网御安全管理系统

22
单级部署：混合分布式部署
业务系统 服务区
高安全等级 服务区
DMZ区
Intern Internet et
远程 个人 网络核心区 内部用户区 管理区 分支 机构
管理中心 分布式事件 存储器
Leadsec Confidential 23
多级部署
上级管理中心
WAN
下级管理中心
下级管理中心
Leadsec Confidential

预置报表 自定义报表 预置报告 自定义报告 报表调度

知识检索 案例库 漏洞库 事件库 字典表 文档库 16
*该功能默认不提供，需要定制。后同。
Leadsec Confidential
系统组成
• • 管理中心【分为软件型和硬件型】 性能采集器（可选）
–
– – –
包括了TSOC的核心功能 管理中心内置性能采集模块，具备全部监控功能 管理中心内置事件采集模块，具备全部事件采集功能
性能采集器可以独立安装部署，或者与事件采集器集成部署，功能同管理中心内置的性能采集模块， 用以辅助管理中心实现分布式性能采集与监控 事件采集器可以独立安装部署，或者与性能采集器集成部署，功能同管理中心内置的采集模块，用以 辅助管理中心实现分布式事件采集和负载均衡 对于Windows日志，系统还提供一个单独的Windows日志代理软件，可以安装在Windows系统的 主机上，采集Windows系统的日志 流采集器可以独立安装部署，用以辅助管理中心实现网络流采集和分析 用于对海量事件进行分布式存储、查询、提取、统计及其它相关处理 配置核查采集器可以独立安装部署，用以实现分布式配置核查，或者离线配置核查 对于Windows操作系统，系统提供一个配置核查代理，安装在Windows上进行本机配置核查
当前的安管平台能够告知我们哪里出了问题， 但不能提前告知我们哪里将会出问题
Leadsec Confidential
7
当前安全管理平台的缺陷
过度倚重基于规则的关联分析，只能发现已知的问题
基于规则的关联分析引擎必须要 有规则才能运行 规则只能对已知的攻击和行为进 行描述 基于规则的 关联分析引擎 匹 配 规则集 无法识别未知的攻击，或者是尚 未被描述成规则的攻击和行为
当前的安管平台能够告知我们 IT资产的安全，但却无法告知 我们业务系统的安全
Leadsec Confidential 6
当前安全管理平台的缺陷
以安全事件为分析要素，偏事后分析，以被动响应为主
安全事件是对已经发生或者正在 发生的行为的描述 对安全事件的分析偏事后和事中 分析结果更多地是指导我们进行 故障处置、应急响应
下级管理中心
24
网御星云SOC的核心作用
安全事件分析、 定位与跟踪
掌握并展示安全状 态和发展趋势
应急指挥调度
日常维护服务 (分析报告)
Leadsec Confidential 25
面向各角色用户的一体化安全管控
•掌握整体安全态势
•评估安全机制的有效性 •提供安全管理决策支持
高层领导
•掌握业务系统安全态势
SOC：下一代安全管理平台
业务的
主动的
智能的
以业务为核心 业务建模 业务健康指数
内建主动安全机制 事前脆弱性管控 预警管理
• 配置核查 • 漏洞扫描 • 安全预警 • 性能预警
智能化关联分析
• 规则关联 • 情境关联 • 行为关联
• 业务性能与可用性 • 业务脆弱性 • 业务威胁水平
智能化态势分析 知所未知
态势分析
预警管理
告警管理
工单管理
报表管理
知识管理

态势建模 指标体系设计 地址熵态势 威胁态势 热点分析 安全管理KPI*

预警发布 预警审批 预警分析 预警规则管理 预警查看

告警查看 告警处理 告警追溯 告警统计 告警响应

工单派发 工单调度 工单查看 工单流转 工单统计
•查阅业务系统安全报告 业务部门领导 •协调安全事件的处理 •落实安全策略 •制定任务计划 •出具分析报告 •监测网络可用性
安全经理
•安全事件审计
运维人员 全网IT资源 SOC安全管理平台
Leadsec Confidential
•任务处理与应急响应
一体化安全管控
26
面向各角色用户的一体化安全管控
Leadsec Confidential
从性能与可用性、 威胁和脆弱性三 个维度计算业务 健康度
外在需求
全面有效地的契合等级保护的要求 符合国家法律、行业法规、企业规定 切实可行的内控、信息科技风险防范 合规审计
共同内因
我们处于 危险中么？
发生什么了？
有漏洞吗？
我下一步该 做什么？
•安全孤岛 •孤立的管理手段
重要资产的安全状况无法监控
•分散的IT安全防御设施 •复杂的业务信息系统

业务建模 业务健康指数 业务拓扑 业务可用性 业务告警 业务事件

性能信息采集 拓扑管理 网络故障诊断 基础设施监控 应用监控

核查项管理 核查策略管理 核查作业调度 离线核查 核查报告

弱点管理 漏扫调度 威胁管理 风险建模 风险评估
完善的系统自身安全性 保证
Leadsec Confidential
29
面向业务的安全管理
为用户提供业务支撑拓扑地图，能够对业务进行多视角安全管理
业务事件
业务健康 指数度量
业务可用 性分析
业务告警
业务拓扑
SOC内置业务建模工具，可以构建业务拓 扑，并自动构建业务健康指标体系，从业 务的性能与可用性、业务的脆弱性和业务 的威胁三个维度计算业务的健康度
国内客户需求分析
Leadsec Confidential
5
当前安全管理平台的缺陷
以IT资产为管理对象，无法洞悉全网及业务系统的结构性安全
业务系统 = 建筑物 IT资产 = 建筑物的水泥和沙子 水泥和沙子的质量固然重要，但好的水泥和 沙子也不一定能够建构起好的建筑物，关键 还要看整个建筑物的结构是否合理
Leadsec Confidential
可以钻取到资产层
30
业务支撑构成的建模
业务系统
业务支撑构成
WEB服 务器 WS
WEB网
站系统 数据库服 务器
Oracle
交换机
存储
通过业务拓扑反映业务构成，从业务视角 观察相关资产的运行状况和安全状况
Leadsec Confidential 31
业务健康指数计算模型
虚拟化
云设施
物理安防
…… 15
核心功能分解
资产管理 业务管理 性能监控 事件管理 配置核查 风险评估
事件采集 事件建模 事件存储 事件审计追踪 关联分析 关联规则管理 行为分析 事件可视化

资产建模 资产维护 安全域管理 资产视图 资产事件审计 资产性能监测 资产风险评估
管理区 网络核心区
SOC-管理 中心
远程 个人
内部用户区
分支 机构
图 示
SOC-分布式 采集器 汇聚线路 采集线路 Leadsec Confidential 20
单级部署：采集分布式部署
业务系统 服务区
管理中心
高安全等级 服务区
DMZ区
采集器
Interne Internet t
管理区
网络核心区
SOC-管理 中心
当前的安管平台能够发 现已知的安全问题，但 却无法发现未知的安全 问题
Leadsec Confidential 8
当前安全管理平台的缺陷
以资产为 管理对象
•个体化的 •局部的 •非结构化的
•规则驱动的 •先验性的 •已知的
当前的 安全管理平台
以规则关联 为分析手段
以事件为 分析要素
•已经发生了的 •事后的 •被动的
远程 个人
内部用户区
分支 机构
图 示
SOC-分布式 采集器 汇聚线路 采集线路 Leadsec Confidential 21
单级部署：事件存储分布式部署
通过部署分布式事件存储器， 将海量安全事件分散存储在不 同的存储器上，通过数据分布
式处理技术实现天量数据的高
性能处理能力
Leadsec Confidential
四个维度建立一个全网统一的业务支撑平台，使得各
– 可用性、性能与服务水平监控， – 配置及事件分析、审计、预警与响应， – 风险及态势的度量、评估、考核与评价， – 标准化、例行化、常态化的安全流程管控，
• 通过面向业务的主动化、智能化安全管理 • 实现业务信息系统的持续安全运营。
Leadsec Confidential 11
•
• • • • •
事件采集器（可选）【分为软件型和硬件型】
–
日志代理（可选）
–
流采集器【也称作“网络行为分析模块”、硬件】（可选） 事件存储器（可选）
– – – –
配置核查采集器（可选） 配置核查代理（可选）
Leadsec Confidential
17
管理中心端运行环境
平台 Windows 支持的操作系统 系统需求 – 64位操作系统 – 最低Intel酷睿双核CPU，推荐使用Intel 至强4核以上CPU – 至少4GB内存，推荐16GB以上内存 – 1TB以上磁盘空间 – 64位操作系统 – 最低Intel酷睿双核CPU，推荐使用Intel 至强4核以上CPU – 至少4GB内存，推荐16GB以上内存 – 1TB以上磁盘空间
– Windows Server 2008 R2 Enterprise – Windows Server 2003
Enterprise Edition SP2
– Windows 7 Enterprise Linux – Redhat Enterprise Linux6.3 – CentOS 6.3
管理中心分为内置数据库版和外置Oracle版
27
安全管理平台需求分析
目录
网御星云SOC系统介绍 产品特点与价值 其它功能
服务优势
Leadsec Confidential
28
产品特点
主动化的弱点管理与预警 智能化的安全事件分析 全方位的系统运行监控 可量化的安全风险评估
SOC
面向业务
指标化的宏观态势感知
丰富灵活的报表报告
用户网络和业务影响性 最小化
应用接口层
数据库层
资产 业务 拓扑 性能 事件 配置 漏洞 风险 预警 告警 工单 规则 知识 系统
配置核查
风险评估 告警管理
态势分析
预警管理 工单管理
其它 系统
知识管理
报表管理
采集层
被保护对象
资产采集
性能采集
事件采集
漏洞采集
配置采集
网络设备
安全设备
主机
存储
数据库 中间件 应用/服务 Leadsec Confidential
Leadsec Confidential 18
灵活多样的部署方式
单级
• 单机部署
• 采集分布式部署 • 事件存储分布式部署 • 混合分布式部署
部署
多级 部署
Leadsec Confidential
19
单级部署：单机部署
业务系统 服务区
管理中心
高安全等级 服务区
DMZ区
Interne Internet t
防火墙 IDS
主机 网络设备
应用 防病毒
身份认证 漏洞扫描
Leadsec Confidential
3
等保《安全设计技术要求》明确安管平台
Leadsec Confidential
4
国内客户对安管平台的关键诉求
2011年底51CTO发布《2011中国SOC安全管理平台市场应用现状报告》
源自文库
统一的安全事件管理 统一的网络运行监控
Leadsec Confidential
12
用户视图
多维展现
安全要素信息 采集
安全分析
响应与 处置
系统支撑
Leadsec Confidential
13
技术架构
Leadsec Confidential
14
功能架构
展示层 功能层
资产管理 性能监控 业务管理 事件分析 仪表板管理 采集器管理 级联管理 权限管理 系统管理 资产界面 业务界面 监控界面 审计界面 风险界面 运维界面
Leadsec Confidential
9
安全管理平台需求分析
目录
网御星云SOC系统介绍 产品特点与价值 其它功能
服务优势
Leadsec Confidential
10
网御星云安全管理平台（SOC）定义
• 以IT资产为基础，以业务信息系统为核心，以用户
体验为指引，从监控、审计、度量、运维
种用户能够对业务信息系统进行
安全管理平台产品介绍 Leadsec-SOC
v3.0.0.02002 Revision 2
2014年10月31日
安全管理平台需求分析
目录
网御星云SOC系统介绍 产品特点与价值 其它功能
服务优势
Leadsec Confidential
2
安全管理平台的两大动因
内在需求
全网整体安全态势监控 系统整体运行状态监控 便捷、高效的管控平台和界面 集中化的监控、审计、预警、响应、报告