统一威胁监管平台UTMP
一、产品概述
InforGuard统一威胁监管平台UTMP(Unified Threat Monitor Platform)是以SOC思想为基础,凭借多年安全领域知识积累,设计研发的一款专门针对复杂网络安全环境的威胁监控分析产品。
UTMP以先进的技术架构、统一的事件描述规则和成熟的威胁分析模型为核心设计实现。该系统可将分布在不同地点的不同资产(网络设备、主机设备、安全产品、应用系统、业务系统等)所产生的离散且海量的安全信息(事件、状态、告警、日志等)进行集中采集、统一过滤、标准格式化、统一归档和关联分析,形成一系列的安全运维报告、威胁分析报告、安全审计报告和风险分析报告,并依托流程驱动将安全管理所涉及的人员、组件、策略、事件等诸要素结合起来,对风险进行及时响应和处理,最终构成面向企业资产的统一的、等级化的、可视化的威胁及风险管理。
二、显著特点
分布部署 集中监管
UTMP采用分布部署、集中监管的管理理念,通过嵌入式探针采集各种安全事件并及时汇总到威胁知识库中,形成多层次、多视角的覆盖网络所有安全设备的集中监管视图,方便管理层从全局高度了解企业的安全运维现状,有效降低企业的管理成本。
UTMP提供多层次、多视角的表现方式实时为用户呈现全网安全状态,做到安全事件早发现、早处理。同时,通过流程驱动保证安全策略的实施,实现了基于安全策略的统一管理。
事件关联 威胁分析
UTMP通过对海量的、离散的安全数据进行关联分析,深度挖掘各类事件潜在的关联关系,发现网络潜在的安全隐患,形成有效的、全面的统计分析报告,为下一步网络安全策略的优化调整提供可靠的决策依据。
高扩展性 高兼容性
UTMP在管理层采用了“软总线 软构件”的体系结构,降低了各管理模块间的耦合性,为管理功能的扩展提供了有力的支撑。在信息接入层采用了IOC微内核和插件体系结构,提高了系统接入各类安全设施的能力。同时,系统支持Syslog、SNMP、JMS、CORBA、HTTP/XML、ODBC/JDBC等行业通用标准,保障了系统的兼容性。
三、系统功能
|
分类 |
功能 |
|
接入能力 |
支持各类网络设备的接入,包括:硬件防火墙、路由器、交换机、IDS/IPS、UTM等 |
|
支持各类主机设备的接入,包括:大型机、中型机、小型机、工作站、PC机等 |
|
|
支持各类安全产品的接入,包括:漏洞扫描、WEB防火墙、防篡改、杀毒软件、内容过滤、数据库审计等 |
|
|
支持各类应用系统的接入,包括:邮件系统、应用服务器等 |
|
|
支持各类业务系统的接入,包括:OA、CRM、ERP、电子政务系统等 |
|
|
支持流量、性能、故障、事件、病毒、攻击、告警等多种信息的接入 |
|
|
…… |
|
|
管理能力 |
资产管理遵循业界资产管理的相关规范标准,实现了资产登记、资产分类、标识和处理等功能 |
|
提供工单管理功能,通过工单,实现威胁处理的生命周期管理 |
|
|
提供信息共享功能,使各类安全信息可以在不同层次、不同信息系统之间交流与共用 |
|
|
提供用户集中管理的功能,对用户可以访问的资源权限进行细致的划分,具备安全可靠的分级及分类用户管理功能,支持用户的身份认证、授权、用户口令修改等功能 |
|
|
提供如下策略的管理功能:资产信息管理策略、安全信息收集策略、安全信息分析策略、风险分析策略、安全事件处理策略,安全知识管理策略、安全状况评估策略等 |
|
|
…… |
|
|
监控能力 |
提供直观的网络拓扑图、机房物理布局图、业务服务视图等各种监控视图 |
|
支持多种告警预警方式,主要包括:响铃报警、邮件报警、短信报警、snmp trap报警、Syslog报警、SOAP报警等 |
|
|
…… |
|
|
统计分析 |
提供事件关联分析,即在一定时间范围内根据事件的源地址、目的地址、源端口、目的端口、事件的等级及事件的类型等参数,对事件进行关联分析,其目的在于识别假告警、精确报警信息,对事件进行归并过滤 |
|
提供风险关联分析,即采用攻击状态机模型来抽象和描述攻击行为,建立多种攻击关联场景,能有效地从大量安全事件中准确识别出真实的入侵行为 |
|
|
基于威胁知识库的内容,采用专家推理技术,对当前发生的各类威胁事件,给出切实可行的决策方案和建议,实现对网络安全的智能控制,提高安全管理的效率和智能化水平 |
|
|
提供各类统计报告,包括:资产详细信息报告、安全事件分布报告、脆弱性分布报告、工单统计报告、安全运维报告、威胁分析报告、安全审计报告和风险分析报告等 |
|
|
…… |