信息安全运营中心系统项目解决方案建议书模板.doc

《信息安全运营中心系统项目解决方案建议书模板.doc》由会员分享，可在线阅读，更多相关《信息安全运营中心系统项目解决方案建议书模板.doc（61页珍藏版）》请在咨信网上搜索。

泰合信息安全运行中心系统（TSOC） XXXX项目处理方案提议书模板 北京启明星辰信息技术股份 Beijing Venus Information Tech. Inc. 二零一二年五月 目 录 泰合信息安全运行中心系统（TSOC） 1 XXXX项目处理方案提议书模板 1 1 安全管理中心总体方案 3 1.1 遵照标准 3 1.1.1 遵照国际中国家标准准和规范 3 1.1.2 参考企业标准、规范和指南 4 1.2 平台总体方案体系架构 5 1.2.1 功效体系架构 5 1.2.2 平台软件架构 5 2 平台功效特点 7 2.1 系统平台WEB门户入口界面 7 2.2 资产和业务域管理 8 2.2.1 资产管理 9 2.2.2 业务域管理 11 2.3 漏洞信息采集和脆弱性管理 12 2.3.1 漏洞信息采集 12 2.3.2 脆弱性管理 13 2.4 事件/业务安全监控管理 15 2.4.1 事件采集和整合 15 2.4.2 事件/业务安全可视化监控 18 2.5 宏观趋势分析 21 2.6 综合关联分析 22 2.6.1 规则关联分析 23 2.6.2 统计关联分析 24 2.6.3 漏洞关联分析 24 2.7 流量分析模型 25 2.8 基线管理 26 2.9 安全策略管理 27 2.10 网元管理功效 27 2.10.1 拓扑监控 27 2.10.2 网元状态监控 28 2.10.3 TCP端口监控 28 2.10.4 数据库监控 28 2.11 工作流管理 28 2.12 设备控制管理 29 2.13 多级管理 30 2.14 风险监控和管理 32 2.14.1 事件风险监控 32 2.14.2 资产风险监控 33 2.14.3 安全域风险监控 34 2.14.4 实时风险监控 35 2.15 安全预警管理 37 2.16 安全策略文档管理 39 2.17 安全信息知识库管理 40 2.18 综合显示和报表汇报 42 2.19 安全响应管理 43 2.20 用户管理 44 2.21 系统健康管理 45 3 经典应用 47 3.1 系统布署 47 3.2 多级布署 48 3.3 日常管理 49 4 方案特点和效果展示 50 4.1 面向业务资产和风险管理 50 4.2 安全事件和漏洞监控 51 4.3 多个响应方法 53 4.4 多个关联分析方法 54 4.5 网元状态监控 54 4.6 拓扑和GIS展示 55 4.7 丰富知识库 57 1 安全管理中心总体方案 北京启明星辰信息技术股份泰合信息安全运行中心系统处理方案（以下简称“安全管理中心”）以实用性和可扩展性为设计指导思想，将安全管理员从复杂设备配置和海量日志信息中解脱出来，把精力专注于发觉和处理多种关键安全事件；同时又将各自独立安全设备组成为一个有机整体，经过基于资产管理事件关联分析和管理，立即发觉安全风险、安全事件和业务安全隐患，并结合安全策略和安全知识管理，提供多个安全响应机制，从而使得用户能够实时掌控网络安全态势。 安全管理中心和用户能够已经布署各类安全设备形成一个完整安全保障体系，从而实现了高效、全方面网络安全防护、检测和响应。它完全含有监控、预警、响应、追踪等功效，并含有可审计功效，即对内部安全管理人员相关操作进行日志统计。 1.1 遵照标准 安全管理中心总体设计及实施遵照以下标准和规范： 1.1.1 遵照国际中国家标准准和规范 Ø 安全管理中心建设服务服从信息安全风险评定方法根据国信办颁发《相关印发<信息安全风险评定指南>通知》（国信办【】9号） Ø ISO-17799/BS 7799/ISO27001信息安全管理体系国际标准， Ø 公安部颁布《信息安全等级保护管理措施（试行）》及相关要求 Ø CC–ISO15408 和GB/T18336 信息技术安全性评定准则 Ø ISO-13335 IT 安全管理指南 Ø 工作流管理联盟WFMC 定义工作流标准 Ø 软件开发服从CMM要求 1.1.2 参考企业标准、规范和指南 Ø 信息安全保障框架(VISAF)系列模型 图1. VISAF模型 VISAF保障功效要素模型（FEM --- Function Element Model），或用缩写表示式表示为AST(PPT*AIDARC)。这个模型提出安全最根本问题是被保护资产、对于资产威胁和防护方法。防护方法又分为人（组织）、过程（策略、运行）和技术三个大方面。 技术则形成一个AIDARC模型。 n 判别和认证 Identification & Authentication n 逻辑访问控制 Access Control n 检测、监控和预警Detection, Monitoring&Early warning n 审计和跟踪 Audit Trail n 恢复和冗余 Redundancy & Recovery n 内容安全 Content Security 1.2 平台总体方案体系架构 1.2.1 功效体系架构 安全管理中心关键由以下部分组成：资产信息管理模块、安全事件/业务监控管理模块、脆弱性管理模块、漏洞关联分析、统计关联分析和基于规则关联分析模块、宏观趋势分析模块、流量分析模块、基线管理模块、风险评定管理模块、安全策略管理模块、网元管理模块、统一安全预警模块、综合显示和报表汇报系统、响应管理系统、安全信息管理、系统健康管理和用户管理模块组成。其功效体系架构以下图所表示： 图2. 功效体系结构 1.2.2 平台软件架构 安全管理中心软件总体体系架构以下图所表示： 安全管理中心 SMC 安全信息管理系统 SIMS 数据分析中心（DAC） 图3. 软件总体结构 整个系统分为SMC、DAC和V-SIMS三部分。 SMC：安全管理中心，安全管理中心以B/S/D三层架构实现监控、管理、响应、报表等功效； DAC：数据分析中心，其以后台服务方法实现综合分析、关联分析、资产发觉、脆弱性信息采集分析等数据分析处理功效； V-SIMS：安全信息管理系统，它完成了安全信息采集、过滤、聚并、入库等功效。便于实现分布分级布署事件采集引擎。 安全管理中心根据三层软件架构体系设计，以下图所表示： 图4. 泰合信息安全运行中心三层体系结构 2 平台功效特点 安全管理中心系统平台包含下列关键模块/功效： Ø 统一入口模块 Ø 资产管理模块 Ø 脆弱性管理模块 Ø 事件安全管理模块 Ø 关联分析模块 Ø 宏观趋势分析模块 Ø 流量分析模块 Ø 基线管理模块 Ø 安全策略管理模块 Ø 网元管理模块 Ø 工作流管理模块 Ø 设备控制管理模块 Ø 多级管理模块 Ø 风险管理模块 Ø 安全预警模块 Ø 安全策略文档管理模块 Ø 安全知识管理模块 Ø 综合信息显示和报表模块 Ø 响应管理模块 Ø 用户管理模块 Ø 系统本身健康管理模块 下面将对这些模块功效及技术实现作逐一描述。 2.1 系统平台WEB门户入口界面 统一WEB门户入口界面所提供基础功效以下： Ø 针对整个管理信息平台，提供用户集中管理功效，对用户能够访问资源进行细致划分； Ø 用统一系统管理接口，各子信息系统界面统一； Ø 公布最新漏洞说明、攻击特征说明； Ø 含有安全可靠分级及分类管理功效，具体要求支持用户身份认证、授权等功效；支持用户口令修改；支持不一样操作员含有不一样数据访问权限和功效操作权限，系统管理员应能对各操作员权限进行配置和管理； Ø 系统设计采取模块化，含有良好可扩展和自开发能力，能针对用户录入、删除、修改密码等功效分不一样模块，方便针对以后不一样需求进行分模块修改； Ø 系统有完整安全控制手段,对用户和系统管理员权限进行分级管理, 对应账号和口令全部是加密后存放在数据库中。充足确保了用户信息安全性。对系统操作员密码有安全保障机制； Ø 用户数据管理严格，天天增量备份，确保其完整性和一致性,所以在系统犯错情况下,用户数据是安全。 Ø 模块之间敏感数据传输是加密，所以TSOC组件之间通信安全是可靠、安全。 2.2 资产和业务域管理 在信息安全资产管理系统中一个关键概念是业务单元（BU）或称资产逻辑网络区域，BU是企业业务关键组成部分，它是各个资产组合。在资产管理中，BU视图也是我们展示一个关键。资产BU能够是在安全管理中心建设时依据事前风险评定划分出来不一样安全域进行管理。 安全管理中心系统产品资产管理属性集包含了用户所要求管辖资产信息属性要求。 资产信息管理模块域管理含有以下功效： Ø 支持含有相同资产属性域管理方法。 Ø 支持自动同时在不一样域下资产属性管理。 Ø 支持资产域继承功效。 Ø 许可用户依据业务系统、网段等不一样属性对信息系统进行安全域划分。 Ø 支持同一资产隶属不一样安全域，支持多层次安全域管理。 Ø 用户能够对安全域进行关键性赋值。 Ø 用户能够对安全域进行事件监控、风险监控和脆弱性评定，了解其安全情况。 Ø 在某种程度上能够作为下级单位信息安全建设考评指标参考。 Ø 域风险历史查询：提供多个条件安全域风险查询工具，能够愈加好地关重视要安全域风险情况。 Ø 域配置：提供各级安全域添加、删除、修改维护功效，和资产移入、移出安全域功效。 2.2.1 资产管理 资产是企业、机构直接给予了价值所以需要保护东西。它可能是以多个形式存在，有没有形、有有形，有硬件、有软件，有文档、代码，也有服务、企业形象等。它们分别含有不一样价值属性和存在特点，存在弱点、面临威胁、需要进行保护和安全控制全部各不相同。为此，有必需对企业、机构中信息资产进行科学分类，方便于进行后期信息资产抽样、制订风险评定策略、分析安全功效需求等活动。 所要管理资产（含安全设备、网络设备及主机及应用系统）包含： 【本处需要修改，调整为用户被管设备列表。下表仅为示例。】 序号 编号 类型 型号 数量 日志采集方法 支持情况 支持条件备注 1 Router1 城域网关键路由器 Quidway NetEngine80E 1 Syslog 支持 2 Virus 防病毒软件 瑞星 900点 SNMP 支持 概括来讲，资产管理过程包含：资产信息获取、配置，风险计算，结果呈献三个关键过程。 图5. 资产管理工作过程 资产管理工作过程在平台中实现以下： Ø 遵照BS 7799 / ISO 17799 / ISO27001和ISO13335资产管理规范，许可对信息资产价值进行有效评定，从而确定信息资产安全需求（完整性需求、保密性需求和可用性需求），能够帮助用户有效管理信息资产各类属性。 Ø 资产可经过手工录入、excel模板下载批量导入和资产自动发觉方法录入。 Ø 录入资产含有具体信息描述和CIA特征（保密性、完整性、可用性）。 Ø 资产CIA特征参与风险计算，用于计算资产风险和整体风险趋势。 Ø 经过用户界面对资产信息进行具体、直观图表化展示。 Ø 平台支持资产情况信息批量导出，形成文档备份，便于以后查询。 显示界面示例以下图： 图6. 域和资产管理 2.2.2 业务域管理 业务域由若干资产所组成，能够继承资产属性，如资产CIA、资产权重等，同时参与风险计算。 业务域管理包含：业务域配置、风险计算、结果呈献三个关键过程。 图7. 业务域管理工作过程 业务域管理工作过程在平台中实现以下： Ø 对业务域进行配置，业务域中应该包含所包含资产信息、资产权重，同时对业务域进行必需描述和标识。 Ø 对指定业务域可进行手工增加、录入资产信息，也可从已经有资产信息库中批量选择导入资产信息。 Ø 业务域CIA特征由所包含资产CIA特征决定，参与风险计算，用于计算业务域风险和整体风险趋势。 Ø 用户界面对业务域资产分布、业务域风险进行图形化、直观展示。 业务域实例： 2.3 漏洞信息采集和脆弱性管理 2.3.1 漏洞信息采集 漏洞信息采集包含：多个方法漏洞信息采集、结果输入脆弱性管理模块两个关键过程。 漏洞信息采集在平台中实现过程以下： Ø 接收漏洞扫描器扫描结果。 Ø 对于平台不支持扫描器类型，可将扫描结果根据模板规范化后经过人工方法导入。 Ø 将人工审计信息经过模板规范化后人工导入。 Ø 经过漏洞信息采集模块将上面多个信息输入方法进行搜集和处理后送给脆弱性管理模块，进行脆弱性关联（漏洞关联）分析，参与风险计算后将结果展现。 2.3.2 脆弱性管理 脆弱性管理能够经过人工审计（风险评定）和漏洞扫描工具两种方法，搜集整个网络弱点情况并进行统一管理，对搜集信息进行统一范式化处理后，对脆弱性信息提供查询和展现功效，使得管理人员能够清楚掌握全网安全健康情况。 平台现在提供和主流远程评定产品接口，完成远程脆弱性信息搜集。支持远程评定产品为： 天镜、极光、Nessus等主流漏洞扫描产品。 脆弱性管理模块关键功效以下： Ø 配置天镜漏洞扫描系统； Ø 能够将漏洞扫描软件扫描结果导入系统； Ø 能够将数次扫描结果进行归并分析，得出更为正确扫描结果； Ø 能够将扫描结果和资产原有属性进行比较，并给出冲突项提交用户确定； Ø 支持资产脆弱性管理，许可查看资产和安全域脆弱性指标； Ø 提供基于漏洞关联，自动判定目前发生信息安全事件是否真对目标资产组成威胁，对于并不存在相关漏洞事件，系统会自动降低其优先级，对于存在相关漏洞事件则提升其优先级，使得用户能够更专注于真正会造成危害事件。 脆弱性管理包含：漏洞扫描和人工审计信息采集、资产/业务域关联分析、结果呈献三个关键过程。 图8. 脆弱性管理过程 脆弱性管理在平台中实现以下： Ø 经过天镜脆弱性扫描系统对资产进行定时自动扫描或手工扫描。 Ø 资产扫描和人工审计所发觉脆弱性信息输入脆弱性管理模块。 Ø 脆弱性信息和资产信息进行关联并参与风险计算。 Ø 经过整体脆弱性展示，脆弱性排名等进行直观脆弱性展示。 Ø 支持脆弱性数据查询和整体数据导出。 图9. 脆弱性管理 2.4 事件/业务安全监控管理 事件/业务安全监控模块负责实时监控网络安全事件。经过事件/业务安全监控模块监控网络各个网络设备、主机应用系统等日志信息，和安全产品安全事件日志信息等，立即发觉正在和已经发生安全事件，帮助进行安全决议，确保网络和业务系统安全、可靠运行。 2.4.1 事件采集和整合 经过布署在事件采集服务器上安全管理中心事件集中采集系统--V-SIMS系统，在泰合信息安全运行中心所管辖网络和系统上不一样安全信息采集点(网络设备、主机系统，而且还涵盖已经布署安全系统，包含入侵防御系统、VPN系统、防火墙系统、IDS系统、审计系统、防病毒系统等等)，集中搜集安全事件到泰合信息安全运行中心中安全管理服务器进行处理，即：依据可预先定义配置进行聚并、过滤处理、并把多种类型安全数据格式化成统一格式，从而实现了安全事件集中搜集和处理，含有了实时事件/业务安全监控能力，又可利用安全事件查询功效和强大数据挖掘统计分析功效，含有了事后调查取证能力。 信息安全事件管理中心事件集中采集系统（V-SIMS）是完全含有自主知识产权软件产品，属于泰合信息安全运行中心系统一部分，包含管理服务（MS）、事件搜集器（EC）、专用/通用代理管理（UAM）、专用/通用代理引擎（UAE）、专用/通用日志策略编辑器（UAPE）多个部分，负责在事件搜集器和安全设备之间通信，用于采集、范化并上报安全设备报警日志，同时采集并上报安全设备状态，并提供对多个安全设备管理能力。 V-SIMS系统拥有专用代理/通用代理（Universal Agent）用以支持不一样设备及系统，V-SIMS引入集中监管、分布式布署多级管理体系，全方面符合多级、分布式、跨地域各类业务管理模式，真正实现分布式产品结构统一协调管理，建立安全信息全局管理机制。只有能够进行整个网络范围内布署，才能管理整个网络中安全设备，也才能够进行全网事件管理。全网范围内V-SIMS分布式布署可能是不一样城市、不一样地域、甚至不一样省份、不一样国家分布，这和网络规模和网络拓扑是相关。经过分布式分级布署，能够实现将各个独立子系统连成一个分布式整体安全事件采集体系。 安全事件采集包含：分布代理搜集信息、安全事件采集过滤、事件关联分析、结果输出展示多个关键过程。 事件集中采集系统--V-SIMS系统部分操作界面视图以下图所表示： 图10. 事件集中采集系统－过滤条件 图11. 事件集中采集系统－添加新元件 现在，安全管理中心事件集中采集系统--V-SIMS系统经过多种专用代理已经能够支持中国外主流安全设备：入侵防御系统、邮件过滤网关、抗拒绝服务攻击系统、VPN系统、防火墙系统、入侵检测系统、防病毒系统、漏洞扫描系统、安全审计系统等；主流操作系统：Windows操作系统(NT//XP/)、支持主流Linux系统，支持主流Unix系统等；主流应用程序：Web、Mail、DNS等。 安全管理中心事件集中采集系统--V-SIMS系统拥有通用代理工具包经过配置就完全支持SNMP、SYSLOG、ODBC、WMI等方法采集事件日志。针对特定系统日志格式，利用通用代理工具包配置实现。 2.4.2 事件/业务安全可视化监控 事件/业务监控模块及综合显示报表汇报模块其功效完全满足以下要求： 1．事件显示和查询功效 提供丰富事件显示和查找功效，方便管理员对非法入侵事件和行为有很好追踪和分析处理。 Ø 支持提供多个查询处理方法，能够依据事件各个字段来设定过滤条件，查询到相关事件统计； Ø 支持传统网格、线形图、圆饼图、条状图、区域图和重合区域图等多个方法来显示特定事件； Ø 支持用于关联业务情况自定义事件图，并能满足业务网络和逻辑网络多级显示； Ø 支持在选定事件范围内，依据事件不一样查询条件进行图形化显示。 2．支持安全态势实时监视 Ø 支持根据资产类别、事件关联关系、地理事件图形、时间、最终状态、系统特征、特点前几位等类型进行实时监视； Ø 支持过滤事件各个字段进行自定义实时监视。 3．支持在线和离线事件可视化 安全管理中心事件/业务监控模块部分显示界面示例视图以下： Ø 依据需要，可经过配置监控条件及过滤条件用户化实时事件监控界面 Ø 高危事件监控界面： 图12. 事件监控－高危事件 Ø 域风险拓扑显示和GIS显示界面： 图13. 全局域拓扑展示 图14. SOC安全域拓扑展示 Ø 事件报表汇报界面示例 图15. 高报警设备 2.5 宏观趋势分析 宏观趋势分析功效提供了对安全事件监测上报事件和流量信息，进行综合模型分析，并提供宏观展示和丰富报表功效。同时，系统本身对提供从宏观到微观具体展示功效。 熵模型：经过安全事件检测功效上报上来事件，网络态势感知监控系统对全部事件根据上报引擎分类进行计算源地址熵和目标地址熵，同时也计算出源、目标地址熵每个时间点基线值。利用EWMA算法，判定目前时刻熵值和学习期间熵值相比判定各个线路地址熵数据是否异常。 三元组模型：经过安全事件检测功效上报上来事件，网络态势感知监控系统对全部事件根据上报引擎分类进行，然后对事件根据<源地址、目标地址和事件类型>三个维度进行全组合分析，找出各个线路多种组合排名靠前TopN 数据，并罗列出汇总信息。 单一方法攻击：源地址、目标地址、事件类型均相同事件集合，说明：攻击者采取同一方法，对同一目标进行反复攻击态势。 多个攻击方法：源地址、目标地址相同，事件类型任意事件集合，说明：攻击者尝试多个方法，对同一目标进行反复攻击态势。 查找攻击目标：源地址、事件类型相同，目标地址任意事件集合，说明：攻击者采取同一方法，查找可利用目标态势。 遭受同种攻击：目标地址、事件类型相同，源地址任意事件集合，说明：同一目标被多个攻击者采取同种方法反复攻击态势。 关键攻击起源：源地址相同，目标地址、事件类型任意事件集合，说明：发出最多攻击事件主机态势。 濒危受害目标：目标地址相同，源地址、事件类型任意事件集合，说明：被攻击次数最多主机态势。 频发事件排名：事件类型相同，源地址、目标地址任意事件集合，说明：被利用最多攻击事件态势。 热点事件模型：经过安全事件检测功效上报上来事件，网络态势感知监控系统对各个引擎关注热点事件进行汇总，并分析每个引擎每类事件发展趋势，同时依据发展趋势和热点事件历史基线指标进行对比，来判定各个线路事件发展趋势是否异常。 事件数量模型 本模型依据监控目前日志事件在一段检测期中，多种类型事件数量数目，来分析目前被监控网络中安全态势指标是否有异常，并对总体安全态势起到数据支撑作用。 事件扩散模型 本模型依据监控目前日志事件在一段检测期中，多种类型事件数量改变，来分析目前被监控网络中安全态势指标是否有异常，并对总体安全态势起到数据支撑作用。 2.6 综合关联分析 综合关联分析完成多种安全关联分析功效，关联分析能够将原始设备报警深入规范化并归纳为经典安全事件类别，从而帮助使用者愈加快速地识别目前威胁性质。 系统提供三种关联分析类型：基于规则事件关联分析、统计关联分析和漏洞关联分析。依据此关联分析模块功效，结适用户业务应用系统事件特征、分析和制订安全域和业务安全控制策略和基于业务应用步骤异常监控，制订相关特定关联分析规则。 关联分析包含：对安全事件规则关联、统计关联，对安全事件和安全漏洞漏洞关联，结果输入风险管理模块多个关键过程。 图16. 综合关联分析 2.6.1 规则关联分析 基于规则事件关联分析是把多种安全事件根据时间前后序列和时间间隔进行检测，判定事件之间相互关系是否符合预定义规则，从而触发分析总结出来关联分析后事件。 配置关联分析规则显示界面示例： 图17. 基于规则关联分析 2.6.2 统计关联分析 统计关联分析是用户经过定义一定时间内发生符合条件事件量达成要求量，从而触发关联事件。 图18. 统计关联分析 2.6.3 漏洞关联分析 漏洞关联分析是系统搜集到事件对应漏洞编号或端口和系统中存在资产漏洞编号或端口号符合，从而触发关联事件。目标是为了深入降低系统误报率。 图19. 漏洞关联分析 2.7 流量分析模型 相关流量分析，我们从流量角度来审阅目前被监控网络内安全态势情况，并为流量数据建立了多种模型，模型从整体，到局部，然后到细节分成总体流量、协议流量、端口流量和应用流量四个模型进行对流量数据进行分析。平台也从总体到局部最终到细节全方位来分析我们安全态势。 总流量模型 依据流量基线算法，我们需要计算出被监控网络内总体流量基线，本模型对监控网络内总体流量进行实时计算分析，依据学习到总体流量基线数据分析出目前流量是否异常。同时，总体流量指标也是流量总体安全分析基础数据之一。 协议流量模型 依据流量基线算法，我们需要计算出被监控网络内协议流量（TCP，UDP，ICMP，其它协议）基线，本模型对监控网络内上述协议流量进行实时计算分析，依据学习到上述协议流量基线数据分析出目前多种协议流量是否异常。同时，协议流量指标也是流量总体安全分析基础数据之一。 端口流量模型 依据流量基线算法，我们需要计算出被监控网络内端口流量（注：端口是用户能够进行自定义，用户能够依据需要配置对应端口数据，比如80，21等端口）基线，本模型对监控网络内上述端口流量进行实时计算分析，依据学习到上述端口流量基线数据分析出目前多种端口流量是否异常。同时，端口流量指标也是流量总体安全分析基础数据之一。 应用流量模型 依据流量基线算法，我们需要计算出被监控网络内应用流量（注：应用流量是用户能够进行自定义，用户能够依据需要配置对应端口和IP地址）基线，本模型对监控网络内上述应用流量进行实时计算分析，依据学习到上述应用流量基线数据分析出目前多种应用流量是否异常。同时，应用流量指标也是流量总体安全分析基础数据之一。 2.8 基线管理 本系统从原来单一日志数据，扩展到日志和流量两种数据来分析网络内安全态势问题，同时增加了更多模型来帮助用户处理安全问题。 针对这些模型，我们为每个模型全部建立了对应基线。TSOC基线是动态基线，系统会经过自学习过程为每个模型动态建立起对应基线，为每个模型分析安全态势提供了理论依据。基线学习周期用户能够依据自己需要来配置，这个版本中，我们引入了以下基线： ① 地址熵基线 ② 热点验证基线 ③ 高级事件数量基线 ④ 高级事件扩散基线 ⑤ 流量基线：流量基线中包含了总体流量、协议流量、端口流量和应用流量基线 2.9 安全策略管理 安全策略管理模块可充足利用风险评定结果深入完善网络安全策略管理体系建设，为全网安全运行管理人员提供统一安全策略，为各项安全工作开展提供指导，有效处理因缺乏口令、认证、访问控制等方面策略而带来安全风险问题。 图20. 安全策略管理 2.10 网元管理功效 2.10.1 拓扑监控 1）能发觉网络拓扑结构，并提供图形方法拓扑结构展现 2）经过接收Trap信息和主动轮询两种方法立即地发觉网络节点发生多种故障，立即告警，通知管理员进行相关检验和管理 3）能在拓扑图上经过扩展能够显示cpu、内存、硬盘等信息 4）提供相关链路连通性等信息 2.10.2 网元状态监控 1）能够监控网络设备、安全设备、主机等状态信息 2）能够采集cpu、内存、延时等状态信息而且图形化展示 3）能够监控端口流量信息 2.10.3 TCP端口监控 能够监控指定ip地址端口状态信息 2.10.4 数据库监控 1） 支持对数据库状态信息采集。装填信息包含但不限于：数据库类型、数据库服务器主机名、数据库服务器ip地址、数据库版本、数据库缓冲区大小、表空间利用率、数据库会话连接数、lock信息等 2）能够支持oracle、sqlserver等主流数据库状态信息采集 3）提供数据库监控功效，能够实时监控数据库多种状态，提供图像化进行展现。而且能够针对状态信息设定告警阈值，自动进行告警。 2.11 工作流管理 TSOC提供一个统一而灵活工作步骤管理平台。能够为用户和其它模块提供步骤支持。 工作流管理模块关键包含两部分功效： l 后台工作流管理：后台工作流管理负责同时定义、实现和维护多个步骤。 l 前台用户界面：前台用户界面负责提供多种步骤用户实际操作界面。 用户使用工作流时，首先在工作流管理界面中，利用可视化、图形化工作流编辑工具来定义多种业务步骤。每个步骤全部能够由若干步骤和转移来实现，用户能够实现步骤前进、后退、分支、汇总等状态。 步骤描述元素可能包含： l 步骤：表示步骤图中某个结点 l 转移：表示步骤图中某两个结点之间连线，含有方向性 l 动作：包含自动动作和手动动作 图21. 工作流管理步骤图 定义好一个工作流后，就会自动生成和该工作流相关工单界面。用户能够查看和处理和自己相关来自各类工作流工单。 另外，工作流模块还对外提供步骤相关接口，供外部系统或内部系统其它模块调用。比如：用户在针对某个事件做工作流响应时，能够配置选择根据哪个工作流来进行处理。 2.12 设备控制管理 设备控制管理模块提供了一个通用、可扩展设备控制框架，在TSOC中内置了两种控制协议：Telnet和SSH。假如某个设备支持经过这两种协议进行控制操作，那么用户就能够利用该模板提供功效来对相关设备进行手动或自动控制。 设备控制管理模块将设备控制抽象成以下三个层次： l 设备控制功效：面向业务、面向操作，说明是“想要做什么” l 设备控制脚本：面向设备类型，说明“怎样操作该类型设备” l 设备控制策略：面向具体设备，说明“怎样操作具体某个设备” 图22. 设备控制脚本配置 设备控制管理模块提供了友好人工界面供用户来对以上层次进行配置，经过以上三层配置，用户就能够在多个场所进行手动或自动设备控制。 举例来说：用户首先定义一个“关闭端口”设备控制功效，然后再依据不一样设备类型来定义各个“关闭端口”设备控制脚本，比如：“Linux关闭端口”、“天清防火墙关闭端口”等，接下来再为具体设备定义设备控制策略，比如“关闭Linux主机(192.168.1.1)端口”。当完成这些配置以后，用户就能够在设备管理中直接针对某个设备运行相关设备控制策略，从而实现相关控制。 设备控制脚本是提供了一套简明通用控制语法，用户在稍加学习以后，就能够按自己意图写出对应控制脚本。 设备控制管理模块还提供接口调用功效，相关模块经过该接口能够调用设备控制功效。比如：假如设置TSOC中响应方法，就能够实现“检测、响应、控制”自动操作。 2.13 多级管理 多级管理模块上下级之间数据传输内容能够经过策略进行配置，包含：上级能够向下级下发全局策略；下级能够定时上报安全报表（日报、周报、月报、季报、年报）；下级能够根据上级要求自动上报高风险事件；下级能够经过上级向全网发出安全预警等。 该页面展示了6个图表，分别是：总体运行天数，连续运行天数，全局域风险值，资产总数，事件数，漏洞数；每个图表有该平台本身和下级平台上报这些数据，上级平台数据不会在该页面展示。 在多级管理模块中： Ø 在下级平台上注册，页面上完善本身平台信息(即属性信息)后，人工指定上级IP，并向上级提交注册。注册申请由上级指定权限人员进行审核，审核经过后生效。平台本身可查看自己上、下级列表、级联通道状态。 Ø 下级可对上级上报全局域风险、运行天数、资产总数、事件数、漏洞数信息，下级能够根据上级要求自动上报高风险事件，下级能够经过上级向全网发出安全预警，上报周期可配置。上级能够经过监控界面查看下级上报数据，上级能够向下级下发全局策略。 Ø 配置自定义报表任务时，可选择是否上报给上级，如选择是，报表生成后将自动上报。对已生成报表可经过界面操作手动上报。下级能够定时上报安全报表（日报、周报、月报、季报、年报）。 2.14 风险监控和管理 风险管理模块含有事件、资产和域风险管理功效。包含：风险计算、安全响应和预警、结果呈献三个关键过程。 图23. 风险管理工作过程 风险管理在平台中实现过程以下： Ø 借助于资产管理模块、事件管理模块和脆弱性管理模块信息统一进行风险计算，形成风险信息。 Ø 依据高风险信息发出安全预警、产生安全响应，查询安全策略立即调动资源降低风险。 Ø 风险信息经过图表可视化直观显示，便于决议者随时了解系统风险情况，作出安全决议。 2.14.1 事件风险监控 n 能够关联出安全事件所影响到信息资产； n 依据事件威胁等级、事件类型、资产安全需求，估算出安全事件对信息系统安全性影响： u 能够估算出安全事件对信息系统保密性影响； u 能够估算出安全事件对信息系统完整性影响； u 能够估算出安全事件对信息系统可用性影响； n 能够依据安全事件对信息系统危害进行评级； n 实时给出高危害安全事件列表； 图24. 风险监控 2.14.2 资产风险监控 Ø 依据资产安全需求、资产面临威胁进行综合评定，给出目前资产风险情况： u 保密性风险：标示信息资产因为泄密可能造成损失； u 完整性风险：标示信息资产因为数据被篡改可能造成损失； u 可用性风险：标示信息资产因为无法正常工作可能造成损失； Ø 能够依据资产风险情况对资产进行评级： u 红色：表示资产处于高风险状态，需要立即进行处理； u 橙色：表示资产处于较高风险状态，需要立即进行处理； u 黄色：表示资产面临一定风险，需要关注； u 蓝色：表示资产处于较为安全状态； u 绿色：表示资产几乎未受到任何威胁，处于安全情况； Ø 能够依据资产风险情况进行排序，给出高风险资产清单； Ø 用户能够从资产风险追踪到相关高风险事件，从而有效判定资产风险起源，并进行正确处理； 图25. 资产风险监控 2.14.3 安全域风险监控 Ø 依据安全域中各子域和资产风险，并考虑权重，给出目前安全域风险情况： u 保密性风险：标示安全域因为信息资产泄密可能造成损失； u 完整性风险：标示安全域因为信息资产数据被篡改可能造成损失； u 可用性风险：标示安全域因为系统无法正常工作可能造成损失； Ø 能够依据资产风险情况对资产进行评级： u 红色：表示安全域处于高风险状态，需要立即进行处理； u 橙色：表示安全域处于较高风险状态，需要立即进行处理； u 黄色：表示安全域面临一定风险，需要关注； u 蓝色：表示安全域处于较为安全状态； u 绿色：表示资产几乎未受到任何威胁，处于安全情况； Ø 能够依据资产风险情况进行排序，给出高风险资产清单； Ø 用户能够从安全域风险追踪到子域风险和资产风险，从而关联到相关高风险事件，从而有效判定风险起源，并进行正确处理； 图26. 域风险监控 2.14.4 实时风险监控 实时监控界面示例以下： 图27. 实时风险监控 图28. 总体安全风险趋势 2.15 安全预警管理 安全预警对来自于不一样威胁事件和脆弱性模块资产漏洞状态信息，依据规则事件关联分析、漏洞关联分析和风险评定进行正确分析计算，形成统一5级风险等级，为安全管理人员进行安全预警。 风险等级以下： n 红色：表示高风险状态，需要立即进行处理； n 橙色：表示较高风险状态，需要立即进行处理； n 黄色：表示面临一定风险，需要关注； n 蓝色：表示较为安全状态； n 绿色：表示几乎未受到任何威胁，处于安全情况。 安全预警模块提供两种预警方法： n 基于脆弱性预警：在接到安全厂商及软件系统公布厂商新漏洞通告时，安全预警模块调用关联分析中基于漏洞关联分析等模块，计算出该漏洞所影响设备、系统和业务情况，从而得到该漏洞风险等级。 n 基于事件预警：在接到新威胁事件时，安全预警模块将调用基于规则事件关联、基于统计关联分析等模块，得到本威胁事件影响值及影响范围，当该事件影响值超出一定阀值后，将其进行展示，从而指导管理人员做好有效防范工作。 安全预警模块操作及显示界面示例以下： 图29. 风险预警 能够自定义预警信息，下面以“熊猫烧香”病毒为例进行说明，以下图所表示： 图30. 安全风险预警自定义 2.16 安全策略文档管理 组织进行安全管理离不开一系列安全规范制度和安全策略指导，TSOC提供了一个集中管理和公布各类安全策略文档模块。经过该模块，用户能够： 将组织中各类安全规范制度和安全策略文档有层次管理起来，用户能够将安全策略文档整理成树型结构，从而一目了然展现上各策略之间层次关系。 为每个策略同时维护多个公布格式，比如：txt、word、excel、pdf、html等，管理员能够方便更新和公布各类格式策略文档 每个策略文档全部有一个 “策略标识”，策略标识等同于该策略文档关键字列表，经过“策略标识”能够拓展出策略查询及策略关联等功效。 图31. 安全策略文档管理 安全策略文档管理包含两个部分功效： 安全策略定义、生成、审核、公布、访问 帮助用户制订组织总体安全策略 帮助各个子策略管理员制作所负责系统或设备具体策略 总体安全策略经过审核后正式公布 一般用户能够在线阅读和下载安全策略 响应后对安全策略关联和调用 当系统运行中发生了某类安全事件后则依据预定义规则自动调用对应安全策略，供管理员参考。 2.17 安全信息知识库管理 安全信息管理模块功效是