泰合安全管理平台(TSOC)
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
泰合安全管理平台(TSOC) 架构及功能
1
TSOC平台构成
概述 平台架构
TSOC主要功能
主要模块 各模块功能介绍
2
TSOC系统概述
泰合安全管理平台,是为解决各安全产品间的协作问题而建立起来的一个信息 交换、信息存储、信息处理平台,通过该平台,可以对各安全产品进行控制管 理。
泰合安全管理平台由用户管理、事件管理和安全管理中心三部分组成。
– 进一步降低系统的误报 率。
13
关联分析
可灵活定制的响应规则 多种响应方式
– 屏幕 – 声音 – 邮件 – 工单 – 对话框 – 设备控制
14
响应管理
工作流管理
15
工单管理
16
人工预警
– 发布一条漏洞预警 – 分析漏洞的影响
事件预警
– 基于已发生的事件 – 推测潜在威胁
17
安全预警
运行状态监控
– 漏洞扫描工具
提供关于脆弱性的可视界面 漏洞管理 查看资产的端口信息和漏洞 信息
脆弱性管理
10
发现风险高的域 发现风险高的子域 发现风险高的资产 发现风险高的事件 对事件做出响应
11
风险管理
关联分析
关联分析实际是指从海量事件中有目的地发现和提取 出特定事件的过程和做法 通常是根据事件的类型、网络的安全策略、攻击上下 文等进行分析 通过关联来自不同地点、不同时间、不同层次、不同 类型的安全事件,来发现真正的安全风险,提高安全 报警的信噪比 对收集上来的安全事件进行关联性分析,发现事件之 件的关联性,以便进行有效的响应
上海市计算机病毒防范服务中心
上海市第二中级人民法院 北京市财政局
上海市卫生局
江西地税
四川省政府信息中心
北京市监狱管理局
上海市残疾人联合会
上海武警总队
上海质量技术监督局
浙江省司法厅
中共云南省委
地市级 徐州市政府
沈阳市和平区人民政府
东营市东营区政府
28
青岛市政府
行业
客户名称
金融领 中国交通银行
域 大连商品交易所
报表管理 实时监控 设备管理 知识库管理
日志管理 用户管理 系统管理
6
事件处理
事件采集
全面设备支 持 多种采集方 式
事件范式化
所有事件按 照相同的策 略进行范式 化
事件过滤 事件合并
根据范式化 后的字段进 行过滤合并
事件存储
范式化后的 事件统一入 库
事件分析
事件分类、 分级 风险计算
事件响应
多种响应方 式
26
资质完备
《计算机软件著作权登记证书》 《计算机信息系统安全专用产品销售许可证》 《涉密信息系统产品检测证书》 《国家信息安全认证产品型号证书》 《军用信息安全产品认证证书》 《计算机世界》2008年度产品奖 2008年中国安全管理平台市场占有率第一 2006年度计算机网络和信息防护解决方案优秀奖 2006年度中国计算机报编辑选择奖
用户管理
20
监控人员组 配置人员组 管理人员组 权限拷贝
21
用户管理
领导 主管 分析人员 操作人员
22
报表管理
综合监控
23
安全信息知识库升级服务
24
采集对象
强大的设备支持
采集方式
Microsoft Windows
Agent
第一层
第二层
25
强大的定制开发能力
泰合中心提供研发支持 或向合作伙伴开放开发接口 研发人员40多人,覆盖北京、 上海
事件处理
自定义工作 流
事件预警
自动事件预 警
事件审计
事件查询 事件报表
7
事件管理
8
以一种结构化的方式来反映组 织的信息资产,从而有效地进 行管理
可以从逻辑或业务、技术等多 个方面来设计域结构
– 地理视角 – 组织视角 – 业务视角 – 功能视角 – 网络视角
– ……
资产和安全域管理
9
两种导入方式
中国信达资产管理公司
厦门市商业银行
哈尔滨市商业银行
韩亚银行
徽商银行
中国长城资产管理公司
电力及 重庆市电力公司 能源领 上海市电力公司
域 东北电网有限公司
广东电网公司
大唐彭水水电开发有限公司
平朔煤炭工业公司
四川省电力公司
山西省电力公司
华东电网有限公司
天津市电力公司
中国石化
福建联合石油化工有限公司
教育
青岛石化 人民日报社 厦门教委
12
规则关联分析
– 由用户预定义规则对两 个或以上的事件进行关 联,以准确发掘判断出 众多事件中的安全事件 。
– 它基于小的时间片,实 时性较强
统计关联分析
– 按统计学,将某时间段 中事件信息进行统一分 析,参照一些基线及阀 值,对安全态势进行判 断和预测
– 基于大时间片,实时性 低
漏洞关联分析
– 漏洞关联分析是判断系 统收集到的事件所对应 的漏洞编号或端口与系 统中存在的资产的漏洞 编号或端口号是否符合 ,如果符合就触发关联 事件。
知识出版社
央视国际网络有限公司
百度文库中央人民广播电台
行业
客户名称
电信领 广东省电信公司
域 中国移动通信集团新疆有限公司
中国移动通信集团河南有限公司
湖南电信
江西移动
中国联通有限公司广东分公司
青海移动
中国电信股份有限公司昆明分公司
河北移动通信有限责任公司
中国电信股份有限公司四川分公司
中国移动通信集团设计院有限公司
用户管理是泰合安全管理平台的必要功能,为泰合安全管理平台的所有组件提 供集中的统一用户认证与管理。
事件管理是泰合安全管理平台的基础组件,完成多种类型设备的日志、状态、 告警等信息的多级分布式采集与预处理,并实施必要的控制。
安全管理中心是泰合安全管理平台的核心服务组件,重点完成采集信息的综合 分析、实时监控、展示查询、报表、配置管理、响应等功能,并提供与此相关 的知识库。
18
基于设备类型的脚本控制 支持批量操作 事件自动触发控制响应
设备控制管理
19
基于角色的访问控制管理(Role-Based Access Control) 三权分立的管理体制
– 细分用户的资源访问权限和功能操作权 限
– 不同用户的帐号和口令加密存放 内置三个帐户
– 用户管理系统管理员(UserAdmin) – 审计管理员(AuditAdmin) – 权限管理员 (SmcAdmin)
27
广泛成功案例
行业
客户名称
国家级 第29届奥林匹克运动会组织委员会
第29届奥帆组织委员会
国家信息中心
国家计算机网络与信息安全管理中心
国家广播电视总局全国数据监测中心
中华人民共和国人事部
国家基础地理信息中心
国土资源部
国家工商行政管理总局
住房与城乡建设部
中华人民共和国农业部
省市级 北京市应急指挥中心
军队军 中国航天科技某研究院 工 78***部队
中国兵器工业集团公司
中国船舶工业综合技术经济研究院
西安航空发动机集团有限公司
谢谢
欢迎莅临启明星辰大厦参观指导
29
漏洞信息: 日志信息: 访问信息: 展示信息:
SMC
安全管理中心
数据库
监控屏幕
5
SOC域
TSOC的部署方式
脆弱性扫描
SIMS
网络行为监控
交换机 路由器 服务器 防火墙 安全网关 入侵检测
TSOC主要功能模块
TSOC 功能模块
事件管理
域与资产管理
响应管理 关联分析 预警管理
风险管理 脆弱性管理 工作流管理
3
操作者 管理者 决策层 管理者 操作者
TSOC的平台构成
用户接口 User Interface
安全风险管理平台 SMC
海量存储 Data Base
事件库 资源库 知识库 。。。。
安全信息采集平台 SIMS
设备接口 Device Interface
防病毒 4
防火墙 入侵检测 主机应用 网络设备
监控屏幕
1
TSOC平台构成
概述 平台架构
TSOC主要功能
主要模块 各模块功能介绍
2
TSOC系统概述
泰合安全管理平台,是为解决各安全产品间的协作问题而建立起来的一个信息 交换、信息存储、信息处理平台,通过该平台,可以对各安全产品进行控制管 理。
泰合安全管理平台由用户管理、事件管理和安全管理中心三部分组成。
– 进一步降低系统的误报 率。
13
关联分析
可灵活定制的响应规则 多种响应方式
– 屏幕 – 声音 – 邮件 – 工单 – 对话框 – 设备控制
14
响应管理
工作流管理
15
工单管理
16
人工预警
– 发布一条漏洞预警 – 分析漏洞的影响
事件预警
– 基于已发生的事件 – 推测潜在威胁
17
安全预警
运行状态监控
– 漏洞扫描工具
提供关于脆弱性的可视界面 漏洞管理 查看资产的端口信息和漏洞 信息
脆弱性管理
10
发现风险高的域 发现风险高的子域 发现风险高的资产 发现风险高的事件 对事件做出响应
11
风险管理
关联分析
关联分析实际是指从海量事件中有目的地发现和提取 出特定事件的过程和做法 通常是根据事件的类型、网络的安全策略、攻击上下 文等进行分析 通过关联来自不同地点、不同时间、不同层次、不同 类型的安全事件,来发现真正的安全风险,提高安全 报警的信噪比 对收集上来的安全事件进行关联性分析,发现事件之 件的关联性,以便进行有效的响应
上海市计算机病毒防范服务中心
上海市第二中级人民法院 北京市财政局
上海市卫生局
江西地税
四川省政府信息中心
北京市监狱管理局
上海市残疾人联合会
上海武警总队
上海质量技术监督局
浙江省司法厅
中共云南省委
地市级 徐州市政府
沈阳市和平区人民政府
东营市东营区政府
28
青岛市政府
行业
客户名称
金融领 中国交通银行
域 大连商品交易所
报表管理 实时监控 设备管理 知识库管理
日志管理 用户管理 系统管理
6
事件处理
事件采集
全面设备支 持 多种采集方 式
事件范式化
所有事件按 照相同的策 略进行范式 化
事件过滤 事件合并
根据范式化 后的字段进 行过滤合并
事件存储
范式化后的 事件统一入 库
事件分析
事件分类、 分级 风险计算
事件响应
多种响应方 式
26
资质完备
《计算机软件著作权登记证书》 《计算机信息系统安全专用产品销售许可证》 《涉密信息系统产品检测证书》 《国家信息安全认证产品型号证书》 《军用信息安全产品认证证书》 《计算机世界》2008年度产品奖 2008年中国安全管理平台市场占有率第一 2006年度计算机网络和信息防护解决方案优秀奖 2006年度中国计算机报编辑选择奖
用户管理
20
监控人员组 配置人员组 管理人员组 权限拷贝
21
用户管理
领导 主管 分析人员 操作人员
22
报表管理
综合监控
23
安全信息知识库升级服务
24
采集对象
强大的设备支持
采集方式
Microsoft Windows
Agent
第一层
第二层
25
强大的定制开发能力
泰合中心提供研发支持 或向合作伙伴开放开发接口 研发人员40多人,覆盖北京、 上海
事件处理
自定义工作 流
事件预警
自动事件预 警
事件审计
事件查询 事件报表
7
事件管理
8
以一种结构化的方式来反映组 织的信息资产,从而有效地进 行管理
可以从逻辑或业务、技术等多 个方面来设计域结构
– 地理视角 – 组织视角 – 业务视角 – 功能视角 – 网络视角
– ……
资产和安全域管理
9
两种导入方式
中国信达资产管理公司
厦门市商业银行
哈尔滨市商业银行
韩亚银行
徽商银行
中国长城资产管理公司
电力及 重庆市电力公司 能源领 上海市电力公司
域 东北电网有限公司
广东电网公司
大唐彭水水电开发有限公司
平朔煤炭工业公司
四川省电力公司
山西省电力公司
华东电网有限公司
天津市电力公司
中国石化
福建联合石油化工有限公司
教育
青岛石化 人民日报社 厦门教委
12
规则关联分析
– 由用户预定义规则对两 个或以上的事件进行关 联,以准确发掘判断出 众多事件中的安全事件 。
– 它基于小的时间片,实 时性较强
统计关联分析
– 按统计学,将某时间段 中事件信息进行统一分 析,参照一些基线及阀 值,对安全态势进行判 断和预测
– 基于大时间片,实时性 低
漏洞关联分析
– 漏洞关联分析是判断系 统收集到的事件所对应 的漏洞编号或端口与系 统中存在的资产的漏洞 编号或端口号是否符合 ,如果符合就触发关联 事件。
知识出版社
央视国际网络有限公司
百度文库中央人民广播电台
行业
客户名称
电信领 广东省电信公司
域 中国移动通信集团新疆有限公司
中国移动通信集团河南有限公司
湖南电信
江西移动
中国联通有限公司广东分公司
青海移动
中国电信股份有限公司昆明分公司
河北移动通信有限责任公司
中国电信股份有限公司四川分公司
中国移动通信集团设计院有限公司
用户管理是泰合安全管理平台的必要功能,为泰合安全管理平台的所有组件提 供集中的统一用户认证与管理。
事件管理是泰合安全管理平台的基础组件,完成多种类型设备的日志、状态、 告警等信息的多级分布式采集与预处理,并实施必要的控制。
安全管理中心是泰合安全管理平台的核心服务组件,重点完成采集信息的综合 分析、实时监控、展示查询、报表、配置管理、响应等功能,并提供与此相关 的知识库。
18
基于设备类型的脚本控制 支持批量操作 事件自动触发控制响应
设备控制管理
19
基于角色的访问控制管理(Role-Based Access Control) 三权分立的管理体制
– 细分用户的资源访问权限和功能操作权 限
– 不同用户的帐号和口令加密存放 内置三个帐户
– 用户管理系统管理员(UserAdmin) – 审计管理员(AuditAdmin) – 权限管理员 (SmcAdmin)
27
广泛成功案例
行业
客户名称
国家级 第29届奥林匹克运动会组织委员会
第29届奥帆组织委员会
国家信息中心
国家计算机网络与信息安全管理中心
国家广播电视总局全国数据监测中心
中华人民共和国人事部
国家基础地理信息中心
国土资源部
国家工商行政管理总局
住房与城乡建设部
中华人民共和国农业部
省市级 北京市应急指挥中心
军队军 中国航天科技某研究院 工 78***部队
中国兵器工业集团公司
中国船舶工业综合技术经济研究院
西安航空发动机集团有限公司
谢谢
欢迎莅临启明星辰大厦参观指导
29
漏洞信息: 日志信息: 访问信息: 展示信息:
SMC
安全管理中心
数据库
监控屏幕
5
SOC域
TSOC的部署方式
脆弱性扫描
SIMS
网络行为监控
交换机 路由器 服务器 防火墙 安全网关 入侵检测
TSOC主要功能模块
TSOC 功能模块
事件管理
域与资产管理
响应管理 关联分析 预警管理
风险管理 脆弱性管理 工作流管理
3
操作者 管理者 决策层 管理者 操作者
TSOC的平台构成
用户接口 User Interface
安全风险管理平台 SMC
海量存储 Data Base
事件库 资源库 知识库 。。。。
安全信息采集平台 SIMS
设备接口 Device Interface
防病毒 4
防火墙 入侵检测 主机应用 网络设备
监控屏幕