网御星云安全管理平台Leadsec-SOC_一站式安全运营中心解决方案_大数据分析架构的安全管理平台-云巴巴 -云巴巴

网御星云安全管理平台Leadsec-SOC

网御安全管理系统（Leadsec-SOC）是一个以IT资产为基础，以业务信息系统为核心，以客户体验为指引，从监控、审计、风险和运维四个维度建立起来的一套可度量的统一业务支撑平台，使得各种用户能够对业务信息系统进行可用性与性能的监控、配置与事件的分析审计预警、风险与态势的度量与评估、安全运维流程的标准化、例行化和常态化，最终实现业务信息系统的持续安全运营。

立即咨询

首页

数字化产品

安全运营

网御星云安全管理平台Leadsec-SOC

安全管理平台的两大动因 icon

内在需求

全网整体安全态势监控

系统整体运行状态监控

便捷、高效的管控平台和界面

集中化的监控、审计、预警、响应、报告

外在需求

全面有效地的契合等级保护的要求

符合国家法律、行业法规、企业规定

切实可行的内控、信息科技风险防范

合规审计

当前安全管理平台的缺陷 icon

以资产为管理对象
个体化的

局部的

非结构化的

以规则关联为分析手段
规则驱动的

先验性的

已知的

以事件为分析要素
已经发生了的

事后的

被动的

网御安全管理平台（SOC）定义 icon

以IT 资产为基础，以业务信息系统为核心，以用户体验为指引，从监控、审计、度量、运维四个维度建立一个全网统一的业务支撑平台，使得各种用户能够对业务信息系统进行可用性、性能与服务水平监控，配置及事件分析、审计、预警与响应，风险及态势的度量、评估、考核与评价，标准化、例行化、常态化的安全流程管控，通过面向业务的主动化、智能化安全管理实现业务信息系统的持续安全运营。

网御星云将融合了大数据技术的新一代安全管理平台称作SOC3.0。SOC3.0以大数据分析架构为支撑，以业务安全为导向，构建起以数据为核心的安全管理体系，强调更加主动、智能地对企业和组织的网络安全进行管理和运营。实现对海量安全信息进行全面的收集、整理、分析、审计，并借助智能化的分析手段提取出关键的安全事件；对客户复杂的IT系统从业务的角度进行全方位的可用性及性能监测、故障定位和告警；主动地进行事前安全管理，在攻击发生之前就获悉网络的安全态势；对客户重要业务系统进行量化的风险评估；借助量化的分析模型实现全网的安全态势感知；协助客户进行常态化的安全运维；符合并体现了等级保护和信息安全管理体系的要求。

SOC：下一代安全管理平台 icon

业务的
以业务为核心

业务建模

业务健康指数

业务性能与可用性

业务脆弱性

业务威胁水平

主动的
内建主动安全机制

事前脆弱性管控

配置核查

漏洞扫描

预警管理

安全预警

性能预警

智能的
智能化关联分析

规则关联

情境关联

行为关联

智能化态势分析

知所未知

用户视图

技术架构

功能架构

核心功能

网御安全管理系统基于开放式的软件平台设计架构，由多个功能模块组成，用户可以自由选择搭配，后续还能够无缝升级。系统的主要功能包括：

面向业务的统一安全管理

系统内置业务建模工具，用户可以构建业务拓扑，反映业务支撑系统的资产构成，并自动构建业务健康指标体系，从业务的性能与可用性、业务的脆弱性和业务的威胁三个维度计算业务的健康度，协助用户从业务的角度去分析业务可用性、业务安全事件和业务告警。

全面的日志采集

可以通过多种方式来收集设备和业务系统的日志，例如Syslog、SNMP Trap、FTP、OPSEC LEA、NETBIOS、ODBC、WMI、Shell脚本、Web Service等等。

智能化安全事件关联分析

借助先进的智能事件关联分析引擎，系统能够实时不间断地对所有范式化后的日志流进行安全事件关联分析。系统为安全分析师提供了三种事件关联分析技术，分别是：基于规则的关联分析、基于情境的关联分析和基于行为的关联分析，并提供了丰富的可视化安全事件分析视图，充分提升分析效率，结合威胁情报，更好的帮助安全分析师发现安全问题。

全面的脆弱性管理

系统实现与多种漏扫系统的实时高效联动，内置安全配置核查功能，从技术和管理两个维度进行全面的资产和业务脆弱性管控。

主动化的预警管理

用户可以通过预警管理功能发布内部及外部的早期预警信息，并与网络中的IP资产进行关联，分析出可能受影响的资产，提前让用户了解业务系统可能遭受的攻击和潜在的安全隐患。系统支持内部预警和外部预警。

主动化的网络威胁情报利用

系统提供主动化的威胁情报采集，通过采集实时威胁情报，结合规则关联和观察列表等分析方式，使安全管理人员及时发现来自已发现的外部攻击源的威胁。

基于风险矩阵的量化安全风险评估

系统参照GB/T 20984-2007信息安全风险评估规范、ISO 27005:2008信息安全风险管理，以及OWASP威胁建模项目中风险计算模型的要求，设计了一套实用化的风险计算模型，实现了量化的安全风险估算和评估。

指标化宏观态势感知

针对系统收集到的海量安全事件，系统借助地址熵分析、热点分析、威胁态势分析、KPI分析等数据挖掘技术，帮助管理员从宏观层面把握整体安全态势，对重大威胁进行识别、定位、预测和跟踪。

多样的安全响应管理

系统具备完善的响应管理功能，能够根据用户设定的各种触发条件，通过多种方式通知用户，并触发响应处理流程，直至跟踪到问题处理完毕，从而实现安全事件的闭环管理。

丰富灵活的报表报告

出具报表报告是安全管理平台的重要用途，系统内置了丰富的报表模板，包括统计报表、明细报表、综合审计报告，审计人员可以根据需要生成不同的报表。系统还内置了一套报表编辑器，用户可以自行设计报表，包括报表的页面版式、统计内容、显示风格等。

流安全分析

除了采集各类安全事件，系统还能够采集形如NetFlow的流量数据并进行可视化展示。针对采集来的NetFlow流量数据的分析，系统能够建立网络流量模型，通过泰合特有的基于流量基线的分析算法，发现网络异常行为。

一体化的安全管控界面

系统提供了强大的一体化安全管控功能界面，为不同层级的用户提供了多视角、多层次的管理视图。

面向各角色用户的一体化安全管控 icon

一体化安全管控

高层领导

掌握整体安全态势评估安全机制的有效性提供安全管理决策支持

业务部门领导

掌握业务系统安全态势查阅业务系统安全报告协调安全事件的处理安全经理

落实安全策略制定任务计划出具分析报告

运维人员

监测网络可用性安全事件审计任务处理与应急响应

灵活多样的部署方式

单级部署

单机部署

采集分布式部署

事件存储分布式部署

混合分布式部署

多级部署

产品特点

面向业务的安全管理

业务安全：为用户提供业务支撑拓扑地图，能够对业务进行多视角安全管理。

全方位的系统运行监控 icon

领导
掌握整体运行状况

符合等保要求

评估安全的可用性

安全经理
建立监控策略

制定任务计划

出具运行分析报告

监控人员
应用性能监测

故障定位

任务处理与告警响应

智能化的安全事件分析 icon

领导
掌握整体安全态势

审核等保与内控

评估安全有效性

审计人员
建立审计策略

制定任务计划

出具日志审计报告

行业标准
采集和存储日志

日志审计与分析

任务处理与告警响应

智能化事件关联分析

情境关联资产关联
事件与资产属性关联

针对内网的目的IP事件，且这些目的IP的操作系统是Windows XP

情境关联弱点关联
事件与资产弱点关联

针对某些目的IP攻击事件，且这些目的IP具有某个特定弱点

情境关联威胁情报关联
事件与威胁情报关联

来自某些源IP攻击事件，且这些源IP被威胁情报标识为有组织黑客所掌握的恶意IP

情境关联拓扑关联
事件与网络拓扑关联

来自某些IP的性能故障事件发生时间存在先后，在网络拓扑上的映射符合故障的传播特性

情境关联网络告警关联
事件与网络告警关联

IDS报告某个IP正在遭受攻击且该IP的CPU利用率及端口流量告警

规则关联逻辑关联
基于逻辑表达式的规则

目的IP=XX &（目的端口=80 || 目的端口=8080）

规则关联统计关联
基于统计条件的规则

一分钟内某个源IP连续登录某个目的IP失败的次数大于6次

行为关联周期性行为
同比分析

与以往每天早上9点钟相比，今天早上9点的防火墙阻断次数偏高

行为关联行为预测
环比分析

今天的IDS高等级告警次数与根据之前10天的走势做出的预测相比偏高

主动化的弱点管理与预警 icon

主动化的弱点管理与预警 icon

配置核查
定期自动化地检查业务系统的配置安全，提前识别配置安全隐患

漏洞扫描
定期自动化的进行漏洞扫描，并将扫描结果与核查结果综合分析

威胁预警
发布安全威胁预警，并标识出可能受影响的资产，提前做好防范

主动化的配置安全核查 icon

领导
掌握整体配置安全性

符合等保要求

签发核查规范

安全经理
建立核查模板

制定核查任务计划

出具核查报告

核查人员
执行核查任务

修订核查项

手工核查

漏洞扫描：网御漏扫引擎集成与调度 icon

主动安全：系统能够对常见漏扫引擎进行集中管理，并对网御/天镜/绿盟漏扫引擎下发扫描任务，收集扫描结果，统一进行漏洞脆弱性分析。

威胁预警管理

主动安全：通过发布内部及外部的早期预警信息，分析可能受影响的资产，提前了解业务系统可能遭受的攻击和潜在的安全隐患。

领导
掌握整体预警走势

辅助安全决策

安全经理
制定预警规范和策略

发布正式预警

分析受影响的业务

运维人员
提交预备预警

对受影响的资产加固

可量化的安全风险评估 icon

领导
掌握整体风险走势

辅助安全决策

安全经理
制定风险评估策略

分析风险

出具风险分析报告

评估人员
量化风险评估

实时风险监测

指标化的宏观安全态势感知 icon

领导

掌握整体安全态势

评估安全管理绩效

安全经理

建立指标体系

评估安全态势

出具态势分析报告

关键安全运行态势评价指标 icon

安全运行的态势感知过程也是智能化的安全事件分析过程

通过建立一套表征系统安全状态的指标和相应的数学模型，从宏观上度量全网的安全状态，并预测未来的安全走势 ——基于指标的网络安全态势感知

典型应用

网御安全管理系统广泛应用于政府、公安、金融、电信、电力、能源、烟草、媒体、教育、军队军工和大中型企业。系统尤其能够满足客户对于信息系统等级保护和企业内部控制的要求。下图展示了系统的一个典型部署场景。作为系统核心的安全管理平台的管理中心可以部署在一个网络可达的区域，实现对全网IT资产的集中化信息采集、分析和管控。对于分散的IT资产，系统提供了可以分布式部署的安全信息采集器，针对分散的区域进行安全信息的采集，并转发给安全管理平台。管理员可以通过浏览器在远程登录安全管理平台进行各项操作。对于大型的政府机构或者企事业单位，系统还支持多级级联部署模式，以适合客户分级管理的体制。