泰合安全运营中心-解决方案

1、.：.；泰合信息平安运营中心系统TSOCXXXX工程处理方案建议书模板北京启明星辰信息技术股份Beijing Venus Information Tech. Inc.二零一二年五月北京启明星辰信息技术股份第 PAGE 59页: 86-10-82779088Fax: 86-10-82779151目 录 TOC o 1-3 h z u HYPERLINK l _Toc324939633 泰合信息平安运营中心系统TSOC PAGEREF _Toc324939633 h 1 HYPERLINK l _Toc324939634 XXXX工程处理方案建议书模板 PAGEREF _Toc324939634

2、h 1 HYPERLINK l _Toc324939635 1平安管理中心总体方案 PAGEREF _Toc324939635 h 3 HYPERLINK l _Toc324939636 1.1遵照的规范 PAGEREF _Toc324939636 h 3 HYPERLINK l _Toc324939637 1.1.1遵照的国际国内规范和规范 PAGEREF _Toc324939637 h 3 HYPERLINK l _Toc324939638 1.1.2参考的企业规范、规范和指南 PAGEREF _Toc324939638 h 4 HYPERLINK l _Toc324939639 1.2平

3、台总体方案体系架构 PAGEREF _Toc324939639 h 5 HYPERLINK l _Toc324939640 1.2.1功能体系架构 PAGEREF _Toc324939640 h 5 HYPERLINK l _Toc324939641 1.2.2平台软件架构 PAGEREF _Toc324939641 h 5 HYPERLINK l _Toc324939642 2平台的功能特点 PAGEREF _Toc324939642 h 7 HYPERLINK l _Toc324939643 2.1系统平台WEB门户入口界面 PAGEREF _Toc324939643 h 7 HYPERL

4、INK l _Toc324939644 2.2资产与业务域管理 PAGEREF _Toc324939644 h 8 HYPERLINK l _Toc324939645 2.2.1资产管理 PAGEREF _Toc324939645 h 9 HYPERLINK l _Toc324939646 2.2.2业务域管理 PAGEREF _Toc324939646 h 11 HYPERLINK l _Toc324939647 2.3破绽信息采集与脆弱性管理 PAGEREF _Toc324939647 h 12 HYPERLINK l _Toc324939648 2.3.1破绽信息采集 PAGEREF _

5、Toc324939648 h 12 HYPERLINK l _Toc324939649 2.3.2脆弱性管理 PAGEREF _Toc324939649 h 13 HYPERLINK l _Toc324939650 2.4事件/业务平安监控管理 PAGEREF _Toc324939650 h 15 HYPERLINK l _Toc324939651 2.4.1事件采集与整合 PAGEREF _Toc324939651 h 15 HYPERLINK l _Toc324939652 2.4.2事件/业务平安可视化监控 PAGEREF _Toc324939652 h 18 HYPERLINK l _

6、Toc324939653 2.5宏观趋势分析 PAGEREF _Toc324939653 h 21 HYPERLINK l _Toc324939654 2.6综合关联分析 PAGEREF _Toc324939654 h 22 HYPERLINK l _Toc324939655 2.6.1规那么关联分析 PAGEREF _Toc324939655 h 23 HYPERLINK l _Toc324939656 2.6.2统计关联分析 PAGEREF _Toc324939656 h 24 HYPERLINK l _Toc324939657 2.6.3破绽关联分析 PAGEREF _Toc324939

7、657 h 24 HYPERLINK l _Toc324939658 2.7流量分析模型 PAGEREF _Toc324939658 h 25 HYPERLINK l _Toc324939659 2.8基线管理 PAGEREF _Toc324939659 h 26 HYPERLINK l _Toc324939660 2.9平安战略管理 PAGEREF _Toc324939660 h 27 HYPERLINK l _Toc324939661 2.10网元管理功能 PAGEREF _Toc324939661 h 27 HYPERLINK l _Toc324939662 2.10.1拓扑监控 PAG

8、EREF _Toc324939662 h 27 HYPERLINK l _Toc324939663 2.10.2网元形状监控 PAGEREF _Toc324939663 h 28 HYPERLINK l _Toc324939664 2.10.3TCP端口监控 PAGEREF _Toc324939664 h 28 HYPERLINK l _Toc324939665 2.10.4数据库监控 PAGEREF _Toc324939665 h 28 HYPERLINK l _Toc324939666 2.11任务流管理 PAGEREF _Toc324939666 h 28 HYPERLINK l _To

9、c324939667 2.12设备控制管理 PAGEREF _Toc324939667 h 29 HYPERLINK l _Toc324939668 2.13多级管理 PAGEREF _Toc324939668 h 30 HYPERLINK l _Toc324939669 2.14风险监控与管理 PAGEREF _Toc324939669 h 32 HYPERLINK l _Toc324939670 2.14.1事件风险监控 PAGEREF _Toc324939670 h 32 HYPERLINK l _Toc324939671 2.14.2资产风险监控 PAGEREF _Toc3249396

10、71 h 33 HYPERLINK l _Toc324939672 2.14.3平安域风险监控 PAGEREF _Toc324939672 h 34 HYPERLINK l _Toc324939673 2.14.4实时风险监控 PAGEREF _Toc324939673 h 35 HYPERLINK l _Toc324939674 2.15平安预警管理 PAGEREF _Toc324939674 h 37 HYPERLINK l _Toc324939675 2.16平安战略文档管理 PAGEREF _Toc324939675 h 39 HYPERLINK l _Toc324939676 2.1

11、7平安信息知识库管理 PAGEREF _Toc324939676 h 40 HYPERLINK l _Toc324939677 2.18综合显示与报表报告 PAGEREF _Toc324939677 h 42 HYPERLINK l _Toc324939678 2.19平安呼应管理 PAGEREF _Toc324939678 h 43 HYPERLINK l _Toc324939679 2.20用户管理 PAGEREF _Toc324939679 h 44 HYPERLINK l _Toc324939680 2.21系统安康管理 PAGEREF _Toc324939680 h 45 HYPER

12、LINK l _Toc324939681 3典型运用 PAGEREF _Toc324939681 h 47 HYPERLINK l _Toc324939682 3.1系统部署 PAGEREF _Toc324939682 h 47 HYPERLINK l _Toc324939683 3.2多级部署 PAGEREF _Toc324939683 h 48 HYPERLINK l _Toc324939684 3.3日常管理 PAGEREF _Toc324939684 h 49 HYPERLINK l _Toc324939685 4方案特点与效果展现 PAGEREF _Toc324939685 h 50

13、 HYPERLINK l _Toc324939686 4.1面向业务的资产与风险管理 PAGEREF _Toc324939686 h 50 HYPERLINK l _Toc324939687 4.2平安事件和破绽监控 PAGEREF _Toc324939687 h 51 HYPERLINK l _Toc324939688 4.3多种呼应方式 PAGEREF _Toc324939688 h 53 HYPERLINK l _Toc324939689 4.4多种关联分析方法 PAGEREF _Toc324939689 h 54 HYPERLINK l _Toc324939690 4.5网元形状监控

14、PAGEREF _Toc324939690 h 54 HYPERLINK l _Toc324939691 4.6拓扑与GIS展现 PAGEREF _Toc324939691 h 55 HYPERLINK l _Toc324939692 4.7丰富的知识库 PAGEREF _Toc324939692 h 57 平安管理中心总体方案北京启明星辰信息技术股份泰合信息平安运营中心系统处理方案以下简称“平安管理中心以适用性和可扩展性为设计指点思想，将平安管理员从复杂的设备配置和海量日志信息中解脱出来，把精神专注于发现和处置各种重要平安事件；同时又将各自独立的平安设备组成为一个有机的整体，经过基于资产管理

15、的事件关联分析和管理，及时发现平安风险、平安事件和业务平安隐患，并结合平安战略和平安知识的管理，提供多种平安呼应机制，从而使得客户可以实时掌控网络的平安态势。平安管理中心与客户可以曾经部署的各类平安设备构成一个完好的平安保证体系，从而实现了高效、全面的网络平安防护、检测和呼应。它完全具备监控、预警、呼应、追踪等功能，并具备可审计功能，即对内部平安管理人员的相关操作进展日志记录。遵照的规范平安管理中心总体设计及实施遵照以下规范和规范：遵照的国际国内规范和规范平安管理中心建立效力服从信息平安风险评价方法按照国信办颁发的关于印发的通知国信办【2006】9号ISO-17799/BS 7799/ISO2

16、7001信息平安管理体系国际规范，公安部公布的及相关规定CCISO15408 和GB/T18336 信息技术平安性评价准那么ISO-13335 IT 平安管理指南任务流管理联盟WFMC 定义的任务流规范软件开发服从CMM要求参考的企业规范、规范和指南信息平安保证框架(VISAF)系列模型VISAF模型VISAF的保证功能要素模型FEM Function Element Model，或者用缩写表达式表示为AST(PPT*AIDARC)。这个模型提出平安的最根本问题是被维护的资产、对于资产的要挟和防护措施。防护措施又分为人组织、过程战略、运营和技术三个大方面。技术那么构成一个AIDARC模型。鉴别

17、和认证 Identification & Authentication逻辑访问控制 Access Control检测、监控和预警Detection, Monitoring&Early warning审计和跟踪 Audit Trail恢复和冗余 Redundancy & Recovery内容平安 Content Security平台总体方案体系架构功能体系架构平安管理中心主要由以下部分组成：资产信息管理模块、平安事件/业务监控管理模块、脆弱性管理模块、破绽关联分析、统计关联分析和基于规那么的关联分析模块、宏观趋势分析模块、流量分析模块、基线管理模块、风险评价管理模块、平安战略管理模块、网元管理模

18、块、一致平安预警模块、综合显示和报表报告系统、呼应管理系统、平安信息管理、系统安康管理和用户管理模块组成。其功能体系架构如以下图所示：功能体系构造平台软件架构平安管理中心软件总体体系架构如以下图所示：平安管理中心 SMC平安信息管理系统 SIMS数据分析中心DAC软件总体构造整个系统分为SMC、DAC和V-SIMS三部分。SMC：平安管理中心，平安管理中心以B/S/D三层架构实现监控、管理、呼应、报表等功能；DAC：数据分析中心，其以后台效力方式实现综合分析、关联分析、资产发现、脆弱性信息采集分析等数据分析处置功能；V-SIMS：平安信息管理系统，它完成了平安信息的采集、过滤、聚并、入库等功能

19、。便于实现分布分级部署事件采集引擎。平安管理中心按照三层软件架构体系设计，如以下图所示：泰合信息平安运营中心三层体系构造平台的功能特点平安管理中心的系统平台包括以下中心模块/功能：一致入口模块资产管理模块脆弱性管理模块事件平安管理模块关联分析模块宏观趋势分析模块流量分析模块基线管理模块平安战略管理模块网元管理模块任务流管理模块设备控制管理模块多级管理模块风险管理模块平安预警模块平安战略文档管理模块平安知识管理模块综合信息显示与报表模块呼应管理模块用户管理模块系统本身安康管理模块下面将对这些模块的功能及技术实现作逐一描画。系统平台WEB门户入口界面一致WEB门户入口界面所提供的根本功能如下：针对

20、整个管理信息平台，提供用户集中管理的功能，对用户可以访问的资源进展细致的划分；用一致的系统管理接口，各子信息系统的界面一致；发布最新的破绽阐明、攻击特征阐明；具备平安可靠的分级及分类管理功能，详细要求支持用户的身份认证、授权等功能；支持用户口令修正；支持不同的操作员具有不同的数据访问权限和功能操作权限，系统管理员应能对各操作员的权限进展配置和管理；系统设计采用模块化，具有良好的可扩展和自开发才干，能针对用户录入、删除、修正密码等功能分不同模块，以便针对以后不同的需求进展分模块修正；系统有完好的平安控制手段,对用户和系统管理员的权限进展分级管理, 相应的账号和口令都是加密后存放在数据库中的。充分

21、保证了用户信息的平安性。对系统操作员的密码有平安保证机制；用户数据管理严厉，每天增量备份，保证其完好性和一致性,所以在系统出错的情况下,用户数据是平安的。模块之间的敏感数据传输是加密的，因此TSOC组件之间的通讯平安是可靠、平安的。资产与业务域管理在信息平安的资产管理系统中一个重要的概念是业务单元BU或称资产的逻辑网络区域，BU是企业业务的重要组成部分，它是各个资产的组合。在资产管理中，BU的视图也是我们展现的一个重点。资产的BU可以是在平安管理中心建立时根据事前风险评价划分出来的不同的平安域进展管理。平安管理中心系统产品的资产管理属性集包含了客户所要求管辖的资产信息属性要求。资产信息管理模块

22、的域管理具备以下功能：支持具有一样资产属性的域管理方式。支持自动同步在不同域下的资产属性管理。支持资产的域承继功能。允许用户根据业务系统、网段等不同的属性对信息系统进展平安域划分。支持同一资产隶属不同的平安域，支持多层次平安域管理。用户可以对平安域进展重要性赋值。用户可以对平安域进展事件监控、风险监控和脆弱性评价，了解其平安情况。在某种程度上可以作为下级单位的信息平安建立考核目的参考。域风险历史查询：提供多种条件的平安域风险查询工具，可以更好地关注重要平安域的风险情况。域配置：提供各级平安域的添加、删除、修正维护功能，以及资产移入、移出平安域的功能。资产管理资产是企业、机构直接赋予了价值因此需

23、求维护的东西。它能够是以多种方式存在，有无形的、有有形的，有硬件、有软件，有文档、代码，也有效力、企业笼统等。它们分别具有不同的价值属性和存在特点，存在的弱点、面临的要挟、需求进展的维护和平安控制都各不一样。为此，有必要对企业、机构中的信息资产进展科学分类，以便于进展后期的信息资产抽样、制定风险评价战略、分析平安功能需求等活动。所要管理资产含平安设备、网络设备及主机及运用系统包括：【本处需求修正，调整为客户被管设备列表。下表仅为例如。】序号编号类型型号数量日志采集方式支持情况支持条件备注1Router1城域网中心路由器Quidway NetEngine80E1Syslog支持2Virus防病毒

24、软件瑞星900点SNMP支持概括来讲，资产管理过程包括：资产信息获取、配置，风险计算，结果呈献三个主要过程。资产管理任务过程资产管理任务过程在平台中的实现如下：遵照BS 7799 / ISO 17799 / ISO27001和ISO13335的资产管理规范，允许对信息资产的价值进展有效评价，从而确定信息资产的平安需求完好性需求、严密性需求和可用性需求，可以协助用户有效管理信息资产的各类属性。资产可经过手工录入、excel模板下载批量导入和资产自动发现的方式录入。录入的资产具有详细的信息描画以及CIA特性严密性、完好性、可用性。资产的CIA特性参与风险计算，用于计算资产风险和整体风险趋势。经过用

25、户界面对资产信息进展详细、直观的图表化展现。平台支持资产情况信息批量导出，构成文档备份，便于日后查询。显示界面例如如以下图：域与资产管理业务域管理业务域由假设干资产所组成，可以承继资产的属性，如资产CIA、资产权重等，同时参与风险计算。业务域管理包括：业务域配置、风险计算、结果呈献三个主要过程。业务域管理任务过程业务域管理任务过程在平台中的实现如下：对业务域进展配置，业务域中应该包括所包含资产信息、资产权重，同时对业务域进展必要的描画和标识。对指定业务域可进展手工添加、录入资产信息，也可从已有资产信息库中批量选择导入资产信息。业务域的CIA特性由所包含资产的CIA特性决议，参与风险计算，用于计

26、算业务域风险和整体风险趋势。用户界面对业务域资产分布、业务域风险进展图形化、直观的展现。业务域实例：破绽信息采集与脆弱性管理破绽信息采集破绽信息采集包括：多种方式破绽信息采集、结果输入脆弱性管理模块两个主要过程。破绽信息采集在平台中的实现过程如下：接纳破绽扫描器的扫描结果。对于平台不支持的扫描器类型，可将扫描结果按照模板规范化后经过人工方式导入。将人工审计信息经过模板规范化后人工导入。经过破绽信息采集模块将上面几种信息输入方式进展搜集和处置后送给脆弱性管理模块，进展脆弱性关联破绽关联分析，参与风险计算后将结果呈现。脆弱性管理脆弱性管理可以经过人工审计风险评价和破绽扫描工具两种方式，搜集整个网络

27、的弱点情况并进展一致管理，对搜集的信息进展一致的范式化处置后，对脆弱性信息提供查询和展现功能，使得管理人员可以清楚的掌握全网的平安安康情况。平台目前提供与主流远程评价产品的接口，完成远程脆弱性信息的搜集。支持远程评价产品为： 天镜、极光、Nessus等主流破绽扫描产品。脆弱性管理模块主要功能如下：配置天镜破绽扫描系统；可以将破绽扫描软件的扫描结果导入系统；可以将多次扫描的结果进展归并分析，得出更为准确的扫描结果；可以将扫描结果与资产的原有属性进展比较，并给出冲突项提交用户确认；支持资产的脆弱性管理，允许查看资产和平安域的脆弱性目的；提供基于破绽的关联，自动判别当前发生的信息平安事件能否真的对目

28、的资产构成要挟，对于并不存在相关破绽的事件，系统会自动降低其优先级，对于存在相关破绽的事件那么提升其优先级，使得用户可以更专注于真正会呵斥危害的事件。脆弱性管理包括：破绽扫描和人工审计信息采集、资产/业务域关联分析、结果呈献三个主要过程。脆弱性管理过程脆弱性管理在平台中的实现如下：经过天镜脆弱性扫描系统对资产进展定期自动扫描或手工扫描。资产的扫描和人工审计所发现的脆弱性信息输入脆弱性管理模块。脆弱性信息与资产信息进展关联并参与风险计算。经过整体脆弱性展现，脆弱性排名等进展直观的脆弱性展现。支持脆弱性数据查询和整体数据导出。脆弱性管理事件/业务平安监控管理事件/业务平安监控模块担任实时监控网络的

29、平安事件。经过事件/业务平安监控模块监控网络各个网络设备、主机运用系统等日志信息，以及平安产品的平安事件日志信息等，及时发现正在和曾经发生的平安事件，协助进展平安决策，确保网络和业务系统的平安、可靠运转。事件采集与整合经过部署在事件采集效力器上的平安管理中心的事件集中采集系统-V-SIMS系统，在泰合信息平安运营中心所管辖网络和系统上的不同平安信息采集点(网络设备、主机系统，而且还涵盖曾经部署的平安系统，包括入侵防御系统、VPN系统、防火墙系统、IDS系统、审计系统、防病毒系统等等)，集中搜集平安事件到泰合信息平安运营中心中的平安管理效力器进展处置，即：根据可预先定义的配置进展聚并、过滤处置、

30、并把各种类型的平安数据格式化成一致的格式，从而实现了平安事件的集中搜集和处置，具备了实时事件/业务平安监控才干，又可利用平安事件查询的功能和强大的数据发掘统计分析功能，具备了事后调查取证的才干。信息平安事件管理中心的事件集中采集系统V-SIMS是完全具有自主知识产权的软件产品，属于泰合信息平安运营中心系统的一部分，包括管理效力MS、事件搜集器EC、公用/通用代理管理UAM、公用/通用代理引擎UAE、公用/通用日志战略编辑器UAPE几个部分，担任在事件搜集器和平安设备之间通讯，用于采集、范化并上报平安设备的报警日志，同时采集并上报平安设备的形状，并提供对多种平安设备的管理才干。V-SIMS系统拥

31、有公用代理/通用代理Universal Agent用以支持不同的设备及系统，V-SIMS引入的集中监管、分布式部署的多级管理体系，全面符合多级、分布式、跨地域的各类业务的管理方式，真正实现分布式产品的构造一致协调管理，建立平安信息的全局管理机制。只需可以进展整个网络范围内的部署，才干管理整个网络中的平安设备，也才可以进展全网的事件管理。全网范围内V-SIMS的分布式部署能够是不同城市、不同地域、甚至不同省份、不同国家的分布，这与网络规模和网络拓扑是相关的。经过分布式分级部署，可以实现将各个独立的子系统连成一个分布式的整体平安事件采集体系。平安事件采集包括：分布代理搜集信息、平安事件采集过滤、事

32、件关联分析、结果输出展现几个主要过程。事件集中采集系统-V-SIMS系统部分操作界面视图如以下图所示：事件集中采集系统过滤条件事件集中采集系统添加新元件目前，平安管理中心的事件集中采集系统-V-SIMS系统经过各种公用代理曾经可以支持国内外主流的平安设备：入侵防御系统、邮件过滤网关、抗回绝效力攻击系统、VPN系统、防火墙系统、入侵检测系统、防病毒系统、破绽扫描系统、平安审计系统等；主流操作系统：Windows操作系统(NT/2000/XP/2003)、支持主流Linux系统，支持主流Unix系统等；主流运用程序：Web、Mail、DNS等。平安管理中心的事件集中采集系统-V-SIMS系统拥有通

33、用代理工具包经过配置就完全支持SNMP、SYSLOG、ODBC、WMI等方式采集事件日志。针对特定系统的日志格式，利用通用代理工具包配置实现。事件/业务平安可视化监控事件/业务监控模块及综合显示报表报告模块其功能完全满足以下要求：1事件显示和查询功能提供丰富的事件显示和查找的功能，以便管理员对非法入侵事件和行为有很好的追踪和分析处置。支持提供多种查询处置的方式，可以根据事件的各个字段来设定的过滤条件，查询到相关的事件记录；支持传统的网格、线形图、圆饼图、条状图、区域图和重叠区域图等多种方式来显示特定事件；支持用于关联业务情况的自定义事件图，并能满足业务网络和逻辑网络的多级显示；支持在选定事件的

34、范围内，根据事件的不同查询条件进展图形化显示。2支持平安态势的实时监视支持按照资产类别、事件关联关系、地理事件图形、时间、最后形状、系统特征、特点前几位等类型进展实时监视；支持过滤事件的各个字段进展自定义实时监视。3支持在线和离线的事件可视化平安管理中心事件/业务监控模块部分显示界面例如视图如下：根据需求，可经过配置监控条件及过滤条件的客户化实时事件监控界面高危事件监控界面：事件监控高危事件域风险拓扑显示和GIS显示界面：全局域拓扑展现SOC平安域拓扑展现事件报表报告界面例如高报警设备宏观趋势分析宏观趋势分析功能提供了对平安事件监测上报的事件和流量信息，进展综合的模型分析，并提供宏观的展现和丰

35、富报表功能。同时，系统本身对提供从宏观到微观的详细展现功能。熵模型：经过平安事件检测功能上报上来的事件，网络态势感知监控系统对一切的事件按照上报的引擎分类进展计算源地址熵和目的地址熵，同时也计算出源、目的地址熵的每个时间点的基线值。利用EWMA的算法，判别当前时辰的熵值与学习期间的熵值相比判别各个线路的地址熵数据能否异常。三元组模型：经过平安事件检测功能上报上来的事件，网络态势感知监控系统对一切的事件按照上报的引擎分类进展，然后对事件按照三个维度进展全组合分析，找出各个线路各种组合排名靠前的TopN 的数据，并罗列出汇总的信息。单一方式攻击：源地址、目的地址、事件类型均一样的事件集合，阐明：攻

36、击者采用同一方法，对同一目的进展反复攻击的态势。多种攻击方式：源地址、目的地址一样，事件类型恣意的事件集合，阐明：攻击者尝试多种方法，对同一目的进展反复攻击的态势。查找攻击目的：源地址、事件类型一样，目的地址恣意的事件集合，阐明：攻击者采用同一方法，查找可利用的目的的态势。蒙受同种攻击：目的地址、事件类型一样，源地址恣意的事件集合，阐明：同一目的被多个攻击者采用同种方法反复攻击的态势。主要攻击来源：源地址一样，目的地址、事件类型恣意的事件集合，阐明：发出最多攻击事件主机的态势。濒危受害目的：目的地址一样，源地址、事件类型恣意的事件集合，阐明：被攻击次数最多的主机的态势。频发事件排名：事件类型一

37、样，源地址、目的地址恣意的事件集合，阐明：被利用最多的攻击事件的态势。热点事件模型：经过平安事件检测功能上报上来的事件，网络态势感知监控系统对各个引擎关注的热点事件进展汇总，并分析每个引擎的每类事件的开展趋势，同时根据开展趋势和热点事件的历史基线目的进展对比，来判别各个线路的事件的开展趋势能否异常。事件数量模型本模型根据监控当前日志事件的在一段检测期中，各种类型事件的数量数目，来分析当前被监控网络中平安的态势目的能否有异常，并对总体的平安态势起到数据支撑的作用。事件分散模型本模型根据监控当前日志事件的在一段检测期中，各种类型事件的数量变化，来分析当前被监控网络中平安的态势目的能否有异常，并对总

38、体的平安态势起到数据支撑的作用。综合关联分析综合关联分析完成各种平安关联分析功能，关联分析可以将原始的设备报警进一步规范化并归纳为典型平安事件类别，从而协助运用者更快速地识别当前要挟的性质。系统提供三种关联分析类型：基于规那么的事件关联分析、统计关联分析和破绽关联分析。根据此关联分析模块的功能，结合客户业务运用系统的事件特征、分析与制定平安域与业务平安控制战略和基于业务运用的流程异常监控，制定相关的特定关联分析规那么。关联分析包括：对平安事件的规那么关联、统计关联，对平安事件和平安破绽的破绽关联，结果输入风险管理模块几个主要过程。综合关联分析规那么关联分析基于规那么的事件关联分析是把各种平安事

39、件按照时间的先后序列与时间间隔进展检测，判别事件之间的相互关系能否符合预定义的规那么，从而触发分析总结出来的关联分析后事件。配置关联分析规那么显示界面例如：基于规那么的关联分析统计关联分析统计关联分析是用户经过定义一定时间内发生的符合条件的事件量到达规定量，从而触发关联事件。统计关联分析破绽关联分析破绽关联分析是系统搜集到的事件对应的破绽编号或端口与系统中存在的资产的破绽编号或端口号符合，从而触发关联事件。目的是为了进一步降低系统的误报率。破绽关联分析流量分析模型关于流量分析，我们从流量的角度来审视当前被监控网络内的平安态势情况，并为流量数据建立了各种模型，模型从整体，到部分，然后到细节分成总

40、体流量、协议流量、端口流量和运用流量四个模型进展对流量数据进展分析。平台也从总体到部分最后到细节全方位的来分析我们的平安态势。总流量模型根据流量基线算法，我们需求计算出被监控网络内总体流量基线，本模型对监控网络内的总体流量进展实时计算分析，根据学习到的总体流量的基线数据分析出当前流量能否异常。同时，总体流量目的也是流量总体平安分析的根底数据之一。协议流量模型根据流量基线算法，我们需求计算出被监控网络内协议流量TCP，UDP，ICMP，其他协议基线，本模型对监控网络内的上述协议流量进展实时计算分析，根据学习到的上述协议流量的基线数据分析出当前各种协议流量能否异常。同时，协议流量目的也是流量总体平

41、安分析的根底数据之一。端口流量模型根据流量基线算法，我们需求计算出被监控网络内端口流量注：端口是用户可以进展自定义，用户可以根据需求配置相应端口数据，例如80，21等端口基线，本模型对监控网络内的上述端口流量进展实时计算分析，根据学习到的上述端口流量的基线数据分析出当前各种端口流量能否异常。同时，端口流量目的也是流量总体平安分析的根底数据之一。运用流量模型根据流量基线算法，我们需求计算出被监控网络内运用流量注：运用流量是用户可以进展自定义，用户可以根据需求配置相应端口和IP地址基线，本模型对监控网络内的上述运用流量进展实时计算分析，根据学习到的上述运用流量的基线数据分析出当前各种运用流量能否异

42、常。同时，运用流量目的也是流量总体平安分析的根底数据之一。基线管理本系统从原来的单一的日志数据，扩展到日志和流量两种数据来分析网络内的平安态势问题，同时添加了更多的模型来协助 用户处理平安问题。针对这些模型，我们为每个模型都建立了相应的基线。TSOC的基线是动态基线，系统会经过自学习的过程为每个模型动态的建立起相应的基线，为每个模型分析平安态势提供了实际根据。基线的学习周期用户可以根据本人的需求来配置，这个版本中，我们引入了如下的基线：地址熵基线热点验证基线高级事件数量基线高级事件分散基线流量基线：流量基线中包含了总体流量、协议流量、端口流量和运用流量基线平安战略管理平安战略管理模块可充分利用

43、风险评价的结果进一步完善网络的平安战略管理体系建立，为全网平安运转管理人员提供一致的平安战略，为各项平安任务的开展提供指点，有效处理因缺乏口令、认证、访问控制等方面战略而带来的平安风险问题。平安战略管理网元管理功能拓扑监控1能发现网络的拓扑构造，并提供图形方式的拓扑构造展现2经过接纳Trap信息和自动轮询两种方式及时地发现网络节点发生的各种缺点，及时告警，通知管理员进展相关检查和管理3能在拓扑图上经过扩展可以显示cpu、内存、硬盘等信息4提供关于链路的连通性等信息网元形状监控1可以监控网络设备、平安设备、主机等的形状信息2可以采集cpu、内存、延时等形状信息并且图形化展现3可以监控端口流量信息

44、TCP端口监控可以监控指定ip地址的端口形状信息数据库监控1支持对数据库形状信息的采集。装填信息包含但不限于：数据库类型、数据库效力器主机名、数据库效力器ip地址、数据库版本、数据库缓冲区大小、表空间利用率、数据库会话衔接数、lock信息等2可以支持oracle、sqlserver等主流数据库的形状信息采集3提供数据库监控功能，可以实时监控数据库的各种形状，提供图像化进展呈现。并且可以针对形状信息设定告警阈值，自动进展告警。任务流管理TSOC提供一个一致而灵敏的任务流程管理平台。可以为用户以及其它模块提供流程支持。任务流管理模块主要包括两部分功能：后台任务流管理：后台任务流管理担任同时定义、实

45、现和维护多个流程。前台用户界面：前台用户界面担任提供各种流程的用户实践操作界面。用户运用任务流时，首先在任务流管理界面中，利用可视化、图形化的任务流编辑工具来定义各种业务流程。每个流程都可以由假设干步骤和转移来实现，用户可以实现流程的前进、后退、分支、汇总等形状。流程描画元素能够包括：步骤：表示流程图中的某个结点转移：表示流程图中某两个结点之间的连线，具有方向性动作：包含自动动作和手动动作任务流管理流程图定义好一个任务流后，就会自动生成与该任务流相关的工单界面。用户可以查看和处置与本人相关的各类任务流的工单。另外，任务流模块还对外提供流程相关的接口，供外部系统或内部系统的其它模块调用。比如：用

46、户在针对某个事件做任务流呼应时，可以配置选择按照哪个任务流来进展处置。设备控制管理设备控制管理模块提供了一个通用的、可扩展的设备控制框架，在TSOC中内置了两种控制协议：Telnet和SSH。假设某个设备支持经过这两种协议进展控制操作，那么用户就可以利用该模板提供的功能来对相关设备进展手动或自动的控制。设备控制管理模块将设备控制笼统成以下三个层次：设备控制功能：面向业务、面向操作，阐明是“想要做什么设备控制脚本：面向设备类型，阐明“如何操作该类型的设备设备控制战略：面向详细设备，阐明“如何操作详细某个设备设备控制脚本配置设备控制管理模块提供了友好的人工界面供用户来对以上层次进展配置，经过以上三

47、层的配置，用户就可以在多个场所进展手动或自动设备控制。举例来说：用户首先定义一个“封锁端口的设备控制功能，然后再根据不同的设备类型来定义各个“封锁端口的设备控制脚本，比如：“Linux的封锁端口、“天清防火墙的封锁端口等，接下来再为详细的设备定义设备控制战略，比如“封锁Linux主机(192.168.1.1)的端口。当完成这些配置之后，用户就可以在设备管理中直接针对某个设备运转相关的设备控制战略，从而实现相关控制。设备控制脚本是提供了一套简明的通用控制语法，用户在稍加学习之后，就可以按本人的意图写出相应的控制脚本。设备控制管理模块还提供接口调用功能，相关模块经过该接口可以调用设备控制功能。比如

48、：假设设置TSOC中的呼应方式，就可以实现“检测、呼应、控制的自动操作。多级管理多级管理模块上下级之间数据传输的内容可以经过战略进展配置，包括：上级可以向下级下发全局战略；下级可以定期上报平安报表日报、周报、月报、季报、年报；下级可以按照上级要求自动上报高风险事件；下级可以经过上级向全网发出平安预警等。该页面展现了6个图表，分别是：总体运转天数，延续运转天数，全局域风险值，资产总数，事件数，破绽数；每个图表有该平台本身的和下级平台上报的这些数据，上级平台的数据不会在该页面展现。在多级管理模块中：在下级平台上注册，页面上完善本身的平台信息(即属性信息)后，人工指定上级IP，并向上级提交注册。注册

49、恳求由上级指定权限的人员进展审核，审核经过后生效。平台本身可查看本人的上、下级列表、级联通道的形状。下级可对上级上报全局域风险、运转天数、资产总数、事件数、破绽数信息，下级可以按照上级要求自动上报高风险事件，下级可以经过上级向全网发出平安预警，上报周期可配置。上级可以经过监控界面查看下级上报数据，上级可以向下级下发全局战略。配置自定义报表义务时，可选择能否上报给上级，如选择是，报表生成后将自动上报。对已生成的报表可经过界面操作手动上报。下级可以定期上报平安报表日报、周报、月报、季报、年报。风险监控与管理风险管理模块具备事件、资产和域的风险管理功能。包括：风险计算、平安呼应和预警、结果呈献三个主

50、要过程。风险管理任务过程风险管理在平台中的实现过程如下：借助于资产管理模块、事件管理模块和脆弱性管理模块的信息一致进展风险计算，构成风险信息。根据高风险信息发出平安预警、产生平安呼应，查询平安战略及时调动资源降低风险。风险信息经过图表可视化直观显示，便于决策者随时了解系统风险情况，作出平安决策。事件风险监控可以关联出平安事件所影响到的信息资产；根据事件的要挟级别、事件的类型、资产的平安需求，估算出平安事件对信息系统平安性的影响：可以估算出平安事件对信息系统严密性的影响；可以估算出平安事件对信息系统完好性的影响；可以估算出平安事件对信息系统可用性的影响；可以根据平安事件对信息系统的危害进展评级；

51、实时给出高危害平安事件的列表；风险监控资产风险监控根据资产的平安需求、资产面临的要挟进展综合评价，给出当前资产的风险情况：严密性风险：标示信息资产由于泄密能够呵斥的损失；完好性风险：标示信息资产由于数据被篡改能够呵斥的损失；可用性风险：标示信息资产由于无法正常任务能够呵斥的损失；可以根据资产风险的情况对资产进展评级：红色：表示资产处于高风险形状，需求立刻进展处置；橙色：表示资产处于较高风险形状，需求及时进展处置；黄色：表示资产面临一定的风险，需求关注；蓝色：表示资产处于较为平安的形状；绿色：表示资产几乎未遭到任何要挟，处于平安情况；可以根据资产的风险情况进展排序，给出高风险资产清单；用户可以从

52、资产风险追踪到相关的高风险事件，从而有效判别资产风险的来源，并进展正确的处置；资产风险监控平安域风险监控根据平安域中各子域和资产的风险，并思索权重，给出当前平安域的风险情况：严密性风险：标示平安域由于信息资产泄密能够呵斥的损失；完好性风险：标示平安域由于信息资产数据被篡改能够呵斥的损失；可用性风险：标示平安域由于系统无法正常任务能够呵斥的损失；可以根据资产风险的情况对资产进展评级：红色：表示平安域处于高风险形状，需求立刻进展处置；橙色：表示平安域处于较高风险形状，需求及时进展处置；黄色：表示平安域面临一定的风险，需求关注；蓝色：表示平安域处于较为平安的形状；绿色：表示资产几乎未遭到任何要挟，处

53、于平安情况；可以根据资产的风险情况进展排序，给出高风险资产清单；用户可以从平安域风险追踪到子域风险和资产风险，从而关联到相关的高风险事件，从而有效判别风险的来源，并进展正确的处置；域风险监控实时风险监控实时监控界面例如如下：实时风险监控总体平安风险趋势平安预警管理平安预警对于不同要挟事件和脆弱性模块的资产破绽形状信息，根据规那么的事件关联分析、破绽关联分析和风险评价的进展准确分析计算，构成一致的5级风险级别，为平安管理人员进展平安预警。风险级别如下：红色：表示高风险形状，需求立刻进展处置；橙色：表示较高风险形状，需求及时进展处置；黄色：表示面临一定的风险，需求关注；蓝色：表示较为平安的形状；绿

54、色：表示几乎未遭到任何要挟，处于平安情况。平安预警模块提供两种预警方式：基于脆弱性的预警：在接到平安厂商及软件系统发布厂商的新的破绽通告时，平安预警模块调用关联分析中的基于破绽的关联分析等模块，计算出该破绽所影响的设备、系统和业务情况，从而得到该破绽的风险等级。基于事件的预警：在接到新的要挟事件时，平安预警模块将调用基于规那么的事件关联、基于统计的关联分析等模块，得到本要挟事件的影响值及影响范围，当该事件的影响值超越一定阀值后，将其进展展现，从而指点管理人员做好有效的防备任务。平安预警模块操作及显示界面例如如下：风险预警可以自定义预警信息，下面以“熊猫烧香病毒为例进展阐明，如以下图所示：平安风

55、险预警自定义平安战略文档管理组织进展平安管理离不开一系列平安规范制度和平安战略的指点，TSOC提供了一个集中管理和发布各类平安战略文档的模块。经过该模块，用户可以：将组织中的各类平安规范制度和平安战略文档有层次的管理起来，用户可以将平安战略文档整理成树型构造，从而一目了然的展现上各战略之间的层次关系。为每个战略同时维护多种发布格式，比如：txt、word、excel、pdf、html等，管理员可以方便的更新和发布各类格式的战略文档每个战略文档都有一个 “战略标识，战略标识等同于该战略文档的关键字的列表，经过“战略标识可以拓展出战略查询及战略关联等功能。平安战略文档管理平安战略文档管理包括两个部

56、分的功能：平安战略的定义、生成、审核、发布、访问协助 用户制定组织的总体平安战略协助 各个子战略的管理员制造所担任系统或设备的详细战略总体平安战略经过审核后正式发布普通用户可以在线阅读和下载平安战略呼应后对平安战略的关联与调用当系统运转中发生了某类平安事件后那么根据预定义规那么自动调用对应的平安战略，供管理员参考。平安信息知识库管理平安信息管理模块的功能是提供一个信息管理中心，将平安管理信息搜集起来，构成一致的平安共享知识库，完成平安信息管理和WEB发布，主要包括平安事件库、设备原始事件库、平安案例库、平安公告、处置预案库、中国破绽库CNCVE和平安链接等栏目的信息发布管理和阅读。目的是方便管

57、理员进展信息管理和方便用户进展信息查询与阅读。平安信息知识库管理模块为用户提供知识库分级、分组的授权访问管理和内容上传、增、删、改等维护功能。总体构造如下：平安事件库，包括病毒蠕虫、回绝效力攻击等9大类平安案例库网页篡改网络蠕虫回绝效力攻击特洛伊木马计算机病毒黒客攻击攻击数据库等案例库平安知识库中国破绽库CNCVE平安知识库处置预案库平安处置预案库综合显示与报表报告综合显示与报表报告模块是由拓扑显示、地图GIS显示、实时的Dashboard显示等综合显示及功能报表组成。功能报表让用户更直接的看到资产、风险、脆弱性、事件和设备的分布以及趋势以及用户运用平台情况报表和定制报表，定制报表功能是由系统

58、提供预制各式报表模版，便于客户化定制报表的生成。详细报表由“折线图、“区域图或者“饼状图组成。风险报表-域风险趋势平安呼应管理平安呼应管理模块作为泰合信息平安运营中心系统的一部分，与其它模块间有着丰富的数据交互，经过与网络与事件/业务监控模块、脆弱性管理模块、关联分析模块、平安预警模块等模块的接口，接纳这些模块产生的预警信息，启动平安呼应处置流程处置预警通知。在确认呼应以后，经过呼应接口邮件、短信、图形界面、工单、snmp trap等通知到接纳者。工单被接纳者呼应处置并经审批以后的历史工单可以导入到平安知识库的案例库中去。平安战略管理包括：工单生成、工单处置、工单跟踪、知识库管理几个主要过程。

59、任务义务管理平安呼应管理模块基于任务流的义务管理显示界面例如：任务义务形状跟踪用户管理平安管理中心用户管理模块采用三权分立的管理体制，默许设置了用户管理系统管理员、平安运营中心管理员、审计管理员分别管理。泰合信息平安运营中心系统用户管理采用基于角色的访问控制战略，即根据对系统中角色行为来限制对资源的访问。角色可以了解成为任务所涉及一样行为和责任范围内的一组人，因此给予角色权限，要比单独为个人授权方便得多，这样便于企业授权管理。用户管理系统管理员包括“用户管理和“用户组管理，经过“用户管理赋予系统管理用户进展用户组权限管理。不同角色的用户组拥有不同的权限，“用户组管理根据对系统中不同平安运营中心

60、管理员角色行为来限制对资源的访问。角色可以了解成为任务所涉及一样行为和责任范围内的一组人，因此给予角色权限，要比单独为个人授权方便得多，这样便于企业授权管理；不同角色的用户组拥有不同的权限，这样用户组中的用户就不可以获得滥用系统资源的特权，利于责任独立；角色的层次化运用户在现实世界中的等级化与系统资源的等级之间构成了对照，便于系统的管理。审计管理员仅具有审计功能权限，经过用户管理系统的审计与登录平安运营中心才干查看到的审计内容区别在于，查看的对象不同。此处主要审计对用户的各项操作，包括用户登录注销、新增、修正、删除用户或用户组等功能。审计员用户系统安康管理利用系统安康管理模块可便于系统本身平安