產(chǎn)品設(shè)計(jì)原理及架構(gòu)

作為當(dāng)前國內(nèi)安全管理平臺(tái)市場(chǎng)的領(lǐng)頭羊，啟明星辰泰和SOC系統(tǒng)是一個(gè)以IT資產(chǎn)為基礎(chǔ)，以業(yè)務(wù)信息系統(tǒng)為核心，以客戶體驗(yàn)為指引，從監(jiān)控、審計(jì)、風(fēng)險(xiǎn)和運(yùn)維四個(gè)維度建立起來的一套可度量的統(tǒng)一業(yè)務(wù)支撐平臺(tái)，使得各種用戶能夠?qū)I(yè)務(wù)信息系統(tǒng)進(jìn)行可用性與性能的監(jiān)控、配置與事件的分析審計(jì)預(yù)警、風(fēng)險(xiǎn)與態(tài)勢(shì)的度量與評(píng)估、安全運(yùn)維流程的標(biāo)準(zhǔn)化、例行化和常態(tài)化，最終實(shí)現(xiàn)業(yè)務(wù)信息系統(tǒng)的持續(xù)安全運(yùn)營。借助泰和SOC系統(tǒng)，用戶可以將日常安全管理工作由無序變?yōu)橛行?、化?fù)雜為簡單，全面提升網(wǎng)絡(luò)安全管理能力，幫助企業(yè)從局部安全提升為全局安全、從單點(diǎn)防御提升為協(xié)同防御、從模糊管理提升為量化管理。

泰和SOC系統(tǒng)基于開放式的軟件平臺(tái)設(shè)計(jì)架構(gòu)，由多個(gè)功能模塊組成，用戶可以自由選擇搭配，后續(xù)還能夠無縫升級(jí)。圖3為系統(tǒng)的總體架構(gòu)圖。

圖3 泰和SOC系統(tǒng)總體架構(gòu)圖

產(chǎn)品功能

系統(tǒng)的主要功能包括以下幾點(diǎn)。

1.面向業(yè)務(wù)的統(tǒng)一安全管理

系統(tǒng)內(nèi)置業(yè)務(wù)建模工具，用戶可以構(gòu)建業(yè)務(wù)拓?fù)洌从硺I(yè)務(wù)支撐系統(tǒng)的資產(chǎn)構(gòu)成，并自動(dòng)構(gòu)建業(yè)務(wù)健康指標(biāo)體系，從業(yè)務(wù)的性能與可用性、業(yè)務(wù)的脆弱性和業(yè)務(wù)的威脅三個(gè)維度計(jì)算業(yè)務(wù)的健康度，協(xié)助用戶從業(yè)務(wù)的角度去分析業(yè)務(wù)可用性、業(yè)務(wù)安全事件和業(yè)務(wù)告警。

2.全面的日志采集

可以通過多種方式來收集設(shè)備和業(yè)務(wù)系統(tǒng)的日 志，例 如 Syslog、SNMP Trap、FTP、OPSEC LEA、NETBIOS、ODBC、WMI、Shell腳本、Web Service等。

3.智能化安全事件關(guān)聯(lián)分析

借助先進(jìn)的智能事件關(guān)聯(lián)分析引擎，系統(tǒng)能夠?qū)崟r(shí)不間斷地對(duì)所有范式化后的日志流進(jìn)行安全事件關(guān)聯(lián)分析。

4.全面的脆弱性管理

系統(tǒng)實(shí)現(xiàn)與天鏡漏掃、網(wǎng)御漏掃和綠盟漏掃系統(tǒng)的實(shí)時(shí)高效聯(lián)動(dòng)，內(nèi)置安全配置核查功能，從技術(shù)和管理兩個(gè)維度進(jìn)行全面的資產(chǎn)和業(yè)務(wù)脆弱性管控。

5.主動(dòng)化的預(yù)警管理

用戶可以通過預(yù)警管理功能發(fā)布內(nèi)部及外部的早期預(yù)警信息，并與網(wǎng)絡(luò)中的IP資產(chǎn)進(jìn)行關(guān)聯(lián)，分析出可能受影響的資產(chǎn)，提前讓用戶了解業(yè)務(wù)系統(tǒng)可能遭受的攻擊和潛在的安全隱患。

6.主動(dòng)化的網(wǎng)絡(luò)威脅情報(bào)利用

系統(tǒng)提供主動(dòng)化的威脅情報(bào)采集，通過采集實(shí)時(shí)威脅情報(bào)，結(jié)合規(guī)則關(guān)聯(lián)和觀察列表等分析方式，使安全管理人員及時(shí)發(fā)現(xiàn)已發(fā)現(xiàn)的外部攻擊源的威脅。

7.基于風(fēng)險(xiǎn)矩陣的量化安全風(fēng)險(xiǎn)評(píng)估

系統(tǒng)參照GB/T 20984-2007信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范、ISO 27005:2008信息安全風(fēng)險(xiǎn)管理，以及OWASP威脅建模項(xiàng)目中風(fēng)險(xiǎn)計(jì)算模型的要求，設(shè)計(jì)了一套實(shí)用化的風(fēng)險(xiǎn)計(jì)算模型，實(shí)現(xiàn)了量化的安全風(fēng)險(xiǎn)估算和評(píng)估。

8.指標(biāo)化宏觀態(tài)勢(shì)感知

針對(duì)系統(tǒng)收集到的海量安全事件，系統(tǒng)借助地址熵分析、熱點(diǎn)分析、威脅態(tài)勢(shì)分析、KPI分析等數(shù)據(jù)挖掘技術(shù)，幫助管理員從宏觀層面把握整體安全態(tài)勢(shì)，對(duì)重大威脅進(jìn)行識(shí)別、定位、預(yù)測(cè)和跟蹤。

9.多樣的安全響應(yīng)管理

系統(tǒng)具備完善的響應(yīng)管理功能，能夠根據(jù)用戶設(shè)定的各種觸發(fā)條件，通過多種方式（例如郵件、短信、聲音、SNMP Trap、即時(shí)消息、工單等）通知用戶，并觸發(fā)響應(yīng)處理流程，直至跟蹤到問題處理完畢，從而實(shí)現(xiàn)安全事件的閉環(huán)管理。

10.豐富靈活的報(bào)表報(bào)告

系統(tǒng)內(nèi)置了豐富的報(bào)表模板，包括統(tǒng)計(jì)報(bào)表、明細(xì)報(bào)表、綜合審計(jì)報(bào)告，審計(jì)人員可以根據(jù)需要生成不同的報(bào)表。

11.流安全分析

除了采集各類安全事件，系統(tǒng)還能夠采集形如NetFlow的流量數(shù)據(jù)，并進(jìn)行可視化展示。針對(duì)采集來的NetFlow流量數(shù)據(jù)的分析，系統(tǒng)能夠建立網(wǎng)絡(luò)流量模型，通過泰合特有的基于流量基線的分析算法，發(fā)現(xiàn)網(wǎng)絡(luò)異常行為。

圖4 泰和SOC系統(tǒng)部署場(chǎng)景

12.知識(shí)管理

系統(tǒng)具有國內(nèi)完善的安全管理知識(shí)庫系統(tǒng)，內(nèi)容涵蓋安全事件庫、安全策略庫、安全公告庫、預(yù)警信息庫、漏洞庫、關(guān)聯(lián)規(guī)則庫、處理預(yù)案庫、案例庫、報(bào)表庫等，并提供定期或者不定期的知識(shí)庫升級(jí)服務(wù)。

13.用戶管理

系統(tǒng)采用三權(quán)分立的管理體制，默認(rèn)設(shè)置了用戶管理員、系統(tǒng)管理員、審計(jì)管理員分別管理。系統(tǒng)用戶管理采用基于角色的訪問控制策略，即依據(jù)系統(tǒng)中角色的行為來限制對(duì)資源的訪問。

14.自身系統(tǒng)管理

實(shí)現(xiàn)了系統(tǒng)自身安全及維護(hù)管理。主要包括組織管理、系統(tǒng)數(shù)據(jù)庫及功能組件運(yùn)行狀態(tài)監(jiān)控、日志維護(hù)及其他一些與系統(tǒng)本身相關(guān)的運(yùn)行維護(hù)的管理和配置功能。

15.一體化的安全管控界面

系統(tǒng)提供了強(qiáng)大的一體化安全管控功能界面，為不同層級(jí)的用戶提供了多視角、多層次的管理視圖。

應(yīng)用場(chǎng)景

泰和SOC系統(tǒng)廣泛應(yīng)用于各類企事業(yè)單位，尤其能夠滿足客戶對(duì)于信息系統(tǒng)等級(jí)保護(hù)和企業(yè)內(nèi)部控制的要求。圖4展示了SOC系統(tǒng)的典型部署場(chǎng)景。

由圖4可知，作為系統(tǒng)核心的安全管理平臺(tái)的管理中心，可以部署在一個(gè)網(wǎng)絡(luò)可達(dá)的區(qū)域，實(shí)現(xiàn)對(duì)全網(wǎng)IT資產(chǎn)的集中化信息采集、分析和管控。對(duì)于分散的IT資產(chǎn)，系統(tǒng)提供了可以分布式部署的安全信息采集器，針對(duì)分散的區(qū)域進(jìn)行安全信息的采集，并轉(zhuǎn)發(fā)給安全管理平臺(tái)。管理員可以通過瀏覽器在遠(yuǎn)程登錄安全管理平臺(tái)進(jìn)行各項(xiàng)操作。而對(duì)于大型的機(jī)構(gòu)或者企事業(yè)單位，SOC系統(tǒng)還支持多級(jí)級(jí)聯(lián)部署模式，以適應(yīng)客戶分級(jí)管理的需求。