一、部署作用:
为帮助用户从监控、审计、风险和运维四个维度建立起来的一套可度量的统一业务支撑平台,使得各种用户能够对业务信息系统进行可用性与性能的监控、配置与事件的分析审计预警、风险与态势的度量与评估、安全运维流程的标准化、例行化和常态化,最终实现业务信息系统的持续安全运营。
按照某单位信息安全建设整体安全规划,审计要遵循全网统一的安全规范进行建设,因此,某单位内网的安全运维管理平台(soc)部署在安全管理区
2.全面的日志采集
可以通过多种方式来收集设备和业务系统的日志,例如Syslog、SNMP Trap、FTP、OPSEC LEA、NETBIOS、ODBC、WMI、Shell脚本、Web Service等等。
3.智能化安全事件关联分析
借助先进的智能事件关联分析引擎,系统能够实时不间断地对所有范式化后的日志流进行安全事件关联分析。系统为安全分析师提供了三种事件关联分析技术,分别是:基于规则的关联分析、基于情境的关联分析和基于行为的关联分析,并提供了丰富的可视化安全事件分析视图,充分提升分析效率,结合威胁情报,更好的帮助安全分析师发现安全问题。
4.全面的脆弱性管理
系统实现与天镜漏扫、网御漏扫和绿盟漏扫系统的实时高效联动,内置安全配置核查功能,从技术和管理两个维度进行全面的资产和业务脆弱性管控。
5.主动化的预警管理
用户可以通过预警管理功能发布内部及外部的早期预警信息,并与网络中的IP资产进行关联,分析出可能受影响的资产,提前让用户了解业务系统可能遭受的攻击和潜在的安全隐患。系统支持内部预警和外部预警;预警类型包括安全通告、攻击预警、漏洞预警和病毒预警等;预警信息包括预备预警、正式预警和归档预警三个状态。
6.主动化的网络威胁情报利用
系统提供主动化的威胁情报采集,通过采集实时威胁情报,结合规则关联和观察列表等分析方式,使安全管理人员及时发现来自已发现的外部攻击源的威胁。
7.基于风险矩阵的量化安全风险评估
系统参照GB/T 20984-2007信息安全风险评估规范、ISO 27005:2008信息安全风险管理,以及OWASP威胁建模项目中风险计算模型的要求,设计了一套实用化的风险计算模型,实现了量化的安全风险估算和评估。
8.指标化宏观态势感知
针对系统收集到的海量安全事件,系统借助地址熵分析、热点分析、威胁态势分析、KPI分析等数据挖掘技术,帮助管理员从宏观层面把握整体安全态势,对重大威胁进行识别、定位、预测和跟踪。
9.多样的安全响应管理
系统具备完善的响应管理功能,能够根据用户设定的各种触发条件,通过多种方式(例如邮件、短信、声音、SNMP Trap、即时消息、工单等)通知用户,并触发响应处理流程,直至跟踪到问题处理完毕,从而实现安全事件的闭环管理。
10.丰富灵活的报表报告
出具报表报告是安全管理平台的重要用途,系统内置了丰富的报表模板,包括统计报表、明细报表、综合审计报告,审计人员可以根据需要生成不同的报表。系统内置报表生成调度器,可以定时自动生成日报、周报、月报、季报、年报,并支持以邮件等方式自动投递,支持以PDF、Excel、Word等格式导出,支持打印。
系统还内置了一套报表编辑器,用户可以自行设计报表,包括报表的页面版式、统计内容、显示风格等。
11.流安全分析
除了采集各类安全事件,系统还能够采集形如NetFlow的流量数据并进行可视化展示。针对采集来的NetFlow流量数据的分析,系统能够建立网络流量模型,通过泰合特有的基于流量基线的分析算法,发现网络异常行为。
12.知识管理
系统具有国内完善的安全管理知识库系统,内容涵盖安全事件库、安全策略库、安全公告库、预警信息库、漏洞库、关联规则库、处理预案库、案例库、报表库等,并提供定期或者不定期的知识库升级服务。
13.用户管理
系统采用三权分立的管理体制,默认设置了用户管理员、系统管理员、审计管理员分别管理。系统用户管理采用基于角色的访问控制策略,即依据对系统中角色行为来限制对资源的访问。
14.自身系统管理
实现了系统自身安全及维护管理。主要包括组织管理、系统数据库及功能组件运行状态监控、日志维护及其他一些与系统本身相关的运行维护的管理和配置功能。
15.一体化的安全管控界面
系统提供了强大的一体化安全管控功能界面,为不同层级的用户提供了多视角、多层次的管理视图。
