04.天融信TSM3.0产品介绍.ppt

1、首页,天融信 SOC安全运营中心介绍,高级安全顾问：陶越,题纲,SOC背景及基础 TSM安全运营中心 TSM系统特点,SOC相关名词术语,SOC（Security Operatings Center）安全运营中心/安全管理平台 SIM（Security Information Management）安全信息管理 SEM（Security Events Management）安全事件管理 SIEM（Security Information and Events Management）安全信息与事件管理 LM（Log Management）日志管理 SMC（Security Management

2、Center）安全管理中心 MSS （Managed Security Service ）可管理的安全服务/安全托管服务 MSSP（Managed Security Service Provider） 安全托管服务提供商 MNS（Managed Network Service）可管理的网络服务/网络托管服务 NOC（Network Operatings Center）网络运营中心,SOC,命名来源于NOC，概念来源于MSS 国际一般指SOC是一个中心，有固定的场所，有一个技术支撑平台、有大屏幕系统、有组织人员、有一套运营的流 程，为第三方提供安全管理服务。 国际通行的SOC理念是服务和产品围绕

3、MSS运营展开的，是支撑MSS的技术基础，鲜见以SOC命名的产品 国内一般指SOC是一个技术平台，是一个传统概念上的成熟安全产品，而不考虑运维，将产品与运营之间的关系裁剪掉了,MSS and MSSP,为了节省客户的相关安全投入，即客户将安全外包给MSSP，以小于原投入的资金获得更加专业的业务安全。 概念来源于MNS，是相对网络托管服务提出的安全管理服务,全球12大MSSP： AT&T BT IBM Integralis（专注于欧洲市场） MegaPath Perimeter Savvis SecureWorks Solutionary Symantec Verizon VeriSign （M

4、SS业务快要卖光了）,Gartner（高德纳）公司将MSS定义为以下几类：防火墙或IPS的监视与托管 IDS的监视与托管 DDOS防护 邮件反病毒/反垃圾托管服务 防病毒网管托管服务 安全信息管理 安全事件管理 网络、服务器或应用的弱点扫描托管 安全弱点或威胁通知服务 日志分析托管 监视/托管设备报告与故障响应报告,MSS服务方式,SOC、MSS、MSSP及User间关系,MSSP,MSS,SOC,User,ISP,应用商,安全厂商,专业服务商,咨询商,入侵监测,远程监控,漏洞评估,事件管理,合规检测,运维报告,漏扫系统,大屏监控,事件工具,日志工具,病毒系统,运维人员,Firewall,ID

5、S,IPS,Audit,AV,支撑,解决方案,建设,提供服务产品,利用,管理系统及服务,SOC产生的背景,伴随MSS的发展而产生的 由ISS（IBM收购）在1998年提出MSS概念 19992001年ISS先后在全球建立了多个SOC中心 1998年CheckPoint推出了CheckPoint Provide-1防火墙/VPN集中管理平台，提供给MSSP实现多台防火墙的管理 2000年Counterpane（BT收购）推出MSS服务，在全美范围内构建安全监控中心，以此实现MSS服务 2001年WatchGuard推出防火墙/VPN状态监测和日志分析报表系统 2001年Symantec改造了圣安

6、东尼奥的SOC中心，超过140名安全专家提供24*7*365的安全管理服务,并且陆续在全球建有5个SOC中心 2000年ArcSight开发了SIEMS系统，2004年发布了ESM3.0，Gartner从2005年至2007年的SIEM Magic Quadrant评测分析中，ArcSight ESM也是连续3年保持在领导者位置 SOC定位于MSS服务的提供，或开展MSS服务的ISP也是其目标客户 面向普通客户的主要是SIEM系统,SOC产生背景（续）,2001年安氏利用ISS的知识将MSS的概念引入中国，并与世纪互联签订了中国第一份MSS合作协议 与此同时SOC的概念登陆中国，国情不同SOC

7、概念逐渐逐渐被源SOC概念中的工具替代 2004年安氏推出了安全运营中心解决方案 同年启明推出了泰合安全运营中心系统 同年天融信推出企业安全平台（Enterprise Security Platform）2.0系统，2006年推出TSM3.0 近几年以SOC命名技术平台的用法逐渐被安全管理平台命名方式替代,全球SIEMS主流厂商,领导,研究者,参与者,挑战者,SIEMS功能定义：标准化 整合化 关联化 分析化,SOC市场划分（国际）,IT,SIEM,MSS,SOC,服务工具,用户IT系统,提供安全托管服务,建立安全运营中心,MSSP,MSSP为提供MSS，需要构建服务型的SOC,SOC市场划分

8、（中国特色）,IT,安全管理平台 SIM or SEM and SMC,SOC,帮助用户部署服务工具 （集成平台运维服务）,用户IT系统,提供产品解决方案,有些政府、企业或组织因为数据的私有与机密性等问题，需要自行进行集中的安全管理，需要构建自用型的SOC,安全厂商,未来几年MSS可能会成为国内安全市场的热点。,SOC技术,SOC是MSS实现的基础，它的构建包括：人员（安全专家）、工具、流程、地点及物理设施（网络、监视屏）等。它提供安全的集中运营，包括安全研究 、安全评估、安全策略制定、安全集中监视、安全响应、安全设备配置等。 国际SOC中采用的技术是由其MSS业务决定的，没有完整的SOC产品

9、，根据业务细分产品 国内目前SOC采用的技术业界公认为“安全管理平台”。它由国内安全市场的现状决定，是一个庞大的系统。 它的功能覆盖了很多细分产品的功能如：SIEM、设备管理、漏洞管理、合规性及风险管理等。并且有趋势，变得更加庞大，会整合进更多的安全功能进行集中的安全管理。,国内安全管理平台功能定义,定位 以资产为核心、以事件管理为关键流程、以风险控制为目标的面向安全的综合一体化管理平台系统 基本功能 资产管理：资产录入、查询、修改、属性管理、统计等 事件管理：事件采集、过滤、归并、关联分析、事件监控、查询、统计等 脆弱性管理：弱点采集、资产关联、漏洞查询、脆弱性统计等 风险管理：风险识别、风

10、险计算、风险展示、风险监控、风险预警、风险统计等 安全知识库管理：知识库管理、安全论坛、辅助决策 运维管理：工作流管理、工单管理、运营管理、运维统计等 延伸功能 设备管理：性能管理、配置管理、策略管理等 网络管理：拓扑管理、流量管理、故障管理等 应用管理：应用监控、应用统计、合规审计等 终端管理：网络准入、行为管理等 ITIL运维：建设呼叫服务台，提供统一的监控运维管理职能,国内安管平台现状,近年SOC建设难言成功 报出的事件以误报居多，发现的风险难以理解 自动图表报表反映的是被误报严重扭曲过的统计结果 全流程的运维管理流程难以符合实际需要 虽然建立了SOC系统，但并未建立SOC中心 很多业内

11、人士也把SOC比喻成“垃圾电影” 但没人怀疑建设SOC的必要性 首要原因是产品没有正确定位、建设没有循序渐进,未来SOC之路,安全事件管理是SOC的重中之重 网络管理与安全管理融合是国内用户的切实需求 主动防御是日常安全管理的核心 面向业务是未来SOC走出阴影的唯一出路 客户化定制适应不同行业的管理需求 平台建设是基础，运营才是SOC的本质,题纲,SOC背景及基础 TSM安全运营中心 TSM系统特点,平台服务(问题处理) (运维服务/平台工具),策略与平台实施 (工程实施服务/平台工具),安全咨询 (风险管理/服务工具),(1) 资产,(2) 评估,(5) TA/基于 策略的事 件管理,(3)

12、 策略/基线,(4)TP/ 策略执行,(6)安 全业务服 务流程管理 (SBSM),(7) 安全工作 评估与考 评KPI,持续改进,拓扑监控 流量监控 设备监控 。,风险管理 脆弱性管理 事件管理 响应管理 关联分析 辅助决策 安全报表,访问控制策略 入侵检测策略 病毒过滤策略 安全审计策略 VPN通道策略,资产管理 网络准入 非法外联 行为监管 。,网络监控管理 TopNoc,安全信息管理 TopAnalyzer,策略统一管理 TopPolicy,内网合规性 TopDesk,TSM统一管理、监控、调度服务台,天融信TSM一体化安全运维解决方案,天融信TSM安全运营中心,TSM是安全信息和事件

13、管理平台，设计用于提高机构安全运维部门、安全管理的效力、效率和可视性。 自动汇聚并关联事件、日志和安全漏洞 为多厂商环境提供广泛的设备支持，包括安全性、网络、主机和应用以资产为中心的事故识别 自动满足行业规范和规章制度的要求 基于政策方针和规章制度的行为监控与报告最大限度地优化安全资源利用率 从数据收集和关联直到行为和报告，实现安全管理的全程自动化的 过程。,按计划进行日常安全保障,检查和审计安全工作和目标实现,确保安全工作持续改进,安全目标,安全控制要求,安全审计和检查,绩效考核 调整安全目标,日常安全维护,事件告警,风险确定,事件处理和解决,报告审计,安全监控,自上而下-目标管理,自下而上

14、-异常处理,安全管理流程的实现,TSM-Analyzer平台层次结构,TSM的逻辑架构,1、TopAnalyzer基于J2EE架构开发，具有极强的开放性、跨平台与可移植性； 2、数据库采用Oracle9i/10g企业版、sqlserver2005、DB2等。 3、支持Window、Linux、AIX等系统的部署,代理层,服务器,展示层,面向消息中间件技术,所有的事件在采集后对于所有模块都是透明的，即可以实现事件分析的同时入库。把原来审计系统的事后审计转变为实时的分析。,综合监控,监视仪表盘能做什么？全局动态展现网络中安全事件； 监视仪表盘的特点？安全运维的窗口；,资产管理,分析和评估资产的风险

15、和价值，并通过对关键资产的实时监控，以及对资产所产生的事件进行风险分析和处理,从而维护企业中各种资产的安全性 ； 资产分类包括: 资产类型 资产物理位置 资产用户管理 资产分组管理,风险管理,安全事件处理流程,Raw Data,Information,Key Information,Action,Expert,Manager 1,Manager 2,Advisor,Knowledge,Console,呼叫中心,安全管理员,归一化 过滤 归并,100万 Events,1 万 Events,1百 Events,事件整合流程,Raw Events,Denial of Service,Worm,ant

16、ivirus,Normal/Benign,Normalization and filtering,Correlate and analyze,Threat,Events sources,Event category,表示一个事件,过滤 冗余处理 归纳分类 绑定环境,杂乱的事件,长短一致,颜色分类,攻击场景匹配,9/10/01 5：05：29 PM，10.10.10.1 %PIX-6-106015：Deny TCP（no connection）from 20.97.173.18/2182 to 10.10.10.10/63228 flags SYN RST PSH ACK on interfac

17、e outside,2001-08-20 16:12:56|doldrgn1|dragonserver|10.10.10.240|11711|10.10.10.241|1031|-AP-|6| Tcp,sp=11711,dp=1031,flags=-AP-|,PIX Firewall standard syslog format,IDS Data Items separated by pipes,EVENTS Table,Normalization,Business Relevance,9/10/01 5：05：29 PM,2001-08-20 16:12:56,20.97.173.18,21

18、82,10.10.10.10,63228,10.10.10.240,11711,10.10.10.241,1031,安全事件管理事件标准化,系统支持二级过滤功能，大量的噪音数据可以在Agent端直接丢弃，在管理服务器端还可以进行进一步的过滤以减少数据库的压力。 所有事件过滤功能都使用SQL 92标准组合任意过滤条件，可以使用户灵活的控制事件过滤条件。,安全事件管理事件过滤,基于状态机的关联分析,S0,S1,S2,E0入侵检测事件,E1FW事件,E2DB事件,E3web事件,E5超时,E4FW2事件,关联分析引擎实现对来自不同应用、设备、系统等产生的不同类型的事件的实时关联,通过使用状态机来抽象

19、和描述攻击的过程与场景，状态机间的状态转换的条件由不同安全事件触发,实时关联来自不同设备的安全事件，可以大大的降低IDS的误报率，发现引发安全事件的真正原因和隐藏的威胁。,系统不可用,Firewall? HOST? DB? Web Server ?,TSM 关联分析,主机应用异常导致服务问题,S0:正常 E0:应用系统异常事件（From Application Host） E1:防火墙异常事件 E2:数据库系统异常事件 S1:系统部分异常 E3:WEB服务异常事件 S2:WEB SERVER出现异常 E4:状态超时 由于XX（E0,E1,E2,E3）原因导致的服务异常,关联分析可加速问题定位、

20、提高系统可用性,基于规则的关联分析： 将可疑的安全活动场景（暗示某潜在安全攻击行为的一系列安全事件序列）加以预先定义。系统能够使用定义好的关联性规则表达式，对收集到的安全事件进行检查，确定该事件是否和特定的规则匹配。 基于统计的关联分析： 定义一些大的安全事件类别，对每个类别的事件设定一个合理的阀值，将出现的事件先归类，然后进行缓存和计数，当在某一段时间内，计数达到该阀值，可以产生一个级别更高的安全事件。 基于资产的关联分析： 安全事件能与相关资产的敏感性以及相关资产上的漏洞进行关联，从而判断某个安全事件是否能造成不良影响以及造成不良影响的严重程度。 基于广义漏洞的关联分析： 安全事件能同网段

21、的相应漏洞进行关联，判断可能造成的不良影响。,支持的关联分析类型,【场景描述】 （1）某个攻击者对某台主机进行端口扫描(事件来自于安全设备) （2）攻击者发现该主机的3389端口（微软远程桌面服务）已打开，并通过口令字猜测获得了该的主机口令（系统事件）； （3）攻击者登陆上该台主机，将其重要文件传送出去（系统事件）,Page 34,端口扫描,Port 3389 is Open,场景规则,预置场景列表（12大类120个场景560条规则）,漏洞扫描工具,网络设备：,应用系统：,操作系统：,网络,TXT/XML等格式,与漏洞扫描系统的整合,支持的响应方式主要有: 命令行告警 辅助决策联动命令 陷阱导

22、入 交换机端口启用、禁用操作 防火墙阻断 发送邮件 铃声告警 SNMP Trap方式告警 TopDesk补丁升级 TopDesk防火墙阻断 TopPolicy防火墙阻断 声光报警 声音报警 WinPop告警 工单处理 短消息,事件响应管理,用户选择需要辅助决策处理的事件，系统将会自动为其匹配决策，并由用户决定是否执行决策中的响应脚本。,基于专家处理的辅助决策,文件解析引擎提供数据格式的解析 安全设备：防火墙、入侵检测系统、VPN、防病毒软件、漏洞扫描器、安全审计系统等 网络设备：交换机、路由器等 操作系统：Windows NT/2000/XP/2003操作系统、主流Linux系统、主流Unix

23、系统等 应用系统：Web（apache、iis）、Ftp（iis）、Mail（exchange）、DBMS（Oracle、SQL Server、DB2、Informix、Sybase）等 其他任何支持标准SYSLOG、WELF、SNMP（v2、v3）等日志格式的设备和系统 通过flexer标记语言可快速提供对未知设备日志格式的支持，不需要修改程序代码总结：目前TSM可以收集业内110种日志格式，对于不能够支持的设备，可以在5个工作日内定制开发完成。,数据文件解析引擎,访问和身份管理 IBM Tivoli Access Manager IBM Tivoli Identity Manager Mi

24、crosoft Active Directory CA eTrust Access CA eTrust Secure Proxy Server CA eTrust Siteminder (Netegrity) RSA SecureID RADIUS Oracle Identity Management (Oblix) Sun Java System Directory Server Cisco ACS 路由器/交换机 思科路由器交换设备 华为路由器交换设备 中兴路由器交换设备 Cisco Catalyst 交换机 Foundry 交换机 Juniper JunOS Nortel 以太网路由交换

25、机 8300, 8600, 400 系列,操作系统日志、日志记录平台 Solaris (Sun) * AIX (IBM) OS/400 (I Series) RedHat Linux SuSE Linux HP/UX Microsoft Windows Event Log (W2K3 DHCP, W2K DHCP, IIS) Microsoft SNMP Trap Sender Nokia IPSO Novell NetWare OpenBSD Tandem Non-Stop OS (HP) Tru64 Tripplight UPS Monitorware SYSLOG KiwiSyslog

26、zOS-Mainframe IDS防病毒 CipherTrust IronMail McAfee Virus Scan Norton AntiVirus (Symantec) McAfee ePO Trend Micro InterScan,网络入侵检测/防护 天融信 启明星辰 金诺网安 McAfee Intrushield Sourcefire Network Sensor Sourcefire RNA Juniper IDP ISS RealSecure Network Sensor ISS Proventia G ISS Proventia M ISS BlackICE Sentry C

27、isco Secure IDS SNORT IDS 应用 Apache Microsoft IIS IBM WebSphere Oracle Database Server Lotus Domino SAP R3应用安全性 Blue Coat Proxy Nortel ITM (智能流量管理) Teros APS Sentryware Hive IBM DataPower(即将面市),防火墙天融信 联想网御 网御神州 Check Point Firewall-1 Cisco PIX Fortinet FortiGate Juniper (Netscreen) Linux IP Tables M

28、icrosoft ISA Server Nortel Switched Firewall Stonesofts StoneGate Secure Computings Sidewinder Symantecs Enterprise Firewall安全漏洞评估 绿盟 启明星辰 榕基 Nessus ISS Internet Scanner Foundstone,支持超过 110 多个事件的日志格式,系统能够通过直观、友好的网络管理界面，可以实现对网络中的设备、主机、应用系统等方面的综合管理与监控。 主要包括网络设备自动发现、拓扑管理、视图管理、性能管理、资产管理等功能。,网络管理,网络管理可以对

29、扫描到的所有网络设备进行管理，包括IP地址、端口、链路、VLAN 、数据统计等。,网络管理资源监控,性能管理主要包括门限阀值设置、链路检测设置、告警管理等。,网络管理性能监控,内网合规性管理,终端安全管理,IT资产管理,集中策略管理,终端行为监管,终端远程监控,网络准入,非法内联监控,补丁管理,软件分发,TopAnalyzer系统是一个多用户系统，允许多个用户同时登录、查看或者处理用户本身权限范围内可浏览到的信息。 用户管理将实现如何配置角色和用户，以及如何实现对资源的授权管理。,多种角色的支持,TopAnalyzer系统采用J2EE的体系架构设计，可以提供基于B/S架构的管理界面，无须用户安

30、装客户端软件。 TopAnalyzer系统的门户管理系统可以提供基于Https协议的Web交互管理。 TopAnalyzer系统各功能模块间的通信均可采用SSL加密方式进行数据传输。 提供对系统运行各组件的各种状态信息的监控。包括：功能模块、数据库、Agent、系统负荷、系统组件等状态的监控。 系统提供配置信息、原始日志、分析数据、报表、分析报告等的手动和自动备份和恢复功能。,平台安全性设计,外部接口,题纲,SOC背景及基础 TSM安全运营中心 TSM系统特点,核心目标：以业务为导向的安全态势总览和安全事件响应,特点1,特点2,一体化综合运维管理,Syslog Snmp SchedulorCo

31、llector TXT FileCollector WMI XML JDBC/ODBC,丰富的信息采集方式,天融信规则库,国家测评中心,天融信,国家级的发现能力,特点4,特点3,系统性能强,特点6,多视角管理与展示,处理能力：5000条/秒 入库能力：1000条/秒,监控人员,安全技术人员,领导,特点5,依角色定制展示信息,外包服务商,平台系统的门户管理系统可以提供基于Https协议的Web交互管理。 平台系统各功能模块间的通信均可采用SSL加密方式进行数据传输。 提供对系统运行各组件的各种状态信息的监控。包括：功能模块、数据库、Agent、系统负荷、系统组件等状态的监控。 系统提供配置信息、原始日志、分析数据、报表、分析报告等的手动和自动备份和恢复功能。,多重安全机制，保障平台安全运行,特点7,最佳安全实践,运维保障服务,一体化运维管理平台,完整的解决方案,特点8,持续服务保障能力,平台项目需要较强的持续开发及运维保障能力 需要企业有持续的服务能力天融信具备这种能力！,特点9,谢谢！,谢谢！,