随着网络安全实战化水平的不断提升，运维人员的专业化程度、安全产品的可读性、易用性以及海量告警事件之间所面临的矛盾越发凸显。人员与技术的结合能力，不同产品间的协同联动能力，已经成为考验安全建设实际效果的滑动标尺。在不断提升防护系统自身安全性的基础上，只有将网络资产、安全产品、安全规范和管理操作结合起来，进行集中的管理、审计、关联和处置，才能使安全规范和安全情报发挥真正的作用，实现安全防御由被动到主动的转变。

 

相关的网络安全标准也在不断的改进，在等保2.0中明确提出了安全管理中心的具体要求，强调了系统管理、审计管理、安全管理和集中管控的细则，除了对管理员的三权分立和操作安全进一步明确之外，也着重细化了集中管控的要求，包括：

 

● 应划分出特定的管理区域，对分布在网络中的安全设备或安全组件进行管控；

● 应能够建立一条安全的信息传输路径，对网络中的安全设备或安全组件进行管理；

● 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测；

● 应对分散在各个设备上的审计数据进行收集汇总和集中分析，并保证审计记录的留存时间符合法律法规要求；

● 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理；

● 应能对网络中发生的各类安全事件进行识别、报警和分析。

 

传统的SOC产品能够满足部分安全产品集中监控的需求，但监控的范围受目标对象和对接协议的限制；专用的集中管理系统能对支持的安全产品进行深度的统一运维，但只能兼容同品牌甚至同类型的安全产品；而日志审计类产品关注的重点是能够解析的安全事件，对产品管理和状态监控层面的支持通常效果一般。

 

这些产品和技术已经能够解决部分安全管理的需求，但还是无法完全覆盖和直接满足，因此更多情况下需要整体的解决方案。盛邦安全轻量级态势感知解决方案，可以基于安全管理中心的具体要求而进行合理的设计和建设。方案具备以下核心优势：

 

1、分布式管理

方案采用安全感知分析平台作为管理中心，对部署在各个网络区域的威胁感知系统和资产感知系统进行管控，实现资产事件和安全事件的集中管理，并针对垂直单位和多级网络进行分布式部署与管理；

 

2、管理安全性

安全管理中心与各感知系统之间通过加密协议进行通信，保证了数据传输的安全性，防止过程中的数据丢失与泄密，增强了管理的安全性；

 

3、状态集中监控

安全管理中心可对网络资产安全治理平台、入侵检测防御系统、持续威胁检测与溯源系统、Web应用防护系统等感知系统进行状态集中监控，包括对系统运行、数据量等的集中监控并及时发现异常状态；

 

4、日志集中审计

通过标准的syslog协议和APIs接口等方式，安全管理中心可以对各感知系统的海量事件日志进行集中存储、分析和审计，并基于安全模型进行关联分析，同时对相关的历史事件可实现追溯取证；

 

5、策略集中管理

可兼容多种类型的检测策略和事件规则，并通过丰富的知识库实现策略的集中管理，保证新增安全事件在24小时内获得检测更新；

 

6、事件通报处置

内置完整的事件通报处置模块，可基于预设或自定义的流程模板进行安全事件的预警、通报、处置和确认等，实现处置闭环；同时，还可以根据用户实际组织结构建立丰富的账号和控制权限，合理指定每个流程的责任和监督角色，满足不同客户的个性化管理需求。