首頁天融信SOC安全運營中心介紹高級安全顧問：陶越題綱SOC背景及基礎TSM安全運營中心TSM系統特點SOC相關名詞術語SOC（SecurityOperatingsCenter）安全運營中心/安全管理平臺SIM（SecurityInformationManagement）安全信息管理SEM（SecurityEventsManagement）安全事件管理SIEM（SecurityInformationandEventsManagement）安全信息與事件管理LM（LogManagement）日志管理SMC（SecurityManagementCenter）安全管理中心MSS（ManagedSecurityService）可管理的安全服務/安全托管服務MSSP（ManagedSecurityServiceProvider）安全托管服務提供商MNS（ManagedNetworkService）可管理的網絡服務/網絡托管服務NOC（NetworkOperatingsCenter）網絡運營中心SOC命名來源于NOC，概念來源于MSS國際一般指SOC是一個中心，有固定的場所，有一個技術支撐平臺、有大屏幕系統、有組織人員、有一套運營的流程，為第三方提供安全管理服務。國際通行的SOC理念是服務和產品圍繞MSS運營展開的，是支撐MSS的技術基礎，鮮見以SOC命名的產品國內一般指SOC是一個技術平臺，是一個傳統概念上的成熟安全產品，而不考慮運維，將產品與運營之間的關系裁剪掉了MSSandMSSP為了節省客戶的相關安全投入，即客戶將安全外包給MSSP，以小于原投入的資金獲得更加專業的業務安全。概念來源于MNS，是相對網絡托管服務提出的安全管理服務全球12大MSSP：AT&TBTIBMIntegralis（專注于歐洲市場）MegaPathPerimeterSavvisSecureWorksSolutionarySymantecVerizonVeriSign（MSS業務快要賣光了）Gartner（高德納）公司將MSS定義為以下幾類：

防火墻或IPS的監視與托管IDS的監視與托管

DDOS防護郵件反病毒/反垃圾托管服務防病毒網管托管服務

安全信息管理安全事件管理網絡、服務器或應用的弱點掃描托管

安全弱點或威脅通知服務日志分析托管監視/托管設備報告與故障響應報告MSS服務方式SOC、MSS、MSSP及User間關系MSSPMSSSOCUserISP應用商安全廠商專業服務商咨詢商入侵監測遠程監控漏洞評估事件管理合規檢測運維報告漏掃系統大屏監控事件工具日志工具病毒系統運維人員FirewallIDSIPSAuditAV支撐解決方案建設提供服務產品利用管理系統及服務SOC產生的背景伴隨MSS的發展而產生的由ISS（IBM收購）在1998年提出MSS概念1999~2001年ISS先后在全球建立了多個SOC中心1998年CheckPoint推出了CheckPointProvide-1防火墻/VPN集中管理平臺，提供給MSSP實現多臺防火墻的管理2000年Counterpane（BT收購）推出MSS服務，在全美范圍內構建安全監控中心，以此實現MSS服務2001年WatchGuard推出防火墻/VPN狀態監測和日志分析報表系統2001年Symantec改造了圣安東尼奧的SOC中心，超過140名安全專家提供24*7*365的安全管理服務,并且陸續在全球建有5個SOC中心2000年ArcSight開發了SIEMS系統，2004年發布了ESM3.0，Gartner從2005年至2007年的SIEMMagicQuadrant評測分析中，ArcSightESM也是連續3年保持在領導者位置SOC定位于MSS服務的提供，或開展MSS服務的ISP也是其目標客戶面向普通客戶的主要是SIEM系統SOC產生背景（續）2001年安氏利用ISS的知識將MSS的概念引入中國，并與世紀互聯簽訂了中國第一份MSS合作協議與此同時SOC的概念登陸中國，國情不同SOC概念逐漸逐漸被源SOC概念中的工具替代2004年安氏推出了安全運營中心解決方案同年啟明推出了泰合安全運營中心系統同年天融信推出企業安全平臺（EnterpriseSecurityPlatform）2.0系統，2006年推出TSM3.0近幾年以SOC命名技術平臺的用法逐漸被安全管理平臺命名方式替代全球SIEMS主流廠商領導研究者參與者挑戰者SIEMS功能定義：標準化整合化關聯化分析化SOC市場劃劃分（（國際際）ITSIEMMSSSOC服務工工具用戶IT系統提供安安全托托管服服務建立安安全運運營中中心MSSPMSSP為提供供MSS，需要要構建建服務務型的的SOCSOC市場劃劃分（（中國國特色色）IT安全管管理平平臺SIMorSEMandSMCSOC幫助助用用戶戶部部署署服服務務工工具具（集集成成平平臺臺運運維維服服務務））用戶戶IT系統統提供供產產品品解解決決方方案案有些些政政府府、、企企業業或或組組織織因因為為數數據據的的私私有有與與機機密密性性等等問問題題，，需需要要自自行行進進行行集集中中的的安安全全管管理理，，需需要要構構建建自自用用型型的的SOC安全全廠廠商商未來來幾幾年年MSS可能能會會成成為為國國內內安安全全市市場場的的熱熱點點。。SOC技術術SOC是MSS實現現的的基基礎礎，，它它的的構構建建包包括括：：人人員員（（安安全全專專家家））、、工工具具、、流流程程、、地地點點及及物物理理設設施施（（網網絡絡、、監監視視屏屏））等等。。它它提提供供安安全全的的集集中中運運營營，，包包括括安安全全研研究究、、安安全全評評估估、、安安全全策策略略制制定定、、安安全全集集中中監監視視、、安安全全響響應應、、安安全全設設備備配配置置等等。。國際際SOC中采采用用的的技技術術是是由由其其MSS業務務決決定定的的，，沒沒有有完完整整的的SOC產品品，，根根據據業業務務細細分分產產品品國內內目目前前SOC采用用的的技技術術業業界界公公認認為為““安安全全管管理理平平臺臺””。。它它由由國國內內安安全全市市場場的的現現狀狀決決定定，，是是一一個個龐龐大大的的系系統統。。它的的功功能能覆覆蓋蓋了了很很多多細細分分產產品品的的功功能能如如：：SIEM、設設備備管管理理、、漏漏洞洞管管理理、、合合規規性性及及風風險險管管理理等等。。并并且且有有趨趨勢勢，，變變得得更更加加龐龐大大，，會會整整合合進進更更多多的的安安全全功功能能進進行行集集中中的的安安全全管管理理。。國內內安安全全管管理理平平臺臺功功能能定定義義定位位以資資產產為為核核心心、、以以事事件件管管理理為為關關鍵鍵流流程程、、以以風風險險控控制制為為目目標標的的面面向向安安全全的的綜綜合合一一體體化化管管理理平平臺臺系系統統基本本功功能能資產產管管理理：：資資產產錄錄入入、、查查詢詢、、修修改改、、屬屬性性管管理理、、統統計計等等事件件管管理理：：事事件件采采集集、、過過濾濾、、歸歸并并、、關關聯聯分分析析、、事事件件監監控控、、查查詢詢、、統統計計等等脆弱弱性性管管理理：：弱弱點點采采集集、、資資產產關關聯聯、、漏漏洞洞查查詢詢、、脆脆弱弱性性統統計計等等風險險管管理理：：風風險險識識別別、、風風險險計計算算、、風風險險展展示示、、風風險險監監控控、、風風險險預預警警、、風風險險統統計計等等安全全知知識識庫庫管管理理：：知知識識庫庫管管理理、、安安全全論論壇壇、、輔輔助助決決策策運維維管管理理：：工工作作流流管管理理、、工工單單管管理理、、運運營營管管理理、、運運維維統統計計等等延伸伸功功能能設備備管管理理：：性性能能管管理理、、配配置置管管理理、、策策略略管管理理等等網絡絡管管理理：：拓拓撲撲管管理理、、流流量量管管理理、、故故障障管管理理等等應用用管管理理：：應應用用監監控控、、應應用用統統計計、、合合規規審審計計等等終端端管管理理：：網網絡絡準準入入、、行行為為管管理理等等ITIL運維：建設呼呼叫服務臺，，提供統一的的監控運維管管理職能國內安管平臺臺現狀近年SOC建設難言成功功報出的事件以以誤報居多，，發現的風險險難以理解自動圖表報表表反映的是被被誤報嚴重扭扭曲過的統計計結果全流程的運維維管理流程難難以符合實際際需要雖然建立了SOC系統，但并未未建立SOC中心很多業內人士士也把SOC比喻成“垃圾圾電影”但沒人懷疑建建設SOC的必要性首要原因是產產品沒有正確確定位、建設設沒有循序漸漸進未來SOC之路安全事件管理理是SOC的的重中之重網絡管理與安安全管理融合合是國內用戶戶的切實需求求主動防御是日日常安全管理理的核心面向業務是未未來SOC走走出陰影的唯唯一出路客戶化定制適適應不同行業業的管理需求求平臺建設是基基礎，運營才才是SOC的的本質題綱SOC背景及基礎TSM安全運營中心心TSM系統特點平臺服務(問題處理)(運維服務/平臺工具)策略與平臺實實施(工程實施服務務/平臺工具)安全咨詢(風險管理/服務工具)(1)資產(2)評估(5)TA/基于策略的事事件管理(3)策略/基線(4)TP/策略執行行(6)安全業務服服務流程管管理(SBSM)(7)安全工作作評估與考考評KPI持續改進進拓撲監控控流量監控控設備監控控。。。風險管理理脆弱性管管理事件管理理響應管理理關聯分析析輔助決策策安全報表表訪問控制制策略入侵檢測測策略病毒過濾濾策略安全審計計策略VPN通道策略略資產管理理網絡準入入非法外聯聯行為監管管。。。網絡監控控管理TopNoc安全信息息管理TopAnalyzer策略統一一管理TopPolicy內網合規規性TopDeskTSM統一管理理、監控控、調度度服務臺臺天融信TSM一體化安安全運維維解決方方案天融信TSM安全運營營中心TSM是安全信信息和事事件管理理平臺，，設計用用于提高高機構安安全運維維部門、、安全管管理的效效力、效效率和可可視性。。自動匯聚聚并關聯聯事件、日日志和安安全漏洞洞為多廠商商環境提提供廣泛泛的設備備支持，，包括安安全性、、網絡、、主機和和應用以資產為為中心的的事故識識別自動滿足行業業規范和和規章制制度的要求基于政策策方針和和規章制制度的行行為監控控與報告告最大限度度地優化化安全資資源利用用率從數據收收集和關關聯直到到行為和和報告，，實現安安全管理理的全程程自動化化的過程。確定安全目標和運作模式按計劃進進行日常常安全保保障檢查和審審計安全全工作和和目標實實現確保安全全工作持持續改進進安全目標標安全控制制要求安全審計計和檢查查績效考核核調整安全全目標日常安全全維護事件告警警風險確定定事件處理理和解決決報告審計計安全監控控自上而下下--目標管理理監控快速發現識別和發現問題自下而上上--異常處理理問題快速定位事件分析、告警事件快速處理解決安全風險知識有效積累提高風險處理能力安全管理理流程的的實現TSM-Analyzer平臺層次次結構TSM的邏輯架架構1、TopAnalyzer基于J2EE架構開發發，具有有極強的的開放性性、跨平平臺與可可移植性性；2、數據庫庫采用Oracle9i/10g企業版、、sqlserver2005、DB2等。3、支持Window、Linux、AIX等系系統統的的部部署署代理理層層服務務器器展示示層層面向向消消息息中中間間件件技技術術所有有的的事事件件在在采采集集后后對對于于所所有有模模塊塊都都是是透透明明的的，，即即可可以以實實現現事事件件分分析析的的同同時時入入庫庫。。把把原原來來審審計計系系統統的的事事后后審審計計轉轉變變為為實實時時的的分分析析。。綜合合監監控控監視視儀儀表表盤盤能能做做什什么么？？———全局局動動態態展展現現網網絡絡中中安安全全事事件件；；監視視儀儀表表盤盤的的特特點點？？———安全全運運維維的的窗窗口口；；資產產管管理理分析析和和評評估估資資產產的的風風險險和和價價值值，，并并通通過過對對關關鍵鍵資資產產的的實實時時監監控控，，以以及及對對資資產產所所產產生生的的事事件件進進行行風風險險分分析析和和處處理理,從而而維維護護企企業業中中各各種種資資產產的的安安全全性性；；資產產分分類類包包括括:資產產類類型型資產產物物理理位位置置資產產用用戶戶管管理理資產產分分組組管管理理風險險管管理理安全全事事件件處處理理流流程程EventDatabaseAgentVPNVirusHIDSNIDSFirewallDatabaseRouterSwitchServerKnowledgeDatabaseRawDataInformationKeyInformationActionExpertManager1Manager2AdvisorKnowledgeConsole呼叫中中心安全管管理員員歸一化化過濾歸并100萬Events1萬Events1百Events事件整整合流流程RawEventsDenialofServiceWormantivirusNormal/BenignNormalizationandfilteringCorrelateandanalyzeThreatEventssourcesEventcategory表示一個個事件過濾冗余處理理歸納分類類綁定環境境雜亂的事事件長短一致致顏色分類類攻擊場景景匹配9/10/015：05：29PM，%PIX-6-106015：DenyTCP（noconnection）from8/2182to0/63228flagsSYNRSTPSHACKoninterfaceoutside2001-08-2016:12:56|doldrgn1|dragonserver|40|11711|41|1031|AP|6|Tcp,sp=11711,dp=1031,flags=AP|ProductNameETSIPSPDIPDPLocationDeptservicesOSPIX_FWBeijingFinanceHTTPWIN2000IDSShanghaiMarketSMTPSOLARISPIXFirewall–standardsyslogformatIDS––DataItemsseparatedbypipesEVENTSTableNormalizationBusinessRelevance9/10/015：05：29PM2001-08-2016:12:56821820632284011711411031安全事件件管理——事件標準準化系統支持持二級過濾濾功能，大量的的噪音數數據可以以在Agent端直接丟丟棄，在在管理服服務器端端還可以以進行進進一步的的過濾以以減少數數據庫的的壓力。。所有事件過濾濾功能都使用SQL92標準組合合任意過過濾條件件，可以以使用戶戶靈活的的控制事事件過濾濾條件。。安全事件件管理——事件過濾濾基于狀態態機的關關聯分析析S0S1S2E0入侵檢測測事件E1FW事件E2DB事件E3web事件E5超時E4FW2事件關聯分析析引擎實實現對來來自不同同應用、、設備、、系統等等產生的的不同類類型的事事件的實實時關聯聯通過使用用狀態機機來抽象象和描述述攻擊的的過程與與場景，，狀態機機間的狀狀態轉換換的條件件由不同同安全事事件觸發發實時關聯來來自不同設設備的安全全事件，可可以大大的的降低IDS的誤報率，，發現引發發安全事件件的真正原原因和隱藏藏的威脅。。系統不可用用Firewall?HOST?DB?WebServer?TSM關聯分析主機應用異異常導致服服務問題S0:正常E0:應用系統異異常事件（（FromApplicationHost）E1:防火墻異常常事件E2:數據庫系統統異常事件件S1:系統部分異異常E3:WEB服務異常事事件S2:WEBSERVER出現異常E4:狀態超時由于XX（E0,E1,E2,E3）原因導致致的服務異異常關聯分析可可加速問題題定位、提提高系統可可用性基于規則的的關聯分析析：將可疑的安安全活動場場景（暗示示某潛在安安全攻擊行行為的一系系列安全事事件序列））加以預先先定義。系系統能夠使使用定義好好的關聯性性規則表達達式，對收收集到的安安全事件進進行檢查，，確定該事事件是否和和特定的規規則匹配。。基于統計的的關聯分析析：定義一些大大的安全事事件類別，，對每個類類別的事件件設定一個個合理的閥閥值，將出出現的事件件先歸類，，然后進行行緩存和計計數，當在在某一段時時間內，計計數達到該該閥值，可可以產生一一個級別更更高的安全全事件。基于資產的的關聯分析析：安全事件能能與相關資資產的敏感感性以及相相關資產上上的漏洞進進行關聯，，從而判斷斷某個安全全事件是否否能造成不不良影響以以及造成不不良影響的的嚴重程度度。基于廣義漏漏洞的關聯聯分析：安全事件能能同網段的的相應漏洞洞進行關聯聯，判斷可可能造成的的不良影響響。支持的關聯聯分析類型型【場景描述】（1）某個攻擊擊者對某臺臺主機進行行端口掃描(事件來自于于安全設備備)（2）攻擊者發發現該主機機的3389端口（微軟軟遠程桌面面服務）已已打開，并并通過口令令字猜測獲獲得了該的的主機口令令（系統事件）；（3）攻擊者登陸上該臺主機機，將其重重要文件傳傳送出去（（系統事件件）Page34端口掃描Port3389isOpen場景規則分類場景惡意代碼/病毒類后門攻擊、病毒攻擊、惡意郵件攻擊（附件可能是病毒或木馬）、自動安裝惡意程序、存在可疑軟件可疑程序文件內容被防火墻修改、無效命令、可疑數據包、可疑活動、可疑的文件擴展名、可以端口活動、可疑路由、未知告警錯誤配置地址變化、應用配置、用戶設置、IP沖突、過載、硬件錯誤、郵件設置、系統啟動、系統設置、系統中斷、系統心跳、服務/進程狀態變更、軟件安裝、系統失效、系統狀態嘗試探測嗅探、信息流分析、應用查詢、主機查詢、網絡探察、郵件偵察、Windows偵察、Portmap/RPC請求、端口掃描、RPCDump、DNS偵察拒絕服務攻擊畸形DoS包、洪水攻擊、郵件服務攻擊、應用層拒絕服務欺騙和劫持IP欺騙和偽裝、IP分段、IP片段重疊、信息重放、IDS躲避非授權訪問認證成功、認證/授權失敗、FTP訪問、文件訪問、郵件訪問、WEB攻擊、繞過安全機制、網絡訪問中斷、權限提升、安全協商、安全策略變更、WEB—IIS非授權訪問企圖、Telnet訪問、Unix/Linux訪問、Web服務的非授權訪問企圖、Windows訪問、SNMP訪問應用程序漏洞攻擊緩存溢出攻擊、DNS利用、FTP利用、Linux/Unix利用、郵件利用、網絡設備利用、其他主機利用、Telnet利用、TCP劫持、Web利用、Windows利用違反組織安全策略被禁止的HTTP訪問、被禁止的Telnet/SSH訪問、聊天和即時通訊、被禁止的流內容、其他外部IP訪問、被禁止的應用訪問、被禁止的FTP訪問、過量的Internet訪問、可疑的郵件內容和附件、可疑的內部網絡活動、被禁止的軟件安裝密碼猜測攻擊POP3口令猜測、Windows口令猜測、UNIX口令猜測、應用軟件口令猜測環境威脅供電中斷、通信中斷、設備故障、靜電、電磁干擾、溫度變化、數據存儲介質損壞人為誤操作未經授權進行數據拷貝或盜取數據、無意中對數據操作、未經授權將IT系統連接到其他網絡預置場景列列表（12大類120個場景560條規則）漏洞掃描工具

安全管理平臺網絡設備：應用系統：操作系統：網絡TXT/XML等格式1.手動交換方式2.自動傳遞方式與漏洞掃描描系統的整整合支持的響應應方式主要要有:命令行告警警輔助決策聯聯動命令陷阱導入交換機端口口啟用、禁禁用操作防火墻阻斷斷發送郵件鈴聲告警SNMPTrap方式告警TopDesk補丁升級TopDesk防火墻阻斷斷TopPolicy防火墻阻斷斷聲光報警聲音報警WinPop告警工單處理短消息事件響應管管理用戶選擇需需要輔助決決策處理的的事件，系系統將會自自動為其匹匹配決策，，并由用戶戶決定是否否執行決策策中的響應應腳本。基于專家處處理的輔助助決策文件解析引擎提供數據格格式的解析析安全設備：：防火墻、、入侵檢測測系統、VPN、防病毒軟軟件、漏洞洞掃描器、、安全審計計系統等網絡設備：：交換機、、路由器等等操作系統：：WindowsNT/2000/XP/2003操作系統、、主流Linux系統、主流Unix系統等應用系統：：Web（apache、iis）、Ftp（iis）、Mail（exchange）、DBMS（Oracle、SQLServer、DB2、Informix、Sybase）等其他任何支支持標準SYSLOG、WELF、SNMP（v2、v3）等日志格格式的設備備和系統通過flexer標記語言可快速提供供對未知設備備日志格式式的支持，不需要修修改程序代代碼總結：目前前TSM可以收集業業內110種日志格式式，對于不不能夠支持持的設備，，可以在5個工作日內內定制開發發完成。數據文件解解析引擎訪問和身份份管理IBMTivoliAccessManager

IBMTivoliIdentityManagerMicrosoftActiveDirectoryCAeTrustAccessCAeTrustSecureProxyServerCAeTrustSiteminder(Netegrity)RSASecureIDRADIUSOracleIdentityManagement(Oblix)SunJavaSystemDirectoryServerCiscoACS路由器/交換機思科路由器器交換設備備華為路由器器交換設備備中興路由器器交換設備備CiscoCatalyst交換機Foundry交換機JuniperJunOSNortel以太網路由由交換機8300,8600,400系列操作系統日日志、日志志記錄平臺臺Solaris(Sun)*AIX(IBM)OS/400(ISeries)RedHatLinuxSuSELinuxHP/UXMicrosoftWindowsEventLog(W2K3DHCP,W2KDHCP,IIS)MicrosoftSNMPTrapSenderNokiaIPSONovellNetWareOpenBSDTandemNon-StopOS(HP)Tru64TripplightUPSMonitorwareSYSLOGKiwiSyslogzOS-MainframeIDS防病病毒毒CipherTrustIronMailMcAfeeVirusScanNortonAntiVirus(Symantec)McAfeeePOTrendMicroInterScan網絡入侵侵檢測/防護天融信\啟明星辰辰金諾網安安McAfeeIntrushieldSourcefireNetworkSensorSourcefireRNAJuniperIDPISSRealSecureNetworkSensorISSProventiaGISSProventiaMISSBlackICESentryCiscoSecureIDSSNORTIDS應用ApacheMicrosoftIISIBMWebSphere

OracleDatabaseServerLotusDominoSAPR3應用安全全性BlueCoatProxyNortelITM(智能流量量管理)TerosAPSSentrywareHiveIBMDataPower(即將面市市)防火墻天融信聯想網御御網御神州州CheckPointFirewall-1CiscoPIXFortinetFortiGateJuniper(Netscreen)LinuxIPTablesMicrosoftISAServerNortelSwitchedFirewallStonesoft'sStoneGateSecureComputing'sSidewinderSymantec'sEnterpriseFirewall安全漏漏洞評評估綠盟啟明星星辰榕基NessusISSInternetScannerFoundstone支持超超過110多個事事件的的日志志格式式系統能能夠通通過直直觀、、友好好的網網絡管管理界界面，，可以以實現現對網網絡中中的設設備、、主機機、應應用系系統等等方面面的綜綜合管管理與與監控控。主要包包括網網絡設設備自自動發發現、、拓撲撲管理理、視視圖管管理、、性能能管理理、資資產管管理等等功能能。網絡管理網絡管理可可以對掃描描到的所有有網絡設備備進行管理理，包括IP地址、、端口、鏈鏈路、VLAN、、數據統計計等。網