soc功能分析

1领信安全管理中心1.1安全门户（portal）基础功能资产管理用户管理系统管理主题管理首页管理2.1风险管理系统告警监控风险管理服务管理脆弱性管理系统漏洞管理配置管理安全事件管理系统事件收集体系事件处理和关联分析其他功能报表管理系统报表查看报表管理联想网御安全管理系统功能介绍安全监视系统安全监视管理功能，包括安全管理主页、全网拓扑呈现、VPN隧道全局监控、设备状态全局监视、实时报表监视、安全态势监视等功能组成。通过安全监视功能，用户从全局的角度，准确、直观获取当前安全总体形势和安全趋势。安全预警1.告警监控网络资源和设备受到攻击，或运行异常时，会以告警等信息方式，通知管理员。联想网御安全设备管理系统提供多种自动处理机制，协助用户监控最新告警，全方位掌控网络异常和攻击。2.告警管理联想网御安全设备管理系统提供强大的告警管理功能。用户可以查询、定位每一条详细告警，并进行确认、处理，系统记录告警处理时间、处理人等信息，使得每一个问题都可以进行事后审查。同时，系统提供以自定义条件进行统计分析，掌握总体的告警态势，协助定位安全问题，保障网络整体安全。安全响应安全响应管理，包括告警响应、策略调整、解决指导、攻击溯源、攻击拓扑呈现等功能组成。安全响应功能，根据管理员的预先配置，及时处理网络告警、异常事件。当攻击产生时，系统首先根据告警规则匹配，产生相关告警记录，并通过预先定义的告警方式通知管理人员，同时，根据防护需要，及时调整策略，并结合知识库内容，向管理员提供问题解决方案。攻击溯源功能和攻击拓扑呈现，有效帮助管理人员分析攻击源头和被攻击对象。安全运维安全运维管理功能，具体包括资产管理、策略管理、知识库管理、日志审计、权限管理、人员管理VPN组网、设备升级管理等功能组成。其中知识库管理功能，具体实现：知识库管理维护知识库为运维管理提供技术支撑知识库为管理员提供问题解决指导知识库关联告警事件、攻击事件设备管理、VPN组网、日志审计等功能，分别在其他章节介绍。设备监控1.拓扑地图拓扑地图以层次分明的地图页面，组织、呈现用户的网络部署情况。用户可以划分不同子图进行管理，符合用户企业组织结构的管理习惯；地图上安全设备的丰富属性及状态报警，可以让用户对安全设备的运行状况一目了然。系统灵活的权限控制，可以对不同管理员设定对不同子图的不同权限，进行严格权限控制。2.设备监视系统以直观清晰的方式显示设备关键属性和运行状态。设备运行异常时，拓扑图上会以不同的颜色、不同的图标来呈现设备，醒目提示管理员当前发生的问题。同时，以图形化方式允许管理员实时监控设备的详细信息。3.历史状态分析系统根据用户需要可以记录一段时间内的设备关键信息，在设备出现问题时，可以回放这一时间段内的信息记录，系统以曲线图形式给出关键信息的变动情况，协助定位问题，同时根据状态变动曲线，可以为系统未来运行状态变化趋势提供参考。4.集中设备配置联想网御安全设备管理系统提供切换灵活、操作简单的集中设备配置界面，方便用户从管理中心管理配置每一台安全设备，及时调整防火墙的安全策略和系统配置。5.统一设备升级层出不穷的安全威胁、攻击以及设备新增强功能，需要安全设备以升级包的方式升级更新。联想网御安全设备管理系统提供的设备统一升级功能，允许用户在管理中心管理所有已发布的升级包，并自动进行统一下发，瞬时完成分部在全国各地的安全设备的升级。策略管理1．安全设备策略管理面对数量众多的防火墙设备，联想网御安全设备管理系统提供了统一的策略编辑、配置功能。在安全设备管理系统上通过图形化界面配置网御防火墙的安全策略，系统会将策略批量下发到防火墙，既能保证安全策略的一致性，又可以大量减少管理员的工作强度。2．VPN策略管理VPN设备的策略配置包括IKE策略、IPSEC策略等，手动配置比较烦琐，且容易出错。联想网御安全设备管理系统提供了VPN策略管理功能，可通过图形化界面编辑、下发VPN策略，建立VPN隧道。同时，系统还提供了全网VPN的集中监控功能，系统管理员可以一目了然的看到网络中VPN隧道的运行状况及流量等相关信息。日志监视系统可以实时监视接收到的事件的状况，如最近日志列表、系统风险状况等；监控事件状况的同时也可以监控设备运行参数，以配合确定设备及网络的状态；日志监视支持以图形化方式实时监控日志流量、系统风险等变化趋势。日志管理日志管理模块对多种日志格式的统一管理。自动将其收集到的各种日志格式转换为统一的日志格式，便于对各种复杂日志信息的统一管理与处理。它支持对安全设备、网络设备、主机系统进行日志数据采集，通过SNMP、SYSLOG或者其它的日志接口从各种网络设备、服务器、用户电脑和网络安全设备中收集日志，用以进行统一管理、分析和报警；自动完成日志数据的格式解析和分类；为用户提供日志数据的存储、备份、恢复、删除、导入和导出操作等功能。通过IE浏览器可以访问管理模块的事件查询功能，它支持灵活的日志信息查询，用户可以设定条件，快速查询浏览各种安全事件，协助分析、定位安全问题，同时提供结果导出和打印。日志管理支持分布式日志级联管理，下级管理中心的日志数据可以发送到上级管理中心进行集中管理统计分析联想网御安全管理系统综合各种安全设备的安全事件，以统一的审计结果向用户提供可定制的报表，全面反映网络安全总体状况，重点突出，简单易懂。系统支持对包过滤日志、代理日志、入侵攻击事件、病毒入侵事件等十几种日志进行日志统计分析并生成分析报表；支持按照设备运行状况、设备管理操作对安全设备管理信息统计分析；支持对访问流量、入侵攻击、邮件过滤日志进行TOP10统计分析；支持基于部门、源地址、用户对网络访问控制日志进行统计分析。特别对于入侵攻击日志，支持按照入侵攻击事件、源地址、被攻击主机进行统计分析，发现攻击源和被攻击主机，可以生成入侵攻击事件趋势分析图、TOP10入侵攻击事件趋势分析图、入侵攻击源地址趋势分析图、TOP10入侵攻击源地址趋势分析图、被攻击主机趋势分析图、TOP10被攻击主机趋势分析图等图表。系统可以生成30多种审计报表，报表支持表格和多种图形表现形式；用户可以通过IE浏览器访问，导出审计结果。可设定定时生成日志统计报表，并自动保存以备审阅或自动通过邮件发送给指定收件人，实现对安全审计的流程化处理。在线分析在安全设备产生的大量日志里，隐藏着一些安全威胁信息。联想网御安全管理系统通过定义在线分析规则，可完成对各种日志的实时分析，并根据匹配规则产生告警信息，匹配规则中可设定匹配关键字、匹配频率等；同时可设定对不同事件的关联。通过在线分析，可以发现频繁违规访问、频繁攻击探测、暴力登录失败(例如防火墙管理登录、FTP登录，SSH登录等)、端口扫描、分布式拒绝攻击、冲击波135端口攻击、CC连接耗尽攻击、蠕虫病毒等各种攻击行为。通过在线分析所产生的告警信息，可以采用多种形式自动发送，例如通过SYSLOG协议发送给事件服务器或者通过EMAIL进行通知等。系统提供强大的告警、事件管理功能。用户可以查询、定位每一条详细事件、告警，并进行确认、处理，系统记录告警处理时间、处理人等信息，使得每一个问题都可以进行事后审查。同时，系统提供以自定义条件进行统计分析，掌握总体的告警态势，协助定位安全问题，保障网络整体安全。通过使用在线分析功能，管理员可以尽早发现安全威胁，以采取相应措施。