LinkTrustSOC产品简介.doc

word文档命名：LinkTrust _ PWP_SOC_ 001__100_PM_ZHUQI_100810_I文档编号：2913001100ISOC V4产品白皮书 / 版本控制版本号日期状态变更说明修订人审核人V0.1C创建SOC V4产品白皮书朱祺VM修改SOC V4产品白皮书朱祺状态标识：C –Created A - Added M - Modified D - Deleted目录第一章安全管理面临的问题1安全产品的零散性1海量数据带来的效率低下和可管理性缺失1缺乏统一的基于资产和风险的视图2来自公司内部和外部的法规要求2第二章以SOC为核心的安全框架3建立以风险为核心的安全管理体系3建立以ISO17799为核心的安全运维保障体系4安全管理中心的定义5第三章安氏领信安全管理中心功能概述7总体实现概述7安全门户(Portal)功能7风险管理系统8告警监控8风险管理9工单预警9IP事件管理10数据查询10脆弱性管理系统11漏洞管理11配置管理12变更管理12知识库管理系统13安全知识13预处理手册13安全公告14设备状态管理系统14安全事件管理系统14事件收集体系14事件处理和关联分析15其他功能15报表管理系统15报表查看15报表管理16第四章SOC解决方案优势概述17国内最全面安全管理中心建设和服务经验17专门的SOC研发中心17以资产为核心的全新安全视角18灵活的统计告警规如此设置18强大的关联分析能力18企业级的分布能力18极高的处理性能18强大的智能处理引擎18全面的安全产品支持18经过实践检验的持续性风险计算模型19灵活可扩展的软件架构19内置scanner的解决方案19配置的自动收集和审计19变更自动检查19第五章系统运行环境20硬件平台20操作系统平台20数据库平台20系统软件20第一章 安全管理面临的问题随着安全越来越被企业重视，企业部署了大量的安全产品，但是大量的安全产品带来了巨大的可管理性问题，安氏领信密切关注相关的管理性问题，并开发了安全管理中心产品来解决这些管理性问题。

安全管理存在的主要的问题如下：安全产品的零散性安全领域有一个很大的特点，即它和现有的所有层面的IT技术和产品都有关联：与网络技术、主机操作系统、应用软件、设备硬件、人为管理、内容安全、 网等所有领域都有关系安全有无数的细分领域：防火墙、入侵检测、扫描器、4A、审计、补丁管理、集中认证、一次性口令、加密存储、链路层加密、防毒、内容安全、sniffer、forensics、PKI、安全服务、策略管理等等，每个领域都有一个或多个强大的厂商，在这样一个零散的环境中，需要面对每个厂商不同的管理界面，这对大型企业的安全管理人员是一个非常大的挑战海量数据带来的效率低下和可管理性缺失安全产品部署的过程中，最为严重和突出的现象是会出现大量的安全信息，一个标准的网络入侵检测系统采用缺省的策略，在一个百兆的上每天可能产生超过数十万数量的事件，海量的数据常常让我们的安全产品变得没有任何意义，即使经过调整和优化的策略，也充斥着无意义数据和误报入侵检测等安全产品也正是因为这种原因被人诟病有些无效数据是由安全产品的机制自身导致的，它本身无法彻底解决该问题，下面的图说明了各种安全产品产生的噪音企业面临的难题是，必须减少但不丢失安全事件，这样才能让我们对安全产品的管理变得可能和有效率。

缺乏统一的基于资产和风险的视图大局部安全系统纯粹是基于事件的系统，即不能关联到资产，也不能表现资产价值、业务系统价值，换句话说，系统报出来的信息不是按照企业需要的方式展现出来，企业需要看到的视图是按照业务系统和资产查看安全信息，报警要按照资产价值统一计算风险，并提供适宜的视图来自公司内部和外部的法规要求对于大型公司而言，越来越多的政策法规对安全提出了具体明确的要求，例如萨班斯法案〔SOX〕404条款，对信息内控提出明确要求，其中安全占据重要地位，特别是对安全日志、某某口令的流程管理和审计管理，给用户带来大量管理工作，需要自动化系统能够有效对这些控制和管理进展支撑第二章 以SOC为核心的安全框架建立以风险为核心的安全管理体系信息安全〔Information security〕安全的主要目标是保护信息和信息资产的某某性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持 某某性定义为保障信息仅仅为那些被授权使用的人获取 完整性定义为保护信息与其处理方法的准确性和完整性 可用性定义为保障授权使用人在需要时可以获取信息和使用相关的资产如何保证信息资产的某某性、完整性和可用性呢？必须用风险管理的手段来实现，风险管理是企业安全管理的核心，正确的风险管理方法是不断评估和监控企业信息资产中存在的风险，并采取一定的防护措施和响应管理流程，保证对风险的抑制。

我们在进展风险的控制过程中，参考了ISO13335的模型：我们可以看出，风险控制是一个动态的模型，我们在风险控制的过程中最主要需要考量的因素是：资产与其价值、威胁、漏洞和防护措施通过他们，我们计算出需要关注的风险值：资产与资产价值：资产是只对某个组织有价值的东西，信息资产分别具有不同的安全属性，某某性、完整性和可用性分别反映了资产在三个不同方面的特性安全属性的不同通常也意味着安全控制、保护功能需求的不同通过考察三种不同安全属性，可以得出一个能够根本反映资产价值的数值威胁：威胁是对系统和企业网的资产引起不期望事件而造成的损害的潜在可能性威胁可能源于对企业信息直接或间接的攻击，例如非授权的泄露、篡改、删除等，在某某性、完整性或可用性等方面造成损害威胁也可能源于偶发的、或蓄意的事件一般来说，威胁总是要利用企业网络中的系统、应用或服务的弱点〔弱点的定义参见弱点一章〕才可能成功地对资产造成伤害漏洞：弱点和资产严密相连，它可能被威胁利用、引起资产损失或伤害值得注意的是，弱点本身不会造成损失，它只是一种条件或环境、可能导致被威胁利用而造成资产损失防护措施：防护措施可以是安全产品部署、策略执行、人工加固等，防护措施通过降低威胁发生的可能性，将风险降到可承受的X围之内。

所有的安全产品和安全技术都是通过改变风险的某一属性从而达到降低风险的目标，最终保护了我们宝贵的信息资产建立以ISO17799为核心的安全运维保障体系仅仅有风险的监控和预警以与部署防X措施还是不够的，比拟关键的核心环节是如何建立起一套有效的安全保障体系，通过安全组织、安全策略和安全管理流程来有效保证各种安全设施正常运作，最大程度保证企业风险在可控X围内安氏领信安全管理中心解决方案充分参考了业界主要标准ISO17799，通过帮助用户建设安全管理中心，建立一套完整的监控和运维管理体系ISO17799：由英国标准协会〔BSI〕在1999年首次提出的BS7799安全管理标准，2000年正式成为ISO/IEC 17799，并于2005年开展为最新版本ISO/IEC 27001 该标准通过11个大类的安全目标和安全控制，构建了信息安全管理系统的框架，为各机构进展信息安全管理工作提供根底的依据该标准为我们提供安全组织、安全策略、安全管理方面的最优实践指引，安氏领信将自己SOC维护体系与其严密有效结合起来，形成完整的安全管理解决方案，为用户提供的不仅仅是一套技术产品，而且包括管理和资讯的全面经验上图中深色局部是安氏SOC系统的管理X围。

安全管理中心的定义安全管理中心〔SOC：Security Operation Center〕是协助用户实现安全策略管理、安全组织管理、安全运作管理和安全技术框架的中心枢纽安全管理中心是一种安全管理的形式，他的职能分成管理层面的职能和技术层面的职能，他的存在有效地将企业的策略管理、安全组织管理、安全运作管理和安全技术框架结合在一起，保持一致性安全管理中心的主要职能包括：风险管理中心：全面收集信息资产的漏洞和相关事件，通过关联分析去除各种误报，发现有用信息，给出级别度量系统能够自动完成以往需专家完成的风险计算工作，并自动触发任务单和响应来降低风险，达到管理和控制风险的效果服务管理中心：该中心提供日常运维工作的服务保障体系；包括各种资产配置库、安全知识管理、流程管理实现等；例如工单管理用于追踪风险和事故的处理情况；例如预警管理可以实现主动的预警，通过企业安全管理中心和各个安全服务供给商共同合作，形成一条完整的预警处理链，可以保证在漏洞出现还未被利用前就送达各个管理员并保证被采取了应对的措施；还有通过对日常工作的评价来促使我们找到如何提高安全水平的方法专业安全系统：安全管理中心还提供各种专项的安全集中管理功能来保证用户对某些专门安全问题的管理，例如某某口令管理、安全终端管理〔包括防毒、桌面管理等〕；接口管理：安全管理中心不会独立于整个企业的IT管理系统独立运载，整个维护运作组织也是整个企业维护运作组织的一局部，SOC充分考虑企业内部IT系统融合的需求，提供各类灵活接口。

安全管理中心与4A系统关系如如下图所示：安全管理中心是企业安全管理工作的技术支撑平台，4A系统是企业的专业安全子系统，二者统一管理企业的IT资源，共用企业的安全目录SOC系统主要管理资源的例外事件、配置数据、性能数据、漏洞数据等，而4A系统主要是管理资源信息、某某信息、合法事件等，4A系统本身产生的异常事件同时发送给SOC系统，SOC系统可以承受4A系统的集中认证和某某管理第三章 安氏领信安全管理中心功能概述总体实现概述SOC系统由统一的Web Portal、安全数据采集、SOC服务、WEB管理平台、对外接口等局部组成，如如下图：安氏领信SOC系统中，由安全门户、风险管理、脆弱性管理、事件管理、报表中心、知识库管理、设备状态管理七大子系统组成，下面的章节我们会详细介绍每个局部的功能简介安全门户(Portal)功能安全门户主要具有以下特点：1．支持界面自定义支持用户自定义系统界面支持用户自定义页面布局2．支持多种主题用户可以根据使用习惯自定义界面风格内置六种主题，并支持用户自定义主题3．门户安全性多种认证方式保障门户安全性支持portlet权限控制4．门户根底功能门户主要包括资产管理、用户管理、系统管理、主题管理、首页管理以下是安全portal的界面：风险管理系统风险管理子系统是SOC系统中核心管理系统，主要包括告警监控、风险管理和服务管理。

告警监控实现对安全管理平台内告警信息集中监控和集中处理功能，并提供告警规如此设置以下是告警监控的一个界面示例：风险管理风险管理是基于ISO13335和ISO17799为 核心的风险计算分析和展现可以从地域、业务系统、IP地址段等视角查看资产风险，与时掌握资产中产生的安全事件、配置脆弱性和安全漏洞以下是风险管理的界面一个。