soc功能分析soc功能分析.docx

领信安全管理中心安全门户（portal）基础功能资产管理用户管理系统管理主题管理首页管理风险管理系统告警监控风险管理服务管理脆弱性管理系统漏洞管理配置管理安全事件管理系统事件收集体系事件处理和关联分析其他功能报表管理系统报表查看报表管理联想网御安全管理系统功能介绍安全监视系统安全监视管理功能，包括安全管理主页、全网拓扑呈现、VPN隧道全局监控、设备状态全局监视、实时报表监视、安全态势监视等功能组成。通过安全监视功能，用户从全局的角度，准确、直观获取当前安全总体形势和安全趋势。安全预警1.告警监控网络资源和设备受到攻击，或运行异常时，会以告警等信息方式，通知管理员。联想网御安全设备管理系统提供多种自动处理机制，协助用户监控最新告警，全方位掌控网络异常和攻击。2.告警管理联想网御安全设备管理系统提供强大的告警管理功能。用户可以查询、定位每一条详细告警，并进行确认、处理，系统记录告警处理时间、处理人等信息，使得每一个问题都可以进行事后审查。同时，系统提供以自定义条件进行统计分析，掌握总体的告警态势，协助定位安全问题，保障网络整体安全。安全响应安全响应管理，包括告警响应、策略调整、解决指导、攻击溯源、攻击拓扑呈现等功能组成。安全响应功能，根据管理员的预先配置，及时处理网络告警、异常事件。当攻击产生时，系统首先根据告警规则匹配，产生相关告警记录，并通过预先定义的告警方式通知管理人员，同时，根据防护需要，及时调整策略，并结合知识库内容，向管理员提供问题解决方案。攻击溯源功能和攻击拓扑呈现，有效帮助管理人员分析攻击源头和被攻击对象。安全运维安全运维管理功能，具体包括资产管理、策略管理、知识库管理、日志审计、权限管理、人员管理VPN组网、设备升级管理等功能组成。其中知识库管理功能，具体实现：知识库管理维护知识库为运维管理提供技术支撑知识库为管理员提供问题解决指导知识库关联告警事件、攻击事件设备管理、VPN组网、日志审计等功能，分别在其他章节介绍。设备监控1.拓扑地图拓扑地图以层次分明的地图页面，组织、呈现用户的网络部署情况。用户可以划分不同子图进行管理，符合用户企业组织结构的管理习惯；地图上安全设备的丰富属性及状态报警，可以让用户对安全设备的运行状况一目了然。系统灵活的权限控制，可以对不同管理员设定对不同子图的不同权限，进行严格权限控制。2.设备监视系统以直观清晰的方式显示设备关键属性和运行状态。设备运行异常时，拓扑图上会以不同的颜色、不同的图标来呈现设备，醒目提示管理员当前发生的问题。同时，以图形化方式允许管理员实时监控设备的详细信息。3.历史状态分析系统根据用户需要可以记录一段时间内的设备关键信息，在设备出现问题时，可以回放这一时间段内的信息记录，系统以曲线图形式给出关键信息的变动情况，协助定位问题，同时根据状态变动曲线，可以为系统未来运行状态变化趋势提供参考。4.集中设备配置联想网御安全设备管理系统提供切换灵活、操作简单的集中设备配置界面，方便用户从管理中心管理配置每一台安全设备，及时调整防火墙的安全策略和系统配置。5.统一设备升级层出不穷的安全威胁、攻击以及设备新增强功能，需要安全设备以升级包的方式升级更新。联想网御安全设备管理系统提供的设备统一升级功能，允许用户在管理中心管理所有已发布的升级包，并自动进行统一下发，瞬时完成分部在全国各地的安全设备的升级。策略管理1．安全设备策略管理面对数量众多的防火墙设备，联想网御安全设备管理系统提供了统一的策略编辑、配置功能。在安全设备管理系统上通过图形化界面配置网御防火墙的安全策略，系统会将策略批量下发到防火墙，既能保证安全策略的一致性，又可以大量减少管理员的工作强度。2．VPN策略管理VPN设备的策略配置包括IKE策略、IPSEC策略等，手动配置比较烦琐，且容易出错。联想网御安全设备管理系统提供了VPN策略管理功能，可通过图形化界面编辑、下发VPN策略，建立VPN隧道。同时，系统还提供了全网VPN的集中监控功能，系统管理员可以一目了然的看到网络中VPN隧道的运行状况及流量等相关信息。日志监视系统可以实时监视接收到的事件的状况，如最近日志列表、系统风险状况等；监控事件状况的同时也可以监控设备运行参数，以配合确定设备及网络的状态；日志监视支持以图形化方式实时监控日志流量、系统风险等变化趋势。日志管理日志管理模块对多种日志格式的统一管理。自动将其收集到的各种日志格式转换为统一的日志格式，便于对各种复杂日志信息的统一管理与处理。它支持对安全设备、网络设备、主机系统进行日志数据采集，通过SNMP、SYSLOG或者其它的日志接口从各种网络设备、服务器、用户电脑和网络安全设备中收集日志，用以进行统一管理、分析和报警；自动完成日志数据的格式解析和分类；为用户提供日志数据的存储、备份、恢复、删除、导入和导出操作