隨著網(wǎng)絡(luò)安全實(shí)戰(zhàn)化水平的不斷提升,運(yùn)維人員的專業(yè)化程度、安全產(chǎn)品的可讀性��、易用性以及海量告警事件之間所面臨的矛盾越發(fā)凸顯���。人員與技術(shù)的結(jié)合能力�,不同產(chǎn)品間的協(xié)同聯(lián)動(dòng)能力��,已經(jīng)成為考驗(yàn)安全建設(shè)實(shí)際效果的滑動(dòng)標(biāo)尺��。在不斷提升防護(hù)系統(tǒng)自身安全性的基礎(chǔ)上���,只有將網(wǎng)絡(luò)資產(chǎn)�����、安全產(chǎn)品���、安全規(guī)范和管理操作結(jié)合起來,進(jìn)行集中的管理�、審計(jì)、關(guān)聯(lián)和處置����,才能使安全規(guī)范和安全情報(bào)發(fā)揮真正的作用�,實(shí)現(xiàn)安全防御由被動(dòng)到主動(dòng)的轉(zhuǎn)變�����。
相關(guān)的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)也在不斷的改進(jìn)�,在等保2.0中明確提出了安全管理中心的具體要求,強(qiáng)調(diào)了系統(tǒng)管理����、審計(jì)管理、安全管理和集中管控的細(xì)則����,除了對管理員的三權(quán)分立和操作安全進(jìn)一步明確之外,也著重細(xì)化了集中管控的要求��,包括:
● 應(yīng)劃分出特定的管理區(qū)域��,對分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管控���;
● 應(yīng)能夠建立一條安全的信息傳輸路徑��,對網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管理�����;
● 應(yīng)對網(wǎng)絡(luò)鏈路�、安全設(shè)備�、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況進(jìn)行集中監(jiān)測;
● 應(yīng)對分散在各個(gè)設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析��,并保證審計(jì)記錄的留存時(shí)間符合法律法規(guī)要求�����;
● 應(yīng)對安全策略�����、惡意代碼����、補(bǔ)丁升級等安全相關(guān)事項(xiàng)進(jìn)行集中管理;
● 應(yīng)能對網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識別�、報(bào)警和分析。
傳統(tǒng)的SOC產(chǎn)品能夠滿足部分安全產(chǎn)品集中監(jiān)控的需求��,但監(jiān)控的范圍受目標(biāo)對象和對接協(xié)議的限制���;專用的集中管理系統(tǒng)能對支持的安全產(chǎn)品進(jìn)行深度的統(tǒng)一運(yùn)維���,但只能兼容同品牌甚至同類型的安全產(chǎn)品����;而日志審計(jì)類產(chǎn)品關(guān)注的重點(diǎn)是能夠解析的安全事件��,對產(chǎn)品管理和狀態(tài)監(jiān)控層面的支持通常效果一般�。
這些產(chǎn)品和技術(shù)已經(jīng)能夠解決部分安全管理的需求,但還是無法完全覆蓋和直接滿足����,因此更多情況下需要整體的解決方案。盛邦安全輕量級態(tài)勢感知解決方案�����,可以基于安全管理中心的具體要求而進(jìn)行合理的設(shè)計(jì)和建設(shè)����。方案具備以下核心優(yōu)勢:
1、分布式管理
方案采用安全感知分析平臺作為管理中心��,對部署在各個(gè)網(wǎng)絡(luò)區(qū)域的威脅感知系統(tǒng)和資產(chǎn)感知系統(tǒng)進(jìn)行管控�����,實(shí)現(xiàn)資產(chǎn)事件和安全事件的集中管理,并針對垂直單位和多級網(wǎng)絡(luò)進(jìn)行分布式部署與管理�����;
2�、管理安全性
安全管理中心與各感知系統(tǒng)之間通過加密協(xié)議進(jìn)行通信��,保證了數(shù)據(jù)傳輸?shù)陌踩?�,防止過程中的數(shù)據(jù)丟失與泄密�,增強(qiáng)了管理的安全性;
3�、狀態(tài)集中監(jiān)控
安全管理中心可對網(wǎng)絡(luò)資產(chǎn)安全治理平臺、入侵檢測防御系統(tǒng)����、持續(xù)威脅檢測與溯源系統(tǒng)、Web應(yīng)用防護(hù)系統(tǒng)等感知系統(tǒng)進(jìn)行狀態(tài)集中監(jiān)控���,包括對系統(tǒng)運(yùn)行����、數(shù)據(jù)量等的集中監(jiān)控并及時(shí)發(fā)現(xiàn)異常狀態(tài)��;
4、日志集中審計(jì)
通過標(biāo)準(zhǔn)的syslog協(xié)議和APIs接口等方式�,安全管理中心可以對各感知系統(tǒng)的海量事件日志進(jìn)行集中存儲、分析和審計(jì)��,并基于安全模型進(jìn)行關(guān)聯(lián)分析����,同時(shí)對相關(guān)的歷史事件可實(shí)現(xiàn)追溯取證;
5��、策略集中管理
可兼容多種類型的檢測策略和事件規(guī)則�,并通過豐富的知識庫實(shí)現(xiàn)策略的集中管理,保證新增安全事件在24小時(shí)內(nèi)獲得檢測更新�����;
6���、事件通報(bào)處置
內(nèi)置完整的事件通報(bào)處置模塊�,可基于預(yù)設(shè)或自定義的流程模板進(jìn)行安全事件的預(yù)警�����、通報(bào)、處置和確認(rèn)等�����,實(shí)現(xiàn)處置閉環(huán)�;同時(shí),還可以根據(jù)用戶實(shí)際組織結(jié)構(gòu)建立豐富的賬號和控制權(quán)限���,合理指定每個(gè)流程的責(zé)任和監(jiān)督角色,滿足不同客戶的個(gè)性化管理需求�。
