SOC競爭對手和規(guī)劃課件

SOC平臺功能分析市場上主流的SOC平臺東軟SOC華三的SecCenter天融信的TopAnalyser&TSM聯(lián)想網(wǎng)御安氏ArcSightESMCiscoSIMS&MARSRSA產品規(guī)劃SOC產品的價值TSOC的不足短期和長期規(guī)劃東軟SOC架構數(shù)據(jù)采集層：根據(jù)要求從網(wǎng)絡設備、安全設備、主機系統(tǒng)等數(shù)據(jù)來源采集各種安全信息。

數(shù)據(jù)處理層：將采集到的原始安全信息進行關聯(lián)分析處理，實現(xiàn)格式標準化，根據(jù)策略進行數(shù)據(jù)歸并和壓縮后，存儲到數(shù)據(jù)庫中。

應用服務層：從數(shù)據(jù)庫中提取信息，按照策略完成數(shù)據(jù)的過濾、條件分析，為展示平臺提供數(shù)據(jù)支持；同時還是展示平臺進行資源配置的接口。展示平臺層：實現(xiàn)NetEye安全運維平臺的統(tǒng)一界面展示。通過統(tǒng)一的圖形化管理界面，NetEye安全運維平臺實現(xiàn)了安全監(jiān)控、維護、管理、展示的全部功能。

東軟SOC東軟SOC資產管理脆弱性管理風險管理安全信息監(jiān)控策略管理工單管理知識庫管理安全預警故障信息顯示報表關聯(lián)分析TSOC和東軟SOC的比較優(yōu)點不足安全域管理資產管理信息豐富設備控制功能工作流的功能比較弱配置比較復雜關聯(lián)分析功能的預期效果比較差SIMS的配置和SMC分離華三SecCenterSecCenter的核心價值體現(xiàn)在于其事件關聯(lián)功能上；數(shù)據(jù)采集協(xié)議支持：NetStream、NetFlow、CFlow、Syslog、WindowsWMI、ODBC

定位于SIEM，不是SOC華三SecCenter監(jiān)控事件關聯(lián)分析網(wǎng)絡的拓撲展示TSOC與華三的比較優(yōu)點不足風險分析脆弱性管理安全域的管理概念工作流綜合監(jiān)控的信息不明了關聯(lián)分析不足網(wǎng)絡管理能力不足引擎配置沒有整合到SMC中引擎支持的日志收集格式較少天融信TSMTSM（TrustNetworkSecurityManagementSystem）是天融信新一代網(wǎng)絡安全綜合管理平臺。TSM采用代理+服務器+管理器的三層結構。天融信TSM資產管理網(wǎng)絡拓撲管管理策略管理監(jiān)控事件智能檢檢測事件分析天融信TopAnalyserTopAnalyzer作為soc中心的軟件件平臺，以以風險管理理為核心，，資產管理理為基礎，，事件管理理為主線，，輔以有效效的管理、、監(jiān)視與響響應功能，，為用戶構構建動態(tài)的的可信安全全管理體系系。天融信TopAnalyser天融信TopAnalyser事件管理安全分析與與報表資產管理知識庫實時監(jiān)控關聯(lián)分析基于專家系系統(tǒng)的輔助助決策系統(tǒng)統(tǒng)基于規(guī)則的的安全響應應與報警全局內風險險管理與計計算工單管理TSOC和TopAnalyser的比較優(yōu)點不足脆弱性管理資產信息豐富報表內容比較豐富實時監(jiān)控的展示形式不豐富關聯(lián)分析不足引擎配置沒有整合到SMC中設備控制相對較弱數(shù)據(jù)庫支持不廣泛聯(lián)想網(wǎng)御-安全管理平平臺聯(lián)想網(wǎng)御針針對對企業(yè)業(yè)信息安全全比較重視視的中高端端用戶推出出的第三代代安全管理理平臺定位位于集中設設備監(jiān)控和和全局審計計分析，是是網(wǎng)絡安全全的中樞神神經(jīng)系統(tǒng)，，也是聯(lián)想想網(wǎng)御信息息安全解決決方案的核核心。聯(lián)想網(wǎng)御-安全管理平平臺聯(lián)想網(wǎng)御-安全管理平平臺聯(lián)想網(wǎng)御-安全管理平平臺設備管理設備監(jiān)控告警管理（（告警關聯(lián)聯(lián)）日志審計資產管理策略管理（（防火墻和和VPN的的策略配置置）風險管理級聯(lián)管理（（多級）TSOC與與聯(lián)想網(wǎng)御御的比較優(yōu)點不足脆弱性管理安全域的管理概念工作流豐富的知識庫強大的關聯(lián)分析功能引擎配置沒有整合到SMC中缺少日志審計功能缺少設備策略配置功能只有SIMS的多級部署安氏SOC資產管理風險管理脆弱性管理理工單預警統(tǒng)計分析（（關聯(lián)分析析）知識庫管理理指標管理CiscoSIMS是一個安全全信息管理理（SIM）應用程序序，它可實實現(xiàn)與多種種不同安全全產品之間間的異種機機互操作性性，因此可可使網(wǎng)絡管管理人員集集中監(jiān)控、、管理和監(jiān)監(jiān)督企業(yè)網(wǎng)網(wǎng)絡的安全全性。范式化后的的9中事件：訪問/身份驗證/授權應用程序盜盜用配置/系統(tǒng)狀態(tài)拒絕服務躲避違反政策偵察企圖未知/可疑病毒/特洛伊木馬馬CiscoSIMS風險和威脅脅分析評估估監(jiān)控事件響應管管理多級關聯(lián)知識庫CiscoCS-MARSCS-MARS:(CiscoSecurityMonitoring,AnalysisandResponderSystem)定義了事件件被處理的的流程（8個步驟）充分利用了了網(wǎng)絡拓撲撲的屬性，，來減少誤誤報、發(fā)現(xiàn)現(xiàn)網(wǎng)絡熱點點、找到最最佳防御點點和提高證證據(jù)分析能能力CiscoCS-MARS智能網(wǎng)絡拓拓撲發(fā)現(xiàn)事件進程化化管理風險關聯(lián)分分析流量異常分分析誤報分析安全預警與與響應脆弱性評估估報表ArcsightESMArcsightESMArcSight體系結構：：可滿足世世界上規(guī)模模最大的、、安全性能能要求最高高的網(wǎng)絡的的需要ArcSightESM的擴展不僅僅限于單級級部署，多多級和對等等方式部署署也能夠很很好的進行行擴展。因因此，您可可以采用最最適合您企企業(yè)的方式式進行部署署，無論是是部署單個個安全營運運中心(SOC)，還是部部署地理理位置分分散、相相互間必必須不斷斷共享信信息的多多個安全全營運中中心。ArcsightESM事件監(jiān)控控響應處理理智能關聯(lián)聯(lián)合規(guī)性報報告多級部署署支持Discovery分析工具具RSAEnvisionRSAEnvision關聯(lián)預警警審計管理理安全全事事件件管管理理行為為合合規(guī)規(guī)性性檢檢測測實時時監(jiān)監(jiān)控控預警警（（與與基基線線做做比比較較））基線線管管理理脆弱弱性性分分析析集集成成競爭爭對對手手功功能能對對比比表表SOC產品品的的價價值值客戶戶的的價價值值從眾眾多多安安全全事事件件中中分分析析網(wǎng)網(wǎng)絡絡的的安安全全狀狀況況，，進進行行從從宏宏觀觀到到微微觀觀的的展展示示。?？梢砸远ǘㄎ晃怀龀霭舶踩率录牡慕菇裹c點，，可可以以做做到到逐逐步步鉆鉆取取的的達達到到準準確確定定位位。。提供供給給客客戶戶一一份份安安全全/合規(guī)規(guī)性性報報告告。。是否否可可以以提提供供深深度度的的事事后后數(shù)數(shù)據(jù)據(jù)挖挖掘掘。。企業(yè)業(yè)內內部部的的價價值值為企企業(yè)業(yè)的的安安全全產產品品提提供供整整體體的的解解決決方方案案。。為公公司司提提供供和和大大客客戶戶和和戰(zhàn)戰(zhàn)略略客客戶戶合合作作提提供供基基礎礎SOC發(fā)展展方方向向實時時監(jiān)監(jiān)控控關聯(lián)聯(lián)分分析析數(shù)據(jù)據(jù)智智能能挖挖掘掘威脅脅管管理理風險險管管理理等級級保保護護綜合合審審計計數(shù)據(jù)據(jù)存存儲儲TSOC現(xiàn)在在的的狀狀況況SIMS引擎擎數(shù)數(shù)據(jù)據(jù)采采集集分分類類不不合合理理功能能全全，，但但是是不不精精產品品業(yè)業(yè)務務流流程程混混亂亂界面面的的監(jiān)監(jiān)控控顯顯示示不不突突出出報表表的的內內容容太太蒼蒼白白用戶戶的的網(wǎng)網(wǎng)絡絡安安全全宏宏觀觀監(jiān)監(jiān)控控沒沒有有配置置部部署署太太復復雜雜模塊化化程度度不高高，產產品和和定制制開發(fā)發(fā)成本本高產品規(guī)規(guī)劃目目標短期目目標加強TSOC的市場場競爭爭力(核心功功能））補充從從前方方來的的客戶戶需求求長期目目標立足核核心功功能，，深度度發(fā)展展核心心功能能建立架架構靈靈活的的SOC產品平平臺，，降低低產品品和定定制開開發(fā)成成本產品線線細分分/多樣化化在國內內的SOC競爭（（技術術）中中應該該處于于NO.1產品短短期規(guī)規(guī)劃（（一））TSOC3.0.8.0引進基基線管管理，，讓系系統(tǒng)可可以在在事件件、流流量方方面可可以通通過學學習過過程，，建立立標準準區(qū)域域基準準。通過對對比區(qū)區(qū)域基基準，，來做做全局局的整整體網(wǎng)網(wǎng)絡安安全、、流量量異常常分析析展示示。對全局局的展展示，，可以以進行行數(shù)據(jù)據(jù)鉆取取，從從整體體→局局部→→設備備→事事件，，來來準確確定位位事件件。增加安安全報報告，，在內內容和和格式式上改改進。。改進關關聯(lián)分分析子子系統(tǒng)統(tǒng)。增加3個分析析模塊塊（地地址熵熵、三三元組組和熱熱點））核心功功能模模塊和和定制制開發(fā)發(fā)模塊塊組件件化或或者模模塊化化產品短短期規(guī)規(guī)劃（（二））TSOC3.0.9.0SIMS和SMC的整合合多級管管理引入VWP平臺組組件部分功功能模模塊化化（主主要集集中在在定制制開發(fā)發(fā)模塊塊多的的功能能）網(wǎng)絡拓拓撲產品長長期規(guī)規(guī)劃（（一））產品架架構重重新設設計，，做到到靈活活可拆拆分。。盡量量做到到系統(tǒng)統(tǒng)可以以與WEB服務器器無關關和數(shù)數(shù)據(jù)庫庫系統(tǒng)統(tǒng)無關關。做一個個產品品基礎礎平臺臺-威脅管管理綜合監(jiān)監(jiān)控基線管管理流量管管理關聯(lián)分分析知識庫庫報表產品長長期規(guī)規(guī)劃（（二））在產品品平臺臺基礎礎上開開發(fā)風風險管管理平平臺資產管管理風險管管理脆弱性性管理理在產品品平臺臺基礎礎上開開發(fā)審審計平平臺合規(guī)性報表表在產品平臺臺的基礎上上開發(fā)等級級保護平臺臺風險域管理理等級保護網(wǎng)絡拓撲產品的規(guī)劃劃SOC基礎平臺威脅管理TSOC風險管理ZSOC等級保護ASOC綜合審計SOC安全運維產品路標規(guī)規(guī)劃PlatformTSOC、ASOCTSOC3.0.8.0SIMS定制制開開發(fā)發(fā)TSOC3.0.9.0520項目目介介紹紹520實際際上上應應該該是是UDS產品品的的部部分分功功能能+綜合合分分析析、、展展示示的的一一個個綜綜合合體體。。520的