安全信息管理平台SOC

格式：ppt
大小：1.30 MB
文档页数：39

下载文档原格式

信息安全神经中枢——安全管理平台(SOC)

信息安全神经中枢——信息安全管理平台（SOC）信息安全管理平台，又叫作安全管理平台（security management）、安全信息管理中心（SIM,security information management）、安全信息与事件管理平台（SIEM,security information event management）、安全运营中心（SOC，security operation center），等。

在国内外有多种多样的称呼，总之其目的是管理安全相关的信息。

我们这里所提到的信息其实说的通俗一点就是日志信息和性能监控信息。

信息安全管理平台（习惯上我们称之为SOC）就是把各式各样的设备（网络设备-交换/路由，安全设备-防火墙/IPS，系统设备-win/linux）中的日志信息收集过来，经过SOC系统的处理与分析，在海量数据中挖掘出对于用户来说重要的、危险的、有用的信息。

SOC的发展：第一代SOC：由事件/信息收集器演变而来的作为信息集中管理的平台，多数厂家只是支持自己的产品日志格式，国内都定义为：日志收集器。

国内安全/网络设备生产厂家都有各自的日志收集器，并附带管理自己设备的功能；第二代SOC：由于第一代SOC能做到的工作只是作为信息收集，并不能对于其收集的各项事件信息进行分析和处理，所以第二代SOC在2005年左右在个厂家兴起。

其核心技术就是加入了国外流行的概念：关联分析。

关联分析其核心技术是“状态机”，通过定义资产信息和分析事件状态的变化来对信息进行深入的分析和对攻击/异常行为的判断。

国内厂家在第二代SOC上已经花费了大量的资金和时间，但效果并不理想。

第三代SOC：从现实情况来看，第二代SOC并没有得到国内大部分用户的认可和信任。

于是，第三代SOC的诞生引起了大家的兴趣。

在原有第二代SOC的基础之上，各厂家纷纷对SOC进行了“改装”，有的加入了网络管理模块，有的加入运维管理模块，还有的加入各式各样能嵌入的信息系统，导致现在第三代SOC越来越庞大，越来越臃肿。

网络安全管理平台SOC

网络安全管理平台SOC
产品背景
产品简介
安全管理控制平台在应用、核心、边界、汇集等各个层次上安全控制功能，基于业务工作流，面向身份、权限、流量、域名和数据报文，开展一致性请求检测，实现完整性保护；基于信息资产登记，开展响应服务的一致性检测，支持机密性保护，突破未知网络攻击发现与威胁识别分析能力的提升。

产品特点
多元异构数据汇聚融合，具备PB量级数据的接入、存储、共享能力。

多类型网络安全威胁数据统计分析，支持拒绝服务攻击、木马僵尸网络、恶意代码、网站后门、网页篡改、域名劫持、蠕虫利用、漏洞利用等公告及数据类型的统计和关联分析，具备对未知攻击的感知发现能力。

提供态势要素信息提取功能，具备威胁识别、安全事件交互式分析和关联展示能力。

具有网络安全预警及持续诊断功能，支持多操作哦系统平台，具备网络化、自动化交付能力，支持安全事件全生命周期的持续监控、处置、跟踪等。

技术参数
平台架构
产品介绍。

安全运维中心(SOC)

在前一篇文章里，已经对安全运维外包（MSS）这种服务模式进行了简单的分析，下面我们再来看看安全运维服务的另一种模式，安全运维中心（SOC）的建设。

正是由于安全外包服务所面临的各种各样的问题，企业或组织在选择安全运维模式时，更多的是在考虑依靠自身的力量建立完全属于自己安全运维队伍，来保障自身网络与业务系统的安全。

组织一旦决定建设自身的安全运维环境，那么将必然面临以下问题：•安全运维队伍：如何建立一个高效、具备解决问题能力的安全运维队伍？•安全运维流程：如何建立适合核心业务需求的安全事件处理机制、流程？•安全运维平台：依靠何种手段将众多的安全基础设施管理起来？要解决以上三个问题，组织的安全运维中心的概念就应运而生了。

安全运维中心有时称为安全运营中心（SOC，Security Operations Center）。

一、安全运维中心的内容之前我们讨论过过，安全运维的主要目的即是保证安全手段（产品+ 技术）的应用能够达到预期的良好效果（Effect）和提高效率（Efficiency）。

因此，从整体上说，安全运维工作是一个综合的管理与运营维护能力，需要的不仅仅是一个综合的安全设备管理技术或管理工具，而是一个能够将整体的安全组织、安全策略、安全技术、安全风险、安全事件、安全操作等统一的管理并保证其运转（Operations）有效（Effective and Efficiency）的一个平台，这样的平台，我们可以称之为安全运维中心（SOC）。

安全运维中心（SOC）至少包含三个方面的内容：（1）安全人员（People）信息安全保障技术框架（IATF）里认为人员在安全保障框架的核心。

人是信息系统的主体，是信息系统的拥有者、管理者和使用者，是信息保障体系的核心。

在安全运维中心（SOC）里，安全运维人员也是保障整个运维平台稳定、高效的核心。

SOC的安全运维人员包括日常运维小组、应急响应小组和安全专家等3个主要组成。

安全运维人员的安全技能、安全意识、服务能力的高低在安全运维的效果中起着至关重要的作用。

SOC理解

1.在soc的用途方面大家理解上的偏差对于用户，关心的是自己网络或者业务所面临的安全风险，以及利用soc整合人员、流程应对安全事件，更好、更全面的了解现状和快速做出反应。

对于soc提供商，关心的是自己的技术如何，拥有多少的模块，支持多少的设备，漏洞库的数目等等，而没有站在用户的角度来思考问题。

2.在成熟度上的不足soc更像是个概念性的东西，而且厂家还尚未把这个概念摸透就匆匆上马抢占市场，其实都是半成品，糊弄不懂的还可以。

可以说soc中的各个模块距离成熟都还很远，更别说这整个的系统了。

3.在易用性上的不足soc所呈现所提供的界面、模块，出现的报警信息，都还不能做到傻瓜化，门槛较高，本来都该soc提供的分析功能，全都变成要人来判断了，那么soc还有什么意义4.差异化造成的问题由于企业的不同，soc必然会结合企业的主要业务、安全组织架构、流程来进行差异化，这导致每个soc必然要有大量的单独开发过程，模块的重用比较低，影响厂家的研发速度和升级换代，对厂家的利润空间进行了挤压。

而开发并不能深入了解企业的业务，导致系统和业务的贴合不够紧密5.恶性竞争虽然soc刚刚起步，但国内的各大安全厂商纷纷来抢夺这块大蛋糕，某省的电信企业招标，竞标之激烈超出企业的想象，最后夺标的压价之低差不多就是赔本作。

这种不从自身做起，而只靠打价格战的做法，实在是对整个行业都不利的soc的问题太多，不是短时期能解决的，我有个想法，以后会和大家交流========== =========================SOC和SIEM这两个概念大家已经说了很多了，之间的区别其实很大，根本不是一个概念上的东西！SOC是一个安全运营组织，SIEM是一个以安全信息和安全事件为基础的技术管理平台，因此区别是首先表现在构成上就是很大不同，当然相同之处都是安全策略工具的组成部分！首先SOC（传统意义上的安全运营中心）不是任何客户都适用的，它有很多重要的功能不是产品技术能解决和实现的（就像大家了解到的流程、人员等），它的基本结构往往都是由于客户本身的实际需求和自身条件不具备等原因，导致SOC的畸形和失效！！！就像很多电信运营商建立了所谓的SOC却得不到应有的期望一样，就其原因还是自身条件不具备、实际需求不具备等，例如组织梯队不健全，很多省级电信运营商负责安全的专职人员也就1到2人，甚至兼职！因此你可以想象一下安全运营工作由谁来执行，由谁来改进，由谁来审核...，所以更不用说SOC其它重要组成部分的缺失了。

安全管理平台(SOC)的发展趋势分析

安全管理平台（SOC）的发展趋势分析-网御神州1SOC一词的起源SOC（Security Operations Center）是一个外来词。

而在国外，SOC这个词则来自于NOC（Network Operation Center，即网络运行中心）。

NOC强调对客户网络进行集中化、全方位的监控、分析与响应，实现体系化的网络运行维护。

随着信息安全问题的日益突出，安全管理理论与技术的不断发展，需要从安全的角度去管理整个网络和系统，而传统的NOC在这方面缺少技术支撑，于是，出现了SOC的概念。

不过，至今国外都没有形成统一的SOC的定义。

维基百科也只有基本的介绍：SOC（Security Operations Center）是组织中的一个集中单元，在整个组织和技术的高度处理各类安全问题。

SOC具有一个集中化的办公地点，有固定的运维管理人员。

国外各个安全厂商和服务提供商对SOC的理解也差异明显。

2SOC产生的动因为了不断应对新的安全挑战，企业和组织先后部署了防火墙、UTM、入侵检测和防护系统、漏洞扫描系统、防病毒系统、终端管理系统，等等，构建起了一道道安全防线。

然而，这些安全防线都仅仅抵御来自某个方面的安全威胁，形成了一个个“安全防御孤岛”，无法产生协同效应。

更为严重地，这些复杂的IT资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件，形成了大量“信息孤岛”，有限的安全管理人员面对这些数量巨大、彼此割裂的安全信息，操作着各种产品自身的控制台界面和告警窗口，显得束手无策，工作效率极低，难以发现真正的安全隐患。

另一方面，企业和组织日益迫切的信息系统审计和内控要求、等级保护要求，以及不断增强的业务持续性需求，也对客户提出了严峻的挑战。

针对上述不断突出的客户需求，从2000年开始，国内外陆续推出了SOC（Security Operations Center）产品。

目前国内的SOC产品也称为安全管理平台，由于受到国内安全需求的影响，具有很强的中国特色。

SOC安全管理平台解决方案

可以对任何字段进行关联，没有限制支持通过Rules Wizard快速生成关联规则对所有收集到的日志进行关联，只要能收集，就能关联极高的性能和可扩展性，支持多个规则级同时应用和方便切换当关联性规则满足时，可以创建incident
对可能的攻击作出及时有效的回应
产生的Correlation Event可以通过实时界面查看，也可以通过报表展示可以导入和导出Correlation规则，导出后为xml文件格式
事件关联
Correlation rule种类
Watchlist
Advanced Watchlist Basic Correlation Advanced Correlation Free rule Language
事件关联
Watchlist
通过向导（Wizard）建立
该correlation 规则允许指定一个文本值，correlation Engine 会在接收到的所有事项的所有的Meta-tag中进行检查例如：Watchlist能够检查一个黑客的源ip地址，一旦在任何事项的任何位置发现该地址，立即报告并作出对策
无用数据误报海量数据
信息分配和共享不充分
传统安全产品仅仅提供面向安全人员的信息,但实际上，所有人都从自身角度触发需要了解安全信息
管理者：
安全到底如何了？有没有一说话的数字？一切是否在掌握之中？我们的投资又什么回报？
安全管理员：
我关心所有和安全相关的信息我更关注最新安全更新，主动
安氏安全管理中心解决方案的主要模块配置建议安氏安全管理中心解决方案优势
分阶段实施－短期目标
短期目标
一定的安全事件集中收集和处理能力：实现现有安全产品的事件收集和集中管理

安全运营平台SOC建设思考与实践

61开发测试Development and Testing2020 . 09 中国金融电脑安全运营平台SOC 建设思考与实践国家开发银行信息科技局卫剑钒雷东生当前，作为企业提高信息安全水平的主要工具，安全管理平台（Security Operation Center，SOC）建设成为企业安全管理工作进入成熟阶段的关键性标志之一，同时也是企业满足关键信息基础设施安全保护合规要求的重要举措。

对此，国家开发银行（以下简称“国开行”）针对性启动了统一信息安全运营平台项目建设，并通过构建以SOC 平台为核心的安全运营体系，初步实现了对主要信息安全威胁的“可知、可管、可控”。

一、SOC 平台的建设思路1.规划先行、充分调研SOC 本身并不是新生事物，然而，多年来业界对SOC 的认可度和应用效果却评价不一，部分单位投入大量人力、财力建成的SOC 未能发挥出预期功效。

针对这一现状，国开行对业界的主流产品以及同业SOC 平台的建设运营情况进行了深入调研，以求能充分了解项目痛点、吸收先行者的宝贵经验，在避免“踩雷”的同时，尽可能提高项目质量。

与此同时，国开行还借此机会，摸清理顺了本单位对SOC 平台建设的诸多特色需求。

基于上述准备，国开行按照规划先行的建设思路，在SOC 平台正式立项之前，即首先启动了SOC 规划咨询项目，包括引入专业的第三方安全咨询机构，开展SOC 平台建设需求分析和详细设计，提出产品选型技术路线建议，制定可落地的平台实施方案等。

通过咨询项目，国开行共梳理设计出包括五项核心功能在内的约200个功能需求点，并对威胁防御、威胁情报、大屏展示和机器学习等四项关键技术进行了深入研究。

通过对规划研究成果和企业现状审慎评估，国开行决定对当前技术实现难度较大、不够成熟的需求指标（如机器学习）执行分步实施策略。

同时，在咨询项目成果的基础上，还通过专项调研增加了蜜罐产品的部署需求，实现了对内网威胁的精准识别。

SOC 平台功能需求梳理如图1所示。

soc指标

soc指标SOC（Security Operations Center）是安全运营中心的缩写，是指一个专门负责监视、分析和应对安全事件的机构或团队。

SOC通常由安全分析师、网络工程师、安全管理员等成员组成，其主要任务是监控和保护网络系统、应用和数据的安全。

SOC通常借助安全信息和事件管理系统（SIEM）等工具来收集、分析和报告安全事件，以及实施实时响应和处置措施。

为了评估一个SOC的绩效，常常会使用一些指标来衡量其运营效果。

以下是一些常见的SOC指标：1. 平均响应时间（Average Response Time）：指SOC对安全事件的响应所需的平均时间。

较短的响应时间通常意味着SOC能够更快地检测和应对潜在的威胁。

2. 平均解决时间（Average Resolution Time）：指SOC解决安全事件所需的平均时间。

较短的解决时间通常表明SOC具有高效的工作流程和技术手段。

3. 检测率（Detection Rate）：指SOC能够准确检测到的安全事件比例。

高的检测率意味着SOC能够更好地识别潜在的威胁，并采取适当的措施。

4. 虚警率（False Positive Rate）：指SOC报警中误报的比例。

较低的虚警率意味着SOC能够减少误报的干扰，更准确地将注意力集中在真正的威胁上。

5. 恢复时间（Recovery Time）：指SOC从安全事件中恢复正常运营所需的时间。

较短的恢复时间意味着SOC能够更快地恢复业务功能并降低损失。

这些指标可以帮助评估SOC的绩效，并作为改进和优化SOC 运营的依据。

然而，具体的SOC指标可能因组织的安全需求和威胁环境的不同而有所差异。

soc安全运维管理平台

企业网络安全பைடு நூலகம்理
政府网络安全管理
金融机构网络安全管理
教育机构网络安全管理
医疗行业网络安全管理
互联网企业网络安全管理
实时监控：对网络、系统、应用进行实时监控，及时发现异常情况
智能分析：利用大数据和人工智能技术，对安全事件进行智能分析，提高响应速度
风险评估：对网络、系统、应用进行风险评估，提前发现潜在风险
效果评估：使用 SOC安全运维管理平台后，教育机构的网络安全水平得到了显著提升，降低了网络安全风险
发展趋势：智能化、自动化、集成化
挑战：数据安全、隐私保护、合规性
技术应用：人工智能、大数据、云计算
应用场景：金融、政府、企业、教育等
云计算技术的普及和应用
云端安全运维管理的优势：集中管理、实时监控、快速响应
添加标题
添加标题
添加标题
添加标题
数据预处理：清洗、去噪、标准化等
数据可视化：将分析结果以图表、仪表盘等形式展示，便于用户理解和决策
实时监控：对系统进行实时监控，及时发现异常行为智能分析：利用大数据和人工智能技术，对异常行为进行智能分析预警机制：建立预警机制，提前发现潜在安全风险响应策略：制定响应策略，快速响应安全事件，降低损失
,a click to unlimited possibilities
汇报人：
SOC安全运维管理平台：一种用于监控、分析和管理网络安全的集成平台
功能：实时监控网络流量、检测安全威胁、分析安全事件、响应安全事件、管理安全策略等
平台架构：基于云计算、大数据和人工智能等技术组成模块：包括安全监控、安全分析、安全响应和安全管理等安全监控：实时监控网络、系统、应用和数据的安全状况安全分析：对安全数据进行深度分析和挖掘，发现潜在威胁安全响应：对安全事件进行快速响应和处理，降低安全风险安全管理：提供安全管理策略、流程和工具，确保安全合规和持续改进

SOC杂谈

出于成本投入和效益产出考虑，显然SOC并不适用于所有的用户范围。
a.可能采用SOC的客户
大企业为主，本身具有一定的技术实力，具有良好的组织架构和安全战略眼光，有强烈的技术自主权，以IT类
业务为核心，相当重视信息的安全和保护。
b.有安全需求但不大可能采用SOC的客户
中小企业为主，业务可能相关，也可能很重要，但是出于人力和成本的考虑，不可能把安全放到那么高的位置，
等涉密产品方面。
b.早期的国产防病毒软件厂商
c.早期的防火墙厂商及其渠道。
这类厂商切入行业时间早，渗透深入，由于某些方面独特的技术或资质优势，雄霸一方比较稳固。
但是同时存在一些思维定势，对全面安全认识不够深入，自身架需要改革。由于原有市场的饱和、
国外势力的切入挤压等因素，这类厂商继续寻找新的扩展方向和盈利点，在市场大潮的推动下迅速
看起来有些悲壮的草根安全企业。同样也有他们的弱势，就是管理不够规范，缺乏技术方向的指导和
规划，业务人员和业务流程不够专业。
3.传统IT基础设施企业。典型的大而全的恐龙企业。例如IBM，HP，Cisco，随着他们业务范围的拓展
和安全市场带来的巨大投资，安全都成了他们业务蓝图中或重或轻的一块肥肉。当然，范围在国内这样
过程中，会出现一个少则两三年，多则到达永久合作的技术合作期，来协助客户完成业务改造以及策略的实施保证。
* 即使不需要SOC但是需要安全的大量中小型客户中，他们也需要一个团队来保障业务的正常开展。
硬策略则是安全策略的具体实现和终端执行部分，包括病毒升级和防护规则，防火墙和IDS管理规则等等。
也许以上部分很多概念划分比较模糊笼统，大家能够理解就好。
说了那么多，回到正题上来，安全管理平台(或具体的安全操作平台SOC)到底是产品管理，还是信息管理，

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

提纲
安全管理平台概述安全管理平台发展现状安全管理平台的几个趋势天融信安全管理系统(TSM) 天融信安全管理系统(TSM) 安全信息管理平台成功案例
安全管理平台发展现状
安全管理平台在信息安全产业中的地位？安全管理平台在信息安全产业中的地位？信息安全产业是一个急速发展变化的产业，安管平台的内涵和外延也会不断的更新但是安全管理平台理念在整个信息安全产品结构中的顶层地位始终不会改变。
Thanks for you time
感谢聆听！
天融信安全管理平台
工单管理 • TopAnalyzer提供工单管理的功能。 • 用户可以手工创建/派发工单，也可以设定规则由系统在一定条件下自动创建/派发工单。
天融信安全管理平台
知识库管理
• 知识库是TopAnalyzer的重要部分。 • 它由典型安全事件处理经验、安全问题分析报告、安全脆弱性数据库和补丁库、以及各种技术和管理专题资料组成。
安全管理平台发展现状
两类客户：两类客户：高度信息化的单位(电信、移动、民航、金融、科研)
较早的建立了网管平台，对安管平台的认识过程与国外基本保持一致，追求标准化。
其他企业和组织（政府、教育、企事业单位）
对安全管理平台的认识模糊，甚至连网管平台都没有。从而更加讲求实效性。
安全管理平台发展现状
– – – – – – – – – – 事件采集事件标准化事件过滤事件归并事件展示事件浏览事件监视事件响应辅助决策动态黑名单
天融信安全管理平台
网络管理
• TopAnalyzer能够通过直观、友好的网络管理界面，可以实现对网络中的设备、主机、应用系统等方面的综合管理与监控。 • 主要包括网络设备自动发现、拓扑管理、视图管理、性能管理、资产管理等功能。
天融信安全管理平台
通过关联分析加速问题定位
系统不可用
Firewall? HOST? DB? Web Server ?
主机应用异常导致服务问题！主机应用异常导致服务问题！
天融信安全管理平台
安全告警与响应
• TopAnalyzer在监视到特定事件发生时，可以根据预先制定的规则予以及时响应，做出报警、处理等操作，及时有效的应对复杂的网络安全情况。
天融信安全信息管理平台
从体系结构设计上，TopAnalyzer共包括五个子系统：资产管理子系统用户管理子系统报表管理子系统网络管理子系统以及安全管理子系统。
天融信安全信息管理平台
TopAnalyzer处理流程
资产管理脆弱性管理风险管理事件管理网络管理关联分析安全预警安全响应工单派发报表输出 ……
提纲
安全管理平台概述安全管理平台在信息产业中的地位安全管理平台的几个趋势天融信安全管理系统(TSM) 天融信安全管理系统(TSM) 安全信息管理平台天融信安全管理平台部署案例
天融信安全管理平台部署案例
• 部署方式
天融信安全管理平台部署案例
• 部分项目案例
– – – – – – – – – – – 国家发改委内外网改扩建工程北京农村商业银行安全集成项目贵州烟草工业公司安全集成项目贵州烟草商业公司安全集成项目宁波卷烟厂安全集成项目上海电力安全管理平台建设项目浙江省委安全建设项目新郑烟草集团安全集成项目宁夏烟草安全集成项目中国电信安全建设项目 ……
安全管理平台发展的几个趋势
趋势一：加强基础信息采集
基础信息采集平台
接口
报警
操作日志
安全事件
状态信息
资产变更
环境信息
安全管理平台发展的几个趋势
趋势二：求同存异，各司其责
与各种第三方系统的配合程度逐步提高与网管与资产管理与工作流程与物理安全等等.. 与物理安全等等..
安全管理平台发展的几个趋势
趋势三：结合服务与运营
通过安全服务的结合，进一步加强安全管理平台对安全管理的支撑 – 构建监控服务中心 – 自评估服务系统 – 企业自服务系统 – 知识管理系统 – 。。。
安全管理平台发展的几个趋势
趋势四：面向业务安全
基于业务的SOC – 从资产价值走向业务价值 – 从信息安全走向业务安全 – SOC与业务流程的整合（配置管理、工作流…..）
天融信安全管理平台
用户管理
• TopAnalyzer是一个多用户系统，允许多个用户同时登录、查看或者处理用户本身权限范围内可浏览到的信息。 • 用户管理将实现如何配置角色和用户，以及如何实现对资源的授权管理。
天融信安全管理平台
安全策略管理
• TopAnalyzer所提供的安全策略管理功能可协助用户制定各种级别，针对不同对象（人员、设备、应用）的安全策略。 • 安全策略管理能够实现安全策略的数据导出、安全策略的数据统计、安全策略的定时发布、安全策略评估等功能。
天融信安全管理平台
数据库管理
• 通过TopAnalyzer界面，可以直接查看 TopAnalyzer所用数据库的详细信息，包括数据库版本号、数据库分区信息，并进行导出、导入管理。
天融信安全管理平台
辅助决策管理
• TopAnalyzer提供辅助决策功能，在处理事件时能够采用标准的安全专家知识。 • 每当管理员查看事件并调用辅助决策时，系统会根据事件的信息自动匹配辅助决策，由用户决定是否对事件进行处理及如何处理。
天融信安全管理平台
动态黑名单管理
• TopAnalyzer可以通过关联分析动态维护动态黑名单，也支持手工添加。通过动态黑名单，可以清楚明了地知晓企业网络中存在的威胁。
天融信安全管理平台
报表输出管理
• TopAnalyzer能够对系统中已经生成的报表进行管理，通过手工生成报表和计划生成报表，提供各类统计信息的直观综合的视图。
网络卫士安全管理系统TSM 网络卫士安全管理系统TSM ——安全信息管理平台 ——安全信息管理平台
2011年5月年月
天融信安徽办肖庆斌
提纲
安全管理平台概述安全管理平台在信息产业中的地位安全管理平台的几个趋势天融信安全管理系统(TSM) 天融信安全管理系统(TSM) 安全信息管理平台介绍成功案例
安全管理平台概述
安全管理平台(SOC)背景
– 传统的NOC缺乏技术支撑。随着信息安全问题的日益突出，安全管理理论与技术的不断发展，需要从安全的角度去管理整个网络和系统，而传统的NOC在这方面缺少技术支撑，于是，出现了SOC的概念。 – SOC产生的动因安全产品在企业防护系统中形成一个个独立的孤岛，信息系统审计和内控要求和等级保护要求，以及不断增强的业务持续性需求，
安全管理平台概述
SOC本质：本质：本质不是一款单纯的产品，而是一个复杂的系统，他既有产品，又有服务，还有运维(运营)，SOC是技术、流程和人的有机结合。
SOC定义定义：定义以资产为核心，以安全事件管理为关键流程，采用安全域划分的思想，统一事件处理和策略管理；安全监视控制和及时安全预警和响应。
天融信安全管理平台
实时关联分析
• TopAnalyzer采用基于状态机的实时关联检测技术，通过有效的关联全网的安全事件，可更加精确的判断引发事件的真正原因和隐藏的威胁，并帮助分析攻击的有效性，保护用户关键的资产或关键的应用。 • 通过使用已定义的关联分析，可实现对攻击场景和过程的还原。 • 有助于降低入侵检测系统（IDS）的信噪比，并且可以帮助用户定位潜在的业务信息系统问题，提高和保证客户业务信息系统的服务质量（QoS）。 • 与传统的基于事后数据及数据库的事件关联分析技术相比，系统更据有实时性，这样就为快速响应及动态网络攻击防御提供了基础。
天融信安全管理平台
风险管理
• 通过风险管理，TopAnalyzer可以动态、实时地对网络所面临的风险进行评估分析，根据分析的结果提供各类风险视图，并对到达一定级别的风险自动地做出响应。主要包括：
– 风险评估 – 风险查看 – 风险报警
天融信安全管理平台
事件管理ቤተ መጻሕፍቲ ባይዱ
• TopAnalyzer对采集的各类安全事件执行标准化、过滤、分类、归并、响应等事件处理过程，同时存储到数据库中。主要包括：
产品与服务) 两个维度 (产品与服务产品与服务产品：产品：
1、狭义上 ——安全设备的集中管理，包括集中的运行状态监控、事件采集分析、安全策略下发。 2、广义上——所有IT资源，甚至是业务系统进行集中的安全管理，包括对IT资源的运行监控、事件采集分析，还包括风险管理与运维等内容
安全管理发展现状
提纲
安全管理平台概述安全管理平台发展现状安全管理平台的几个趋势天融信安全管理系统(TSM) 天融信安全管理系统(TSM) 安全信息管理平台介绍
天融信安全信息管理平台
TopAnalyzer结构体系 • 天融信安全管理平台(简称TopAnalyzer)网络卫士安全管理系统（TSM）的核心组件。 • 从系统组件上，TopAnalyzer可以分为三大组件：服务器（TopAnalyzer Server）、代理（Agent）和数据库（TopAnalyzer DataBase）。 – 代理（Agent）负责在网络中采集全网安全事件，预处理（对原始安全事件进行收集、过滤、归并等操作）后发送给服务器（TopAnalyzer Server）； – 服务器负责对预处理后的安全事件进行集中分析、响应、可视化输出以及做出专家建议； – 数据库则负责集中存储预处理后的安全事件。
天融信安全管理平台
资产管理 • TopAnalyzer通过对关键资产的实时监控，分析和评估资产的风险和价值。主要包括：
– – – – – – – 资产类型管理物理位置管理行政信息管理漏洞查看和关联补丁查看和关联综合查询变更历史管理