深圳市永达电子股份有限公司
2.4.5资产状态监视
系统基于资产配置管理数据库,使用状态监视模型插件,可以深入、全方位地为用户展示其IT设施的状态,从网络到服务器,再到其应用程序、IP服务、文件系统、进程等等。系统通过支持SNMP、SSH、WMI、SYSLOG、TELNET等协议,实现无代理数据采集,从而最大限度地减少对被监视系统的影响。
1) 可用性监控
可用性测试包括针对IT基础架构的系统运行测试,通过测试可以判断系统是否在正常运行,测试手段包括:ping测试、进程测试和服务测试。 2) 性能监视
性能监视系统的作用是,跟踪重要的IT资源信息并随时记录其变化。通过SNMP、自定义脚本(python script) 或XML-RPC来采集数据。 3) 事件管理
事件管理是Soc系统各部分状态信息以及受其监视系统信息的一个整合。还可接入来自IT基础设施其它部分的事件,这其中包括Syslog和SNMP Traps。Ssoc收到这些事件后,通过一套规则进行处理并最终将这些事件整合进Ssoc模型。
2.5安全事件管理
2.5.1安全事件采集
安全事件采集支持的设备类型有网络设备,安全设备,安全程序,应用程序,操作系统,数据库,反病毒等。这些设备或者应用程序使用SNMP 、Syslog或者客户端程序将日志数据发送到SOC管控器。数据在送到SOC管控器以后, SOC管控器通过规则进行过滤,使用设备类型进行分类,对各种日志进行分类、聚合,加密、格式规范化。
2.5.2安全事件监控
安全事件监控负责实时监控网络的安全事件状态,是实时掌握全网的安全威胁状况的重要手段之一。通过事件监控模块监控网络各个网络设备、主机系统等日志信息,以及安全产品的安全事件日志信息等,及时发现正在和已经发生的安全事件,通过响应管理中心模块采取措施,保证网络和业务系统的安全、可靠运行。实时将其结果输入综合分析决策支持与预警平台。
第 11 页 共 22 页
深圳市永达电子股份有限公司
安全事件监控中心还包括网络异常流量监控模块。蠕虫和DDOS攻击是影响网络正常运行的主要安全威胁之一。通过异常流量监控模块实时监控重要网络链路的流量状况,可以及时检测网络中的异常流量,采取有效措施降低异常流量对网络的影响。 2.5.3实时事件关联分析
安全管理平台的关联技术也是我们产品的核心技术,由于任何一项单独的关联技术都是不全面的,所以基于这点,我们采用了混合关联技术混合关联引擎。最大限度的减少误报提高准确性,在混合关联技术中我们主要使用以下技术:
? 统计关联技术。所有的安全事件将为优先化处理给以一个安全级别。这样管理员就不需要去用眼睛看数千个警报了。而且管理员可以自定义极限值以减少勿报的几率,通过安全监控及早的发现危险。
? 漏洞信息关联技术。主要是收集第三方管理漏洞系统的信息,这个过程将使用来自CVE信息来进行关联。我们提供专用的工具将漏洞管理信息导入到我们的数据库。因为关联过程中使用了最新的来自CVE的信息(我们的安全知识库是可以进行更新的,并且可以自我定义),而且可以提供相关知识连接,所以能及时发现最新的安全隐患。
? 状态式 (基于规则) 关联技术。用户可以预先定义的商业资产值和状态式规则,状态式关联可以辨别真正的攻击。当采集到的事件符合规则中的任何情形的时候,安全管理平台就把作为一个真实的攻击进行分类,并且触发一个安全警告,使安全管理员能及时高效的对真正的攻击做出反应。 ? 机器自动学习技术。这是基于聚合的技术,它把组中的不同类型的设备之间有关系的事件汇聚成一个事件。
通过采用上述关联分析技术,SOC将来自不同设备的日志事件纪录(例如:防火墙、入侵检测系统、防毒软件、网络设备、操作系统、数据库及其它应用程序等),进行数据采集、关联分析、事件优先重要性分析及可视化呈现。这样杂乱且繁多无章的系统信息就自动转换成有意义、且利于用户对安全故障做出响应的有用信息。
利用安全事件回放的功能及统计分析显示报告功能,提供事后调查取证的能力。
第 12 页 共 22 页
深圳市永达电子股份有限公司
2.6集中审计仪表板
SOC使用“等高分析”为用户提供全局的审计情况,以“资产分类”和“业务视图”两个视角为用户提供审计结果。
基于SOC的资产配置库,以列表方式分类列出所有设备,根据不同类型设备,列出相应的审计项目(即列表的列项),同时提供钻取每一审计项目详细信息的功能。
“业务视图”是根据用户环境中的实现业务对资产进行分组,如OA系统、财务系统、安全子系统等等,通过“业务视图”,用户可以关注各种业务的可用性状态、性能状态、安全状态。
“业务视图”从以下几方面提供审计信息:
? 列表显示所有业务视图,列出名称、健康状态、性能故障数(高、中、低)、可用
性故障数(高、中、低)、安全故障数(高、中、低);
? 列表显示该业务视图中的所有设备,包括设备IP、设备类型、可用性(UP/DOWN)、
CPU使用、性能故障数(高、中、低)、可用性故障数(高、中、低)、安全故障数(高、中、低)等等,并能钻取每一项的详细信息。
? 列出视图包含的所有应用,包括设备IP、设备名称、设备类型、应用名称、进程
名称、CPU使用、内存使用等等。
? 业务视图可视化:展示业务系统的实际拓扑图,查看总体的业务状态,还可以选
择展示某一审计项目的详细图表。
第 13 页 共 22 页
深圳市永达电子股份有限公司
2.7安全告警与响应
永达SOC可以根据性能故障数(高、中、低)、可用性故障数(高、中、低)、安全故障数(高、中、低)产生告警。通过配置告警生成规则,系统可以根据资产的保护级别、故障类型、故障严重程度等信息产生不同级别的告警(高、中、低)。
在产生告警时,SOC充分考虑了现实管理的情况,系统可以设定告警的合并条件,对于满足条件的告警进行合并,可以有效避免对相关的故障重复响应(如对同一设备故障生成多个工单)。目前系统可以对同一资产、仍然处理打开状态的告警进行合并。
SOC支持多种告警响应方式,包括邮件通知、短信息通知,也可以配置执行某个响应程序。
第 14 页 共 22 页
深圳市永达电子股份有限公司
三、产品特点
3.1资产的统一配置、监控、告警、评估、响应
永达SOC安全管理与控制平台,继承了传统安全管理软件在资产管理、设备监控、预警管理、安全评估、安全响应、配置管理等方面的功能。永达SOC安全管理与控制平台的功能,包括围绕资产对象,以安全事件管理为关键流程,采用安全域划分的思想,建立一套实时的资产风险模型,协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。
3.2策略、检测、防护、响应一体化
在整体的安全策略的控制和指导下,在综合运用防护工具的同时,利用检测工具(攻击溯源、安全事件关联分析、安全态势分析等)了解和评估系统的安全状态,及时调整安全策略,将系统调整到“最安全”和“风险最低”的状态。防护、检测和响应组成了一个完整的、动态的安全循环,在安全策略的指导下保证信息系统的安全。
(1)策略:统一策略管理,是安全防护管理的前提。所有的防护、检测和响应都是依据安全策略实施的。永达SOC安全管理与控制平台,通过统一的安全策略管理功能,实现网络策略的统一管理、发布、自动调整功能。
(2)防护:防护是根据系统可能出现的安全问题而采取的预防措施。计算机网络中大量采用的防护技术通常包括数据加密、身份认证、访问控制、授权和虚拟专用网(VPN)技术、防火墙、安全扫描和数据备份等。当安全管理系统检测到攻击或威胁来到时,如果计算机网络原有的安全防护措施不足以达到安全防护的目的,就需要及时调整安全策略。
(3)检测:当攻击者穿透防护系统时,检测功能就发挥作用,与防护系统形成互补。检测是动态响应的依据。永达SOC安全管理与控制平台通过事件在线分析、攻击溯源、安全态势监控等多种手段,进行攻击检测和威胁分析。
第 15 页 共 22 页