需求分析


经过十多年的信息化与网络安全建设,大多数企业和组织已经从安全的局部建设进入到了整体优化阶段,信息安全管理体系和技术体系在组织的信息安全建设中得到不断推进。当前的客户更加关注全网的整体安全,强调从业务信息系统安全风险的角度,而非单一安全威胁和防御机制的角度去更加主动地管理安全。随着信息系统建设工作从大规模建设阶段逐步转型到“建设和运维”并举的发展阶段,运维人员需要管理越来越庞大的IT系统这样的情况下,信息安全运维约占信息系统生命周期的70%- 80%,信息安全运维体系建设已经被提到了一个空前的高度上。在这个体系中除了组织保障和流程保障,很重要的一点就是技术保障。随着国家等级保护制度实施力度和各行业内控与合规要求的不断增强,以及越来越多的企业和组织投入到信息安全管理平台体系(Information Security Management System,简称ISMS)的建设之中,客户管理层更加需要一个安全管理技术支撑平台来协助符合和体现等级保护及内控合规的相关具体要求,将等级保护和信息安全管理体系落到实处。而客户执行层也希望有一个安全管理平台帮助他们进行等级保护和信息安全管理体系建设过程中理顺工作流程、提升工作效率。


 

产品简介

产品简介

泰合信息安全运营中心系统 V3.0(产品型号:TSOC-USM5800)是启明星辰立足于公司十多年信息安全积累的基础之上,基于客户最新需求推出的全新一代安全管理平台。泰合信息安全运营中心系统 V3.0采用新一代的基于超微内核的分布式计算技术架构,以IT资产为基础,以业务信息系统为核心,融合多种信息安全技术和管理理念,充分实现组织、管理、技术三个体系的合理调配,帮助用户从监控、审计、风险、运维四个维度构建起以数据为核心的安全管理体系,实时对业务信息系统实现可用性、性能及服务水平的监测,结合内外部威胁情报信息的事件、流、漏洞及安全配置分析、审计、预警与响应,风险及态势的度量与评估,以及标准化、例行化、常态化的安全流程管控,通过面向业务的主动化、智能化安全管理,实现企业和组织网络的安全管理和运营。

作为中国最早研发和最领先的安全管理平台之一,泰合信息安全运营中心系统 V3.0经过10多年的持续发展,获得了二十多项专利授权,得到了国家多项专项基金的支持,并拥有目前国内最多的客户群。根据赛迪顾问报告,从2008年~2019年连续十二年位居中国安全管理平台市场占有率第一。

 

功能特点

  • ​一体化的安全管控界面:

    系统提供了强大的一体化安全管控功能界面,为不同层级的用户提供了多视角、多层次的管理视图。

  • ​流安全分析:

    除了采集各类安全事件,系统还能够采集形如NetFlow的流量数据并进行可视化展示。针对采集来的NetFlow流量数据的分析,系统能够建立网络流量模型,通过泰合特有的基于流量基线的分析算法,发现网络异常行为。

  • 丰富灵活的报表报告:

    出具报表报告是安全管理平台的重要用途,系统内置了丰富的报表模板,包括统计报表、明细报表、综合审计报告,审计人员可以根据需要生成不同的报表。系统还内置了一套报表编辑器,用户可以自行设计报表,包括报表的页面版式、统计内容、显示风格等。

  • ​多样的安全响应管理:

    系统具备完善的响应管理功能,能够根据用户设定的各种触发条件,通过多种方式通知用户,并触发响应处理流程,直至跟踪到问题处理完毕,从而实现安全事件的闭环管理。

  • ​指标化宏观态势感知:

    针对系统收集到的海量安全事件,系统借助地址熵分析、热点分析、威胁态势分析、KPI分析等数据挖掘技术,帮助管理员从宏观层面把握整体安全态势,对重大威胁进行识别、定位、预测和跟踪。

  • ​基于风险矩阵的量化安全风险评估:

    系统参照GB/T 20984-2007信息安全风险评估规范、ISO 27005:2008信息安全风险管理,以及OWASP威胁建模项目中风险计算模型的要求,设计了一套实用化的风险计算模型,实现了量化的安全风险估算和评估。

  • ​主动化的网络威胁情报利用:

    系统提供主动化的威胁情报采集,通过采集实时威胁情报,结合规则关联和观察列表等分析方式,使安全管理人员及时发现来自已发现的外部攻击源的威胁。

  • ​主动化的预警管理:

    用户可以通过预警管理功能发布内部及外部的早期预警信息,并与网络中的IP资产进行关联,分析出可能受影响的资产,提前让用户了解业务系统可能遭受的攻击和潜在的安全隐患。系统支持内部预警和外部预警。

  • ​全面的脆弱性管理:

    系统实现与多种漏扫系统的实时高效联动,内置安全配置核查功能,从技术和管理两个维度进行全面的资产和业务脆弱性管控。

  • 智能化安全事件关联分析:

    借助先进的智能事件关联分析引擎,系统能够实时不间断地对所有范式化后的日志流进行安全事件关联分析。系统为安全分析师提供了三种事件关联分析技术,分别是:基于规则的关联分析、基于情境的关联分析和基于行为的关联分析,并提供了丰富的可视化安全事件分析视图,充分提升分析效率,结合威胁情报,更好的帮助安全分析师发现安全问题。

  • ​全面的日志采集:

    可以通过多种方式来收集设备和业务系统的日志,例如Syslog、SNMP Trap、FTP、OPSEC LEA、NETBIOS、ODBC、WMI、Shell脚本、Web Service等等。

  • ​面向业务的统一安全管理:

    系统内置业务建模工具,用户可以构建业务拓扑,反映业务支撑系统的资产构成,并自动构建业务健康指标体系,从业务的性能与可用性、业务的脆弱性和业务的威胁三个维度计算业务的健康度,协助用户从业务的角度去分析业务可用性、业务安全事件和业务告警。

 

技术优势

  • 强大的客户化定制能力

    拥有专业的定制开发团队和实施运维团队。

  • 平台设计灵活

    系统采用开放的、柔性化的平台架构设计,可伸缩、可裁剪、可扩展、可集成。

  • 大数据分析架构

    国内第一个采用大数据分析架构的安全管理平台,采用了主流的大数据分析架构和技术,充分运用并行分布式信息采集、计算和存储技术,实现计算能力的水平弹性扩展,保护客户已有投资。

  • 态势感知能力

    具备国内一流的安全事件关联分析与态势感知能力,实现对全网安全风险的量化分析、安全态势评估,并具有态势预测的能力。

  • 国内最完善的安全管理知识库

    内容涵盖安全事件库、安全策略库、预警信息库、漏洞库、关联规则库、处理预案库、案例库等。

  • 支持多种设备和系统

    支持对超过140种国内外主流设备和系统(不断更新)日志及事件的高速采集、范式化、关联分析、安全存储和响应,无须开发即可支持新设备。

  • 系统配置灵活方便

    系统简单实用、界面美观大方、支持换肤、内置丰富的仪表板,适用于各级管理人员。

  • 一站式安全运营中心解决方案

    内置网络管理、安全管理和运维管理功能,并能够灵活选择功能模块。

 

典型应用


泰合信息安全运营中心系统广泛应用于政府、公安、金融、电信、电力、能源、烟草、媒体、教育和大中型企业。系统尤其能够满足客户对于信息系统等级保护和企业内部控制的要求。


下图展示了系统的一个典型部署场景。作为系统核心的安全管理平台的管理中心可以部署在一个网络可达的区域,实现对全网IT资产的集中化信息采集、分析和管控。对于分散的IT资产,系统提供了可以分布式部署的安全信息采集器,针对分散的区域进行安全信息的采集,并转发给安全管理平台。管理员可以通过浏览器在远程登录安全管理平台进行各项操作。



对于大型的政府机构或者企事业单位,系统还支持多级级联部署模式,以适合客户分级管理的体制。


产品架构


如下图所示,展示了本系统从用户角度出发的系统结构。


1.png


系统功能从总体上划分为五个部分,分别是:信息采集(Collection)、信息分析(Analysis)、安全处置(Action)、用户呈现视图(Presentation)与系统支撑(Supporting)。


信息采集实现了对客户IT资源的资产信息、性能信息、日志与安全事件信息、流信息、配置安全信息、弱点信息、威胁情报信息等安全要素信息的采集。


信息分析:针对采集上来的各类安全要素信息,系统实现了性能与可用性分析、配置符合性分析、安全事件分析、流行为安全与合规分析、脆弱性分析、风险分析和宏观态势分析。其中,风险分析包括了资产价值分析、弱点分析、威胁分析、风险评估、影响性分析等;宏观态势分析包括了地址熵分析、热点分析、关键安全指标分析、业务健康度分析、关键管理指标分析。


安全处置:包括例行处置和例外处置。例行处置主要以计划任务工单的形式体现;例外处置主要通过响应管理和告警工单处理的形式体现。此外,还包括了安全预警管理功能。


用户呈现视图:系统为不同层级、不同角色的用户提供了层次化的用户视图,从监控、审计、风险和运维四个管理维度进行展示。用户亦能依据自身的工作需求自定义展现视图。


系统支撑:包括资产管理、业务管理、报表管理、系统自身管理、权限管理、级联管理、知识管理,以及全局安全信息库。


产品特点


● 一体化的安全管控界面

系统提供了强大的一体化安全管控功能界面,为不同层级的用户提供了多视角、多层次的管理视图。

 

2.png


● 全方位的IT系统性能与可用性监控


1) 网络拓扑管理

系统能够自动发现并描绘出网络拓扑图,展示IT资产之间的逻辑拓扑连接关系,并能够自动进行多种拓扑布局。


2) 支持多种监控对象

系统支持对大部分主流IT软硬件资产的监控,能够对各种不同厂商的安全设备、网络设备、主机(操作系统)的性能与可用性进行集中化实时监控。


3) 支持多种监测协议

为了最大限度地降低对被监控系统及其网络的影响性,系统采用了多种网络协议实施监控,支持SNMP、TELNET、SSH/SSH2、ODBC、JMX、WebService、HTTP、API、协议仿真等协议和方式。


4) 全方位细粒度监控

系统对于各种监控对象都能进行全方位细粒度的监控,具有丰富的监控指标。管理员可以通过丰富的可视化图表查看监控指标信息;可以对监控指标设置告警阀值;可以将监控指标的数据保存起来,并进行历史分析。


● 智能化的安全事件分析


1) 支持多种管理对象和日志类型

对于目前暂不支持的管理对象,系统还提供了方便灵活的扩展机制。只要获得管理对象的日志样本以及通讯协议方式,编写一份XML格式日志解析文件,导入系统,即可获得对该管理对象的日志采集能力,无需编码。


2) 支持多种采集协议

为了最大程度地采集各种厂商、各种类型的日志信息,系统没有强求管理对象必须具备什么日志协议,而是支持通过多种协议方式采集日志。这些协议包括并不仅限于:Syslog、SNMP Trap、FTP、OPSEC LEA、NETBIOS、ODBC、WMI、Shell脚本、VIP、Web Service等等。


3) 详尽的日志范式化与事件分类

系统对收集的各种日志进行范式化处理,将各种不同表达方式的日志转换成的统一的描述形式。审计人员不必再去熟悉不同厂商不同的日志信息,从而大大提升审计工作效率。系统提供的范式化字段包括日志接收时间 、日志产生时间、日志持续时间、用户名称、源地址、源MAC地址、源端口、操作、目的地址 、目的MAC地址、目的端口、日志的事件名称、摘要、等级、原始等级、原始类型、网络协议、网络应用协议、设备地址、设备名称、设备类型等。


4) 基于策略的安全事件分析

系统为用户在进行安全事件的实时分析和历史分析的时候提供了一种全新的分析体验——基于策略的安全事件分析过程。用户可以通过丰富的事件分析策略对全网的安全事件进行全方位、多视角、大跨度、细粒度的实时监测、统计分析、查询、调查、追溯、地图定位、可视化分析展示,等等。


5) 智能化安全事件关联分析

智能化的安全事件分析主要透过智能化的安全事件关联分析来体现。事件关联是指找出大量事件中存在的关系,并从这些大量事件中抽取出真正重要的少量事件。借助先进的智能事件关联分析引擎,系统能够实时不间断地对所有范式化后的日志流进行安全事件关联分析。系统为分析师提供了基于规则的关联分析、基于情境的关联分析和基于行为的关联分析三种事件关联分析技术。


6) 可视化安全事件分析

系统为用户提供了丰富的可视化安全事件分析视图,充分提升分析效率。

系统可以为用户展示一幅管理对象的拓扑图,反映管理对象的网络拓扑关系,并且在拓扑节点上标注出每个管理对象的日志量和告警事件量。用户点击拓扑节点可以查询事件和告警信息详情。

针对安全事件,用户可以对其源目的IP地址进行追踪,并在世界地图上标注出来。

系统能够实时地绘制事件分时图,动态显示不同时段内各种等级事件的数量分布。点击每个分时柱子都能够进行事件钻取和过滤。

系统提供了针对事件的多维分析图,可以通过平行坐标轴显示大量事件相对于事件属性的聚合关系。审计员还能够对分析维度进行自定义。


● 基于风险矩阵的量化安全风险评估


系统在资产管理功能中,除了记录资产的基本属性,还维护着资产的安全属性,包括CIA(Confidentiality/Integrality/Availability,私密性、完整性、可用性)三种属性。系统能够根据资产的安全属性遭受破坏后对所属业务系统的影响性程度计算出资产的价值,并进而计算出安全域和业务系统的价值。


● 知识管理


系统具有国内最完善的安全管理知识库系统,内容涵盖安全事件库、安全策略库、安全公告库、预警信息库、漏洞库、关联规则库、处理预案库、案例库、报表库等,并提供定期或者不定期的知识库升级服务。


● 用户管理


系统采用三权分立的管理体制,默认设置了用户管理员、系统管理员、审计管理员分别管理。系统用户管理采用基于角色的访问控制策略,即依据对系统中角色行为来限制对资源的访问。


● 丰富灵活的报表报告


出具报表报告是安全管理平台的重要用途,系统内置了丰富的报表模板,包括统计报表、明细报表、综合审计报告,审计人员可以根据需要生成不同的报表。系统内置报表生成调度器,可以定时自动生成日报、周报、月报、季报、年报,并支持以邮件等方式自动投递,支持以PDF、Excel、Word等格式导出,支持打印。


● 自身系统管理


实现了系统自身安全及维护管理。主要包括组织管理、系统数据库及功能组件运行状态监控、日志维护及其他一些与系统本身相关的运行维护的管理和配置功能。


● 对用户网络和业务影响最小


系统在实现对用户网络中的IT设施进行集中日志采集的同时,采取多种技术手段,力求对用户网络和业务的影响最小化。


● 友好的用户交互体验


系统的用户界面采用了WEB2.0风格,具备友好的用户交互体验。系统采用多窗口操作模式,各个功能界面之间可以快速切换,无需重复加载;界面支持换肤,每个用户都可以选择自己喜欢的界面皮肤。


产品功能


功能项

产品功能详细描述

运行环境

系统采用B/S架构,管理员只需浏览器即可连接到系统进行各种操作,用户的浏览器客户端无需安装JRE或者JAVA Web Start即可访问管理中心;产品集成数据库,无须再独立安装数据库系统,亦无须对数据库进行专门的维护。数据库可满足海量安全事件的存储与快速查询和检索,可支持分布式弹性扩展,提供数据冗余存储。

部署方式

支持单级部署和级联部署,支持分布式部署;单级部署无需安装任何其他软件和组件,用户只需要安装管理中心即可实现对全网资源的安全管理;两个管理中心之间可以进行级联部署,形成大规模统一管理;一个管理中心可以连接多个分布式事件及性能采集器或者日志代理,实现对全网分散IT资源的统一管理。

使用界面

系统采用基于浏览器的用户界面,支持IE与Firefox。为了适应不同用途,用户可以对界面颜色进行选择调整。

综合展示

用户登录即可进入综合展示界面。在综合展示界面中能够显示系统的基本信息,包括:最近30分钟告警状态雷达图、最近1小时事件趋势图、最近24小时的10条告警列表,能够显示最新5分钟内的事件一览、包括各类型事件数量和等级,最近24小时资产告警排行Top10等以及事件量曲线;用户可通过综合展示界面,快速的导航到各个功能,并能够通过管理面板从不同的方面进行一体化安全管控。

工作台

用户可以在工作台中自定义仪表板,按需设计仪表板显示的内容和布局,可以为不同角色的用户建立不同维度的仪表板。用户可从自身业务需要出发预先配置用户有关的日常工作活动仪表板,为其提供一站式管理功能。在仪表板中的每个显示区域都可支持放大、缩小和拖动。

资产管理

系统提供资产管理功能,用户可以对网络中的被管理IT资产进行分组、分域的统一维护并进行资产化管理,能够维护资产的基本属性、安全属性(CIA三性)、管理属性等,并可以自定义资产标签。系统提供基于拓扑的资产视图,可以按图形化拓扑模式显示资产,通过资产拓扑视图可直接查看该资产的状态、事件、弱点、威胁、风险及告警信息。系统提供基于资产的拓扑视图,通过资产拓扑视图可直接查看该资产的状态、事件、弱点、威胁、风险及告警信息;可以显示资产之间的逻辑连接关系。系统可以按列表和拓扑两种模式显示资产拓扑节点;用户可以手工编辑资产拓扑,包括添加节点,添加/编辑连线,任意拖动节点,可以对拓扑图进行缩放,可以更换拓扑图背景。

网络拓扑管理

系统能够描绘出网络拓扑图,展示IT资产之间的逻辑拓扑连接关系,并能够自动进行多种拓扑布局。与此同时,系统还能够以机架视图的形式显示资产的摆放位置。

拓扑自动发现

系统能够自动进行网络拓扑发现,自动描绘网络中资产节点之间网络连接关系,并能够自动进行多种拓扑布局;与此同时,系统还能够以机架视图的形式显示资产的摆放位置;系统能够自动进行网络拓扑发现,自动描绘网络中资产节点之间网络连接关系;拓扑发现支持ICMP,SNMP,STP等协议方式。

集中性能监控

系统能够对各种不同厂商的安全设备、网络设备、主机(操作系统)的性能与可用性进行集中化实时监控;

性能信息采集

系统支持通过SNMP、TELNET、SSH、SSH2、ODBC、JMX、协议仿真等方式对IT资产进行性能与可用性信息的周期性采集;采集时无需在被管理节点上安装代理;

性能与可用性监控分析

系统对于各种监控对象都能进行全方位细粒度的监控,具有丰富的监控指标。管理员可以通过丰富的可视化图表查看监控指标信息;可以对监控指标设置告警阀值;可以将监控指标的数据保存起来,进行历史分析;可以进行基于指标的横向对比分析和基于时间的纵向对比分析;

安全事件管理

系统支持对包括网络设备、安全设备与系统、主机、中间件、数据库、存储、应用和服务在内的多种管理对象的安全事件进行集中管理;

日志采集

系统可通过 SNMP Trap、Syslog、ODBC\JDBC、文件\文件夹、WMI、FTP、SFTP、NetBIOS、OPSEC等多种方式完成日志收集功能;可灵活定制不支持的数据源采集,而无须改动代码。

日志范式化与分类

系统具备日志范式化功能,可实现对异构日志格式的统一化;系统针对不支持的事件类型做范式化不需改动编码,通过修改配置文件即可完成;在范式化的时候能够对日志进行分类,分类需按照安全事件的类型,而不是日志的设备类型,并提供日志分类的类型清单;

日志过滤

系统可以对采集到的日志进行基于规则的过滤处理,去掉无意义的日志,消除日志噪声;

日志传输和存储转发

日志可加密压缩传输,保证数据的完整性和机密性;日志支持加密存储,支持大数据量存储;可根据转发条件,将采集范式化后的数据转发到其他的目标地址;支持加密压缩方式转发,定时转发。

日志合并

支持对无用信息的自动合并,减少垃圾数据数量;可以建立日志合并规则,设定合并的时间范围;

日志全文索引

对采集到的日志,系统既存储范式化后的信息,也保存原始日志。系统自动对存储的原始日志进行全文索引;

日志代理

系统提供可另外部署的日志代理,安装并运行在被管理对象上,实现对管理对象的特定日志采集和转发,并上报管理中心或者日志采集器。管理中心具备对多个日志代理的集中管理功能;

日志源管理

系统可以统计不同采集器和不同安全域下设备个数并以饼图展示,统计采集器或安全域中事件Top10以柱图展示,配以统计列表;可以根据日志源断点时间进行配置,并生成告警。点击单个日志源设备查看该设备最近7天的事件趋势。

安全事件分析

系统提供了准实时监视与审计视图,通过仪表板和查询条件,管理员可进行交互式分析,管理员可以根据内置或者自定义的安全事件分析策略,从事件的任意维度实时观测安全事件的走向,也可以通过交互式查询,任意输入格式化字段和原始信息关键字等查询条件,通过组合、嵌套等多种方式进行事件的搜索、关联和收敛,并可以进行事件的调查、钻取和统计,并进行事件行为分析和来源定位等;

安全事件统计分析

系统提供了事件实时和历史统计统一视图,管理员可以根据内置或者自定义的事件分析策略,系统提供对分析策略过滤出的事件进行统计分析,可设置2个统计条件,统计图样支持堆积柱状图和饼图,可对事件数量、持续时间、发送字节数、接收字节数和总流量等内容进行统计,支持TopN统计;根据统计结果可直接钻取符合条件的事件从事件的多个维度实时进行安全事件统计分析,并以柱图、饼图、堆积图等形式进行可视化的展示。用户点击事件任意属性字段,可以该字段为条件对事件进行统计分析。

安全事件查询与搜索

用户可自定义查询策略,基于时间、名称、地址、端口、类型等各种格式化事件属性条件进行组合查询,也可以像搜索引擎那样输入关键字和正则表达式进行原始事件的全文搜索,快速获取查询结果。系统支持自定义查询结果,并以策略保存,以树形结构进行组织,形成查询树。系统具备基于任务的查询调度功能。系统可以对查询结果进行实时统计,可导出查询结果。

基于规则的事件关联分析

系统具备事件关联分析功能,提供可视化的规则编辑器。用户可以定义基于逻辑表达式的关联规则,所有日志字段都可参与关联。系统支持单事件关联、多事件关联、逻辑关联和统计关联;

历史事件关联分析

系统具有对海量历史事件的规则关联分析功能,能够对海量的历史事件进行基于规则的关联分析,识别过去已发生的入侵和违规

告警管理

系统支持事件属性重定义、弹出提示框、播放警示音、发送邮件、发送SNMP Trap、发送短信、执行命令脚本、设备联动、发送飞鸽传书、发送Syslog、派发工单等告警方式。告警信息可查询,可追踪和统计分析。告警支持多维度统计分析,用户可以自定义告警统计策略

报表管理

系统内置了资产、事件、监控、弱点、风险等报表报告,用户可以预览查阅。报表报告的产生都能够调度、定期自动生成,并支持邮件自动投递。系统支持报表报告的导出,导出的格式支持EXCEL、PDF、DOC、XML、HTML、RTF等,支持Office 2007格式;系统内置报表编辑器,用户可以自定义报表。

知识管理

系统提供开放的知识管理功能,内置了大量的安全知识,同时也允许用户在系统使用过程中不断丰富和完善。用户可以对所有的知识点进行基于关键字的全文检索,操作界面类似百度搜索或者Google搜索。系统预先建立的知识包括:案例库、漏洞库、事件库、文档库、字典库等。

权限管理

系统采用基于角色的权限管理机制,所有的用户的权限都通过角色来赋予。系统提供三权分立的设计,内置系统管理员、用户管理员和审计管理员

系统管理

系统具有丰富的自身配置管理功能,包括自身安全配置、系统运行参数配置等。系统具有自身运行监控与告警、系统日志记录等功能。


产品规格


3.png


用户价值

借助泰合安全运营中心系统,客户可以将日常安全管理工作变无序为有序、化复杂为简单,全面提升网络安全管理能力:
—— 从单点防御提升为协同防御 ;
—— 从模糊管理提升为量化管理 ;
—— 从单一分析提升为多维分析。

服务热线

400-624-3900

客服电话:400-624-3900

周一至周五 9:00-17:30