启明星辰泰合信息安全运营中心介绍

启明星辰泰合信息安全运营中心介绍（108万）

启明星辰TSOC采用成熟的浏览器/服务器/数据库架构，由“五个中心、五个功能模块”组成。

五个中心为漏洞评估中心、网络管理中心、事件/流量监控中心、安全预警与风险管理中心以及响应管理中心。

五个功能模块为资产管理、策略配置管理、自身系统维护管理、用户管理、安全知识管理。

启明星辰TSOC综合在一个平台上实现了信息采集、分析处理、风险评估、综合展示、响应管理、流程规范等网络安全管理需具备的所有功能。

主要功能如下：

1. 资产管理

管理网络综合安全运行管理系统所管辖的设备和系统对象。它将TSOC其所辖IP设备资产信息登记入库，并可与现有资产管理软件实现信息双向交互，可自动发现管理域里的新增资产，并按照ISO13335标准对资产的CIA属性（保密性、可用性、完整性）进行评估。

2. 事件管理

事件管理处理事件收集、事件整合和事件可视化三方面工作。

事件管理功能首先要完成对事件的采集与处理。它通过代理（Agent）和事件采集器的部署，在所管理的骨干网络、不同的承载业务网及其相关支撑网络和系统上的不同安全信息采集点(防病毒控制台、入侵检测系统控制台、漏洞扫描管理控制台、身份认证服务器和防火墙等)获取事件日志信息，并通过安全通讯方式上传到安全运营中心中的安全管理服务器进行处理。

在事件收集的过程中，事件管理功能还将完成事件的整合工作，包括聚并、过滤、范式化，从而实现了全网的安全事件的高效集中处理。事件管理功能本身支持大多数被管理设备的日志采集，对于一些尚未支持的设备，可通过通用代理技术（UA）支持，确保事件的广泛采集。

在事件统一采集与整合的基础上，泰合安全运营中心提供多种形式的事件分析与展示，将事件可视化，包括实时事件列表、统计图表、事件仪表盘等。此外，还能够基于各种条件进行事件的关联分析、查询、备份、维护，并生成报表。

3. 综合分析、风险评估和预警

综合分析是泰合安全运营中心的核心模块，其接收来自安全事件监控中心的事件，依据资产管理和脆弱性管理中心的脆弱性评估结果进行综合的事件协同关联分析，并基于资产（CIA属性）进行综合风险评估分析，形成统一的5级风险级别，并按照风险优先级针对各个业务区域和具体事件产生预警，参照安全知识库的信息，并依据安全策略管理平台的策略驱动响应管理中心进行响应处理。将预警传递到指定的安全管理人员，使安全管理人员掌握网络的最新安全风险动态，并为调整安全策略适应网络安全的动态变化提供依据。通过风险管理可以掌握组织的整体以及局部的风险状况，根据不同级别的风险状况，各级安全管理机构及时采取降低的风险的防范措施，从而将风险降低到组织可以接受的范围内。

预警模块中心从资产管理模块得到资产的基本信息，从脆弱性管理模块获取资产的脆弱性信息，从安全事

件监控模块获取发生的安全事件。得到上述这些原始信息后，本模块进行综合安全风险分析。综合安全风险分析是分析整个企业面临的威胁和确保这些威胁所带来的挑战处于可以接受的范围内的连续流程。应能够根据各监控点的资产信息、脆弱性统计信息以及威胁分布信息，为每一个资产定量地计算出相应的风险等级，同时根据业务逻辑，分析此风险对其他系统的影响，计算出业务系统或区域的整体安全风险等级。

4. 脆弱性管理

通过脆弱性管理可以掌握全网各个系统中存在的安全漏洞情况，结合当前安全的安全动态和预警信息，有助于各级安全管理机构及时调整安全策略，开展有针对性的安全工作，并且可以借助弱点评估中心的技术手段和安全考核机制可以有效督促各级安全管理机构将安全工作落实。

5. 网络管理

网络管理模块可通过SNMP协议或其它手段自动发现整个网络（局域网和广域网）的拓扑结构，对取得的网络拓扑结构通过比较直观的、可视化比较好的图形方式展现，在拓扑图上通过扩展能够显示故障、告警、性能、流量等网管信息。

系统通过配置能够对网络设备进行简单的命令操作，实现远程配置操作。通过接收Trap信息和主动轮询两种方式及时地发现网络节点发生的各种故障，及时告警，通知管理员进行相关检查和管理。通过监控各网络和网段的流量变化，及时反映当前网络的运行状态，并对所采集的性能数据进行分析，形成必要的报告，通过图表方式展现出来。根据性能数据、故障信息、告警信息形成统计报表。

创建实时的可视化网络设备状态，包括：CPU使用率、内存占用、硬盘占用和带宽占用等，使设备便于管理和分析。设备状态视图能对设备进行集中配置。可以根据网络应用环境，定制多种显示方式。

用户能联系特定的链接图、地理位置图和图表视图能够使不同层面的人员通过纠错生命周期来复制威胁鉴别过程。

6. 响应管理

仅仅及时检测到安全事件是不够的，必须做出即时的、正确的响应才能保证网络的安全。响应管理作为TSOC的重要组成部分之一为响应服务实现工具化、程序化、规范化提供了管理平台。

响应管理是根据当前的网络安全状态，及时调动有关资源做出响应，降低风险对网络的负面影响。响应模块负责根据预定义好的安全策略规则，可通过工单、邮件、屏幕、声音、手机短消息、语音电话等方式及时发布工作指令，调动有关资源做出响应。应在安全管理平台上实现人机接口。TSOC同时提供图形化的工作流管理，可按照实际情况定义响应流程，例如可以在图形界面上定制工单的流向状态等。

7. 策略管理

网络安全的整体性要求需要有统一安全策略和基于工作流程的管理。通过为全网安全管理人员提供统一的安全策略，指导各级安全管理机构因地制宜的做好安全策略的部署工作，有利于在全网形成安全防范的合力，提高全网的整体安全防御能力，同时通过TSOC策略和配置管理平台的建设可以进一步完善整个IP 网络的安全策略体系建设，为指导各项安全工作的开展提供行动指南，有效解决目前因缺乏口令、认证、访问控制等方面策略而带来到安全风险问题。

8. 安全知识库

安全知识库包括安全管理信息、安全技术园地、安全案例库、补丁库、CNCVE漏洞库、教学资料等栏目的信息发布管理和浏览，另外，提供BBS形式的安全技术信息交流功能，提供自学习型的安全知识库，大大提高安全技术人员技术水平。

泰合信息安全运营中心软件总体结构

泰合信息安全运营中心分为SMC、DAC和V-SIMS三部分。

SMC：安全管理中心，以B/S/D三层架构实现监控、管理、响应、报表等功能。

DAC：数据分析中心，其以后台服务方式实现综合分析、关联分析、资产发现、脆弱性信息采集分析等数据分析处理功能。

V-SIMS：安全信息管理系统，它完成了安全信息的采集、过滤、聚并、入库等功能，可以方便的实现分布、分级部署事件采集引擎。

泰合安全运营中心功能特色

1.强大的安全事件集中收集分析和处理能力

系统所支持的管理对象涵盖网络设备、主机系统和安全系统，安全产品包括防火墙系统、NIDS系统、Cisco Guard IPS、Nokia Firewall、漏洞扫描系统、防病毒系统、网络安全审计、身份认证系统等，网络产品包括路由器、交换机、Windows操作系统主机、Solaris操作系统主机、Oracle数据库、不同版本的WebLogic、流量管理系统等。

系统目前支持的采集方式包括：

? Syslog

? SNMP各版本

? 启明星辰VIP

? 数据库（ODBC）

? XML

? TEXT文本

2.集成的多种关联分析方法

通过关联分析模块完成各种安全关联分析功能，关联分析能够将原始的设备报警进一步规范化并归纳为典型安全事件类别，从而协助使用者更快速地识别当前威胁的性质。

系统提供三种关联分析类型：基于规则的事件关联分析、漏洞关联分析和统计关联分析。

事件关联分析