泰合信息安全运营中心系统基于开放式的软件平台设计架构,由多个功能模块组成,用户可以自由选择搭配,后续还能够无缝升级。
系统的主要功能包括:
面向业务的统一安全管理
系统内置业务建模工具,用户可以构建业务拓扑,反映业务支撑系统的资产构成,并自动构建业务健康指标体系,从业务的性能与可用性、业务的脆弱性和业务的威胁三个维度计算业务的健康度,协助用户从业务的角度去分析业务可用性、业务安全事件和业务告警。
全面的日志采集
可以通过多种方式来收集设备和业务系统的日志,例如Syslog、SNMP Trap、FTP、OPSEC LEA、NETBIOS、ODBC、WMI、Shell脚本、Web Service等等。
智能化安全事件关联分析
借助先进的智能事件关联分析引擎,系统能够实时不间断地对所有范式化后的日志流进行安全事件关联分析。系统为分析师提供了三种事件关联分析技术,分别是:
基于规则的关联分析、基于情境的关联分析和基于行为的关联分析,并提供了丰富的可视化安全事件分析视图,充分提升分析效率。
全面的脆弱性管理
系统实现与天镜漏扫系统的实时高效联动,内置配置核查功能,从技术和管理两个维度进行全面的资产和业务脆弱性管控。
主动化的预警管理
用户可以通过预警管理功能发布内部及外部的早期预警信息,并与网络中的IP资产进行关联,分析出可能受影响的资产,提前让用户了解业务系统可能遭受的攻击
和潜在的安全隐患。系统支持内部预警和外部预警;预警类型包括安全通告、攻击预警、漏洞预警和病毒预警等;预警信息包括预备预警、正式预警和归档预警三个
状态。
基于风险矩阵的量化安全风险评估
系统参照GB/T 20984-2007信息安全风险评估规范、ISO 27005:2008信息安全风险管理,以及OWASP威胁建模项目中风险计算模型的要求,设计了一套实用化的风险计算模型,实现了量化的安全风险估算和评估。
指标化宏观态势感知
系统是国内首个具备态势宏观分析能力的安全管理平台。针对系统收集到的海量安全事件,系统借助地址熵分析、热点分析、威胁态势分析、KPI分析等数据挖掘技术,帮助管理员从宏观层面把握整体安全态势,对重大威胁进行识别、定位、预测和跟踪。
多样的安全响应管理
系统具备完善的响应管理功能,能够根据用户设定的各种触发条件,通过多种方式(例如邮件、短信、声音、SNMP Trap等)通知用户,并触发响应处理流程,直至跟踪到问题处理完毕,从而实现安全事件的闭环管理。
丰富灵活的报表报告
系出具报表报告是安全管理平台的重要用途,系统内置了丰富的报表模板,包括统计报表、明细报表、综合审计报告,审计人员可以根据需要生成不同的报表。系统
内置报表生成调度器,可以定时自动生成日报、周报、月报、季报、年报,并支持以邮件等方式自动投递,支持以PDF、Excel、Word等格式导出,支持
打印。
系统还内置了一套报表编辑器,用户可以自行设计报表,包括报表的页面版式、统计内容、显示风格等。
流量管理
除了采集各类安全事件,系统还能够采集形如NetFlow的流量日志。针对采集来的NetFlow流量日志的分析,系统能够建立网络流量模型,通过泰合特有的基于流量基线的分析算法,发现网络异常行为。
知识管理
系统具有国内最完善的安全管理知识库系统,内容涵盖安全事件库、安全策略库、安全公告库、预警信息库、漏洞库、关联规则库、处理预案库、案例库、报表库等,并提供定期或者不定期的知识库升级服务。
用户管理
系统采用三权分立的管理体制,默认设置了用户管理系统管理员、安全运营中心管理员、审计管理员分别管理。系统用户管理采用基于角色的访问控制策略,即依据对系统中角色行为来限制对资源的访问。
自身系统管理
实现了系统自身安全及维护管理。主要包括组织管理、系统数据库及功能组件运行状态监控、日志维护及其他一些与系统本身相关的运行维护的管理和配置功能。
一体化的安全管控界面
系统提供了强大的一体化安全管控功能界面,为不同层级的用户提供了多视角、多层次的管理视图。