04天融信TSM30产品介绍.pptx

1、首页,天融信SOC安全运营中心介绍,高级安全顾问：陶越,题纲,SOC背景及基础TSM安全运营中心TSM系统特点,SOC相关名词术语,SOC（Security Operatings Center）安全运营中心/安全管理平台SIM（Security Information Management）安全信息管理SEM（Security Events Management）安全事件管理SIEM（Security Information and Events Management）安全信息与事件管理LM（Log Management）日志管理SMC（Security Management Center）安

2、全管理中心MSS（Managed Security Service）可管理的安全服务/安全托管服务MSSP（Managed Security Service Provider）安全托管服务提供商MNS（Managed Network Service）可管理的网络服务/网络托管服务NOC（Network Operatings Center）网络运营中心,SOC,命名来源于NOC，概念来源于MSS国际一般指SOC是一个中心，有固定的场所，有一个技术支撑平台、有大屏幕系统、有组织人员、有一套运营的流 程，为第三方提供安全管理服务。国际通行的SOC理念是服务和产品围绕MSS运营展开的，是支撑MSS的技

3、术基础，鲜见以SOC命名的产品国内一般指SOC是一个技术平台，是一个传统概念上的成熟安全产品，而不考虑运维，将产品与运营之间的关系裁剪掉了,MSS and MSSP,为了节省客户的相关安全投入，即客户将安全外包给MSSP，以小于原投入的资金获得更加专业的业务安全。概念来源于MNS，是相对网络托管服务提出的安全管理服务,全球12大MSSP：AT&T BT IBM Integralis（专注于欧洲市场）MegaPath Perimeter Savvis SecureWorks Solutionary Symantec Verizon VeriSign（MSS业务快要卖光了）,Gartner（高德纳

4、）公司将MSS定义为以下几类：防火墙或IPS的监视与托管IDS的监视与托管 DDOS防护邮件反病毒/反垃圾托管服务防病毒网管托管服务 安全信息管理安全事件管理网络、服务器或应用的弱点扫描托管 安全弱点或威胁通知服务日志分析托管监视/托管设备报告与故障响应报告,MSS服务方式,SOC、MSS、MSSP及User间关系,MSSP,MSS,SOC,User,ISP,应用商,安全厂商,专业服务商,咨询商,入侵监测,远程监控,漏洞评估,事件管理,合规检测,运维报告,漏扫系统,大屏监控,事件工具,日志工具,病毒系统,运维人员,Firewall,IDS,IPS,Audit,AV,支撑,解决方案,建设,提供服

5、务产品,利用,管理系统及服务,SOC产生的背景,伴随MSS的发展而产生的由ISS（IBM收购）在1998年提出MSS概念19992001年ISS先后在全球建立了多个SOC中心1998年CheckPoint推出了CheckPoint Provide-1防火墙/VPN集中管理平台，提供给MSSP实现多台防火墙的管理2000年Counterpane（BT收购）推出MSS服务，在全美范围内构建安全监控中心，以此实现MSS服务2001年WatchGuard推出防火墙/VPN状态监测和日志分析报表系统2001年Symantec改造了圣安东尼奥的SOC中心，超过140名安全专家提供24*7*365的安全管理

6、服务,并且陆续在全球建有5个SOC中心2000年ArcSight开发了SIEMS系统，2004年发布了ESM3.0，Gartner从2005年至2007年的SIEM Magic Quadrant评测分析中，ArcSight ESM也是连续3年保持在领导者位置SOC定位于MSS服务的提供，或开展MSS服务的ISP也是其目标客户面向普通客户的主要是SIEM系统,SOC产生背景（续）,2001年安氏利用ISS的知识将MSS的概念引入中国，并与世纪互联签订了中国第一份MSS合作协议与此同时SOC的概念登陆中国，国情不同SOC概念逐渐逐渐被源SOC概念中的工具替代2004年安氏推出了安全运营中心解决方案

7、同年启明推出了泰合安全运营中心系统同年天融信推出企业安全平台（Enterprise Security Platform）2.0系统，2006年推出TSM3.0近几年以SOC命名技术平台的用法逐渐被安全管理平台命名方式替代,全球SIEMS主流厂商,领导,研究者,参与者,挑战者,SIEMS功能定义：标准化整合化关联化分析化,SOC市场划分（国际）,IT,SIEM,MSS,SOC,服务工具,用户IT系统,提供安全托管服务,建立安全运营中心,MSSP,MSSP为提供MSS，需要构建服务型的SOC,SOC市场划分（中国特色）,IT,安全管理平台SIM or SEM and SMC,SOC,帮助用户部署服

8、务工具（集成平台运维服务）,用户IT系统,提供产品解决方案,有些政府、企业或组织因为数据的私有与机密性等问题，需要自行进行集中的安全管理，需要构建自用型的SOC,安全厂商,未来几年MSS可能会成为国内安全市场的热点。,SOC技术,SOC是MSS实现的基础，它的构建包括：人员（安全专家）、工具、流程、地点及物理设施（网络、监视屏）等。它提供安全的集中运营，包括安全研究、安全评估、安全策略制定、安全集中监视、安全响应、安全设备配置等。国际SOC中采用的技术是由其MSS业务决定的，没有完整的SOC产品，根据业务细分产品国内目前SOC采用的技术业界公认为“安全管理平台”。它由国内安全市场的现状决定，是

9、一个庞大的系统。它的功能覆盖了很多细分产品的功能如：SIEM、设备管理、漏洞管理、合规性及风险管理等。并且有趋势，变得更加庞大，会整合进更多的安全功能进行集中的安全管理。,国内安全管理平台功能定义,定位以资产为核心、以事件管理为关键流程、以风险控制为目标的面向安全的综合一体化管理平台系统基本功能资产管理：资产录入、查询、修改、属性管理、统计等事件管理：事件采集、过滤、归并、关联分析、事件监控、查询、统计等脆弱性管理：弱点采集、资产关联、漏洞查询、脆弱性统计等风险管理：风险识别、风险计算、风险展示、风险监控、风险预警、风险统计等安全知识库管理：知识库管理、安全论坛、辅助决策运维管理：工作流管理、

10、工单管理、运营管理、运维统计等延伸功能设备管理：性能管理、配置管理、策略管理等网络管理：拓扑管理、流量管理、故障管理等应用管理：应用监控、应用统计、合规审计等终端管理：网络准入、行为管理等ITIL运维：建设呼叫服务台，提供统一的监控运维管理职能,国内安管平台现状,近年SOC建设难言成功报出的事件以误报居多，发现的风险难以理解自动图表报表反映的是被误报严重扭曲过的统计结果全流程的运维管理流程难以符合实际需要虽然建立了SOC系统，但并未建立SOC中心很多业内人士也把SOC比喻成“垃圾电影”但没人怀疑建设SOC的必要性首要原因是产品没有正确定位、建设没有循序渐进,未来SOC之路,安全事件管理是SOC

11、的重中之重网络管理与安全管理融合是国内用户的切实需求主动防御是日常安全管理的核心面向业务是未来SOC走出阴影的唯一出路客户化定制适应不同行业的管理需求平台建设是基础，运营才是SOC的本质,题纲,SOC背景及基础 TSM安全运营中心TSM系统特点,平台服务(问题处理)(运维服务/平台工具),策略与平台实施(工程实施服务/平台工具),安全咨询(风险管理/服务工具),(1)资产,(2)评估,(5)TA/基于策略的事件管理,(3)策略/基线,(4)TP/策略执行,(6)安全业务服务流程管理(SBSM),(7)安全工作评估与考评KPI,持续改进,拓扑监控流量监控设备监控。,风险管理脆弱性管理事件管理响应

12、管理关联分析辅助决策安全报表,访问控制策略入侵检测策略病毒过滤策略安全审计策略VPN通道策略,资产管理网络准入非法外联行为监管。,网络监控管理TopNoc,安全信息管理TopAnalyzer,策略统一管理TopPolicy,内网合规性TopDesk,TSM统一管理、监控、调度服务台,天融信TSM一体化安全运维解决方案,天融信TSM安全运营中心,TSM是安全信息和事件管理平台，设计用于提高机构安全运维部门、安全管理的效力、效率和可视性。自动汇聚并关联事件、日志和安全漏洞为多厂商环境提供广泛的设备支持，包括安全性、网络、主机和应用以资产为中心的事故识别 自动满足行业规范和规章制度的要求基于政策方针

13、和规章制度的行为监控与报告最大限度地优化安全资源利用率从数据收集和关联直到行为和报告，实现安全管理的全程自动化的过程。,按计划进行日常安全保障,检查和审计安全工作和目标实现,确保安全工作持续改进,安全目标,安全控制要求,安全审计和检查,绩效考核调整安全目标,日常安全维护,事件告警,风险确定,事件处理和解决,报告审计,安全监控,自上而下-目标管理,自下而上-异常处理,安全管理流程的实现,TSM-Analyzer平台层次结构,TSM的逻辑架构,1、TopAnalyzer基于J2EE架构开发，具有极强的开放性、跨平台与可移植性；2、数据库采用Oracle9i/10g企业版、sqlserver2005

14、、DB2等。3、支持Window、Linux、AIX等系统的部署,代理层,服务器,展示层,面向消息中间件技术,所有的事件在采集后对于所有模块都是透明的，即可以实现事件分析的同时入库。把原来审计系统的事后审计转变为实时的分析。,综合监控,监视仪表盘能做什么？全局动态展现网络中安全事件；监视仪表盘的特点？安全运维的窗口；,资产管理,分析和评估资产的风险和价值，并通过对关键资产的实时监控，以及对资产所产生的事件进行风险分析和处理,从而维护企业中各种资产的安全性；资产分类包括:资产类型资产物理位置资产用户管理资产分组管理,风险管理,安全事件处理流程,Raw Data,Information,Key I

15、nformation,Action,Expert,Manager 1,Manager 2,Advisor,Knowledge,Console,呼叫中心,安全管理员,归一化过滤归并,100万 Events,1 万 Events,1百 Events,事件整合流程,Raw Events,Denial of Service,Worm,antivirus,Normal/Benign,Normalization and filtering,Correlate and analyze,Threat,Events sources,Event category,表示一个事件,过滤冗余处理归纳分类绑定环境,杂乱的

16、事件,长短一致,颜色分类,攻击场景匹配,9/10/01 5：05：29 PM，10.10.10.1%PIX-6-106015：Deny TCP（no connection）from 20.97.173.18/2182 to10.10.10.10/63228 flags SYN RST PSH ACK on interface outside,2001-08-20 16:12:56|doldrgn1|dragonserver|10.10.10.240|11711|10.10.10.241|1031|-AP-|6|Tcp,sp=11711,dp=1031,flags=-AP-|,PIX Firewall standard syslog format,IDS Data Items separated by pipes,EVENTS Table,Normalization,Business Relevance,9/10/01 5：05：29 PM,2001-08-20 16:12:56,20.97.173.18,2182,10.10.10.10,63228,10.10.10.240,11711