《网络安全管理中心系统平台建设方案建议.doc》由会员分享,可在线阅读,更多相关《网络安全管理中心系统平台建设方案建议.doc(49页珍藏版)》请在三一办公上搜索。
1、密 级:文档编号:项目代号:Alphachn网络安全管理中心系统平台建设方案建议2023年4月目录1概述52体系架构82.1安全运行中心的建设目标82.2安全运行中心建设的体系架构102.2.1全国soc省级soc二级架构102.2.2基于层次模型的体系结构113功能模块153.1SOC核心系统153.1.1接口层153.1.1.1企业数据收集153.1.1.2安全数据收集153.1.1.3配置中心153.1.1.4响应中心163.1.2数据分析层163.1.2.1资产管理163.1.2.2漏洞分析163.1.2.3威胁分析163.1.2.4风险分析173.1.2.5安全信息库173.1.2.
2、6任务调度183.1.3应用层183.1.3.1角色和用户管理183.1.3.2风险管理193.1.3.3分析查询233.1.3.4系统维护233.1.3.5安全设备管理243.2SOC外部功能模块253.2.1人员组织管理253.2.2企业资产管理253.2.3脆弱性管理263.2.4事件和日志管理263.2.5配置收集273.2.6安全产品接口273.2.7安全知识系统273.2.8工单系统283.2.9响应工具及API314实施方案324.1WEB界面定制方案324.1.1仪表板组件324.1.2资产信息管理组件334.1.3异常流量监控组件334.1.4安全事件监控管理组件344.1.
3、5脆弱性管理组件344.1.6安全策略管理组件344.1.7安全预警组件344.1.8安全响应管理组件354.1.9网络安全信息354.2二级结构实施方案354.3部署方案364.3.1全国中心部署方案364.3.2江苏省中心部署方案364.3.3安全数据采集方案374.4其他384.4.1安全评价384.4.2配置收集和审计方案394.4.3扫描器解决方案405优势概述42附录一:事件管理支持产品一览441 概述随着的网络规模庞大、系统复杂,其中的各种网络设备、服务器、工作站、业务系统、支撑系统都存在着超常的复杂性、多样性。随着安全越来越受到重视,安全子系统也逐步发展到复杂和多样的系统,这些
4、安全子系统通常首先在各个业务系统中独立建立,然后随着安全管理的规模和成本的不断上升逐步发展到产生了整个企业建立一致的安全管理体系的需求,的安全运行中心解决方案(Security Operation Center简称SOC)正是满足这种需求,为企业安全整合提供解决方案,通过最佳的安全技术和最佳的安全实践帮助用户从分散的安全实现集中的、可管理的安全。的SOC解决方案帮助用户解决以下的问题:l 分散的管理增加管理成本和管理难度作为一个新兴的、覆盖范围极大技术领域,信息安全可以划分为众多的细分领域,例如防火墙、入侵检测、漏洞扫描、认证和授权、加密、防病毒、VPN、PKI、内容过滤等等,每个领域内均有最
5、好的厂商和解决方案供应商,企业往往根据自身的需求,选择其中最优秀的产品,这就造成了这样一种现象:安全产品和厂商基本均为基于“点”的解决方案,即基于某一安全细分领域的解决方案,这些解决方案都需要单独购买、实施和管理。这种情况下,随着使用产品种类和数量的增加需要不断增加管理和维护人员,管理成本往往呈指数级的增加,但是管理效率却仍然存在瓶颈,特别是多种数据不能相互沟通和关联更加剧了这一现象,这些问题导致对集中化管理的要求;l 安全信息和知识的共享水平较差以往的观念往往认为,“安全是安全管理人员的事情”,目前,这种情况正在极大地改善,越来越多的企业通过安全策略明确地定义不同人员在安全组织中所处的位置和
6、应该担负的责任,与之不能相称的是,目前的安全产品仍然往往仅仅提供安全管理员的角色和视图,不能让普通系统管理员参与到安全管理和安全信息的共享中来,必须建立一种让所有的IT人员能够使用和监控与他们相关的安全信息的系统,让整个安全组织,而不仅仅是安全管理员为网络的安全负责l 海量事件某企业在一次病毒爆发的过程中在一天内产生了二千万的入侵检测告警,在这样的告警量水平情况下,管理员往往疲于应付,并且容易忽略一些重要但是数量较小的告警,尽管海量事件分析的需要的技能并不很高超,但如果仅仅依靠安全管理员人工分析,需要占用大量人员,而且容易出错。必须将规则化的分析让机器来实现,管理员和安全专家可以专注于更为复杂
7、的分析。海量事件是现代企业安全管理和审计面临的主要挑战之一l 缺乏智能告警的信息是一台服务器受到某种windows RPC病毒的攻击,而事实上该服务器是Unix服务器;传统的网络IDS事件告警无法分析当服务器受到攻击时攻击是否成功;无法通过发现攻击者的一系列组合攻击从而提高告警级别.以上的种种问题提示我们,孤立的事件无法为我们揭示问题的本质,必须有更加智能的分析方法,它可以分析多个事件的之间的联系,可以将不同的数据来源关联起来,可以将各种数据和知识关联起来;总而言之,企业需要智能化的处理方式,需要极大地提高效率,需要防止误报。l 必须改变以事件为中心的视角现有的安全产品往往以安全事件为视角,用
8、户第一眼看到的是各种各样的事件,但实际情况是,用户关注的核心不是事件本身,而是他们的资产是否受到了保护,需要保护的关键资产是否受到了威胁。因此必须改变以事件为中心的视角,以用户关心的核心资产为中心,提供面向资产的、基于安全健康指标的告警服务l 安全知识的不足。各种各样的产品提供了大量的安全机制,但是无论是关联、分析还是响应,都必须建立在知识的基础上。这些知识有些是通用的,可以来自供应商,有些是与客户实际环境密切相关的,必须来自实际生产环境,必须保证这些知识的不断积累,才能真正实现智能化。l 安全响应能力不足对安全响应的要求包括: 发现问题后必须能快速找到解决方法并最快速度进行响应,响应的过程中
9、要求明确响应的责任人、响应办反并反馈响应结果,对安全事件响应的整个过程必须有记录和考核; 建立一支有经验的响应队伍,这个队伍包括内部人员和外部专家支持; 支持自动化的响应和通知手段。对这些问题的深刻认识,都促使我们认识到,必须进一步发展安全体系,在现有产品体系的基础上架构集中的管理解决方案,因此在国内首先提出了安全运行中心(Security Operation Center)解决方案,提供一个整体性、智能性的安全管理解决方案。2 体系架构2.1 安全运行中心的建设目标安全运行中心(SOC)解决方案提供的整体解决方案是建立在现有的安全环境的基础上,能够实现以资产为核心的全面安全管理的管理系统,他
10、实现了以下的特性:l 以资产为核心的全面安全管理整体安全管理架构是以资产为核心的。BS7799将所有与信息相关能够体现价值的资产都称为信息资产,通过多年的服务实践发现,这种定义难以在实践中进行方便的操作,考虑到我们主要是管理基于网络和主机的资产,因此,在兼容BS7799标准的基础上,对资产进行了简化,将资产定义为可管理的带IP的设备资产和其上的附属软件和数据。如某台服务器是可管理资产,则这个资产包含了硬件、操作系统、应用软件和数据库、数据库中的数据。安全运行中心的所有信息都以资产为中心,例如漏洞和威胁都会被归结到资产,并在资产的层面进行关联和分析。用户登陆后也主要关注他们管理范围内的资产状况。
11、这和以往的以事件为中心的安全管理有本质性的区别。l 面向部门和用户的安全管理安全运行中心针对中国企业的管理结构特点,允许用户在系统内部设立企业结构逻辑视图,允许通过定义角色来分配权限。可以快速地为每个资产定位其负责人以及相关部门、领导、管理员、备份管理员等信息。安全运行中心是供所有的安全管理员、系统管理员、网络管理员使用的系统,通过角色定义,每个用户可以登陆到系统,看到自己管理的资产和系统的健康状况和告警。通过对角色的操作权限以及管辖资产范围的定义,可以精确地对权限进行限制,保障最小授权原则。l 强大完善的资产管理支持基于LDAP的资产管理,可以和不同系统的资产数据库进行同步。支持资产价值(可
12、用性需求、完整性需求、保密性需求)的评估。完整记录资产及其上的应用,均支持自动发现和手动调整。l 以资产为核心的漏洞管理以资产为核心,驱动漏洞的定期扫描、评估。用户可以在SOC界面中针对资产定制定期扫描或者发起一次单独的扫描,通过SOC界面驱动扫描系统,扫描的结果会返回到SOC系统中,所有信息经过标准化后存放在统一的数据库中,漏洞信息和资产信息可以方便地供关联使用,扫描结果还可以自动触发安全响应流程,保证一发现漏洞就进行解决。通过以资产为核心的漏洞管理,系统可以提供比传统的漏洞扫描器更加详尽的信息、更快的响应以及更强的信息交互和关联,并且可以实现统一的控制管理。l 以资产为核心的威胁管理威胁管
13、理主要通过事件管理体现出来,与以往以事件管理为核心的系统相比较,SOC中心将收集到的所有事件信息都归结到资产,很好地实现了基于资产视角的视图,用户可以方便地根据资产的价值和关键性来进行事件的分级。SOC中心大量支持已有安全产品的事件收集,做到即插即用,对于不支持的产品,提供可视化的变成编写数据的收集和标准化agent,保证快速的扩展。所有事件收集机制都是详细可定制的。l 强大的智能处理智能化处理是安全运行中心解决海量事件、事件分散化、误报的的重要机制,的智能处理方式主要包括: 底层智能处理:通过数据过滤、标准化、数据合并、实时数据关联来实现底层的智能事件处理,特别是实时数据关联实现了基于规则的
14、关联,发现实时数据之间的潜在联系,可以改变和调整级别。 基于资产的关联:当数据被归结到资产之后,不同来源的事件数据以及漏洞相关数据被汇聚在一起,在这个新的数据集的基础上,进行新一轮的关联分析,由于集中了异种事件的关联分析,这种分析可以有效减少误报,提供更多参考。 统计分析关联:基于异常检测的原理,在资产的基础上,检测是否有异常的行为,发现未知攻击。 知识库智能搜索:通过将事件、漏洞等数据与知识库进行关联,给系统管理员充分的信息、参考和解决方案。l 深入的配置管理能力SOC管理中心支持以下安全产品的管理配置:Linktrust Cyberwall全系列产品、Linktrust IDS全系列产品。
15、SOC管理还支持对非产品进行配置的收集和集中存放以及定期配置审计。l 丰富完善的主动响应管理SOC解决方案支持丰富的主动响应方式:支持完整的工单流程,工单可以通过事件、漏洞自动触发;SOC管理系统支持包括短信、email、留言等通知响应能力;支持基于OPSEC等机制的安全产品互动能力,产品还支持应用程序调用和API接口。l 全面的知识支持公司作为专业的安全公司,在安全领域有多年的丰富经验,建立了STForce实验室,保证对最新安全技术、新安全动态、最新安全漏洞的跟踪,在ST-Force的支持下建立的强大的知识系统和技术模型保证了能够提供业界最领先的安全知识管理和支持。公司拥有丰富的专业的安全服
16、务经验,拥有各种行业安全经验,保证我们能够深入了解用户,协助用户一起总结用户独有的安全知识。l 大规模实时多级分布式系统的安全运行中心解决方案为最大型的企业设计,支持多级管理体系,允许多级安全运行中心进行数据同步或者数据交互。为超大型企业的设计支持多达数十万的资产和每日上千万的数据处理能力。2.2 安全运行中心建设的体系架构2.2.1 全国soc省级soc二级架构SOC建设的目标主要是提供安全管理能力、节约成本,因此集中化和智能化是必然的标志,我们根据中国的要求设计了全国、省级二级的解决方案,这种解决方案主要综合考虑了现倒萨 有管理体制和网络流量情况,实现最大程度的优化,对于知识管理,认为建设
17、集中的知识库便于全国范围内的知识共享,具体的二级体系架构图如下所示:2.2.2 基于层次模型的体系结构对安全运行中心进行了完善的规划,将整个SOC的产品系列分为SOC核心功能以及SOC外部模块,SOC核心系统的功能主要集中在以资产为核心的风险管理方面,因此他的核心功能是对收集到的各种数据包括资产、漏洞、威胁、日志、配置进行分析和智能处理,在一个统一的界面下以用户最需要的方式呈现出来,保证用户高效处理各种问题。为了整个SOC的运转,必须采用一些相关的外部模块,这些模块可能是通过提供,也可能是用户本身系统就具备了的,这些模块功能相对独立于SOC核心模块,但是这些外部模块也使用统一的SOC界面来进行
18、管理,具体体系结构如下:SOC作为为中国的统一的可管理的安全平台的产品,内部可划分为三层:应用层、数据处理分析层和接口层,各层中包括了多个功能模块或子系统:l 接口层:主要提供对外部系统的接口,这个接口经过标准化定义后,可以接收来自外部模块或者其他系统的数据;l 数据处理和分析层:对各种数据进行关联处理和基于资产的映射。l 应用层:实现各种交互和响应的模块,该模块同时提供了用户接口下面的图示揭示的更加详细的模块划分:SOC的接口层,提供了SOC和其下被集成系统的交互功能,主要起采集异构数据和调用特定系统接口的作用,其中包括的功能模块或子系统有:企业数据收集、安全数据收集、配置中心和响应中心等。
19、在这一层各类异构的数据被全部或分类地归一化表示为SOC系统内部使用的统一格式,同时也可将SOC内部统一格式的指令和数据解析成特定的结构,供需调用的子系统使用。该层屏蔽了SOC系统和外部系统在数据集和指令集上的差异,为SOC对其他系统和安全解决方案的集成提供了基础和保障,是该产品能具有广泛适用性的关键所在。SOC的数据处理分析层对各类统一格式的内部数据进行存储、管理和基于规则的关联分析(Rules-based Correlation),同时对各类任务进行统一协调管理并向下层的执行模块下发指令。按数据的类别和功能划分为资产信息处理、漏洞分析、威胁分析、风险分析、安全信息库和任务调度派发中心等模块(
20、子系统)。在这一层一方面对从接口层收集来的各种数据进行存储;另一方面接收上层的指令进行统一调度管理并传送给下层的执行模块以实现用户的管理功能。该层是SOC系统的数据处理和指令指挥中心,是SOC具有强大数据处理和管理功能的关键所在。SOC的应用层将数据管理分析层提供的信息以具体的方式显示给SOC系统用户,并接收用户的操作和管理指令,通知下层相应模块或子系统。根据功能的可划分为用户管理、审计管理、资产管理、漏洞管理、威胁管理、风险管理、分析查询、安全设备管理和系统维护等模块和子系统。该层提供和用户的交互,是系统可呈现性和可操作性的关键所在。外部模块包括了人员组织管理、企业资产管理、脆弱性管理、事件
21、和日志管理、配置收集、安全产品接口、安全知识系统、工单系统、响应工具及API,这些外部模块会在后面进行介绍。3 功能模块3.1 SOC核心系统3.1.1 接口层3.1.1.1 企业数据收集目前企业数据主要分成二类:企业员工数据、资产数据。定义了可扩展的企业员工数据、资产数据接口标准格式,这个接口将不随系统变化而变化,外部模块可以自行决定数据获取来源和方式,然后将数据格式化,按照该接口的标准发送到soc系统的企业数据收集接口。企业数据收集接口根据内部模块需求,将数据转换为内部数据格式。3.1.1.2 安全数据收集安全数据收集主要包括二大类:安全事件、安全漏洞安全事件可以细分为:告警、日志;安全漏
22、洞目前可以细分为扫描器报告漏洞、配置审计产生的漏洞。需要注意的是,在数据送入SOC前,已经完成了所有的基础数据分析和标准化工作,例如SOC本身不完成配置的脆弱性分析,而是由外部系统完成的。安全数据收集接口根据内部模块需求,将数据转换为内部数据格式。3.1.1.3 配置中心配置中心将SOC内部统一的安全设备配置指令解析为特定的格式,通过调用外部对应的模块(各类实现级的安全设备配置工具或API)实现配置功能,目前可先支持自有的安全产品,之后在实施中进行扩充。该模块实际上翻译SOC内部配置命令,并为安全设备管理模块提供实现级的支持。考虑到现实中用户对一般性设备配置管理的需求,我们拟定在中国的项目中实
23、现对非系统平台的配置的收集和存储。3.1.1.4 响应中心无论在动态安全模型、还是静态安全模型中,响应都是不可缺少的重要一环。只有在检测到安全事件、风险后进行及时、有效、自动的响应才能对企业安全进行有效防护。该模块根据SOC内部统一的响应指令产生标准响应(如email、SNMP、windows消息通知等);或在解析为特定的格式的基础上,通过调用外部对应的模块接口(如工单系统、短信网关、防火墙互动等)实现各类特定响应。3.1.2 数据分析层3.1.2.1 资产管理该模块将接口层收集的数据检查其完整性、进行分析整理,然后存储到安全信息库。3.1.2.2 漏洞分析该模块将收集到的漏洞信息映射到资产,
24、并且将漏洞中的各种厂商数据映射到统一的漏洞列表中,便于比较和查询,然后将漏洞信息存储到安全信息库,同时该模块将经过整理和分析的数据实时提交给风险分析模块。3.1.2.3 威胁分析该模块对所有标准格式的原始事件数据进行存储,并根据规则进行攻击关联(非目标相关的关联),达到过滤事件、简化事件的目的,为SOC提供更有效的安全信息,减轻SOC数据处理的压力。关联分析的主要工作完全是针对事件和日志的,主要工作包括:l 数据过滤l 数据合并l 分级l 基于规则的智能实时关联事件的收集和分析目由esecurity sentinel来实现。3.1.2.4 风险分析根据资产信息、漏洞信息、威胁信息,依据安全知识
25、进行关联,并基于资产根据计算规则定量地计算资产的风险值,达到过滤事件、简化数据的目的,为SOC用户提供更有意义的资产风险信息,这也是SOC产品最具价值的核心功能。Impact Correlation根据资产信息、漏洞信息、威胁信息,依据安全知识进行关联,得到真正能对资产产生风险的安全信息,并存储到安全信息库。风险值计算和调整在Impact Correlation的基础上,基于资产根据计算规则定量地计算资产的风险值,并按资产分别存储到安全信息库。3.1.2.5 安全信息库该模块主要是存储安全信息和安全知识,是整个SOC的数据存储中心,但该存储中心不只是有一个数据库实现的,是由多个分类存储数据的数
26、据库构成的。同时安全信息中心还具有安全数据初步处理的功能,主要是做一些基本的统计功能,为进一步数据分析提供更有效的数据,提高分析统计的效率。3.1.2.6 任务调度提供统一的用户命令调用接口,用户定时和即时的管理指令(如扫描命令、配置命令等)都汇总到该模块,由其进行统一调度,调用下层的配置管理或响应管理模块来实现具体任务。内部分为指令产生和任务调度两部分。3.1.3 应用层3.1.3.1 角色和用户管理用户管理是SOC系统中极其重要的一部分,保证了用户操作的合法性,是用户正常使用该层其他模块的基础。为了保证系统使用的灵活性和可扩展性,设计为基于角色的用户管理模式,这也是目前大多数企业中没有专门
27、的安全管理部门所带来的客观需要,在角色管理的整个概念中,包括了员工、SOC用户、角色、访问对象权限、操作权限这5个概念:l 员工:员工是指企业内部的人员,员工情况由外部系统“人员组织管理”提供,并非每个员工都有SOC帐号,但是基本系统中存储的每个员工都和一些资产绑定;l SOC用户:在SOC系统中拥有一个统一的用户名、密码和一定权限的一个逻辑帐号,该帐号一定对应一个企业员工,该帐号只有对应一个或者多个角色才能有效在SOC中进行操作;l 角色:限定用户的访问对象、操作权限的集合,对角色定义可以简单地指定他能操作的资产对象、能执行的针对这资产的动作、系统操作,就完成了一个角色的定义,也可以制定一个
28、角色由若干基础角色组成,例如我们预先定义了系统维护角色、用户管理角色,我们再定义一个系统管理员角色包含以上二个角色的功能,这种灵活的角色定义能力保证用户可以根据需求灵活定义和修改l 访问对象:访问对象主要包括资产、安全设备,可以为角色划定一个范围,用户对这个范围之外的数据是不知道的,也不会显示出来l 操作权限:可以对角色指定一系列操作的权限,操作权限分成两种,一种是和对象相关的,指定该种权限时,必须制定访问对象范围,然后制定针对性地可以做什么操作,另外一种是和对象无关的,例如一些系统维护功能,可以直接为角色指定通过以上完善的角色体系,SOC系统支持虚拟子系统的概念,即在系统中允许创建一个业务系
29、统,该系统拥有一个全权限的管理员,这个系统对其他虚拟子系统不可见,而系统管理员完全控制该系统范围内的资产和安全设备,同时,他可以在这个业务系统范围内自由创建角色和用户。角色和用户管理模块的功能同时包括了日志和审计功能,记录用户行为用于集中的审计。3.1.3.2 风险管理通过统一的风险管理界面,可以以资产为核心,实现对资产、漏洞和威胁(事件)的综合管理。3.1.3.2.1 资产管理资产管理采用按照系统划分的资产树结构,方便地对资产进行浏览。系统提供便捷的查询与统计功能,便于安全管理人员和系统管理人员能方便地查找所需信息资产的信息,并能关联查找到相关的评估、风险、历史安全事件等信息。使安全管理人员
30、和系统管理人员能及时掌握信息资产的安全状况。资产管理模块提供标准接口,同时本身应能管理信息资产的识别、建档、变更等活动。标准系统定义定义可管理的标准OS系统(如Unix系列、Windows系列等),应包含所有主流的系统,可采用在系统内内置预先定义的方法。资产类别定义定义安全资产的类别,如服务器、工作站和数据库等,可采用在系统内内置预先定义的方法。业务系统定义定义企业内部业务系统(如计费系统等),以便提供资产的业务逻辑视图。应允许分级定义来满足实际业务的情况。这样的定义方式可以更进一步理解为定义了“虚拟系统”,从而为实现“将用户的权限限定在一定资产范围内”提供基础保证。资产属性的录入和修改通过界
31、面添加资产,填写(指定)或修改资产的属性(包括名称、资产类别、标准系统类别、所属业务系统、安全责任人、IP地址、资产安全价值、是否为24小时运行、备注信息等),主要用于添加零星资产和修改资产属性。资产的批量导入导入标准格式的资产数据源,支持格式应包括excel、xml、txt、DB等。主要用于系统初次运行时,导入由用户提供批量信息。可以考虑根据本系统提供的统一内部格式,开发标准导入模块和针对不同数据源的转换模块。资产的导出将资产数据导出成标准格式的数据源,支持格式应包括excel、xml、txt、DB等。此功能可满足将数据和其他系统共享或进行二次开发的用户需求。可以考虑根据本系统提供的统一内部
32、格式,开发标准导出模块和针对不同数据源的转换模块。资产监控时间点或频率定义定义系统自动监控系统资产的时间点(如每晚24点)或间隔多长时间进行监控,时间差不宜过短。可以参照防毒软件的扫描计划设置。资产的监控通过该功能可以监控已定义资产的运行情况,并可发现未定义的活动资产。主要通过ping或者其SNMP等机制发现网络中存活的IP,对发现的IP,可以作为一个预备资产,该预备资产可以通过填写信息生成一个新资产,也可以通过映射到一个现有资产上实现分配。当SOC系统安装了漏洞管理模块后,可将该部分功能和Scanner结合。资产统计报表通过资产进行相关信息的统计分析,并能生成报表。3.1.3.2.2 漏洞管
33、理在资产管理的基础上通过结合Scanner的功能,将扫描结果和相应的资产进行对应,并进行管理。漏洞库管理导入各类扫描器的漏洞资料,管理、完善和修改漏洞库扫描任务的定义定义定时扫描的任务。可针对资产、业务系统或某个网段进行分别定义或整体定义。即时扫描立即对某个资产执行扫描。漏洞查询可根据资产对漏洞情况进行查询,并能比较漏洞变化情况。补丁管理对和漏洞相应的补丁进行统一管理,为外部分发程序提供支持。3.1.3.2.3 威胁管理针对资产管理由各类安全设备综合产生的威胁类安全信息。查看资产的威胁情况针对资产查看威胁情况,可按排名和趋势进行检索和查看,如:查看该节点最近事件趋势(最近一段时间内的事件数量和
34、事件分布情况),事件趋势的范例可参考下图:查看威胁信息针对某个威胁的安全信息,查看其详细信息。定义威胁响应针对某类威胁,定义响应方式或产生某种响应动作。威胁分析报表针对资产或业务系统,生成威胁的各类分析报表。3.1.3.2.4 风险管理在下层风险分析模块的基础上,基于资产图以dashboard方式展现风险情况,并可使用漏洞管理、威胁管理来查看具体安全信息;同时可定义对应的响应方式。资产风险呈现以仪表盘的方式显示企业业务系统、资产的风险状况。主要提供三种方式:以红绿灯的方式定性显示业务系统的风险情况;以仪表盘的方式定量显示资产的实时风险状况;以曲线图的方式显示资产的风险变化情况。可视化告警监控基
35、于地图的多层实时监控图,所有拓扑图为预先定义,不能自动生成定义资产风险计算规则定义从资产价值、漏洞和威胁信息计算得到资产风险值的规则。定义业务系统风险显示规则定义从所包括的资产风险值定性分析业务系统风险状况的规则。查看风险信息针对某个风险的安全信息,查看其详细信息,并可进一步通过漏洞管理和风险管理查看各相关因素的情况。定义风险响应针对某类风险,定义响应方式或产生某种响应动作,如产生预警信息等。产生风险响应针对某个呈现的风险,通过界面交互手工产生某中相应方式,如产生预警信息等。风险分析报表针对资产或业务系统,生成风险的各类分析报表。3.1.3.3 分析查询分析查询往往属于事后分析统计,主要表现方
36、式为报表和图形,虽然可能属于各个功能模块,但统一的分析查询将极大地方便用户的使用。同时所有功能模块中的分析查询都是调用该模块来实现。报表管理分类管理所有系统内置的报表模板。允许用户依据一定的规则,自定义某类新报表模板。查询及事后分析提供一个分析的界面,用户可以查询各种历史事件,同时可以针对复合某一特定条件的事件集合进行组合性的智能分析,其功能相当于一个分析中心。预警处理预警的主要来源是统计分析和人工预警,统计分析主要是预定义一些特别类型的报表,生成的结果进入预警数据库,并通过特别的界面呈现出来,作为一种特殊处理,此处提供人工接口,允许手工生成预警,或者对定期生成的预警进行自动修改。统一的查询接
37、口提供统一的查询接口,利于系统的扩充。3.1.3.4 系统维护该模块主要承担着对SOC系统维护的作用,保障其高效、正常的运行。数据库管理SOC中,数据库是一个重要的存储设备,也是多个功能模块相联系的桥梁,所以必须在SOC提供对系统中数据库的管理(如数据库备份、数据库删除、数据库空间检查、数据库维护等)功能,而不是要求用户直接使用相应的DBMS工具进行管理。系统备份通过SOC界面定义备份的周期和备份的内容,备份包括全备份、数据库备份、数据备份和配置备份。系统审计事件查询查询相关的系统审计事件,保证系统的正常运行。3.1.3.5 安全设备管理提供统一的平台对企业内部署的各种设备的安全配置进行管理,
38、特别是安全设备(防火墙、IDS等)进行统一的查看和管理。这里有二个层面的意思,一是在SOC对安全设备进行集中统一的配置,目前先支持自有的安全产品,然后在实施中开发加入产品;二是收集设备的安全方面配置,实现最基本的定期存储和备份。安全设备审计事件查看查看所有和选定安全设备相关的审计事件(用户操作、重新启动等)。针对不同种类的安全设备可以进一步按不同分类查看(如防火墙中的配置信息和事件信息)。基于安全设备的安全数据查看查看所有有选定安全设备产生的安全数据(如IDS的报警等)。针对不同种类的安全设备可以进一步分级查看(如IDS中的高、中、低级事件)。安全设备配置提供统一平台对企业部署的安全设备进行配
39、置。目前先支持LinkTrust系列产品。安全产品/网络产品策略自动收集、备份和查看根据中国的要求,本期支持以下设备:1.Sun Solaris2.IBM AIX3.Microsoft Windows4.HP-UX5.Linux6.IRIX3.2 SOC外部功能模块3.2.1 人员组织管理人员组织管理主要提供三个部分的功能:导入其他系统中存在的人员组织结构、定义人员组织树状结构、提供LDAP服务。导入其他系统中存在的人员组织架构很多企业系统,例如目录服务器中存在现成的企业员工信息,通过标准的LDAP接口,该模块提供目录同步,保证充分利用现有资源,并且和企业主要的目录服务器保持同步。定义人员组织
40、树状结构图如果企业内没有其他的人员组织信息资料,则可以使用该模块的功能,创建人员和组织架构,对于从其他系统中导入的基本信息,也可以定义领导管理,管理员的备份关系等提供LDAP服务通过提供LDAP目录服务,系统可以让其他外部系统共享本模块维护的人员组织资源。同时,LDAP目录服务可以关联到SOC内部的用户管理中去,为外部提供帐号集中管理服务。注意:如果非SOC的系统完全能够理解和主动向SOC核心模块中的企业数据收集接口发送数据,则本模块不是必要的。3.2.2 企业资产管理主要提供二部分功能:与外部资产系统同步及为外部系统提供基于LDAP的资产服务。与外部资产系统同步允许系统从外部的基于LDAP或
41、者数据库的资产源中抽取现成的资产信息,并翻译成企业数据收集接口定义的标准资产数据。提供LDAP服务则供外部从本系统中提取资产。本模块不提供资产的创建、业务系统的定义等功能,这些功能在应用层的风险管理中的资产管理中实现。注意:如果不需要进行资产同步或者非SOC的系统完全能够理解和主动向SOC核心模块中的企业数据收集接口发送数据,则本模块不是必要的。3.2.3 脆弱性管理脆弱性管理模块包括两方面的功能:接收扫描器的数据、从配置收集模块获取配置并与基线进行比较产生漏洞。接收扫描器的数据:目前支持的扫描器包括Linktrust Tenable scanner、ISS Internet Scanner、
42、绿盟scanner、启明星辰scanner。l Linktrust Tenable Scanner:完全控制和集成,自动合并和导入l ISS Internet Scanner:自动的基于数据库导入l 启明星辰scanner:手工文件方式导入l 绿盟scanner:手工文件方式导入这个模块负责基线的定义和比较,最终形成统一的漏洞提交给安全数据收集接口。3.2.4 事件和日志管理该部分主要功能是将各种安全告警和日志收集到集中的系统上,该系统通过安全数据收集接口发送给SOC的核心处理模块,该系统通过esecurity的wizard模块来实现。e-Wizard能够通过多种方式收集事件源发送的安全事件:
43、l 文件方式,可以通过读取事件源的日志文件,来获取其中与安全有关的信息;l SNMP trap,接收来自设备的SNMP Trap的事件;l Syslog方式,以Syslog方式接收安全事件;l ODBC可以通过ODBC数据库接口获取事件源存放在各种数据库中的安全相关信息;l 网络SOCKET接口 可以通过TCP/IP网络,以Socket通信的方式获得安全事件;l OPSEC接口 可以接收来自本类型的安全事件服务器发送来的事件;l 第三方agent或者应用程序,第三方的应用程序或者agent可以通过以上方式或者标准输出直接将安全事件转发给安全事件采集系统。尽管提供了可定制接口,安全管理系统仍然最
44、需要即插即用的可用agent,这将大大减少项目中存在的实施风险和工作量。附件列出目前支持的agent的清单,这个清单还在不断增长和更新中。3.2.5 配置收集与事件收集类似的是该模块主要实现对各类agent和scripts的管理,将收集到的安全配置转发给SOC核心中的配置管理接口和外部模块中的脆弱性管理模块(用于审计)。3.2.6 安全产品接口该接口管理针对每种产品的agent,这些agent负责建立和安全产品的连接,并将SOC发出的统一配置命令转换为安全产品能够理解命令,这些agent同时负责对安全产品的策略、配置进行定期备份。安全产品接口目前支持的产品包括:l Linktrust Cybe
45、rwalll Linktrust IDSl Linktrust Tenable Scanner3.2.7 安全知识系统作为SOC基础,安全知识管理为其他功能提供了支撑,存储的知识可以被其他功能模块使用。也只有在安全知识的指导下,SOC提供个用户的安全措施才是有效和有意义的。知识管理分成知识存储和知识管理(检索、查询、通知、导入、导出、增删修改、同步等)二部分。通过SharePoint和一些针对性的开发来实现知识管理。3.2.8 工单系统扫描到高风险漏洞、安全关联规则、高级告警均可触发一个预备工单,工单应该自动关联到资产和管理员。预备工单经过批准和分配形成正式工单。多个预备工单可以合并成一个预备
46、工单。主要是重复告警或者针对同一个管理员的问题,这种合并是手工可选的。工单内容定义的工单包含以下内容:数据项说明工单编号唯一标识工单的编号。编制规则为:发出日期(格式为:YYYYMMDD)发送当天的流水号,如20031117001紧急程度紧急或一般现象描述安全事件现象的简要描述原因分析对引起待处理的安全事件的原因的简要分析处理意见对如何处理该安全事件的建议处理结果工单的处理结果派单人发出工单的人责任人负责处理该事件的责任人最长受理时间责任人必须在规定的时间范围内受理该工单。如果超过时间没有受理,系统通过E-mail和手机短信向责任人催办,同时通知派单人。最长处理时间责任人必须在规定的时间范围内处理完该工单,并上报处理结果。如果超过时间没有处理完,系统通过E-mail和手机短信向责任人催办,同时通知派单人。处理过程中,派单人和责任人可以对现象描述、原因分析、处理意见、处理结果中增加内容,但不能修改以前人输入的内容。系统需记录增加的时间和增加人。在显示工单时,显示所有的修改记录。在处理工单时能方便地关连查询相关资产的漏洞列表、风险列表、历史事件。并能关连到安全知识中的相关内容,为事件处理人员提供帮助和指导信息。预设处理流程工单处理流程如下:否是派单人责任人创建工单分派工单接受工单分派工单报告处理结果处理结果满意End重新处理/另行分派在分派后,派单人可以收回工单,重新
