永達(dá)安全管理與控制平臺(tái)SOC技術(shù)白皮書(shū)V2.0.2

永達(dá)安全管理與控制平臺(tái)永達(dá)安全管理與控制平臺(tái)SOC)(技術(shù)白皮書(shū)V2.3.2目錄產(chǎn)品概述........................................................1.1概述............................................................1.2系統(tǒng)架構(gòu)........................................................功能介紹........................................................2.1風(fēng)險(xiǎn)管理........................................................2.2脆弱性管理......................................................2.3威脅管理........................................................2.4資產(chǎn)管理........................................................2.5安全事件管理....................................................112.6集中審計(jì)儀表板..................................................2.7安全告警與響應(yīng)..................................................產(chǎn)品特點(diǎn)........................................................3.1資產(chǎn)的統(tǒng)一配置、監(jiān)控、告警、評(píng)估、響應(yīng)...........................3.2策略、檢測(cè)、防護(hù)、響應(yīng)一體化.....................................3.3網(wǎng)絡(luò)、應(yīng)用、業(yè)務(wù)三維一體化管理...................................3.4靈活的統(tǒng)計(jì)告警規(guī)則設(shè)置..........................................3.5功能熱升級(jí)......................................................3.6安全部件聯(lián)動(dòng)....................................................3.7強(qiáng)大的智能處理引擎..............................................3.8以資產(chǎn)為核心的全新安全視角.......................................3.9雙機(jī)熱備功能....................................................典型運(yùn)用........................................................4.1全國(guó)鐵路客票系統(tǒng)安全管理系統(tǒng).....................................4.22008北京奧運(yùn)電子政務(wù)網(wǎng)絡(luò)監(jiān)管平臺(tái).................................4.32008北京奧運(yùn)城市運(yùn)行指揮平臺(tái)安全管理系統(tǒng)........................銷售許可證與資質(zhì).................................................5.1銷售許可證......................................................5.2資質(zhì)............................................................一、產(chǎn)品概述1.1概述經(jīng)過(guò)近10年的發(fā)展，安全管理中心（SOC）的功能仍然介于配置管理中心、網(wǎng)絡(luò)管理中心之間，一般用戶難以體驗(yàn)安全管理中心（SOC）所帶來(lái)的增量效益，部分強(qiáng)調(diào)安全事件管理（SIEM）的SOC產(chǎn)品又缺少完整的資產(chǎn)配置管理功能以及基本的網(wǎng)絡(luò)管理功能，導(dǎo)致目前大多SOC產(chǎn)品未能全面有效地幫助用戶發(fā)現(xiàn)或了解各個(gè)業(yè)務(wù)系統(tǒng)中存在的安全問(wèn)題。所以研發(fā)下一代安全管理中心（SOC），為用戶提供全面的安全審計(jì)視圖，幫助用戶從安全管理、網(wǎng)絡(luò)管理、資產(chǎn)配置管理不同角度、不同層面發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)中存在的安全問(wèn)題，已經(jīng)成為當(dāng)務(wù)之急。永達(dá)SOC安全管理與控制平臺(tái)是整個(gè)網(wǎng)絡(luò)以及安全保障體系的核心平臺(tái)，它是全網(wǎng)的分析判斷中心、決策指揮中心和智能調(diào)度中心，通過(guò)永達(dá)SOC安全管理與控制平臺(tái)可以達(dá)到對(duì)處于同一網(wǎng)絡(luò)中的所有主機(jī)、安全部件以及網(wǎng)絡(luò)部件實(shí)行統(tǒng)一管理、統(tǒng)一監(jiān)控、統(tǒng)一調(diào)度、協(xié)同處理的效果，最大限度、智能的保證所轄網(wǎng)絡(luò)的安全和資源的合理利用。永達(dá)SOC在資產(chǎn)配置管理（CMDB）基礎(chǔ)上集成網(wǎng)絡(luò)管理、安全事件管理功能，從安全管理的角度為用戶集中呈現(xiàn)安全審計(jì)視圖，用戶在安全審計(jì)視圖的引導(dǎo)下，可以深入了解不同業(yè)務(wù)系統(tǒng)的資產(chǎn)配置狀態(tài)審計(jì)視圖、網(wǎng)絡(luò)狀態(tài)審計(jì)視圖，從而更好地幫助用戶落實(shí)安全管理制度，發(fā)現(xiàn)網(wǎng)絡(luò)和資產(chǎn)配置所引發(fā)的安全問(wèn)題。永達(dá)SSOC符合國(guó)家等級(jí)保護(hù)制度的要求，實(shí)現(xiàn)以SSOC為中心，實(shí)現(xiàn)配置、審計(jì)、策略三權(quán)分立（系統(tǒng)管理員、審計(jì)管理員、安全管理員的權(quán)限分離）。圖圖1產(chǎn)品理念1.2系統(tǒng)架構(gòu)永達(dá)SOC由中心服務(wù)器、管控器、合規(guī)審計(jì)器、安全事件處理服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器以及可選的SOC產(chǎn)品鏈設(shè)備或軟件模塊組成。在分級(jí)部署的情況下，可以選配集中WEB管理服務(wù)器，集中訪問(wèn)各分中心服務(wù)器。集中WEB管理服務(wù)器分中心服務(wù)器安全事件處理服務(wù)器數(shù)據(jù)庫(kù)服務(wù)器管控器合規(guī)審計(jì)分中心服務(wù)器管控器合規(guī)審計(jì)分中心服務(wù)器管控器合規(guī)審計(jì)圖2產(chǎn)品邏輯結(jié)構(gòu)分中心服務(wù)器管控器分中心服務(wù)器管控器受保護(hù)網(wǎng)絡(luò)管控器管控器分中心服務(wù)器合規(guī)審計(jì)集中WEB管理本地WEB管理安全事件處理服務(wù)器數(shù)據(jù)庫(kù)服務(wù)器圖3產(chǎn)品物理結(jié)構(gòu)組件組件說(shuō)明中心服務(wù)器用戶管理服務(wù)，資產(chǎn)配置管理，網(wǎng)絡(luò)設(shè)備監(jiān)視，報(bào)表服務(wù)，策略配置、分發(fā)，審計(jì)服務(wù)。注：其中報(bào)表服務(wù)、審計(jì)服務(wù)可以根據(jù)性能的需求配置獨(dú)立的服務(wù)器。管控器事件采集、過(guò)濾，設(shè)備狀態(tài)采集，與安全設(shè)備聯(lián)動(dòng)。合規(guī)審計(jì)器執(zhí)行符合S-CAP規(guī)范的審計(jì)規(guī)則，生成合規(guī)審計(jì)所需要的數(shù)據(jù)。SOC產(chǎn)品鏈設(shè)備。安全事件處理服務(wù)器高性能安全事件處理服務(wù)器，事件關(guān)聯(lián)、統(tǒng)計(jì)。數(shù)據(jù)庫(kù)服務(wù)器高性能數(shù)據(jù)服務(wù)器，存儲(chǔ)安全事件、資產(chǎn)關(guān)系模型實(shí)例。缺省配置高性能版本的MySQL。集中WEB集中WEB管理服務(wù)器集中訪問(wèn)SOC各級(jí)分中心服務(wù)器?？蛇x設(shè)備。防火墻SOC產(chǎn)品鏈設(shè)備，可選設(shè)備。應(yīng)用代理SOC產(chǎn)品鏈設(shè)備，可選設(shè)備。代理SSH,RDP,TDS等協(xié)議，提供授權(quán)訪問(wèn)和深度審計(jì)信息。IDS可選設(shè)備。工單管理模塊可選軟件模塊。二、功能介紹2.1風(fēng)險(xiǎn)管理在下層風(fēng)險(xiǎn)分析模塊的基礎(chǔ)上，基于資產(chǎn)圖以儀表盤方式展現(xiàn)風(fēng)險(xiǎn)情況，并可使用漏洞管理、威脅管理來(lái)查看具體安全信息；同時(shí)可定義對(duì)應(yīng)的響應(yīng)方式。2.1.1資產(chǎn)風(fēng)險(xiǎn)呈現(xiàn)以儀表盤的方式顯示企業(yè)業(yè)務(wù)系統(tǒng)、資產(chǎn)的風(fēng)險(xiǎn)狀況。主要提供三種方式：以不同顏色圖標(biāo)的方式定性顯示業(yè)務(wù)系統(tǒng)的風(fēng)險(xiǎn)情況；以儀表盤的方式定量顯示資產(chǎn)的實(shí)時(shí)風(fēng)險(xiǎn)狀況；以曲線圖的方式顯示資產(chǎn)的風(fēng)險(xiǎn)變化情況。2.1.2可視化告警監(jiān)控基于拓?fù)鋱D的多層實(shí)時(shí)監(jiān)控圖2.1.3定義資產(chǎn)風(fēng)險(xiǎn)計(jì)算規(guī)則定義從資產(chǎn)價(jià)值、漏洞和威脅信息計(jì)算得到資產(chǎn)風(fēng)險(xiǎn)值的規(guī)則。2.1.4定義業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)顯示規(guī)則定義從所包括的資產(chǎn)風(fēng)險(xiǎn)值定性分析業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)狀況的規(guī)則。2.1.5查看風(fēng)險(xiǎn)信息針對(duì)某個(gè)風(fēng)險(xiǎn)的安全信息，查看其詳細(xì)信息，并可進(jìn)一步通過(guò)漏洞管理和風(fēng)險(xiǎn)管理查看各相關(guān)因素的情況。2.1.6定義風(fēng)險(xiǎn)響應(yīng)針對(duì)某類風(fēng)險(xiǎn)，定義響應(yīng)方式或產(chǎn)生某種響應(yīng)動(dòng)作，如產(chǎn)生預(yù)警信息等。2.1.7產(chǎn)生風(fēng)險(xiǎn)響應(yīng)針對(duì)某個(gè)呈現(xiàn)的風(fēng)險(xiǎn)，通過(guò)界面交互手工產(chǎn)生某中相應(yīng)方式，如產(chǎn)生預(yù)警信息等。2.1.8風(fēng)險(xiǎn)分析報(bào)表針對(duì)資產(chǎn)或業(yè)務(wù)系統(tǒng)，生成風(fēng)險(xiǎn)的各類分析報(bào)表。2.2脆弱性管理SOC的漏洞評(píng)估中心通過(guò)人工審計(jì)和漏洞掃描工具兩種方式，收集整個(gè)網(wǎng)絡(luò)的弱點(diǎn)情況并進(jìn)行統(tǒng)一管理，使得管理人員可以清楚的掌握全網(wǎng)的安全健康狀況。2.2.1漏洞庫(kù)管理導(dǎo)入各類掃描器的漏洞資料，管理、完善和修改漏洞庫(kù)2.2.2掃描任務(wù)管理定義定時(shí)掃描的任務(wù)?？舍槍?duì)資產(chǎn)、業(yè)務(wù)系統(tǒng)或某個(gè)網(wǎng)段進(jìn)行分別定義或整體定義。2.2.3即時(shí)掃描立即對(duì)某個(gè)資產(chǎn)執(zhí)行掃描。2.2.4漏洞查詢可根據(jù)資產(chǎn)對(duì)漏洞情況進(jìn)行查詢，并能比較漏洞變化情況。2.2.52.2.5補(bǔ)丁管理對(duì)和漏洞相應(yīng)的補(bǔ)丁進(jìn)行統(tǒng)一管理，為外部分發(fā)程序提供支持。2.3威脅管理針對(duì)資產(chǎn)管理由各類安全設(shè)備綜合產(chǎn)生的威脅類安全信息。2.3.1查看資產(chǎn)的威脅情況針對(duì)資產(chǎn)查看威脅情況，可按排名和趨勢(shì)進(jìn)行檢索和查看，如：查看該節(jié)點(diǎn)最近事件趨勢(shì)（最近一段時(shí)間內(nèi)的事件數(shù)量和事件分布情況）。2.3.2查看威脅信息針對(duì)某個(gè)威脅的安全信息，查看其詳細(xì)信息。2.3.3定義威脅響應(yīng)針對(duì)某類威脅，定義響應(yīng)方式或產(chǎn)生某種響應(yīng)動(dòng)作。2.3.4威脅分析報(bào)表針對(duì)資產(chǎn)或業(yè)務(wù)系統(tǒng)，生成威脅的各類分析報(bào)表。2.4資產(chǎn)管理2.4.1資產(chǎn)配置關(guān)系庫(kù)系統(tǒng)提供了一個(gè)全自動(dòng)，無(wú)所不包的資產(chǎn)配置關(guān)系庫(kù)，它可以自動(dòng)發(fā)現(xiàn)用戶環(huán)境中的設(shè)備，軟件，補(bǔ)丁，用戶和目錄對(duì)象，將它們智能地分組，并維護(hù)這個(gè)明晰的清單。集成的變更管理，實(shí)時(shí)狀態(tài)和服務(wù)依賴關(guān)系則，使得企業(yè)在資產(chǎn)管理，合規(guī)管理和解決問(wèn)題的能力上得以加強(qiáng)。SOC資產(chǎn)配置管理的核心是資產(chǎn)配置模型，該模型詳細(xì)地描述了SOC管理的設(shè)備，同時(shí)還描述了設(shè)備之間、業(yè)務(wù)對(duì)象之間以及其它用戶定義的重要分組之間的關(guān)系。由于該模型高度復(fù)雜，因此模型信息的來(lái)源也多種多樣，其中一個(gè)最主要的來(lái)源稱之為資產(chǎn)采集子系統(tǒng)，資產(chǎn)采集子系統(tǒng)通過(guò)各種可用的方式來(lái)發(fā)現(xiàn)設(shè)備上的服務(wù)、接口、主機(jī)上的進(jìn)程、服務(wù)、文件等信息。利用所采集的信息，在系統(tǒng)中建立一個(gè)基于資產(chǎn)模型的資產(chǎn)配置關(guān)系庫(kù)，成為SOC中所有審計(jì)操作的基礎(chǔ)。2.4.2資產(chǎn)信息關(guān)聯(lián)資產(chǎn)類別：網(wǎng)絡(luò)設(shè)備、服務(wù)器、工作站、存儲(chǔ)設(shè)備、周邊環(huán)境設(shè)備等。對(duì)于每種設(shè)備，除了列表顯示基礎(chǔ)屬性（名稱、IP、類型、版本、變更、審批狀態(tài)、維護(hù)信息等等），還可關(guān)聯(lián)查看豐富的相關(guān)信息，包括：設(shè)備概覽：屬性概要、狀態(tài)概要、健康概要、維護(hù)安排等健康狀態(tài)：包括可用性健康狀態(tài)、性能健康狀態(tài)和安全健康狀態(tài)。聯(lián)系人:負(fù)責(zé)該設(shè)備維護(hù)的人員信息。網(wǎng)絡(luò)接口:列表顯示設(shè)備中每一個(gè)接口的基本屬性，以及設(shè)備的UP/DOWN狀態(tài)。軟件：分類列表顯示設(shè)備中所安裝的各種軟件。硬件：列表顯示設(shè)備中所包含的主要硬件。配置：可以比較兩個(gè)配置間的差異資產(chǎn)關(guān)系：查看設(shè)備中各種軟件、組件間的關(guān)系，或與其它設(shè)備資產(chǎn)的關(guān)系。2.4.3資產(chǎn)建模與發(fā)現(xiàn)資產(chǎn)配置模型描述了每一設(shè)備硬件信息、操作系統(tǒng)、安裝軟件，以及運(yùn)行服務(wù)等方面的信息，據(jù)此，永達(dá)SOC可以自動(dòng)發(fā)現(xiàn)并識(shí)別網(wǎng)絡(luò)中的設(shè)備，并根據(jù)預(yù)配置的監(jiān)視模板對(duì)資產(chǎn)進(jìn)行狀態(tài)監(jiān)視。從而SOC可以適應(yīng)復(fù)雜IT環(huán)境的監(jiān)視和管理需求。2.4.4資產(chǎn)等高分析資產(chǎn)等高分析可以幫助用戶從完整性（I）、私密性（C）、可用性（A）三個(gè)角度把握全局的的資產(chǎn)安全狀態(tài)。直觀地了解不同級(jí)別資產(chǎn)的正在面臨的威脅事件，或者了解海量事件所影響的資產(chǎn)。根據(jù)資產(chǎn)的重要程度進(jìn)行分級(jí)，對(duì)每一級(jí)別資產(chǎn)，分別統(tǒng)計(jì)影響其完整性（I）、私密性（C）、可用性（A）的事件；對(duì)任意兩級(jí)資產(chǎn)，統(tǒng)計(jì)主體、客體位于不同資產(chǎn)級(jí)別的事件，并按完整性（I）、私密性（C）、可用性（A）事件進(jìn)行分類。然后把這些統(tǒng)計(jì)結(jié)果以可視的方式展現(xiàn)出來(lái)，用戶可以鉆取資產(chǎn)、事件的詳細(xì)屬性以及狀態(tài)。2.4.5資產(chǎn)狀態(tài)監(jiān)視系統(tǒng)基于資產(chǎn)配置管理數(shù)據(jù)庫(kù)，使用狀態(tài)監(jiān)視模型插件，可以深入、全方位地為用戶展示其IT設(shè)施的狀態(tài)，從網(wǎng)絡(luò)到服務(wù)器，再到其應(yīng)用程序、IP服務(wù)、文件系統(tǒng)、進(jìn)程等等。系統(tǒng)通過(guò)支持SNMP、SSH、WMI、SYSLOG、TELNET等協(xié)議，實(shí)現(xiàn)無(wú)代理數(shù)據(jù)采集，從而最大限度地減少對(duì)被監(jiān)視系統(tǒng)的影響?？捎眯员O(jiān)控可用性測(cè)試包括針對(duì)IT基礎(chǔ)架構(gòu)的系統(tǒng)運(yùn)行測(cè)試，通過(guò)測(cè)試可以判斷系統(tǒng)是否在正常運(yùn)行，測(cè)試手段包括：ping測(cè)試、進(jìn)程測(cè)試和服務(wù)測(cè)試。性能監(jiān)視性能監(jiān)視系統(tǒng)的作用是，跟蹤重要的IT資源信息并隨時(shí)記錄其變化。通過(guò)SNMP、自定義腳本（pythonscript)或XML-RPC來(lái)采集數(shù)據(jù)。事件管理事件管理是Soc系統(tǒng)各部分狀態(tài)信息以及受其監(jiān)視系統(tǒng)信息的一個(gè)整合。還可接入來(lái)自IT基礎(chǔ)設(shè)施其它部分的事件，這其中包括Syslog和SNMPTraps。Ssoc收到這些事件后，通過(guò)一套規(guī)則進(jìn)行處理并最終將這些事件整合進(jìn)Ssoc模型。2.5安全事件管理2.5.1安全事件采集安全事件采集支持的設(shè)備類型有網(wǎng)絡(luò)設(shè)備，安全設(shè)備，安全程序，應(yīng)用程序，操作系統(tǒng)，數(shù)據(jù)庫(kù)，反病毒等。這些設(shè)備或者應(yīng)用程序使用SNMP、Syslog或者客戶端程序?qū)⑷罩緮?shù)據(jù)發(fā)送到SOC管控器。數(shù)據(jù)在送到SOC管控器以后，SOC管控器通過(guò)規(guī)則進(jìn)行過(guò)濾，使用設(shè)備類型進(jìn)行分類，對(duì)各種日志進(jìn)行分類、聚合，加密、格式規(guī)范化。2.5.2安全事件監(jiān)控安全事件監(jiān)控負(fù)責(zé)實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)的安全事件狀態(tài)，是實(shí)時(shí)掌握全網(wǎng)的安全威脅狀況的重要手段之一。通過(guò)事件監(jiān)控模塊監(jiān)控網(wǎng)絡(luò)各個(gè)網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)等日志信息，以及安全產(chǎn)品的安全事件日志信息等，及時(shí)發(fā)現(xiàn)正在和已經(jīng)發(fā)生的安全事件，通過(guò)響應(yīng)管理中心模塊采取措施，保證網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的安全、可靠運(yùn)行。實(shí)時(shí)將其結(jié)果輸入綜合分析決策支持與預(yù)警平臺(tái)。安全事件監(jiān)控中心還包括網(wǎng)絡(luò)異常流量監(jiān)控模塊。蠕蟲(chóng)和DDOS攻擊是影響網(wǎng)絡(luò)正常運(yùn)行的主要安全威脅之一。通過(guò)異常流量監(jiān)控模塊實(shí)時(shí)監(jiān)控重要網(wǎng)絡(luò)鏈路的流量狀況，可以及時(shí)檢測(cè)網(wǎng)絡(luò)中的異常流量，采取有效措施降低異常流量對(duì)網(wǎng)絡(luò)的影響。2.5.3實(shí)時(shí)事件關(guān)聯(lián)分析安全管理平臺(tái)的關(guān)聯(lián)技術(shù)也是我們產(chǎn)品的核心技術(shù)，由于任何一項(xiàng)單獨(dú)的關(guān)聯(lián)技術(shù)都是不全面的，所以基于這點(diǎn)，我們采用了混合關(guān)聯(lián)技術(shù)混合關(guān)聯(lián)引擎。最大限度的減少誤報(bào)提高準(zhǔn)確性，在混合關(guān)聯(lián)技術(shù)中我們主要使用以下技術(shù)：統(tǒng)計(jì)關(guān)聯(lián)技術(shù)。所有的安全事件將為優(yōu)先化處理給以一個(gè)安全級(jí)別。這樣管理員就不需要去用眼睛看數(shù)千個(gè)警報(bào)了。而且管理員可以自定義極限值以減少勿報(bào)的幾率，通過(guò)安全監(jiān)控及早的發(fā)現(xiàn)危險(xiǎn)。漏洞信息關(guān)聯(lián)技術(shù)。主要是收集第三方管理漏洞系統(tǒng)的信息，這個(gè)過(guò)程將使用來(lái)自CVE信息來(lái)進(jìn)行關(guān)聯(lián)。我們提供專用的工具將漏洞管理信息導(dǎo)入到我們的數(shù)據(jù)庫(kù)。因?yàn)殛P(guān)聯(lián)過(guò)程中使用了最新的來(lái)自CVE的信息（我們的安全知識(shí)庫(kù)是可以進(jìn)行更新的，并且可以自我定義），而且可以提供相關(guān)知識(shí)連接，所以能及時(shí)發(fā)現(xiàn)最新的安全隱患。狀態(tài)式(基于規(guī)則)關(guān)聯(lián)技術(shù)。用戶可以預(yù)先定義的商業(yè)資產(chǎn)值和狀態(tài)式規(guī)則，狀態(tài)式關(guān)聯(lián)可以辨別真正的攻擊。當(dāng)采集到的事件符合規(guī)則中的任何情形的時(shí)候，安全管理平臺(tái)就把作為一個(gè)真實(shí)的攻擊進(jìn)行分類，并且觸發(fā)一個(gè)安全警告，使安全管理員能及時(shí)高效的對(duì)真正的攻擊做出反應(yīng)。機(jī)器自動(dòng)學(xué)習(xí)技術(shù)。這是基于聚合的技術(shù)，它把組中的不同類型的設(shè)備之間有關(guān)系的事件匯聚成一個(gè)事件。通過(guò)采用上述關(guān)聯(lián)分析技術(shù)，SOC將來(lái)自不同設(shè)備的日志事件紀(jì)錄（例如：防火墻、入侵檢測(cè)系統(tǒng)、防毒軟件、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)及其它應(yīng)用程序等），進(jìn)行數(shù)據(jù)采集、關(guān)聯(lián)分析、事件優(yōu)先重要性分析及可視化呈現(xiàn)。這樣雜亂且繁多無(wú)章的系統(tǒng)信息就自動(dòng)轉(zhuǎn)換成有意義、且利于用戶對(duì)安全故障做出響應(yīng)的有用信息。利用安全事件回放的功能及統(tǒng)計(jì)分析顯示報(bào)告功能，提供事后調(diào)查取證的能力。2.6集中審計(jì)儀表板2.6集中審計(jì)儀表板SOC使用“等高分析”為用戶提供全局的審計(jì)情況，以“資產(chǎn)分類”和“業(yè)務(wù)視圖”兩個(gè)視角為用戶提供審計(jì)結(jié)果?；赟OC的資產(chǎn)配置庫(kù)，以列表方式分類列出所有設(shè)備，根據(jù)不同類型設(shè)備，列出相應(yīng)的審計(jì)項(xiàng)目（即列表的列項(xiàng)），同時(shí)提供鉆取每一審計(jì)項(xiàng)目詳細(xì)信息的功能?！皹I(yè)務(wù)視圖”是根據(jù)用戶環(huán)境中的實(shí)現(xiàn)業(yè)務(wù)對(duì)資產(chǎn)進(jìn)行分組，如OA系統(tǒng)、財(cái)務(wù)系統(tǒng)、安全子系統(tǒng)等等，通過(guò)“業(yè)務(wù)視圖”，用戶可以關(guān)注各種業(yè)務(wù)的可用性狀態(tài)、性能狀態(tài)、安全狀態(tài)。“業(yè)務(wù)視圖”從以下幾方面提供審計(jì)信息：列表顯示所有業(yè)務(wù)視圖，列出名稱、健康狀態(tài)、性能故障數(shù)（高、中、低）、可用性故障數(shù)（高、中、低）、安全故障數(shù)（高、中、低）；列表顯示該業(yè)務(wù)視圖中的所有設(shè)備，包括設(shè)備IP、設(shè)備類型、可用性（UP/DOWN）、CPU使用、性能故障數(shù)（高、中、低）、可用性故障數(shù)（高、中、低）、安全故障數(shù)（高、中、低）等等，并能鉆取每一項(xiàng)的詳細(xì)信息。列出視圖包含的所有應(yīng)用，包括設(shè)備IP、設(shè)備名稱、設(shè)備類型、應(yīng)用名稱、進(jìn)程名稱、CPU使用、內(nèi)存使用等等。業(yè)務(wù)視圖可視化：展示業(yè)務(wù)系統(tǒng)的實(shí)際拓?fù)鋱D，查看總體的業(yè)務(wù)狀態(tài)，還可以選擇展示某一審計(jì)項(xiàng)目的詳細(xì)圖表。2.7安全告警與響應(yīng)2.7安全告警與響應(yīng)永達(dá)SOC可以根據(jù)性能故障數(shù)（高、中、低）、可用性故障數(shù)（高、中、低）、安全故障數(shù)（高、中、低）產(chǎn)生告警。通過(guò)配置告警生成規(guī)則，系統(tǒng)可以根據(jù)資產(chǎn)的保護(hù)級(jí)別、故障類型、故障嚴(yán)重程度等信息產(chǎn)生不同級(jí)別的告警（高、中、低）。在產(chǎn)生告警時(shí)，SOC充分考慮了現(xiàn)實(shí)管理的情況，系統(tǒng)可以設(shè)定告警的合并條件，對(duì)于滿足條件的告警進(jìn)行合并，可以有效避免對(duì)相關(guān)的故障重復(fù)響應(yīng)（如對(duì)同一設(shè)備故障生成多個(gè)工單）。目前系統(tǒng)可以對(duì)同一資產(chǎn)、仍然處理打開(kāi)狀態(tài)的告警進(jìn)行合并。SOC支持多種告警響應(yīng)方式，包括郵件通知、短信息通知，也可以配置執(zhí)行某個(gè)響應(yīng)程序。三、產(chǎn)品特點(diǎn)3.1資產(chǎn)的統(tǒng)一配置、監(jiān)控、告警、評(píng)估、響應(yīng)永達(dá)SOC安全管理與控制平臺(tái)，繼承了傳統(tǒng)安全管理軟件在資產(chǎn)管理、設(shè)備監(jiān)控、預(yù)警管理、安全評(píng)估、安全響應(yīng)、配置管理等方面的功能。永達(dá)SOC安全管理與控制平臺(tái)的功能，包括圍繞資產(chǎn)對(duì)象，以安全事件管理為關(guān)鍵流程，采用安全域劃分的思想，建立一套實(shí)時(shí)的資產(chǎn)風(fēng)險(xiǎn)模型，協(xié)助管理員進(jìn)行事件分析、風(fēng)險(xiǎn)分析、預(yù)警管理和應(yīng)急響應(yīng)處理的集中安全管理系統(tǒng)。3.2策略、檢測(cè)、防護(hù)、響應(yīng)一體化在整體的安全策略的控制和指導(dǎo)下，在綜合運(yùn)用防護(hù)工具的同時(shí)，利用檢測(cè)工具(攻擊溯源、安全事件關(guān)聯(lián)分析、安全態(tài)勢(shì)分析等)了解和評(píng)估系統(tǒng)的安全狀態(tài)，及時(shí)調(diào)整安全策略，將系統(tǒng)調(diào)整到“最安全”和“風(fēng)險(xiǎn)最低”的狀態(tài)。防護(hù)、檢測(cè)和響應(yīng)組成了一個(gè)完整的、動(dòng)態(tài)的安全循環(huán)，在安全策略的指導(dǎo)下保證信息系統(tǒng)的安全。策略：統(tǒng)一策略管理，是安全防護(hù)管理的前提。所有的防護(hù)、檢測(cè)和響應(yīng)都是依據(jù)安全策略實(shí)施的。永達(dá)SOC安全管理與控制平臺(tái)，通過(guò)統(tǒng)一的安全策略管理功能，實(shí)現(xiàn)網(wǎng)絡(luò)策略的統(tǒng)一管理、發(fā)布、自動(dòng)調(diào)整功能。防護(hù)：防護(hù)是根據(jù)系統(tǒng)可能出現(xiàn)的安全問(wèn)題而采取的預(yù)防措施。計(jì)算機(jī)網(wǎng)絡(luò)中大量采用的防護(hù)技術(shù)通常包括數(shù)據(jù)加密、身份認(rèn)證、訪問(wèn)控制、授權(quán)和虛擬專用網(wǎng)（VPN）技術(shù)、防火墻、安全掃描和數(shù)據(jù)備份等。當(dāng)安全管理系統(tǒng)檢測(cè)到攻擊或威脅來(lái)到時(shí)，如果計(jì)算機(jī)網(wǎng)絡(luò)原有的安全防護(hù)措施不足以達(dá)到安全防護(hù)的目的，就需要及時(shí)調(diào)整安全策略。檢測(cè)：當(dāng)攻擊者穿透防護(hù)系統(tǒng)時(shí)，檢測(cè)功能就發(fā)揮作用，與防護(hù)系統(tǒng)形成互補(bǔ)。檢測(cè)是動(dòng)態(tài)響應(yīng)的依據(jù)。永達(dá)SOC安全管理與控制平臺(tái)通過(guò)事件在線分析、攻擊溯源、安全態(tài)勢(shì)監(jiān)控等多種手段，進(jìn)行攻擊檢測(cè)和威脅分析。（4）響應(yīng)：系統(tǒng)一旦檢測(cè)到入侵，響應(yīng)系統(tǒng)就開(kāi)始工作，進(jìn)行事件處理。響應(yīng)包括緊急響應(yīng)和恢復(fù)處理，恢復(fù)處理又包括系統(tǒng)恢復(fù)和信息恢復(fù)。永達(dá)SOC安全管理與控制平臺(tái)響應(yīng)管理中心，集中處理安全響應(yīng)，保障全網(wǎng)安全。3.3網(wǎng)絡(luò)、應(yīng)用、業(yè)務(wù)三維一體化管理安全與業(yè)務(wù)的融合是客戶需求發(fā)展趨勢(shì)，也是安全技術(shù)發(fā)展的必然。永達(dá)SOC安全管理與控制平臺(tái)，在解決用戶傳統(tǒng)網(wǎng)路安全管理需求的技術(shù)上，其核心價(jià)值在于融合了網(wǎng)絡(luò)安全管理、應(yīng)用安全管理和業(yè)務(wù)安全管理的功能，從全網(wǎng)安全的角度，提供了一套網(wǎng)絡(luò)、應(yīng)用、業(yè)務(wù)三維健康管理方案。一個(gè)IT支撐系統(tǒng)一般是由一組IT資源(主機(jī)、網(wǎng)絡(luò)、存儲(chǔ)等)和一套業(yè)務(wù)流程構(gòu)成的。對(duì)于IT支撐系統(tǒng)而言，IT資源的種類往往相對(duì)是穩(wěn)定的，而業(yè)務(wù)的復(fù)雜性就體現(xiàn)在業(yè)務(wù)流程上。傳統(tǒng)的網(wǎng)絡(luò)安全管理，保障了業(yè)務(wù)支撐系統(tǒng)的安全。在此基礎(chǔ)上，永達(dá)SOC安全管理與控制平臺(tái)從業(yè)務(wù)出發(fā)，通過(guò)業(yè)務(wù)需求分析、業(yè)務(wù)建模、面向業(yè)務(wù)的安全域和資產(chǎn)管理、業(yè)務(wù)連續(xù)性監(jiān)控、業(yè)務(wù)價(jià)值分析、業(yè)務(wù)風(fēng)險(xiǎn)和影響性分析、業(yè)務(wù)可視化等各個(gè)環(huán)節(jié)，采用主動(dòng)、被動(dòng)相結(jié)合的方法采集來(lái)自企業(yè)和組織中構(gòu)成業(yè)務(wù)系統(tǒng)的各種IT資源的安全信息，從業(yè)務(wù)的角度進(jìn)行歸一化、監(jiān)控、分析、審計(jì)、報(bào)警、響應(yīng)、存儲(chǔ)和報(bào)告。永達(dá)SOC安全管理與控制平臺(tái)通過(guò)整合應(yīng)用監(jiān)控功能和內(nèi)網(wǎng)安全管理功能，實(shí)現(xiàn)對(duì)業(yè)務(wù)載體和業(yè)務(wù)流程的全面監(jiān)控管理，將邊界安全、內(nèi)網(wǎng)安全和業(yè)務(wù)安全統(tǒng)一到一起，從整體的角度，統(tǒng)一管理、統(tǒng)一預(yù)警、全局審計(jì)。3.4靈活的統(tǒng)計(jì)告警規(guī)則設(shè)置系統(tǒng)內(nèi)置豐富的統(tǒng)計(jì)告警規(guī)則，并支持?jǐn)U展和自定義規(guī)則，這些規(guī)則從不同層面上反映當(dāng)前的安全管理狀況，所有的規(guī)則都可以根據(jù)定義的條件觸發(fā)相應(yīng)的告警。3.5功能熱升級(jí)SOC安全管理與控制平臺(tái)采用基于多代理的開(kāi)放式架構(gòu)和能力樹(shù)的內(nèi)部實(shí)現(xiàn)方法，能夠在不改變系統(tǒng)其它部分的同時(shí)實(shí)現(xiàn)安全功能的升級(jí)3.6安全部件聯(lián)動(dòng)SOC安全管理與控制平臺(tái)可以對(duì)安全代理、掃描器、IDS、防火墻產(chǎn)生的安全交易信息根據(jù)人工智能算法進(jìn)行分析綜合，并根據(jù)結(jié)果控制掃描器、IDS和防火墻產(chǎn)生相應(yīng)的安全動(dòng)作。3.7強(qiáng)大的智能處理引擎不但支持基于事件的關(guān)聯(lián)分析，而且支持基于資產(chǎn)的關(guān)聯(lián)分析，分析的結(jié)果可以關(guān)聯(lián)到知識(shí)庫(kù)和解決方案。永達(dá)多年對(duì)攻擊事件和掃描漏洞的深入研究保證了知識(shí)的積累和應(yīng)用。3.8以資產(chǎn)為核心的全新安全視角以往的安全管理系統(tǒng)往往是建立在安全產(chǎn)品和事件的基礎(chǔ)上，為安全管理員提供協(xié)助，而永達(dá)SOC安全管理與控制平臺(tái)顛覆了這種視角，建立全面的安全管理系統(tǒng)，讓每個(gè)管理員都可以查看自己需要的安全信息，以資產(chǎn)為核心，實(shí)現(xiàn)全面安全。3.9雙機(jī)熱備功能為了保證系統(tǒng)的高可用性，永達(dá)安全管理與控制平臺(tái)提供了雙機(jī)熱備份功能，即在同一個(gè)節(jié)點(diǎn)使用兩個(gè)配置相同的永達(dá)安全管理與控制平臺(tái)。正常情況下一個(gè)處于工作狀態(tài)，另一個(gè)處于備份狀態(tài)，當(dāng)工作狀態(tài)的系統(tǒng)出現(xiàn)故障時(shí)，備份狀態(tài)的永達(dá)安全管理與控制平臺(tái)自動(dòng)切換到工作狀態(tài)，做到無(wú)縫切換。永達(dá)安全管理系統(tǒng)的雙機(jī)熱備功能可以使永達(dá)安全管理與控制平臺(tái)備用主機(jī)在極短時(shí)間完成整個(gè)切換過(guò)程，切換過(guò)程不需要人為操作和除兩個(gè)永達(dá)安全管理與控制平臺(tái)以外的其他系統(tǒng)的參與。真正做到有備無(wú)患。四、典型運(yùn)用四、典型運(yùn)用4.1全國(guó)鐵路客票系統(tǒng)安全管理系統(tǒng)全國(guó)鐵路客票發(fā)售與預(yù)訂系統(tǒng)（簡(jiǎn)稱客票系統(tǒng)）已經(jīng)形成了多種結(jié)構(gòu)網(wǎng)絡(luò)的互聯(lián),涉及到18個(gè)鐵路局、二千多個(gè)車站、數(shù)萬(wàn)個(gè)售票終端，業(yè)務(wù)操作角色較多、流程復(fù)雜、交易負(fù)荷巨大、業(yè)務(wù)呈現(xiàn)分布性和多樣化，其承載的網(wǎng)絡(luò)體系復(fù)雜、開(kāi)放、規(guī)模巨大、異質(zhì)和異構(gòu)等特點(diǎn)，面臨的信息安全風(fēng)險(xiǎn)及問(wèn)題具有典型性和代表性。因此該系統(tǒng)的安全保障方案采用集中、動(dòng)態(tài)、統(tǒng)一的基于SOC的安全管理和控制體系架構(gòu)，以信息安全管理理念和等級(jí)保護(hù)為基礎(chǔ)，劃分以鐵道部心、鐵路局和車站的客票中心為核心的安全區(qū)域，對(duì)資源進(jìn)行整體分析，構(gòu)建統(tǒng)一目標(biāo)的安全網(wǎng)絡(luò)，在整合的統(tǒng)一平臺(tái)界面下，統(tǒng)一設(shè)置安全策略和事件響應(yīng)機(jī)制，并對(duì)所有設(shè)備進(jìn)行配置、監(jiān)控和管理，實(shí)現(xiàn)安全與業(yè)務(wù)耦合，人機(jī)互動(dòng)，進(jìn)行系統(tǒng)、動(dòng)態(tài)、可持續(xù)化的安全保障。4.22008北京奧運(yùn)電子政務(wù)網(wǎng)絡(luò)監(jiān)管平