[泰合安全管理平台TSOC.ppt

TSOC平台构成 概述 平台架构 TSOC主要功能 主要模块 各模块功能介绍 TSOC系统概述 泰合安全管理平台，是为解决各安全产品间的协作问题而建立起来的一个信息交换、信息存储、信息处理平台，通过该平台，可以对各安全产品进行控制管理。 泰合安全管理平台由用户管理、事件管理和安全管理中心三部分组成。 用户管理是泰合安全管理平台的必要功能，为泰合安全管理平台的所有组件提供集中的统一用户认证与管理。 事件管理是泰合安全管理平台的基础组件，完成多种类型设备的日志、状态、告警等信息的多级分布式采集与预处理，并实施必要的控制。 安全管理中心是泰合安全管理平台的核心服务组件，重点完成采集信息的综合分析、实时监控、展示查询、报表、配置管理、响应等功能，并提供与此相关的知识库。 TSOC的平台构成 TSOC的部署方式 TSOC主要功能模块 事件处理 事件管理 资产和安全域管理 以一种结构化的方式来反映组织的信息资产，从而有效地进行管理 可以从逻辑或业务、技术等多个方面来设计域结构 地理视角 组织视角 业务视角 功能视角 网络视角 …… 脆弱性管理 两种导入方式 漏洞扫描工具 提供关于脆弱性的可视界面 漏洞管理 查看资产的端口信息和漏洞信息 风险管理 发现风险高的域 发现风险高的子域 发现风险高的资产 发现风险高的事件 对事件做出响应 关联分析 关联分析实际是指从海量事件中有目的地发现和提取出特定事件的过程和做法 通常是根据事件的类型、网络的安全策略、攻击上下文等进行分析 通过关联来自不同地点、不同时间、不同层次、不同类型的安全事件，来发现真正的安全风险，提高安全报警的信噪比 对收集上来的安全事件进行关联性分析，发现事件之件的关联性，以便进行有效的响应 关联分析 规则关联分析 由用户预定义规则对两个或以上的事件进行关联，以准确发掘判断出众多事件中的安全事件。 它基于小的时间片，实时性较强 统计关联分析 按统计学，将某时间段中事件信息进行统一分析，参照一些基线及阀值，对安全态势进行判断和预测 基于大时间片，实时性低 漏洞关联分析 漏洞关联分析是判断系统收集到的事件所对应的漏洞编号或端口与系统中存在的资产的漏洞编号或端口号是否符合，如果符合就触发关联事件。 进一步降低系统的误报率。 响应管理 可灵活定制的响应规则 多种响应方式 屏幕 声音 邮件 工单 对话框 设备控制 工作流管理 工单管理 安全预警 人工预警 发布一条漏洞预警 分析漏洞的影响 事件预警 基于已发生的事件 推测潜在威胁 运行状态监控 设备控制管理 基于设备类型的脚本控制 支持批量操作 事件自动触发控制响应 用户管理 基于角色的访问控制管理（Role-Based Access Control） 三权分立的管理体制 细分用户的资源访问权限和功能操作权限 不同用户的帐号和口令加密存放 内置三个帐户 用户管理系统管理员（UserAdmin） 审计管理员（AuditAdmin） 权限管理员 (SmcAdmin) 用户管理 监控人员组 配置人员组 管理人员组 权限拷贝 综合监控 安全信息知识库升级服务 强大的设备支持 资质完备 《计算机软件著作权登记证书》 《计算机信息系统安全专用产品销售许可证》 《涉密信息系统产品检测证书》 《国家信息安全认证产品型号证书》 《军用信息安全产品认证证书》 《计算机世界》2008年度产品奖 ２００８年中国安全管理平台市场占有率第一 2006年度计算机网络和信息防护解决方案优秀奖 2006年度中国计算机报编辑选择奖 广泛成功案例 谢谢 事件的查询 Theme： 0、风险管理模块具备事件、资产和域的风险管理功能。包括：风险计算、安全响应和预警、结果呈献三个主要过程 1、借助于资产管理模块、事件管理模块和脆弱性管理模块的信息统一进行风险计算，形成风险信息。 2、根据高风险信息发出安全预警、产生安全响应，查询安全策略及时调动资源降低风险。 3、风险信息通过图表可视化直观显示，便于随时了解系统风险情况，作出安全决策。 Theme： 0、建立规则关联名称，定义关联条件，比如将设备类型的小类作为条件后会出现该设备的代表数值； 1、定义该规则的状态属性 2、定义关联结果，即关联后事件，凡是符合该规则的就以关联事件的形式呈现出来，以引起相关人员注意有关联事件发生了，目的性很明确。 仅仅及时检测到安全事件是不够的，必须做出及时的、正确的响应才能保证网络的安全。响应管理作为TSOC的重要组成部分之一为响应服务实现工具化、程序化、规范化的管理手段。 Theme： 安全预警是一种有效预防措施。 安全预警对来自于不同威胁事件和脆弱性模块的资产漏洞状态信息