菜单
分类: 标签:

LanSecS 安全管理平台系统

最近180天交易数:0

线下议价

用户点赞:

圣博润 LanSecS 安全管理平台系统是北京圣博润在安全管理平台(SOC)产品十余年来的开发经验和安全分析运维经验的基础上,融合大数据和机器学习技术开发的全新网络安全态势感知与监测预警产品。它主要面向政企行业客户,为政企行业客户提供可落地的安全保障能力,集安全可视化、监测、预警和响应处置于一体。

产品概述

圣博润 LanSecS 安全管理平台系统集中收集并存储客户 IT 环境的资产、运行状态、漏洞、安全配置、日志、流量等安全相关的数据,内置大数据存储和多种智能分析引擎,融合多种情境数据和外部安全情报,有效发现网络内部的违规资产、行为、策略和威胁,网络外部的攻击和威胁,及时预警,提供包括工单在内的多种响应方式,使安全防护和管理工作规范化流程化进行,通过丰富的仪表板将网络安全态势呈现给客户,最终生成多种合规报告。平台通过多种数据、分析方法构建动态的多层次、全天候网络安全态势知,结合等级保护管理,为政企客户构建网络安全动态深度防御体系。


LanSecS 安全管理平台系统采用组件化开发技术,是专注于安全管理和安全分析的应用套件开发平台,集成了安全事件和网络流量的采集,标准化,存储,告警,查询,分析和报表等全流程,内置大数据存储和智能分析引擎,提供功能界面定制和模块开发接口,用户可以快速部署,配置和开发一系列的安全管理相关应用。

技术架构

f/5b598d598aee5.png

产品技术架构分为数据摄取、数据存储、监测分析和指挥调度等阶段,通过 UI 与可视化实现展示和人机交互。

 1、数据摄取

数据摄取采集网络安全态势要素数据,包括网络内部 IT 环境数据和外部情景数据。内部态势数据包含了资产、业务、性能、配置、漏洞、日志、流/包数据等。外部态势要素包括安全情报数据和安全合规要求等。数据摄取支持海量、异构、高速的安全态势要素数据。数据摄取层支持分布式采集,提供分布式消息队列保证数据采集性能。

2、数据存储

数据存储层将采集的态势要素数据根据数据处理的需要保存在相应的数据库中。数据存储层支持不同类型的大数据的存储,这些数据包括结构化和非结构化数据,关系型和非关系型数据,实时数据和历史数据。服务于后续的监测分析,系统使用多种数据存储技术,包括传统的关系型数据库(RDBMS),分布式非关系型数据库(NoSQL)和 Hadoop 等大数据存储。

3、监测分析

监测分析层提供多种智能分析方法对网络安全态势进行全天候全方位感知,提供安全监测和分析能力。这些分析方法包括实时流式分析、历史数据的批量分析、交互式分析和回放分析等方法,提供了持续监测、关联分析、情境分析、机器学习、行为分析、威胁猎捕、风险评估、态势理解与预测等功能。
4、指挥调度

指挥调度层提供响应处置功能,包括针对感知的安全问题进行预警和告警,通过工单进行安全管理工作的流程化处理,提供响应控制和设备联动,按照剧本(Playbook)进行处置和演练,提供信息通报,实现安全情报的共享和安全信息上报。
5、UI 和可视化

UI 和可视化层是安全态势呈现层和系统人机交互层,为各类安全管理人员提供安全态势可视化呈现和安全处置响应界面。系统通过各类仪表板,报表报告和功能操作实现整个安全态势感知与安全防护的技术支撑。

产品组成 


LanSecS 安全管理平台系统主要包括安全信息采集器、态势分析中心、分布式计算存储节点、安全配置核查系统四部分。
 1、安全信息采集器
安全信息采集器为综合的安全态势要素采集器,可支持软件和硬件两种形态。安全信息采集器为通用的综合安全信息采集器,可根据采集策略采集资产、日志、流量、性能等安全相关信息,并根据传输策略上传到态势分析中心,各采集器可由态势分析中心统一管理,根据网络规模大小和实际需要进行部署。
2、态势分析中心
态势分析中心是系统核心软件,用于存储各类安全态势要素数据,并采用多种智能分析方法对态势要素进行分析,感知各类网络安全态势,进行安全监测,发现安全问题,并进行预警和响应。中心同时提供安全态势可视化展示和应用交互界面。分析中心底层的数据处理采用了分布式计算和搜索引擎技术对日志数据和流量元数据进行处理,可支持水平弹性扩展,既可以单节点工作,也可以通过多个节点构成集群实现计算和存储资源的扩展。
3、分布式计算存储节点
分布式计算存储节点用于海量日志和流量元数据场景下。当数据规模不断扩大时,单节点的态势分析中心无法满足数据存储和分析需求时,可通过增加分布式计算存储节点进行水平扩展,分布式计算存储节点可支持弹性扩展,节点数量可根据数据规模灵活增减,并提供数据冗余存储,可根据数据可靠性需求,设置数据副本的数量,在不同的节点保存数据的多份备份,配置灵活简单。分布式计算存储节点可安装并运行在独立的服务器上,实现安全事件的分布式存储、全文索引和分析。态势分析中心可以对网络中分散的分布式计算存储节点进行集中管理。
4 、安全配置核查系统
安全配置核查系统为独立节点,负责对网络 IT 环境的资产的安全配置进行采集和核查,并将核查结果上报至态势分析中心进行集中分析。安全配置核查系统也可采用提供标准 API的第三方工具或系统。安全配置核查系统支持软件和硬件两种形态。

产品功能

1、 资产测绘与管理

安全管理平台系统可支持手工维护、批量导入、外部接口同步等方式进行资产记录与维护,还可进行资产感知和测绘功能。当网络上出现一个新“资产”时,安全管理平台系统可通过探查扫描日志或者网络数据流自动感知它的存在。系统也可通过扫描指定的 IP 地址范围,嗅探有哪些新增资产,针对资产采用多种协议探测技术,发现更多网络服务类型和相关数据,结合系统的丰富的资产指纹库精确识别资产类型和版本、开放的端口范围,启动哪些服务。经过周期性对比和核实,实现根据网络资产数据和服务数据的图谱构建和自动化分析,并提供可视化呈现。 


资产管理可以从多种维度和标准对资产进行分组、分域管理,这些分类标准可包括资产类型、业务系统、安全等级、地理位置、所属部门等。平台的资产管理可构建资产的拓扑视图,为管理人员提供良好的可视化界面。

2、 脆弱性管理

系统可以通过漏扫系统的二次开发接口集中调度漏扫系统并下发漏洞扫描任务,并自动化采集扫描结果,获得资产脆弱性。同时,针对无法自动化调度的情况,系统支持结果文件导入的方式导入主流漏扫系统扫描后的结果,也支持通过安全评估过程分析由人工录入获得。通过对 IT 资产的漏洞管理,可以有效的预防安全风险。

借助于漏洞扫描系统,安全管理平台系统针对该已确定或未确定“资产”触发一次或多次扫描行为,以发现它是否存在任何紧急或者高风险的漏洞。例如:当一台新服务添加到网络时,安全管理平台系统可以探测到它的基础信息和漏洞情况,以及是否遗漏关键补丁,然后安全管理平台系统 可以通知安全运维团队进行漏洞修补或者相应计划,并对修补过程进行全程监督,如果该任务未得到执行,则督促或升级该问题。系统可记录每个资产的漏洞的发现情况、确认情况、修复情况等,进行漏洞全生命周期管理。系统能够统计分析漏洞检出率、复检率、修复率和修复周期等情况,根据统计数据帮助管理层提升漏洞管理水平,降低安全风险。
同时,安全管理平台系统通过自有安全漏洞情报库与系统管理的资产属性进行数据关联,通过情报与系统的资产数据融合分析,快速发现和预知资产存在的漏洞风险,加快检测速度和精准度,缩短风险停留时间。

圣博润安全漏洞情报库通过采集安全监管机构、安全厂商或行业内最新公布的漏洞情报数据,通过对情报数据分析加工后,形成可利用的标准化漏洞情报库。

3、 安全事件分析与管理
系统支持对包括网络设备、安全设备与系统、主机、中间件、数据库、存储、应用、虚拟化及云和服务在内的多种 IT 资产的安全事件进行集中管理。系统支持多种协议的海量异构日志的采集、存储与分析,对采集的日志进行实时范化、分类、过滤和归并。系统将范化后的日志送入规则关联分析引擎,进行流式实时分析,结合多种情境数据发现符合安全分析场景的安全事件。系统同时对各类原始日志进行全文索引,并保存在分布式非关系型数据库中,通过搜索引擎技术为安全事件的检索查询提供服务,通过复合交互式搜索满足安全分析师交互式分析需求。系统提供基于机器学习的多种异常检测技术,可检测发生于网络中的各类安全异常状况,解决基于静态规则库的安全事件分析仅能发现已知攻击和威胁的问题,异常检测功能具备不依赖规则而检测低概率威胁事件的能力,可有效辅助检测 APT 攻击和潜伏在网络内部的未知威胁,提升整体网络安全感知能力。系统提供可视化安全分析技术,使安全态势可视化,安全分析人员通过数据可视化可从更高层面上去观察和感知安全问题。
针对发现的安全事件,系统提供多种通知方式,并给出响应建议,安排处置并进行跟踪监督,为安全事件的闭环处理提供技术支撑。

4、 威胁情报采集与利用

系统通过安全社区及第三方威胁情报合作商获取可机读威胁情报,然后系统可自动创建分析规则,对本地网络中采集的数据进行实时对比分析,及时发现发现来自恶意 IP 的可疑的连接行为;同时,系统可利用威胁情报对历史数据进行比对,以发现曾经发生过的 未被检出攻击行为或本地网络中的 Botnet 主机,并可利用情报对安全事件进行情报溯源分析。威胁情报包括恶意 IP/URL/Domain Name/Email 等数据。同时,系统检测发现的安全威胁和攻击可经过安全分析师转化为威胁情报加入系统威胁情报中心,通过信息通报方式上报给上级机关或下发给各下级单位,以便及时进行相应的预防阻断,降低安全风险。

5、安全配置核查

系统可集中调度驱动安全配置核查系统进行网络 IT 资产的安全配置检查,通过多种网络协议,模拟检查用户登录被检查资产,自动化采集 IT 资产的安全配置信息,并根据相关行业规范对配置数据进行合规性分析、风险分析、对比分析和趋势分析等。系统可采集 IT资产的各类配置信息并进行合规性管理。
6、安全风险评估
安全管理平台系统遵循国家和国际风险评估标准,具有自动化、定量化计算资产及其业务系统的风险值的功能,协助管理人员进行定量的风险评估,可内置风险计算模型,综合考虑资产的价值、脆弱性和威胁,计算风险的可能性和风险的影响性。

系统能够展示出安全域的风险情况,标注安全域中资产风险的分布情况,辅助管理员进行风险分析,采取相应的风险处置对策。能够实现区域及全局风险的计算与展示,能够量化,并动态展示安全风险,使安全管理人员快速感知网络安全风险。
7、网站安全监测
系统采用远程监测技术对网站应用提供 7*24 小时实时安全监测。包括网页木马监测,快速、准确的发现和定位针对网页的挂马行为。网页篡改监测可对 WEB 站点目录提供全方位的保护,防止黑客、病毒等对目录中的网页、电子文档、图片、数据库等网页文件进行非法篡改和破坏。网站可用性监测可有效监测域名劫持、DNS 中毒等网站可用性问题,使安全管理人员对网站可用性进行详细的感知。网页关键字监测可对网站进行敏感关键字监测,实现精准的敏感字识别,确保网站内容符合互联网相关规定。

8、安全态势展示
系统应能够对采集的各类安全数据、态势要素进行综合分析评判,从多维度和指标化的形式来呈现政企客户全网整体安全运行态势和资产、漏洞、攻击以及管理等专题态势,并进行可视化展示,帮助管理层辅助决策和执行层运维指导。

全天候全方位安全态势展示包括综合态势展示、资产态势展示、攻击威胁态势展示、脆弱性态势展示、风险态势展示和安全管理态势展示。
9、等级保护工作管理
安全管理平台系统为安全管理人员开展等级保护工作提供工作支撑,使原先在线下由人工完成的等级保护定级、备案、测评、整改等工作实现平台上数据管理和流程管理。并通过平台采集的数据和相应分析功能,部分实现等保指标自测评。 

管理人员可按照等级保护标准规范在平台上对信息系统定级信息进行填报、管理、编辑等,包括系统定级依据、系统定级情况、系统定级报告等,支持定级业务流程的审批。 

支持按照等级保护标准规范对信息系统备案信息进行填报、管理、编辑等,包括系统基本情况、关键产品使用情况、备案证明等信息,支持备案业务流程的审批。 

系统支持对信息系统等级保护测评信息的管理,提供配置审核功能。测评信息包括项目名称、测评单位、测评年度、被测评的信息系统等。 

系统支持对信息系统等级保护整改信息的管理,提供配置审核功能。整改信息包括项目名称、整改开始及结束日期、参与人等。 

系统可对政企客户的信息系统的相关等保数据进行收集,进行关联展示,形成等级保护管理工作的整体态势。
10、告警响应管理
系统可对感知的安全问题实时进行预警和报警。系统可以对告警信息进行统计分析,可以根据统计结果直接钻取符合条件的告警信息,并支持对告警信息的追踪溯源。系统提供了多样化的告警通知方式,如实时屏幕显示、电子邮件、短信、微信和工单等。系统可提供工单跟踪功能,保障安全事件得到相应的处理。
11、工单管理
系统支持可定制化的工单流转功能实现安全运维与应急处置。系统可针对发现的安全事件、告警、预警和安全通知等创建工单,并自定义工单流转流程,通过工单的确认、审批和办结等完成安全管理工作的流转。工单可手工指派,既可以生成单次任务工单,也可以生成周期性任务工单,可设定优先级和工单时限等。在派发工单的时候,平台可以邮件方式、短信或微信方式通知运维人员及时处理。
工单功能可实现安全运维管理工作的流程化、规范化和可追溯,保证了客户安全运维和管理工作的顺利实施和实施质量。也可以通过定制开发实现与第三方运维系统的对接,形成工单协同。
管理人员可对工单进行统计分析,了解工单任务状况。
12、安全信息通报
对于国家关键基础设施和重要客户单位,安全管理有协同管理的需求,需要进行安全信息和通知的上传下达。系统支持安全事件通报、重要时期安全通报、安全态势通报等通报类型,提供通报下发、接收、上报工作流程管理,并且支持通报任务单次下发和周期性下发两种模式,还包括信息主动上报、安全月报上报等功能。
根据需要,系统支持与国家信息安全通报机制进行对接,可将国家级信息安全通报导入到平台中并发到下级单位,下级单位依据主管部门要求收集反馈信息,输出格式化报告报送信息安全通报主管部门,通报内容包括通报名称、接收单位、事件分级分类、通报要求等。 
安全运维人员可使用系统收集整体安全通报情况,进行关联展示,可根据展示的内容形成组织安全通报的整体态势。
13、安全仪表板
安全管理平台系统提供了安全管理门户的功能,该门户是用户进行日常安全态势分析和管理的统一入口和界面,该门户为管理人员提供功能菜单和丰富的仪表板,仪表板可调整内容和布局针对不同角色的用户提供其关注的信息。系统为不同角色的用户设置个性化的管理门户首页展示信息,并能够动态扩展、灵活更新。系统可将安全仪表板生成安全报告并进行共享。
14、报表与报告
统计报表和安全工作报告是安全管理平台系统重要的功能之一,是安全分析结果的呈现和安全管理工作的成果描述。安全统计报表通过对系统获取的有关数据进行汇总、计算、对比,综合分析和评价组织的信息安全状况的安全管理成果。报表分析属于基本分析范畴,它是对企业信息安全状况的动态统计分析,是在研究过去的基础上感知未来趋势,以便做出正确的安全管理决定。
安全统计报表是静态历史数据,只能概括地反映组织在一段时间内的安全状况与管理成果,应对报表进行综合分析,才能得到更有效的信息。安全管理人员综合安全统计结果、安全事件分析结果、知识库和案例等,生成安全分析报告,报告中具有丰富的数据元素和表现形式,有事件描述、图表数据予以佐证,提供修复建议和改进指南。提供周报、月报、季报和年报等报告,供安全管理人员参考。
系统既有丰富的内置报表,也提供报表编辑器,供管理员自定义报表。报表支持多种格式导出,包括支持 EXCEL 格式的报表导出。管理员可以对报表生成制定计划,定期自动生成报表,并支持邮件递送。管理员可对报表和报告设定共享权限,共享给其他用户,使相应人员阅读安全报告,了解安全动态。
15、安全知识库管理
安全管理平台系统提供丰富的知识库,供态势感知与分析功能使用,同时积累经验,为安全管理人员日常运维工作提供指导。
安全管理用户可以对知识库中所有的知识点进行基于关键字的全文检索。
系统预先建立的知识包括:漏洞库情报、威胁情报库、安全事件分类库、范化策略库、关联规则库、异常检测策略库、等级保护知识库等。
系统安全知识库支持定期更新升级,保持知识库最新状态,使系统能够及时感知最新漏洞,通过安全关联规则检测最新安全威胁。

性能介绍 

  • 集群部署时安全事件分析和入库能力大于 50000 条日志每秒

  • 10 亿条事件单条件查询完成时间小于 2 秒

  • 完善的数据访问权限控制支持 200 以上用户/租户流畅使用

  • 资产探测可达到 30 个/秒

  • 安全配置核查可达 1100IP/小时 

产品部署 


LanSecS 安全管理平台系统支持在政企行业客户网络内的多种部署模式。下图展示了系统大规模分级分布式部署的方式。

9/5b59979631246.png

1、系统均采用旁路部署的模式,构建独立网络,不会对客户业务网络产生影响 

2、对大规模网络客户来说,可根据网络规模进行分布式采集器部署 

3、对于具有较多分支机构且各级机构具有独立安全管理职责的大型客户来说,系统可支持分级部署,实现覆盖全网的安全态势感知与监测预警体系 

4、系统支持水平弹性扩展

产品优势与特点

1、灵活的大数据技术架构
LanSecS 安全管理平台系统采用先进的技术架构,满足大数据时代海量异构数据的采集、存储和分析需求。平台支持轻量级和重量级的大数据平台架构,根据项目规模不同,选
择不同的大数据技术架构。

2、智能的资产发现技术和指纹库
平台提供智能的多种资产发现技术,结合丰富的指纹库精准识别资产,帮助安全管理人员摸清家底,全面了解网络资产态势。

3、自有漏洞情报库
平台拥有完善的漏洞情报库,该漏洞情报库由圣博润集国内外权威漏洞发布机构、漏扫系统厂商、安全漏洞社区等漏洞信息,经过综合分析,形成圣博润漏洞标准描述格式。

4、基于机器学习的日志模式识别和可视化范化技术

圣博润开发的安全管理平台系统采用了机器学习的技术对海量日志进行学习和识别,通过分析日志语法结构和聚类算法,自动化对日志进行聚类合并,形成一个个包含相似数据内
容的日志集,并可以根据日志集内日志数量的大小进行排序。安全分析人员在查看数量繁多、种类复杂的搜索结果时,可以通过日志集模式进行查看和分析。

5、多层次智能安全分析技术

系统提供多层次的安全事件分析技术,通过多年积累的丰富的安全分析经验,系统内置多种安全分析场景规则,也可以通过可视化方法编辑关联规则,强大的关联分析引擎实时分析采集的安全日志和流量元数据,结合各类情境数据,及时发现已知的攻击和威胁。

6、开放、可扩展的套件化应用开发平台
圣博润建设的安全管理平台系统采用套件化技术开发,套件化平台集成了安全事件和网络流量的采集,标准化,存储,告警,查询,分析和报表等全流程,内置大数据存储和智能分析引擎,提供功能界面定制和模块开发接口,用户可以快速部署,配置和开发一系列的安全管理相关应用。

7、专业的安全运营服务团队
公司建设了专业的安全运营服务团队。围绕平台提供专业的安全分析服务,包括策略优化、安全事件分析、安全监测、脆弱性检测、等级保护预测评、风险评估等。

增加评论