啟明星辰泰和安全管理平臺

產(chǎn)品設(shè)計原理及架構(gòu)

作為當前國內(nèi)安全管理平臺市場的領(lǐng)頭羊，啟明星辰泰和SOC系統(tǒng)是一個以IT資產(chǎn)為基礎(chǔ)，以業(yè)務(wù)信息系統(tǒng)為核心，以客戶體驗為指引，從監(jiān)控、審計、風險和運維四個維度建立起來的一套可度量的統(tǒng)一業(yè)務(wù)支撐平臺，使得各種用戶能夠?qū)I(yè)務(wù)信息系統(tǒng)進行可用性與性能的監(jiān)控、配置與事件的分析審計預警、風險與態(tài)勢的度量與評估、安全運維流程的標準化、例行化和常態(tài)化，最終實現(xiàn)業(yè)務(wù)信息系統(tǒng)的持續(xù)安全運營。借助泰和SOC系統(tǒng)，用戶可以將日常安全管理工作由無序變?yōu)橛行?、化復雜為簡單，全面提升網(wǎng)絡(luò)安全管理能力，幫助企業(yè)從局部安全提升為全局安全、從單點防御提升為協(xié)同防御、從模糊管理提升為量化管理。

泰和SOC系統(tǒng)基于開放式的軟件平臺設(shè)計架構(gòu)，由多個功能模塊組成，用戶可以自由選擇搭配，后續(xù)還能夠無縫升級。圖3為系統(tǒng)的總體架構(gòu)圖。

圖3 泰和SOC系統(tǒng)總體架構(gòu)圖

產(chǎn)品功能

系統(tǒng)的主要功能包括以下幾點。

1.面向業(yè)務(wù)的統(tǒng)一安全管理

系統(tǒng)內(nèi)置業(yè)務(wù)建模工具，用戶可以構(gòu)建業(yè)務(wù)拓撲，反映業(yè)務(wù)支撐系統(tǒng)的資產(chǎn)構(gòu)成，并自動構(gòu)建業(yè)務(wù)健康指標體系，從業(yè)務(wù)的性能與可用性、業(yè)務(wù)的脆弱性和業(yè)務(wù)的威脅三個維度計算業(yè)務(wù)的健康度，協(xié)助用戶從業(yè)務(wù)的角度去分析業(yè)務(wù)可用性、業(yè)務(wù)安全事件和業(yè)務(wù)告警。

2.全面的日志采集

可以通過多種方式來收集設(shè)備和業(yè)務(wù)系統(tǒng)的日 志，例 如 Syslog、SNMP Trap、FTP、OPSEC LEA、NETBIOS、ODBC、WMI、Shell腳本、Web Service等。

3.智能化安全事件關(guān)聯(lián)分析

借助先進的智能事件關(guān)聯(lián)分析引擎，系統(tǒng)能夠?qū)崟r不間斷地對所有范式化后的日志流進行安全事件關(guān)聯(lián)分析。

4.全面的脆弱性管理

系統(tǒng)實現(xiàn)與天鏡漏掃、網(wǎng)御漏掃和綠盟漏掃系統(tǒng)的實時高效聯(lián)動，內(nèi)置安全配置核查功能，從技術(shù)和管理兩個維度進行全面的資產(chǎn)和業(yè)務(wù)脆弱性管控。

5.主動化的預警管理

用戶可以通過預警管理功能發(fā)布內(nèi)部及外部的早期預警信息，并與網(wǎng)絡(luò)中的IP資產(chǎn)進行關(guān)聯(lián)，分析出可能受影響的資產(chǎn)，提前讓用戶了解業(yè)務(wù)系統(tǒng)可能遭受的攻擊和潛在的安全隱患。

6.主動化的網(wǎng)絡(luò)威脅情報利用

系統(tǒng)提供主動化的威脅情報采集，通過采集實時威脅情報，結(jié)合規(guī)則關(guān)聯(lián)和觀察列表等分析方式，使安全管理人員及時發(fā)現(xiàn)已發(fā)現(xiàn)的外部攻擊源的威脅。

7.基于風險矩陣的量化安全風險評估

系統(tǒng)參照GB/T 20984-2007信息安全風險評估規(guī)范、ISO 27005:2008信息安全風險管理，以及OWASP威脅建模項目中風險計算模型的要求，設(shè)計了一套實用化的風險計算模型，實現(xiàn)了量化的安全風險估算和評估。

8.指標化宏觀態(tài)勢感知

針對系統(tǒng)收集到的海量安全事件，系統(tǒng)借助地址熵分析、熱點分析、威脅態(tài)勢分析、KPI分析等數(shù)據(jù)挖掘技術(shù)，幫助管理員從宏觀層面把握整體安全態(tài)勢，對重大威脅進行識別、定位、預測和跟蹤。

9.多樣的安全響應(yīng)管理

系統(tǒng)具備完善的響應(yīng)管理功能，能夠根據(jù)用戶設(shè)定的各種觸發(fā)條件，通過多種方式（例如郵件、短信、聲音、SNMP Trap、即時消息、工單等）通知用戶，并觸發(fā)響應(yīng)處理流程，直至跟蹤到問題處理完畢，從而實現(xiàn)安全事件的閉環(huán)管理。

10.豐富靈活的報表報告

系統(tǒng)內(nèi)置了豐富的報表模板，包括統(tǒng)計報表、明細報表、綜合審計報告，審計人員可以根據(jù)需要生成不同的報表。

11.流安全分析

除了采集各類安全事件，系統(tǒng)還能夠采集形如NetFlow的流量數(shù)據(jù)，并進行可視化展示。針對采集來的NetFlow流量數(shù)據(jù)的分析，系統(tǒng)能夠建立網(wǎng)絡(luò)流量模型，通過泰合特有的基于流量基線的分析算法，發(fā)現(xiàn)網(wǎng)絡(luò)異常行為。

圖4 泰和SOC系統(tǒng)部署場景

12.知識管理

系統(tǒng)具有國內(nèi)完善的安全管理知識庫系統(tǒng)，內(nèi)容涵蓋安全事件庫、安全策略庫、安全公告庫、預警信息庫、漏洞庫、關(guān)聯(lián)規(guī)則庫、處理預案庫、案例庫、報表庫等，并提供定期或者不定期的知識庫升級服務(wù)。

13.用戶管理

系統(tǒng)采用三權(quán)分立的管理體制，默認設(shè)置了用戶管理員、系統(tǒng)管理員、審計管理員分別管理。系統(tǒng)用戶管理采用基于角色的訪問控制策略，即依據(jù)系統(tǒng)中角色的行為來限制對資源的訪問。

14.自身系統(tǒng)管理

實現(xiàn)了系統(tǒng)自身安全及維護管理。主要包括組織管理、系統(tǒng)數(shù)據(jù)庫及功能組件運行狀態(tài)監(jiān)控、日志維護及其他一些與系統(tǒng)本身相關(guān)的運行維護的管理和配置功能。

15.一體化的安全管控界面

系統(tǒng)提供了強大的一體化安全管控功能界面，為不同層級的用戶提供了多視角、多層次的管理視圖。

應(yīng)用場景

泰和SOC系統(tǒng)廣泛應(yīng)用于各類企事業(yè)單位，尤其能夠滿足客戶對于信息系統(tǒng)等級保護和企業(yè)內(nèi)部控制的要求。圖4展示了SOC系統(tǒng)的典型部署場景。

由圖4可知，作為系統(tǒng)核心的安全管理平臺的管理中心，可以部署在一個網(wǎng)絡(luò)可達的區(qū)域，實現(xiàn)對全網(wǎng)IT資產(chǎn)的集中化信息采集、分析和管控。對于分散的IT資產(chǎn)，系統(tǒng)提供了可以分布式部署的安全信息采集器，針對分散的區(qū)域進行安全信息的采集，并轉(zhuǎn)發(fā)給安全管理平臺。管理員可以通過瀏覽器在遠程登錄安全管理平臺進行各項操作。而對于大型的機構(gòu)或者企事業(yè)單位，SOC系統(tǒng)還支持多級級聯(lián)部署模式，以適應(yīng)客戶分級管理的需求。