2) 风险管理:由风险分析模块与风险控制模块共同构成。其中风险分析模块采用基于ISO27001标准的风险模型,结合安全服务的最佳实践,可以提供面向企业的、实时的风险现状的整体评估。安全管理平台即可以根据多项指标计算出资产所面临风险数值,并根据指标的变化实时计算得出资产当前的风险状况。也可以通过仪表盘的形式显示资产或安全域的风险信息,包含风险走势、风险平均值、以及当前风险值等。另外,还可以显示当前威胁和相关的漏洞信息。还可以自动地对超过既定阀值的风险进行响应,提醒管理员关注此资产的安全风险,以采取必要的安全防护手段。当用户采取了有效的安全防护手段以后,该资产风险分析参数中的安全威胁可能会降低,安全措施参数可能会升高,从而会降低该资产的风险数值到一个较低的级别。
实时动态监控与分析
1) 事件监控:监控各个网络设备、主机系统以及安全产品等的日志信息、安全事件报警信息,及时发现正在和已经发生的安全事件,快速发现这些事件中的内在关联,快速定位事件产生的真实原因,并通过响应模块采取措施,保证网络和业务系统的安全、可靠运行。
2) 网络管理:提供对构成信息系统的设备、主机、应用、安全等资产的综合管理与监控,系统支持全面的拓扑管理,包括自动的拓扑发现,设备状态监控,设备维护,集成的风险与事件展现等。
3) 关联分析:使用攻击状态机模型来抽象和描述攻击行为,建立多种攻击关联场景,能有效地从大量安全事件中准确识别出真实的入侵行为。从而实现报警信息的精炼化、提高报警信息的可用信息量,减少报警信息中的无用信息,降低安全设备的虚警和误警。
快速、精准响应与运维管理1) 预警管理:管理并实时呈现安全管理中心所提供的各类安全威胁、安全风险、安全态势、安全隐患等信息,督促和指导各级安全管理部门及时做好安全防范工作,特别是针对当前发生频率较高的攻击做好预警和防范工作。
2) 安全响应管理:提供对响应流程和响应方式的管理。在专家系统和知识库的支持基础上,针对各类用户所关心的安全问题进行响应。提供应急响应流程和相关知识信息。
3) 工单管理:基于状态的工单可以实现标识当前工单的处理状态,用户对工单的处理操作会使工单能够自动实现工单状态的变迁。对于需要简化流程的用户可以直接跳过一些工单状态,实现工单处理流程的剪裁。
4) 工作流管理:用于定义、实现和管理工作流运行,它和工作流执行者(人、应用)交互,推进工作流实例的执行,并监控工作流的运行状态。
策略的验证与调整1) 安全策略管理:通过安全运维管理平台的建设可以进一步完善整个网络的安全策略体系建设,为全网安全管理人员提供统一的安全策略,为各项安全工作的开展提供指导,有效解决因缺乏口令、认证、访问控制等方面策略而带来的安全风险问题。
2) 知识管理:将处理的安全事件方法和方案,标准漏洞信息和标准事件信息收集起来,形成安全共享知识库。安全知识库信息的发布,不仅可以充分共享各种安全信息资源,而且也会成为各级网络安全管理机构和技术人员之间进行安全知识和经验交流平台,有助于提高人员的安全技术水平和能力。
3) 辅助决策:对于大部分用户在处理威胁发生时,缺乏足够的知识积累,因此可以造成错误的安全响应。而辅助决策系统恰恰利用安全专家知识库为用户提供针对具体威胁的辅助决策建议和安全响应脚本。
三、 建设效果通过安全运维管理平台的统一的安全策略管理,协助烟草用户制定各种级别、针对不同对象(人员、设备、应用)的安全策略,实现烟草用户安全策略的快速导入以及安全策略的集中分级管理。同时支持安全策略的资料导出、安全策略的资料统计、安全策略的定时发布、安全策略评估等功能,实现用户信息系统的所有安全策略的全程、统一的管理 ,最终完善用户以安全策略为核心,管理体系、技术体系和运维体系共同支撑的信息安全保障体系,实现了烟草用户以下的安全建设目标:1) 天融信安全运维管理平台实时的、动态的提高烟草行业用户安全技术保障能力,解决目前面临的主要网络安全问题;2) 天融信安全运维管理平台高效的、系统的完善烟草行业用户技术措施来保障安全管理的有效执行,加强技术与管理的结合;3) 天融信安全运维管理平台循序渐进的促进烟草行业用户统一安全策略,实现对网络、安全等设备集中监管,加强网络监控,全面显示安全情况,提高网络安全综合防护能力。
