件格式
安全管理中心技术交流
议程
企业安全管理存在的主要问题
安氏安全管理中心解决方案概述
安氏安全管理中心解决方案的主要模块 配置建议 安氏安全管理中心解决方案优势
分散的体系增加成本
分散的专用解决方案
防火墙、入侵检测、认 证、防毒
每个系统有自己的单独 的管理监控系统
各种产品的安全信息缺乏 联系和沟通
重复数据
安氏安全管理中心解决方案概述
安氏安全管理中心解决方案的主要模块 配置建议 安氏安全管理中心解决方案优势
优势概述
国内唯一有成功案例的供应商
专门的SOC研发队伍
强大的智能处理引擎 全面的安全产品即插即用支持 其他优势
国内唯一有成功案例的供应商
江苏移动
浙江电信
中信集团 平安保险 浙江移动 北京电信
江苏电信
依托安氏公司强大的服务队伍实现的安全知识的提供 和更新
安氏开发管理简介
以需求规格说明为中心（使用Use Case描述软件规格说明）
严格的变更控制（变更控制委员会Change Control Board） 完善的配置管理和版本管理（CVS）
单元测试自动化（CUnit、CppUnit、JUnit）
独立的QA审核 强大的Bug跟踪（StarTeam）
目标：“规范、简明、准确、反馈”
专门的SOC研发队伍
在南京建立专门的SOC研发中心
目前组建50人的专门soc研发队伍
目前组建4～5人专门实施和支持队伍 2004年6月推出全新的SOC2.0
基于公司已经建立的研发规范和流程 全公司共享的配置管理、测试和QA队伍
ST-FORCE小组提供安全模型和技术方面的技术支持
收到这样的告警：一台UNIX服务器受到telnet溢出攻 击，但是我们检查发现该服务器已经打了补丁 IDS报告一个服务器被攻击了，但是我们不知道这个攻 击有没有成功
我发现问题了，可是我该怎么解决，哪里有可以参考 的信息？
议程
企业安全管理存在的主要问题
安氏安全管理中心解决方案概述
安氏安全管理中心解决方案的主要模块 配置建议 安氏安全管理中心解决方案优势
事件关联
Correlation rule种类
Watchlist
Advanced Watchlist Basic Correlation Advanced Correlation Free rule Language
事件关联
Watchlist
通过向导（Wizard）建立
该correlation 规则允许指定一个文本Fra Baidu bibliotek，correlation Engine 会在接收到的所有事项的所有的Meta-tag中进 行检查 例如：Watchlist能够检查一个黑客的源ip地址，一旦 在任何事项的任何位置发现该地址，立即报告并作出 对策
安氏公司研发体系简介
安氏安全实验室（STForce – Security Technical Force） －国内最早的安全实验室，专业的安全研究和 跟踪
安全产品和软件项目开发
强有力的研发队伍（全公司约160人） 完善的软件工程规范：适合公司的一整套软件工程规范
以SW-CMM1.1版提出的SW-CMM框架为参考 符合ISO9000质量保证体系 吸取Team Software Process（TSP 小组软件过程）、 Extreme Programming（XP 极限编程）等其他开发过程的长 处研发
一个工单的处理流程案例
风险管 理中心
发现事件 关联分析 产生高级告警 通过监控发 现高级告警 预备工单 知识库 资产库
自动化的发现 是
否
End
安全主管 检查结果 是否满意 创建/重新发送工单
系统管理员
汇报结果
处理事故
接收工单
Email/短 信通知
议程
企业安全管理存在的主要问题
安氏安全管理中心解决方案概述
多级系统接口
长期目标
分阶段实施－短期目标
短期目标
中期目标 长期目标
配置管理的自动化和集中化 知识管理的体系化
风险管理的全面自动化和可衡量
相关性和数据挖掘实现的趋势分析、决策支持 与其它信息系统的高度融合
设备部署
防火墙及服务器日志采集服 务器：Intel 服务器，win2k
事件处理服务器 Solaris9+Oracle9i
Sentinel Console —事项关联
工作原理
Correlation Engine
Console—事项 监视
从Agent收 到事项
规则
Sentinel收到数据，correlation Engine按照定义好的规则进行检查 ，如果发现相关事项，进行记录， 达到规则条件，发出correlation 事项 correlation 数据库
孤立地看待安全事件
不便于信息的分配和使用 不能够提供关键的资产信息 不能从整体风险的角度来看待安全
需要建立以资产、风险为核心的体系
将所有信息归结到资产
再资产层面进行关联和分析 将资产归结到管理员
缺乏智能关联和基于知识的分析
我们最主要的一些烦恼
海量事件：看着事件不断涌现，很难抓住重点，海量 事件意味着巨大的工作量，海量事件日益成为日常工 作中的首要难题 我需要了解我的系统是否健康，哪里的问题最为严重 ，需要我去处理，但是我仅仅看到一堆原始的日志
每个管理员可以管理 的安全设备数目
费用
没有安全管理中心
有安全管理中心
需要管理的安全设备数量
安全管理中心体系架构
安全管理中心模块架构
可定制界面 配置 管理 资 产 管 理 知识 管理 响应 管理 安全处理核心
角 色 管 理
威胁 管理
漏洞 管理
系 统 维 护
安氏 SOC 框架
议程
企业安全管理存在的主要问题
规范的文档输出
每日创建（Nightly Build） 增量形迭代式开发
Real-time Correlation
业界首个实时关联引擎，重点完成实时分析、自动响应和解决
基于内存的数据库技术提高关联速度 125个预先定义的关联规则
根据用户定义的规则，自动，持续地分析遍布整个企业的，格式化的实时 的事项数据
安氏安全管理中心解决方案的主要模块 配置建议 安氏安全管理中心解决方案优势
分阶段实施－短期目标
短期目标
一定的安全事件集中收集和处理能力：实现现有安全 产品的事件收集和集中管理
基本的资产和风险管理体系：导入评估资产和相关的 资产价值、漏洞、威胁、风险
安全知识共享体系：初始漏洞库、安全通告知识、本 次项目中的相关文档 基本的安全事件响应管理系统：工单系统 集中的安全设备配置管理：通过集中厂商的配置管理 系统实现
中期目标 长期目标
建议SOC配置举例
软件 安全管理中心主框架软件包
漏洞管理 威胁管理 响应管理 配置管理 知识管理 Oracle
数量 1
1 1 1 1 1 1
说明 1000资产
50＋50设备 60设备 50设备 1年 数据库
分阶段实施－中期目标
短期目标
中期目标
实现安全事件管理功能对更多安全设备的覆盖 安全事件响应管理系统与网管系统/emos的联动 全面的风险、事件与响应管理的联动，更加全面地针 对性优化规则和响应能力 配置策略的自动收集和审核 安全软件/补丁管理
入侵检测日志采集服务器： Intel 服务器，win2k
Internet Scanner主机
高级模块及门户服务器 intel服务器win2003svr ＋sharepoint＋crystal Enterprise
风险管理核心服务器 intel服务器win2ksvr
数据采集-防火墙及主机
日志服务器 服务器
安氏安全管理中心解决方案概述
安氏安全管理中心解决方案的主要模块 配置建议 安氏安全管理中心解决方案优势
SOC主框架
可定制的WEB界面
强大的安全处理核心
资产管理 角色管理 系统维护
漏洞管理
内置Scanner
支持基于SOC界面的配置、升级、维护、扫描计划定 制、数据自动进入数据库
安氏认证scanner：配置和驱动Scanner
全面的漏洞库：3200种各类技术和管理类漏洞
安氏安全信息通告服务
安全园地：各类知识和手册 项目实施文档 讨论社区
响应管理
工单管理是响应管 理中最核心的部分 通过提供应用程序 接口和API接口灵 活提供各种外部响 应手段
响 应 管 理 Email 短信 SNMP Trap 工单管理 应用程序接口 可定制接口
数据采集－Linktrust network Defender
LND Agent
SQL Server2000
Agent Manager
Intel 1CPU 1G内存 100G硬盘
ODBC
LND Sensor
LND Sensor LND Manager
LND Sensor
议程
企业安全管理存在的主要问题
的发现和响应
我要密切关注安全健康状况，
对事件进行分析和处理
我需要处理各种安全工作流程，
系统管理员：
我也需要了解自己系统的安全
情况！我在哪里可以看到？ 怎么处理啊？ 识？
支持和协助系统管理员完成安全 工作
让我处理故障，可是我不知道
能否让我经常学习一些安全知
以安全产品和事件为核心的不合理性
传统产品以事件为核心
无用数据 误报 海量数据
信息分配和共享不充分
传统安全产品仅仅提供面向安全人员的信息,但实际上， 所有人都从自身角度触发需要了解安全信息
管理者：
安全到底如何了？ 有没有一说话的数字？ 一切是否在掌握之中？ 我们的投资又什么回报？
安全管理员：
我关心所有和安全相关的信息 我更关注最新安全更新，主动
SOC和scanner结合带来的优势
远程多用户管理 被动扫描 关联：基于资产将入侵检测、防火墙和扫描 器的信息关联在一起 借助与ids的关联，将作业计划内对资产扫描 产生的事件标志为一般日志，防止误报 借助SOC的作业计划能力灵活定义定期扫描 借助SOC的角色管理能力限制随意的扫描， 保证正确的授权 借助SOC的响应管理模块，可以使用email 、短信等方式通知，并且可以实现工单的派 发 借助SOC的资产系统，支持漏洞基于业务系 统（多个资产组成的集合）的分布统计
支持Internet Scanner 将漏洞扫描升级为基于资产的风险管理的概念，并且 支持支持关联分析，使扫描结果更为有效
安氏支持scanner：手工导入
支持其它扫描器扫描结果手工导入
强大的内置scanner
Scanner本身强大的 功能
支持远程安装，支 持多主机部署 可以扫描多达1500 个漏洞，以及500 种以上的信息 支持高速扫描 支持全面扫描，例 如对www服务的 扫描不限于80端口 灵活的可定制策略 快速更新，每周更 新保证最快最及时 为用户提供更新
安全管理员 系统管理员 系统管理员
系统 资产 资产 资产 资产 资产 资产
安全事件
漏洞
SOC解决方案降低您的安全风险
通过安全管理中 心解决方案，我 们可以更快地发 现和响应，从而 在问题扩大或者 造成损失之前解 决它 －江苏移动
安全 风险
采用安氏SOC 时间
未采用安氏SOC
安全管理中心可以为我们带来的回报
Soket
Agent Manager
Server agent
服务器 服务器
PIX Agent Cyberwall Agent
Socket
日志主机 PIX PIX
Intel 1CPU 1G内存 100G硬盘
ODBC
Linktrust Log Manager
Syslog Linktrust Cyberwall Linktrust Cyberwall Linktrust Cyberwall
事件管理
利用wizard解决方案提供灵活的可定制的事件收集， 支持可视化编写 支持事件的高级处理，包括：
数据过滤 标准化 数据合并 分级 实时数据关联
支持将事件归纳到资产
配置管理
产品配置和控制
Linktrust Cyberwall系列
Linktrust IDS系列
配置的收集、备份和审计
知识管理