“五個功能模塊”是策略管理、資產(chǎn)管理��、用戶管理����、安全知識管理和自身系統(tǒng)維護(hù)管理。
其 核心功能描述如下:
資產(chǎn)管理
對用戶所關(guān)注的信息資產(chǎn)的各類信息進(jìn)行統(tǒng)一管理。將其所轄IP設(shè)備資產(chǎn)與風(fēng)險的重要程度關(guān) 系����,依據(jù)風(fēng)險評估的結(jié)果、定期的漏洞掃描結(jié)果和本模塊的信息資產(chǎn)相結(jié)合�,遵從ISO17799和ISO13335的資產(chǎn)管理規(guī)范,允許對信息資產(chǎn)的價值進(jìn) 行有效評估��,從而確定信息資產(chǎn)的安全需求(完整性需求��、保密性需求和可用性需求)��,不僅可以協(xié)助用戶有效管理信息資產(chǎn)的各類屬性�����,同時也便于貫徹即將強(qiáng)制 推行的公安部等級保護(hù)規(guī)范(ISO 15408/GB 17859)�����。
安全域管理
安全域是用戶根據(jù)業(yè)務(wù)特點�、網(wǎng)絡(luò)劃分���、 信息資產(chǎn)重要程度等因素�����,劃分出的信息安全防護(hù)基本單元�����,貫徹安全域管理不僅可以協(xié)助用戶理清現(xiàn)有信息系統(tǒng)的結(jié)構(gòu)和安全需求���,同時也簡化了實施安全保障措 施的復(fù)雜度和難度�����。
允許用戶根據(jù)業(yè)務(wù)系統(tǒng)���、網(wǎng)段等不同的屬性對信息系統(tǒng)進(jìn)行安全域劃分;
允許用戶將重要的信息資產(chǎn)與安全域進(jìn)行關(guān) 聯(lián)�;
支持同一資產(chǎn)隸屬不同的安全域,支持多層次安全域管理�����;
用戶可以對安全域進(jìn)行重要性賦值��;
用戶可以對安全域進(jìn)行風(fēng)險監(jiān)控和脆 弱性評估�,了解其安全狀況���。
脆弱性管理
通過脆弱性管理可以掌握全網(wǎng)各個系統(tǒng)中存在的安全漏洞情況,結(jié)合當(dāng)前的安全動態(tài)和 預(yù)警信息�,有助于及時調(diào)整安全策略,開展有針對性的安全工作���,并且可以借助弱點評估中心的技術(shù)手段和安全考核機(jī)制有效督促各分支機(jī)構(gòu)落實安全工作��。
綜 合分析與預(yù)警
綜合分析與預(yù)警是安全運營中心的核心模塊���,它接收來自安全事件監(jiān)控中心的事件,依據(jù)資產(chǎn)管理和脆弱性管理中心進(jìn)行綜合的事件 協(xié)同關(guān)聯(lián)分析��,并基于資產(chǎn)(CIA屬性+價值)進(jìn)行風(fēng)險評估分析���,按照風(fēng)險優(yōu)先級針對各個業(yè)務(wù)區(qū)域和具體事件產(chǎn)生預(yù)警����,參照網(wǎng)絡(luò)安全運行知識管理平臺的信 息�,并依據(jù)安全策略管理平臺的策略驅(qū)動響應(yīng)管理中心進(jìn)行響應(yīng)處理�。
響應(yīng)管理
響應(yīng)管理是根據(jù)當(dāng)前的網(wǎng)絡(luò)安全狀態(tài),工單系統(tǒng) 發(fā)布工作指令��,及時調(diào)動相關(guān)資源做出響應(yīng)。實現(xiàn)人機(jī)接口����,所有的工單經(jīng)人工審核后,通過人工派單方式發(fā)送到相應(yīng)的工單處理部門����。工單的通知方式包括圖形顯 示、SNMP Trap�����、郵件和短信��。
安全策略管理
網(wǎng)絡(luò)安全的整體性要求需要有統(tǒng)一的安全策略和基于工作流程的管理�����。通 過為全網(wǎng)安全管理人員提供統(tǒng)一的安全策略�,指導(dǎo)各級安全管理機(jī)構(gòu)因地制宜做好安全策略的部署工作,有利于在全網(wǎng)形成安全防范的合力�����,提高全網(wǎng)的整體安全防 御能力�����,同時通過策略和配置管理平臺的建設(shè)可以進(jìn)一步完善整個IP網(wǎng)絡(luò)的安全策略體系建設(shè),為各項安全工作的開展提供行動指南�,有效解決目前因缺乏口令、 認(rèn)證�、訪問控制等方面策略而帶來到安全風(fēng)險問題。
安全知識管理
安全信息管理是安全信息的WEB發(fā)布系統(tǒng)�����,不僅可以充分共 享各種安全信息資源���,而且也會成為各級網(wǎng)絡(luò)安全運行管理機(jī)構(gòu)和技術(shù)人員之間進(jìn)行安全知識和經(jīng)驗交流的平臺��,有助于提高人員的安全技術(shù)水平和能力���。實現(xiàn)在安 全管理中心WEB門戶提供統(tǒng)一界面以安全WEB的形式發(fā)布最新的安全信息,并將處理的安全事件方法和方案收集起來��,形成一個安全共享知識庫�,該信息庫的數(shù) 據(jù)以數(shù)據(jù)庫的形式存儲及管理,為培養(yǎng)高素質(zhì)的網(wǎng)絡(luò)技術(shù)人員提供培訓(xùn)資源����。
用戶管理
提供用戶集中管理的功能,對用戶可以訪 問的資源權(quán)限進(jìn)行細(xì)致的劃分����,具備安全可靠的分級及分類用戶管理功能,要求支持用戶的身份認(rèn)證�����、授權(quán)�、用戶口令修改等功能;支持不同的操作員具有不同的數(shù) 據(jù)訪問權(quán)限和功能操作權(quán)限�。系統(tǒng)管理員應(yīng)能對各操作員的權(quán)限進(jìn)行配置和管理,要有完整的安全控制手段,對用戶和系統(tǒng)管理員的權(quán)限進(jìn)行分級管理, 相應(yīng)的賬號和口令加密存放���,充分保證用戶信息的安全性�。對系統(tǒng)操作員的密碼有安全保障機(jī)制��。用戶的賬號等數(shù)據(jù)以數(shù)據(jù)庫的形式進(jìn)行加密存儲及管理��;對用戶數(shù) 據(jù)的管理要保證其完整性和一致性,在系統(tǒng)出錯的情況下,對用戶數(shù)據(jù)要有有效的保護(hù)措施�。
報表處理
作為整個系統(tǒng)的公共基礎(chǔ)模塊,為各個功能提供報表支持�。報表輸出格式可轉(zhuǎn)換為多種常用的格式。
顯示
綜合顯示模塊作為整個安全運營中心統(tǒng)一人機(jī)界面接口��,將各個界面的信息集中顯示和發(fā)布,采用Web方式�,支持各功能模塊的信息顯示和管理。綜合顯示模塊提 供多種的信息顯示和發(fā)布方式��。支持基于列表���、基于網(wǎng)絡(luò)拓?fù)?����、基于GIS信息多種的信息顯示方式����。
運營狀態(tài)監(jiān)控
創(chuàng)建實時的可視化網(wǎng)絡(luò)設(shè)備狀態(tài)��,包括:CPU使用率���、內(nèi)存占用��、硬盤占用和帶寬占用等�,使設(shè)備便于管理和分析��。設(shè)備狀態(tài)視圖能對設(shè)備進(jìn)行集中配置。
能聯(lián)系特定的鏈接圖����、地理位置圖和圖表視圖能夠使不同層面的人員通過糾錯生命周期來復(fù)制威脅鑒別過程�。多種顯示方式可以根據(jù)網(wǎng)絡(luò)應(yīng)用環(huán)境,進(jìn)行定制顯示���。
自身安全保障
安全運營中心作為整個網(wǎng)絡(luò)安全運行的監(jiān)控者和管理者�����,其中的每一步關(guān)鍵操作都會對整個網(wǎng)絡(luò)安全產(chǎn)生重要影響�����,甚至?xí)淖兙W(wǎng)絡(luò)運行方式和運行狀態(tài)��,因此安全 運營中心體系自身的安全性非常重要����。安全運營中心體系的自身安全包括多方面�����,如物理安全,數(shù)據(jù)安全��,通訊安全等���。在總體設(shè)計時必須考慮安全運營中心體系的 使用安全和管理流程安全����。
在所有組件之間進(jìn)行可選的加密方式確保安全的通信���;
引擎可利用數(shù)字證書對所有用戶類代理進(jìn)行身份驗證����;
增強(qiáng)的用戶和管理界面可采用基于SSL的身份驗證��;
可在所有組件之間實現(xiàn)統(tǒng)一的配置����。
泰合安全運營中心的價值體現(xiàn)
通過泰合解決方案,針對大中型企業(yè)中的不同人群���,將帶來如下價值:
針對技術(shù)人員
統(tǒng)一管理網(wǎng)絡(luò)中的安全設(shè)備�����,特別是不同廠商的設(shè)備����。制定基于全局的安全策略和安全工作流程;對各安全設(shè)備產(chǎn)生的日志����,尤其是監(jiān)測類產(chǎn)品(如 IDS���、審計����、Scanner等)的日志報警信息進(jìn)行關(guān)聯(lián)分析��,提煉出有價值的信息��,并能獲取后續(xù)處理的建議和幫助�����;對安全設(shè)備的日志集中存儲���,并提交統(tǒng) 一的報表���。降低技術(shù)人員的工作煩瑣度���。
對企業(yè)中的風(fēng)險評估工作進(jìn)行持續(xù)管理。管理評估是持續(xù)性的過程�����,做完之后如果只在紙上��,可能很難把這個成果繼續(xù)延續(xù)下去��。通過SOC系統(tǒng)對評估結(jié)果進(jìn)行管 理����,將業(yè)務(wù)資產(chǎn)評估的結(jié)果直接導(dǎo)入SOC中,成為資產(chǎn)管理的數(shù)據(jù)�;將脆弱性評估的結(jié)果也導(dǎo)入SOC中,作為脆弱性管理的數(shù)據(jù)�����。
針對運營主管
通過建立知識庫�、應(yīng)急預(yù)案等體制,幫助技術(shù)人員提高自身的專業(yè)素質(zhì)�����,并協(xié)助他們在出現(xiàn)重大安全事件時做出合理的決策,提高技術(shù)人員的工作效率���。
通過SOC系統(tǒng)對技術(shù)人員進(jìn)行量化的績效管理��,可以進(jìn)行縱向比較��。
對下屬機(jī)構(gòu)進(jìn)行集中管理和監(jiān)控���。某個大中型企業(yè)有多個分支機(jī)構(gòu)��,當(dāng)某一個點發(fā)生蠕蟲病毒的時候���,總部知道后會采取措施通知下面的點在網(wǎng)絡(luò)設(shè)備上關(guān)閉一些端 口�����,阻止蠕蟲的泛濫���,預(yù)防安全事件對全局的影響。實現(xiàn)對全網(wǎng)的統(tǒng)一監(jiān)管���,而不是分支機(jī)構(gòu)局域網(wǎng)各自為政��。
針對決策領(lǐng)導(dǎo)
通過將安全事件跟業(yè)務(wù)風(fēng)險關(guān)聯(lián)���,采用直觀的界面���,使決策領(lǐng)導(dǎo)能隨時了解業(yè)務(wù)系統(tǒng)的信息安全狀態(tài)。
將風(fēng)險量化�,協(xié)助領(lǐng)導(dǎo)分析每次信息安全項目的投資回報率,為信息安全投資提供依據(jù)����。
