网络卫士安全管理系统 TSM
来源:中国电子政务网 更新时间:2008-03-11
 天融信网络卫士安全管理系统是天融信集十年网络安全研发经验,最新推出的基于可信网络架构(TNA)的全新网络安全管理平台系统。网络卫士安全管理系统产品以风险管理为核心,资产管理为基础,事件管理为主线,辅以有效的管理、监视与响应功能,为用户构建动态的可信安全管理体系。 产品基于J2EE架构开发,具有极强的开放性与可移植性。在统一安全管理框架下实现对各种系统、应用、设备、安全产品的集中管理和监控,大大减轻了管理员的操作负担,提高了管理效率。系统具有智能处理海量事件,快速判断,应对网络威胁的强大功能。

  



  长期以来用户面临的六大安全困扰

  安全管理的问题。企业的安全管理制度是否得到了有效贯彻,安全运作流程是否能够有效实施,以前无法衡量。安全运营中心可帮助企业利用技术与管理手段有效解决安全管理的问题;

  海量数据的问题。企业面临着来自异构系统、平台和应用的安全数据的冲击,它们都以不同方式产生信息,且以不同的格式呈现、存储在不同的地方,并且报告不同的内容,而这每天数以百万条信息淹没了安全基础设施;

  安全孤岛的问题。各种安全设备间缺少信息层互通能力,各自为营。降低了系统整体的运作效率,增加了安全事件的发现时间和响应时间;

  实时监控的问题。对整个网络的安全威胁形势、安全漏洞情况、安全事件情况、安全攻击情况和综合安全风险情况无法提供准确、实时的分析数据;

  业务安全的问题。业务始终是一个企业发展的核心,如何保障业务的安全至关重要。现有安全技术侧重保障某特定资源,但业务应用系统一般都由众多IT资源组合构成,如何从业务整个流程上进行安全保障尤为关键;

  持续改进的问题。安全管理需要不断对处理过的安全事件进行总结,不断更新安全知识库,不断改进安全运维流程,以及不断完善安全管理制度等,因而需要有效的管理手段来实现持续改进。

  天融信针对用户上述的各种困扰,提出了全面的安全管理解决方案——网络卫士安全管理系统TSM。  

  产品简介

  1.1 产品概述

  TSM是组成Topsec可信网络架构(TNA)的核心部件。它通过对网络中各种设备(包括路由设备、安全设备等)、安全机制、安全信息的综合管理和分析,对现有安全资源进行有效管理和整合,从全局角度对网络安全状况进行分析、评估与管理,获得全局网络安全视图;通过制定安全策略指导或自动完成安全设施的重新部署或响应;从而全面提高网络整体的安全防护能力。其中,安全事件管理、风险管理以及安全策略配置管理是网络安全管理系统实施安全机制整合的核心。

 1.2 产品组成

  TSM是组成可信网络架构(TNA)的核心部件。它通过对现有安全资源进行有效管理整合,通过对安全信息进行关联分析、评估与管理,最终提供一个整体安全解决方案。

  如图所示,TSM主要包括终端管理系统(TMS)、安全信息管理系统(SIMS)、安全管理门户系统3个部分。其中,SIMS系统是TSM 的“大脑”,它负责对各类安全事件进行集中管理和智能分析;TMS系统是TSM的“手”,它负责实现对各类信息资产的集中安全监管和控制;安全管理门户系统,作为TSM的“对外窗口”,通过整合后台的各类安全产品和信息资产,为用户提供一个统一的、基于角色的安全视图。这三个系统各自都能独立运行,但又互相补充和协作,共同构成一个全面的安全管理解决方案

  



  TSM采用B/S架构设计。分为:代理层,服务层。代理层(agent),负责信息采集、安全管理、安全监视等工作;服务层(Server),是TSM平台的核心部件,负责收集并集中处理下级代理上报的安全事件,并实施响应; TSM平台的构造如图所示:

 



  产品功能与特点

  2.1 核心技术

  关联分析:TSM系统使用攻击状态机模型来抽象和描述攻击行为,建立多种攻击关联场景,能有效地从大量安全事件中准确识别出真实入侵行为。从而实现报警信息的精炼化、提高报警信息的可用信息量,减少报警信息中的无用信息,降低安全设备的虚警和误警。

  智能决策:基于安全专家知识库的内容,采用专家推理的技术,对当前发生的各类入侵行为,给出切实可行的决策方案和建议,实现对网络安全的智能控制,提高安全管理的效率和智能化水平。辅助决策的功能主要包括:智能推理和决策、安全知识库的管理、安全知识的自学习。

  当发现入侵行为时,系统能迅速采取合理的应对措施,动态实现对安全策略的调整,最终保障网络的安全运行。安全响应的内容主要包括:防火墙联动、执行动作脚本、交换机端口阻断等。安全响应与辅助决策相配合还能实现对入侵行为的智能化控制和处理。

  SQL92技术:使用SQL 92标准制订事件过滤条件, 图形化的SQL语言组织,使用户直观的定义事件过滤条件,在事件收集、事件监视、报表定制中可以体现其强大的灵活性,满足各种业务需要。

  企业级补丁自动部署方案:通过设置补丁策略,能够实时、方便的实现对企业网络内终端系统的补丁进行自动检测,并能够实现推或拉两种方式的自动部署安装,极大减轻系统管理员的工作强度。

  HIDS和HFW联动提高终端系统入侵容忍度:终端系统受到攻击时,HIDS能够第一时间发现入侵行为,根据联动策略,HFW产生入侵响应行为,准确定位入侵者的IP、MAC信息,使入侵者的入侵行为无效,增强系统的入侵容忍程度。

  2.2 产品功能:

  安全信息管理系统(SIMS)

  资产管理:集中管理机构内的信息资产,包括资产的基本属性、所属客户、所在区域、资产类型等等管理,以多种视角归类资产:基于客户视角、基于区域视角、基于资产类型视角、基于漏洞视角等等。

  事件管理:集中收集、分析和处理网络中的各类安全事件。包括事件收集、事件过滤、事件归一化、归并、监视、事件浏览等。当发现入侵行为时,系统能迅速采取合理的应对措施,动态实现对安全策略的调整,最终保障网络的安全运行。安全响应的内容主要包括:防火墙联动、执行动作教本、交换机端口阻断等。安全响应与辅助决策相配合还能实现对入侵行为的智能化控制和处理。

  安全分析:当SIMS收集了各类事件后,经过事件管理统一归一处理后,结合攻击状态机模型来抽象和描述攻击行为,与多种攻击关联场景进行模式匹配,能有效地从大量安全事件中准确识别出真实的入侵行为,从而实现报警信息的精炼化、提高报警信息的可用信息量,减少报警信息中的无用信息,降低安全设备的虚警和误警。

  实时监控:对事件进行查看,使用基于SQL92标准的过滤规则定制监视条件,使用图形化界面实时监视收集事件情况,可以查看一定时间段内实时统计信息,使用事件拓扑的方式浏览各个事件之间的关联关系。同时系统还提供监视仪表盘,支持基于多种资源的监视,包括:事件、资产、威胁、工单等等,提供多种显示方式组合,支持多个监视同时查看。

  风险管理:基于BS17799建立网络安全的风险计算模型,根据该模型计算网络内资产的风险指数,内容主要包括:风险分析和计算、安全风险监视和控制。使用拓扑图、地图方式动态监控各个资产的风险等级。

 



  产品功能与特点

  2.1 核心技术

  关联分析:TSM系统使用攻击状态机模型来抽象和描述攻击行为,建立多种攻击关联场景,能有效地从大量安全事件中准确识别出真实入侵行为。从而实现报警信息的精炼化、提高报警信息的可用信息量,减少报警信息中的无用信息,降低安全设备的虚警和误警。

  智能决策:基于安全专家知识库的内容,采用专家推理的技术,对当前发生的各类入侵行为,给出切实可行的决策方案和建议,实现对网络安全的智能控制,提高安全管理的效率和智能化水平。辅助决策的功能主要包括:智能推理和决策、安全知识库的管理、安全知识的自学习。

  当发现入侵行为时,系统能迅速采取合理的应对措施,动态实现对安全策略的调整,最终保障网络的安全运行。安全响应的内容主要包括:防火墙联动、执行动作脚本、交换机端口阻断等。安全响应与辅助决策相配合还能实现对入侵行为的智能化控制和处理。

  SQL92技术:使用SQL 92标准制订事件过滤条件, 图形化的SQL语言组织,使用户直观的定义事件过滤条件,在事件收集、事件监视、报表定制中可以体现其强大的灵活性,满足各种业务需要。

  企业级补丁自动部署方案:通过设置补丁策略,能够实时、方便的实现对企业网络内终端系统的补丁进行自动检测,并能够实现推或拉两种方式的自动部署安装,极大减轻系统管理员的工作强度。

  HIDS和HFW联动提高终端系统入侵容忍度:终端系统受到攻击时,HIDS能够第一时间发现入侵行为,根据联动策略,HFW产生入侵响应行为,准确定位入侵者的IP、MAC信息,使入侵者的入侵行为无效,增强系统的入侵容忍程度。

  2.2 产品功能:

  安全信息管理系统(SIMS)

  资产管理:集中管理机构内的信息资产,包括资产的基本属性、所属客户、所在区域、资产类型等等管理,以多种视角归类资产:基于客户视角、基于区域视角、基于资产类型视角、基于漏洞视角等等。

  事件管理:集中收集、分析和处理网络中的各类安全事件。包括事件收集、事件过滤、事件归一化、归并、监视、事件浏览等。当发现入侵行为时,系统能迅速采取合理的应对措施,动态实现对安全策略的调整,最终保障网络的安全运行。安全响应的内容主要包括:防火墙联动、执行动作教本、交换机端口阻断等。安全响应与辅助决策相配合还能实现对入侵行为的智能化控制和处理。

  安全分析:当SIMS收集了各类事件后,经过事件管理统一归一处理后,结合攻击状态机模型来抽象和描述攻击行为,与多种攻击关联场景进行模式匹配,能有效地从大量安全事件中准确识别出真实的入侵行为,从而实现报警信息的精炼化、提高报警信息的可用信息量,减少报警信息中的无用信息,降低安全设备的虚警和误警。

  实时监控:对事件进行查看,使用基于SQL92标准的过滤规则定制监视条件,使用图形化界面实时监视收集事件情况,可以查看一定时间段内实时统计信息,使用事件拓扑的方式浏览各个事件之间的关联关系。同时系统还提供监视仪表盘,支持基于多种资源的监视,包括:事件、资产、威胁、工单等等,提供多种显示方式组合,支持多个监视同时查看。

  风险管理:基于BS17799建立网络安全的风险计算模型,根据该模型计算网络内资产的风险指数,内容主要包括:风险分析和计算、安全风险监视和控制。使用拓扑图、地图方式动态监控各个资产的风险等级。



  产品认证

  公安部颁发的《计算机信息系统安全专用产品销售许可证》