汉邦云安全管理平台的解决方案.docVIP

汉邦云安全管理平台解决方案 北京北信源软件股份有限公司 2010年10月  目录 1 前言 4 2 安全现状 5 2.1 问题和需求分析 5 2.2 传统SOC面临的问题 6 3 应对方案 8 4 北信源云安全管理平台解决方案 10 4.1 资产分布式管理 11 4.1.1 资产流程化管理 11 4.1.2 资产域分布 12 4.2 事件行为关联分析 13 4.2.1 事件采集与处理 13 4.2.2 事件过滤与归并 14 4.2.3 事件行为关联分析 14 4.3 资产脆弱性分析 15 4.4 风险综合监控 16 4.4.1 风险管理 17 4.4.2 风险监控 18 4.5 预警管理与发布 18 4.5.1 预警管理 18 4.5.2 预警发布 20 4.6 实时响应与反控 21 4.7 知识库管理 22 4.7.1 知识共享和转化 22 4.7.2 响应速度和质量 23 4.7.3 信息挖掘与分析 23 4.8 综合报表管理 23 5 北信源云安全管理平台方案特性 25 5.1 终端安全管理与传统SOC的有机结合 25 5.2 基于云计算技术的分层化处理 26 5.3 海量数据的标准化采集和处理 27 5.4 深入事件关联分析 28 5.5 面向用户服务的透明化 29 6 北信源云安全管理平台部署 31 7 方案总结 32  前言 为了不断应对新的安全挑战，先后部署了防火墙、UTM、入侵检测和防护系统、漏洞扫描系统、防病毒系统、终端管理系统等等，构建起了一道道安全防线。然而，这些安全防线都仅仅抵御来自某个方面的安全威胁，形成了一个个安全防御孤岛，无法产生协同效应。更为严重地，这些复杂的IT资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件，形成了大量信息孤岛，有限的安全管理人员面对这些数量巨大、彼此割裂的安全信息，操作着各种产品自身的控制台界面和告警窗口，显得束手无策，工作效率极低，难以发现真正的安全隐患。另一方面，企业和组织日益迫切的信息系统审计和内控要求、等级保护要求，以及不断增强的业务持续性需求，也对客户提出了严峻的挑战。 安全现状 问题和需求分析 在历经了网络基础建设、数据大集中、网络安全基础设施建设等阶段后，逐步建立起了大量不同的安全子系统，如防病毒系统、防火墙系统、入侵检测系统等，国家主管部门和各行业也出台了一系列的安全标准和相关管理制度。但随着安全系统越来越庞大，安全防范技术越来越复杂，相关标准和制度越来越细化，相应的问题也随之出现： 1、安全产品部署越来越多，相对独立的部署方式使各个设备独立配置、管理，各产品的运行状态如何？安全策略是否得到了准确落实？安全管理员难以准确掌握，无法形成全局的安全策略统一部署和监控。 2、分散在各个安全子系统中的安全相关数据量越来越大，一方面海量数据的集中储存和分析处理成为问题；另一方面，大量的重复信息、错误信息充斥其中，海量的无效数据淹没了真正有价值的安全信息；同时，从大量的、孤立的单条事件中无法准确地发现全局性、整体性的安全威胁行为。3、传统安全产品仅仅面向安全人员提供信息，但管理者、安全管理员、系统管理员等不同的角色都需要从不同的角度了解安全的状况，包括整体的安全态势和全局的安全信息等。4、安全管理员每天面对复杂的网络环境和形形色色的安全事件，通过一个系统帮助他们正确理解安全事件，并自动化的调整安全策略，或将其分配到不同的系统管理员去人工处理并跟踪处理结果，是安全运维的切实需求。上述问题和需求，决定了安全管理运营中心（SOC：Security Operation Center）已成为网络安全建设的新重点。安全管理运营中心，也称为安全管理平台，之所以称为SOC，是与NOC（Network Operation Center，即网络运行中心）相对应而言。NOC强调对客户网络进行集中化、全方位的监控、分析与响应，实现体系化的网络运行维护。SOC强调各个分离的安全体系统一管理、统一审计、统一运营，形成一个完整的安全保障体系，从而实现了高效、全面的网络安全防护、检测和响应。从这个阶段开始，网络安全开始走上统一安全的新台阶。 总体而言，SOC系统在建设的过程中通常也存在一些问题，主要表现在如下方面。 （1）管理信息模型缺乏 在典型的网络中，SOC系统需要管理多种安全设备，并与这些安全设备之间实现互操作来阻断或者消除安全攻击或者安全事件。为了更好地保障安全，部署的各种设备之间应该实现互操作，共同解决企业中的安全问题。 目前的安全设备或安全系统缺乏统一的管理信息模型，SOC系统在管理不同厂家生产的同一类安全设备时，只能分别根据不同厂家产品提供的管理接口进行相应的管理以及信息获取，这样就难以在SOC系统中形成统一的