密级:秘密
文档编号:
项目代号:
中国电信网络安全管理平台工程五网络安全管理中心系统平台建设方案建议
安氏互联网安全系统(中国)有限公司
InformationSecurityOne(China)Ltd.
10:05 PM
目录
1概述错误!未指定书签。
2体系架构错误!未指定书签。
2.1 ............................... 电信安全运行中心的建设目标错误!未指定书签。
2.2 ............................... 安全运行中心建设的体系架构错误!未指定书签。
2.2.1全国soc-省级soc二级架构
错误!未指定书签。
2.2.2基于层次模型的体系结构
错误!未指定书签。
3功能模块错误!未指定书签。
3.1 .............................................. SOC核心系统错误!未指定书签。
3.1.1接口层
错误!未指定书签。
3.1.1.1企业数据收集
错误!未指定书签。
3.1.1.2安全数据收集
错误!未指定书签。
3.1.1.3配置中心
错误!未指定书签。
3.1.1.4响应中心
错误!未指定书签。
3.1.2数据分析层错误!未指定书签。
3.1.2.1资产管理
错误!未指定书签。
3.1.2.2漏洞分析
错误!未指定书签。
3.1.2.3威胁分析
错误!未指定书签。
3.1.2.4风险分析
错误!未指定书签。
3.1.2.5安全信息库
错误!未指定书签。
3.1.2.6任务调度
错误!未指定书签。
3.1.3应用层错误!未指定书签。
3.1.3.1角色和用户管理
错误!未指定书签。
3.1.3.2风险管理
错误!未指定书签。
3.1.3.3分析查询
错误!未指定书签。
3.1.3.4系统维护
错误!未指定书签。
3.1.3.5安全设备管理
错误!未指定书签。
3.2 .......................................... SOC外部功能模块错误!未指定书签。
3.2.1人员组织管理
错误!未指定书签。
3.2.2企业资产管理
错误!未指定书签。
3.2.3脆弱性管理
错误!未指定书签。
3.2.4事件和日志管理
错误!未指定书签。
3.2.5配置收集
错误!未指定书签。
3.2.6安全产品接口
错误!未指定书签。
3.2.7安全知识系统
错误!未指定书签。
3.2.8工单系统
错误!未指定书签。
3.2.9响应工具及API
错误!未指定书签。
4实施方案错误!未指定书签。
4.1 .......................................... WEB界面定制方案错误!未指定书签。
4.1.1仪表板组件
错误!未指定书签。
4.1.2资产信息管理组件
错误!未指定书签。
4.1.3异常流量监控组件
错误!未指定书签。
4.1.4安全事件监控管理组件
错误!未指定书签。
4.1.5脆弱性管理组件
错误!未指定书签。
4.1.6安全策略管理组件
错误!未指定书签。
4.1.7安全预警组件
错误!未指定书签。
4.1.8安全响应管理组件
错误!未指定书签。
4.1.9网络安全信息
错误!未指定书签。
4.2 ......................................... 二级结构实施方案错误!未指定书签。
4.3 ................................................. 部署方案错误!未指定书签。
4.3.1全国中心部署方案
错误!未指定书签。
4.3.2江苏省中心部署方案
错误!未指定书签。
4.3.3安全数据采集方案
错误!未指定书签。
4.4 ..................................................... 其他错误!未指定书签。
4.4.1安全评价
错误!未指定书签。
4.4.2配置收集和审计方案
错误!未指定书签。
4.4.3安氏扫描器解决方案
错误!未指定书签。
5优势概述错误!未指定书签。
附录一:事件管理支持产品一览.................................... 错误!未指定书签。
1概述
随着电信的网络规模庞大、系统复杂,其中的各种网络设备、服务器、工作站、业务系统、支撑系统都存在着超常的复杂性、多样性。随着安全越来越受到重视,安全子系统也逐步发展到复杂和多样的系统,这些安全子系统通常首先在各个业务系统中独立建立,然后随着安全管理的规模和成本的不断上升逐步发展到产生了整个企业建立一致的安全管理体系的需求,安氏的安全运行中心解决方案(SecurityOperationCenter简称SOC)正是满足这种需求,为企业安全整合提供解决方案,通过最佳的安全技术和最佳的安全实践帮助用户从分散的安全实现集中的、可管理的安全。安氏的SOC解决方案帮助用户解决以下的问题:
分散的管理增加管理成本和管理难度
作为一个新兴的、覆盖范围极大技术领域,信息安全可以划分为众多的细分领域,例如防火墙、入侵检测、漏洞扫描、认证和授权、加密、防病毒、VPN、PKI、内容过滤等等,每个领域内均有最好的厂商和解决方案供应商,企业往往根据自身的需求,选择其中最优秀的产品,这就造成了这样一种现象:安全产品和厂商基本均为基于“点”的解决方案,即基于某一安全细分领域的解决方案,这些解决方案都需要单独购买、实施和管理。这种情况下,随着使用产品种类和数量的增加需要不断增加管理和维护人员,管理成本往往呈指数级的增加,但是管理效率却仍然存在瓶颈,特别是多种数据不能相互沟通和关联更加剧了这一现象,这些问题导致对集中化管理的要求;
安全信息和知识的共享水平较差
以往的观念往往认为,“安全是安全管理人员的事情”,目前,这种情况正在极大地改善,越来越多的企业通过安全策略明确地定义不同人员在安全组织中所处的位置和应该担负的责任,与之不能相称的是,目前的安全产品仍然往往仅仅提供安全管理员的角色和视图,不能让普通系统管理员参与到安全管理和安全信息的共享中来,必须建立一种让所有的IT人员能够使用和监控与他们相关的安全信息的系统,让整个安全组织,而不仅仅是安全管理员为网络的安全负责
海量事件
某企业在一次病毒爆发的过程中在一天内产生了二千万的入侵检测告警,在这样的告警量水平情况下,管理员往往疲于应付,并且容易忽略一些重要但是数量较小的告警,尽管海量事件分析的需要的技能并不很高超,但如果仅仅依靠安全管理员人工分析,需要占用大量人员,而且容易出错。必须将规则化的分析让机器来实现,管理员和安全专家可以专注于更为复杂的分析。海量事件是现代企业安全管理和审计面临的主要挑战之一
缺乏智能
告警的信息是一台服务器受到某种windowsRPC病毒的攻击,而事实上该服务器是Unix服务器;传统的网络IDS事件告警无法分析当服务器受到攻击时攻击是否成功;无法通过发现攻击者的一系列组合攻击从而提高告警级别…….
以上的种种问题提示我们,孤立的事件无法为我们揭示问题的本质,必须有更加智能的分析方法,它可以分析多个事件的之间的联系,可以将不同的数据来源关联起来,可以将各种数据和知识关联起来;总而言之,企业需要智能化的处理方式,需要极大地提高效率,需要防止误报。
必须改变以事件为中心的视角
