第6章管理平台-泰合安管平台(SOC)技术白皮书--启明星辰.pdf

管理平台-泰合安管平台(SOC) 管理平台-泰合安管平台(SOC)1 一、 产品简介 2 二、 功能特点 3 三、 典型应用 6 四、 产品荣誉 7 五、 技术优势 9 一、产品简介 一、产品简介 一一、、产产品品简简介介 泰合信息安全运营中心（Security Operation Center）系统是一个面向全网IT资源的集中安全 管理平台。她通过对网络中各类IT资源的安全域划分，以及海量异构网络与安全事件的采 集、处理和分析，面向业务信息系统建立一套可度量的风险模型，使得各级管理员能够实现 全网的资产运行监控、事件分析与审计、风险评估与度量、预警与响应、态势分析，并借助 标准化的流程管理实现持续的安全运营。 作为中国最早研发和最领先的安全管理平台之一，启明星辰泰合信息安全运营中心系统经过 9年多的持续发展，获得了十多项发明专利，得到了国家多项专项基金的支持，并拥有目前 国内最多的客户群。根据赛迪顾问报告，从2008 年到2010 年连续三年位居中国安全管理平 台市场占有率第一，已经成为了安全管理平台领域的国内第一品牌。 作为公司的重要业务之一，启明星辰专门成立了泰合中心负责泰合信息安全运营中心系统及 其相关管理类系统的研发、咨询、项目实施与运维。泰合中心分别在北京和上海设有研发中 心，总人数超过100 人。 进入安全管理平台专区 借助泰合信息安全运营中心（SOC）系统，客户可以将日常安全管理工作变无序为有序、化 复杂为简单，全面提升网络安全管理能力： ※从局部安全提升为全局安全 ※从单点防御提升为协同防御 ※从模糊管理提升为量化管理 二、功能特点 二、功能特点 二二、、功功能能特特点点 窗体顶端 泰合信息安全运营中心系统基于开放式的软件平台设计架构，由多个功能模块组成，用户可 以自由选择搭配，后续还能够无缝升级。 系统的主要功能包括： 网络运行监控 系统能够对全网的各类网络设备、安全设备、主机、数据库、应用系统等实时、细粒度的运 行监控，及时发现网络中的可用性故障，并进行故障定位和告警响应，确保重要业务信息系 统的可用性和业务连续性。 系统能够形象地展示出用户的网络拓扑，并动态展示拓扑节点的运行状态，还能够根据用户 管理的组织和部门结构在地图上展示出设备或者设备组的地理位置。 事件及流量管理 系统能够采集全网中各类网络设备、安全设备、主机、数据库、应用系统等的日志、告警和 事件，并对这些信息进行范式化、过滤、归并，形成统一的事件格式，包括统一事件严重等 级、统一事件类型和名称等，使得管理员能够在系统的管理控制台上方便地浏览所有安全事 件，并确保信息的一致性。针对所有安全事件，系统能够借助泰合独有的事件关联分析引擎 进行多种事件关联分析，包括规则关联、漏洞管理、统计关联，等等。 除了采集各类安全事件，系统还能够采集形如NetFlow 的流量日志。针对采集来的NetFlow 流量日志的分析，系统能够建立网络流量模型，通过泰合特有的基于流量基线的分析算法， 发现网络异常行为。 脆弱性管理 系统支持将各类第三方漏洞扫描、应用扫描和人工评估的漏洞信息整合到一起，形成基于资 产和业务的漏洞信息库，并计算资产和业务的脆弱性。系统能够对新发现的漏洞信息进行预 警通告。 安全预警与风险管理 系统可以遵循《GB-T20984-2007 信息安全技术 信息安全风险评估规范》标准的推荐要求 对用户业务信息系统进行风险评估与分析，结合资产及业务的价值、脆弱性和威胁信息，计 算资产或业务的风险等级，并进行预警和展示。系统还能对重要的威胁事件、漏洞信息进行 预警和展示。 态势分析 泰合安全运营中心系统是国内首个具备态势宏观分析能力的安全管理平台。针对系统收集到 的海量安全事件，系统借助地址熵分析、三元组分析、热点验证分析等数据挖掘技术，帮助 管理员从宏观层面把握整体安全态势，对重大威胁进行识别、定位、预测和跟踪。 响应管理 系统具备完善的响应管理功能，能够根据用户设定的各种触发条件，通过多种方式（例如邮 件、短信、声音、SNMPTrap等）通知用户，并触发可以自定义的响应处理流程，直至跟踪 到问题处理完毕，从而实现安全事件的闭环管理。 系统支持设备控制脚本，允许管理员自动对设备进行操作控制，及时阻断攻击源。系统内置 工作流引擎，能够进行响应处理流程的自定义。系统具备开放式接口，能够与第三方运维管 理系统实现对接。 知识管理 系统具有国内最完善的安全管理知识库系统，内容涵盖安全事件库、安全策略库、安全公告 库、