联系我们

售前服务电话:800-820-8876
售后服务电话:800-820-8839
手机用户可拨打:400-820-8839

安全态势感知SSA
首页 > 安全管理 > 安全态势感知SSA > 产品

亚信安全态势感知平台(信势)-企业版

核心价值



建设思路



产品概述


针对以上存在的问题,亚信安全推出了亚信安全态势感知平台(信势)-企业版(ASAP)。该平台系统以海量日志为核心,采用模块化的工作组件设计和大数据分布式系统架构。亚信安全态势感知平台采用机器学习、数据建模、行为识别、关联分析等方法,通过全量收集网络设备、网关、终端、虚拟化和认证系统上的日志,对海量日志进行集中分析和挖掘,从而发现潜在的安全风险。


相比于传统的SOC,亚信安全态势感知平台(信势)-企业版在两个方面有了质的提升。


●    以大数据为技术支撑、实现了海量日志存储、索引和建模分析。实现对不同种类的数据以不同形态存储在大数据平台和关系型数据库中,并实现定期自动数据备份。

●    依托亚信安全威胁智能云服务,实现了对企业已知和未知威胁的监控、分析和态势呈现


亚信安全态势感知平台-企业版广泛应用于政府、金融、电信运营商、互联网公司等网络环境,实现安全信息的长期全量存储、全文检索分析、异常行为检测和安全合规要求。


产品架构


亚信安全态势感知平台(信势)-企业版采用业内先进的Sorl和Spark大数据架构,通过采集企业内所有 IT 基础设施数据,利用机器学习、数据建模、行为识别、关联分析等方法对企业内所有机器数据进行统一分析,实现对网络攻击行为、安全异常事件、未知威胁的发现和告警。系统提供了对企业信息数据的集中存储、全文检索、关联分析、可视化展现功等能, 并且能够从物理安全、网络安全、数据安全、应用安全、冗余备份、终端安全等方面合理规划,统筹部署,切实保障网络安全。态势感知系统自身安全架构如下图所示。


图例1:亚信安全态势感知平台系统架构图


主要功能


1驾驶舱

建造企业网络安全驾驶舱,聚焦企业网络安全空间的整体关键安全要素,构建多维度的安全数据仪表盘,涵盖网络安全监控的重点环节,反映网络实时运行及安全状态,将数据真实、形象、直观的呈现给使用者并及时了解企业安全状态。如显示系统安全状态、安全评级、系统管理的资产信息(如安全设备、服务器、数据库、路由器等资产信息)、主要威胁类型TOPn排名以及安全事件列表等信息。


图例2:驾驶舱示意图


2、安全日志全量管理

●    采用大数据架构,日志数据可以保存半年以上,并且支持现存储周期的动态扩展;

●    支持分布式文件系统、数据仓库和索引存储,集群中单节点的数据接收速度不低于20MB/s,典型日志类数据的压缩率不低于60%;

●    支持各类结构化数据的加载,支持灵活通用的数据格式描述,包括数据包含的字段、各字段的分隔符、字段类型等;

●    支持各类结构化和非结构化数据加载,并以文件的形式存储;

●    支持数据由业务系统直接写入,支持客户端加载数据导入;

●    收集的信息源包括主机、安全设备和网络设备,包括亚信安全TDA、华为、启明星辰防火墙、绿盟IDS,深信服WAF等235种安全设备;

●    支持应用程序日志,数据库日志,操作系统日志,AD/LDAP日志等等也需要作为重要的数据源进行收集;

●    可以管理网络中的主机设备、网络设备、安全设备、应用系统、工控设备(具体包括:交换机、路由器、防火墙、 服务器、SQL Server、 Oracle、 MySQL数据库系统、 webshpere / weblogic中间件、 工作站、 南瑞PLC、西门子PLC、施耐德PLC、罗克韦尔PLC等),支持批量导入资产记录,也支持手工添加资产。

●    支持通过stix、openioc、json和xml格式等,可以实现第三方威胁情报的导入;

●    支持以数据总线的方式进行数据集成,包括数据订阅和发布功能。


3、安全日志全文检索

●    提供全量安全日志的全文检索功能,便于在海量日志查找和发现所需安全信息;

●    支持SQL接口,可以将全文检索作为SQL的一种过滤条件;

●    支持SQL接口下数据仓库与全文检索数据关联查询;

●    支持Full_text 全文索引查询函数;

●    支持常见的中英文分词器,支持分词器的扩展。


4、安全事件追踪溯源

通过智能分析对任一给定的安全事件进行追踪溯源,确定安全事件的攻击路径,为采取有效防范措施提供科学决策依据。


5、风险检测分析

●    可利用大数据分析的模型算法、机器学习、关联分析、基线等,从海量数据中自动挖掘出有价值的信息,可以帮助发现安全风险;

●    可使用日志关联分析技术对采集到的日志进行关联分析,支持基于时间窗口进行统计、序列关系、逻辑关系等条件分析,并能够实时的给出相关告警;

●    支持对流量数据、安全日志数据、用户资产数据、威胁情报数据实现深度解析后的关联分析,发现安全问题;

●    可针对HTTP头部、DNS解析行为、邮件相关行为、文件传输行为进行关联分析,以发现潜藏在流量中的内外部威胁。


6、威胁情报

●    支持在线或离线从亚信威胁情报中心上获取其通过各种方法获取的攻击者情报信息、攻击方法手段、攻击目标等重要威胁情报信息,以及重要行业部门报送的威胁情报信息,第三方收集报送的威胁情报信息,上下级部门下发报送的威胁情报信息和通过其他模块汇聚的威胁情报信息;

●    具备公有云情报库,并可向本地威胁情报采集系统开放查询界面,内容覆盖APT攻击事件、勒索软件、蠕虫木马、黑客工具、僵尸网络、后门软件等关键威胁;

●    支持根据IP地址、域名、邮箱、文件、证书指纹等信誉情况进行查询,支持发现并标注最近时间、威胁类型、地址位置、IP资产性质、最近报告等威胁情报内容查询。


7、知识库

亚信安全态势感知平台(信势)-企业版支持全面知识库管理功能,包括解析规则定义、事件规则定义、告警规则定义、黑白名单及IOC管理等。


8、安全风险告警

●    可对分析出来的安全事件、异常行为等进行实时告警,通过可视化方式进行展现;

●    通过标准告警接口,支持将威胁情报分析得到的告警信息推送至第三方告警统一管理平台;

●    支持通过手机短信、邮件、消息中心等方式及时反馈给安全运维人员并指派相关责任人进行处理,对处置状态进行跟踪;

●    支持用户通过分析后的单位安全隐患情况展开网络安全隐患及事件通报的业务流程,支持对于通报反馈情况、整改情况及处罚情况的跟踪和记录。


9、安全态势可视化

●    支持展示实时攻击态势地图功能,支持在态势地图中实时动态展示各种攻击源到目的的地图展示,如下图所示:

图例3:网络攻击地图


●    支持以可视化技术展示信息化系统和工控系统的整体运行状态;

●    支持南瑞、西门子、施耐德、通用电气等系列工控系统运行状态监测,支持以图形化方式实时监测工控系统流量,包括OPC、Modbus、Simens S7、IEC 104、Ethernet/IP、profienet等协议。


10、安全态势报告

安全态势报告是指在一定时间内对整个部署环境因素的获取,理解和对未来短期的预测报告。它通过态势要素获取,获得必要的数据,然后通过数据分析进行态势理解,进而实现对未来一段时间内的态势预测。支持以下两种安全态势报告类型:

●    安全态势现状报告

●    安全态势预测报告


11、平台管理

支持用户管理、用户角色管理、权限管理,可以为不同角色赋予不同系统功能模块的读写权限,支持所有系统大功能模块和日志查询子功能模块的角色管理。


性能参数

●    单台设备日志数据入库能力超过50000EPS,支持通过集群部署的方式进行能力无限扩展;

●    单台设备事件入库的性能达到20000EPS;

●    网络流量采集设备单台网络流量吞吐能力达到10Gbps,流量数据入库能力吞吐达到8Gbps,通过分布式的部署方式实现产品的灵活性和可扩展性,能够支持大规模网络环境;

●    关联匹配分析平均每台速率约为38000EPS,支持通过集群部署的方式进行能力无限扩展;

●    原始日志搜索能力支持亿级日志搜索返回时间小于1秒,TB级日志搜索时间小于5s;

●    在万兆网络的环境下,单台客户端支持的数据加载速度不低于200MB/s,可以线性扩展;

●    兼容主流的工控和信息流量采集器,包括泰安网信工控流量采集器、威努特工控流量采集器、匡恩工控流量采集器等多种工控系统流量采集器,支持亚信、Gigamon、Netflow Analyzer、烽火、中科视云、科来、华为流量采集器等多种信息流量采集器;

●    支持10000以上注册用户数,可实现用户权限管理,支持权限查询的并发数可达到1000以上;

●    SSA平台可保证7×24小时连续稳定工作,系统连续性高于99.99%,故障率低于0.1%,月故障率低于1次。


为用户带来的价值



亚信安全的安全态势感知平台-信势(SSA)凭借领先技术荣膺“2017年度安全态势感知平台技术领先奖”!






法律声明隐私政策
© 2019 版权所有 亚信科技(成都)有限公司 蜀ICP备15028617号