SOC网络安全管理中心系统平台建设方案

《SOC网络安全管理中心系统平台建设方案》由会员分享，可在线阅读，更多相关《SOC网络安全管理中心系统平台建设方案（48页珍藏版）》请在金锄头文库上搜索。

1、网络安全管理中心系统平台建设方案SOC网络安全管理中心系统平台建设方案目录1概述52体系架构82.1XX运营商安全运行中心的建设目标82.2安全运行中心建设的体系架构102.2.1全国soc省级soc二级架构102.2.2基于层次模型的体系结构113功能模块153.1SOC核心系统153.1.1接口层153.1.1.1企业数据收集153.1.1.2安全数据收集153.1.1.3配置中心153.1.1.4响应中心163.1.2数据分析层163.1.2.1资产管理163.1.2.2漏洞分析163.1.2.3威胁分析163.1.2.4风险分析173.1.2.5安全信息库173.1.2.6任务调度18

2、3.1.3应用层183.1.3.1角色和用户管理183.1.3.2风险管理193.1.3.3分析查询233.1.3.4系统维护233.1.3.5安全设备管理243.2SOC外部功能模块253.2.1人员组织管理253.2.2企业资产管理253.2.3脆弱性管理263.2.4事件和日志管理263.2.5配置收集273.2.6安全产品接口273.2.7安全知识系统273.2.8工单系统283.2.9响应工具及API314实施方案324.1WEB界面定制方案324.1.1仪表板组件324.1.2资产信息管理组件334.1.3异常流量监控组件334.1.4安全事件监控管理组件344.1.5脆弱性管理组

3、件344.1.6安全策略管理组件344.1.7安全预警组件344.1.8安全响应管理组件354.1.9网络安全信息354.2二级结构实施方案354.3部署方案364.3.1全国中心部署方案364.3.2江苏省中心部署方案364.3.3安全数据采集方案374.4其他384.4.1安全评价384.4.2配置收集和审计方案394.4.3XX扫描器解决方案405优势概述42附录一：事件管理支持产品一览441 概述随着XX运营商的网络规模庞大、系统复杂，其中的各种网络设备、服务器、工作站、业务系统、支撑系统都存在着超常的复杂性、多样性。随着安全越来越受到重视，安全子系统也逐步发展到复杂和多样的系统，这些

4、安全子系统通常首先在各个业务系统中独立建立，然后随着安全管理的规模和成本的不断上升逐步发展到产生了整个企业建立一致的安全管理体系的需求，XX的安全运行中心解决方案（Security Operation Center简称SOC）正是满足这种需求，为企业安全整合提供解决方案，通过最佳的安全技术和最佳的安全实践帮助用户从分散的安全实现集中的、可管理的安全。XX的SOC解决方案帮助用户解决以下的问题：l 分散的管理增加管理成本和管理难度作为一个新兴的、覆盖范围极大技术领域，信息安全可以划分为众多的细分领域，例如防火墙、入侵检测、漏洞扫描、认证和授权、加密、防病毒、VPN、PKI、内容过滤等等，每个领域

5、内均有最好的厂商和解决方案供应商，企业往往根据自身的需求，选择其中最优秀的产品，这就造成了这样一种现象：安全产品和厂商基本均为基于“点”的解决方案，即基于某一安全细分领域的解决方案，这些解决方案都需要单独购买、实施和管理。这种情况下，随着使用产品种类和数量的增加需要不断增加管理和维护人员，管理成本往往呈指数级的增加，但是管理效率却仍然存在瓶颈，特别是多种数据不能相互沟通和关联更加剧了这一现象，这些问题导致对集中化管理的要求；l 安全信息和知识的共享水平较差以往的观念往往认为，“安全是安全管理人员的事情”，目前，这种情况正在极大地改善，越来越多的企业通过安全策略明确地定义不同人员在安全组织中所处

6、的位置和应该担负的责任，与之不能相称的是，目前的安全产品仍然往往仅仅提供安全管理员的角色和视图，不能让普通系统管理员参与到安全管理和安全信息的共享中来，必须建立一种让所有的IT人员能够使用和监控与他们相关的安全信息的系统，让整个安全组织，而不仅仅是安全管理员为网络的安全负责l 海量事件某企业在一次病毒爆发的过程中在一天内产生了二千万的入侵检测告警，在这样的告警量水平情况下，管理员往往疲于应付，并且容易忽略一些重要但是数量较小的告警，尽管海量事件分析的需要的技能并不很高超，但如果仅仅依靠安全管理员人工分析，需要占用大量人员，而且容易出错。必须将规则化的分析让机器来实现，管理员和安全专家可以专注于

7、更为复杂的分析。海量事件是现代企业安全管理和审计面临的主要挑战之一l 缺乏智能告警的信息是一台服务器受到某种windows RPC病毒的攻击，而事实上该服务器是Unix服务器；传统的网络IDS事件告警无法分析当服务器受到攻击时攻击是否成功；无法通过发现攻击者的一系列组合攻击从而提高告警级别.以上的种种问题提示我们，孤立的事件无法为我们揭示问题的本质，必须有更加智能的分析方法，它可以分析多个事件的之间的联系，可以将不同的数据来源关联起来，可以将各种数据和知识关联起来；总而言之，企业需要智能化的处理方式，需要极大地提高效率，需要防止误报。l 必须改变以事件为中心的视角现有的安全产品往往以安全事件为

8、视角，用户第一眼看到的是各种各样的事件，但实际情况是，用户关注的核心不是事件本身，而是他们的资产是否受到了保护，需要保护的关键资产是否受到了威胁。因此必须改变以事件为中心的视角，以用户关心的核心资产为中心，提供面向资产的、基于安全健康指标的告警服务l 安全知识的不足。各种各样的产品提供了大量的安全机制，但是无论是关联、分析还是响应，都必须建立在知识的基础上。这些知识有些是通用的，可以来自供应商，有些是与客户实际环境密切相关的，必须来自实际生产环境，必须保证这些知识的不断积累，才能真正实现智能化。l 安全响应能力不足对安全响应的要求包括： 发现问题后必须能快速找到解决方法并最快速度进行响应，响应

9、的过程中要求明确响应的责任人、响应办反并反馈响应结果，对安全事件响应的整个过程必须有记录和考核； 建立一支有经验的响应队伍，这个队伍包括内部人员和外部专家支持； 支持自动化的响应和通知手段。对这些问题的深刻认识，都促使我们认识到，必须进一步发展安全体系，在现有产品体系的基础上架构集中的管理解决方案，因此XX在国内首先提出了安全运行中心（Security Operation Center）解决方案，提供一个整体性、智能性的安全管理解决方案。2 体系架构2.1 XX运营商安全运行中心的建设目标XX安全运行中心（SOC）解决方案提供的整体解决方案是建立在现有的安全环境的基础上，能够实现以资产为核心的

10、全面安全管理的管理系统，他实现了以下的特性：l 以资产为核心的全面安全管理XX整体安全管理架构是以资产为核心的。BS7799将所有与信息相关能够体现价值的资产都称为信息资产，XX通过多年的服务实践发现，这种定义难以在实践中进行方便的操作，考虑到我们主要是管理基于网络和主机的资产，因此，XX在兼容BS7799标准的基础上，对资产进行了简化，将资产定义为可管理的带IP的设备资产和其上的附属软件和数据。如某台服务器是可管理资产，则这个资产包含了硬件、操作系统、应用软件和数据库、数据库中的数据。XX安全运行中心的所有信息都以资产为中心，例如漏洞和威胁都会被归结到资产，并在资产的层面进行关联和分析。用户

11、登陆后也主要关注他们管理范围内的资产状况。这和以往的以事件为中心的安全管理有本质性的区别。l 面向部门和用户的安全管理XX安全运行中心针对中国企业的管理结构特点，允许用户在系统内部设立企业结构逻辑视图，允许通过定义角色来分配权限。可以快速地为每个资产定位其负责人以及相关部门、领导、管理员、备份管理员等信息。XX安全运行中心是供所有的安全管理员、系统管理员、网络管理员使用的系统，通过角色定义，每个用户可以登陆到系统，看到自己管理的资产和系统的健康状况和告警。通过对角色的操作权限以及管辖资产范围的定义，可以精确地对权限进行限制，保障最小授权原则。l 强大完善的资产管理支持基于LDAP的资产管理，可

12、以和不同系统的资产数据库进行同步。支持资产价值（可用性需求、完整性需求、保密性需求）的评估。完整记录资产及其上的应用，均支持自动发现和手动调整。l 以资产为核心的漏洞管理以资产为核心，驱动漏洞的定期扫描、评估。用户可以在SOC界面中针对资产定制定期扫描或者发起一次单独的扫描，通过SOC界面驱动扫描系统，扫描的结果会返回到SOC系统中，所有信息经过标准化后存放在统一的数据库中，漏洞信息和资产信息可以方便地供关联使用，扫描结果还可以自动触发安全响应流程，保证一发现漏洞就进行解决。通过以资产为核心的漏洞管理，系统可以提供比传统的漏洞扫描器更加详尽的信息、更快的响应以及更强的信息交互和关联，并且可以实

13、现统一的控制管理。l 以资产为核心的威胁管理威胁管理主要通过事件管理体现出来，与以往以事件管理为核心的系统相比较，XXSOC中心将收集到的所有事件信息都归结到资产，很好地实现了基于资产视角的视图，用户可以方便地根据资产的价值和关键性来进行事件的分级。XXSOC中心大量支持已有安全产品的事件收集，做到即插即用，对于不支持的产品，提供可视化的变成编写数据的收集和标准化agent，保证快速的扩展。所有事件收集机制都是详细可定制的。l 强大的智能处理智能化处理是XX安全运行中心解决海量事件、事件分散化、误报的的重要机制，XX的智能处理方式主要包括： 底层智能处理：通过数据过滤、标准化、数据合并、实时数

14、据关联来实现底层的智能事件处理，特别是实时数据关联实现了基于规则的关联，发现实时数据之间的潜在联系，可以改变和调整级别。 基于资产的关联：当数据被归结到资产之后，不同来源的事件数据以及漏洞相关数据被汇聚在一起，在这个新的数据集的基础上，进行新一轮的关联分析，由于集中了异种事件的关联分析，这种分析可以有效减少误报，提供更多参考。 统计分析关联：基于异常检测的原理，在资产的基础上，检测是否有异常的行为，发现未知攻击。 知识库智能搜索：通过将事件、漏洞等数据与知识库进行关联，给系统管理员充分的信息、参考和解决方案。l 深入的配置管理能力XXSOC管理中心支持以下安全产品的管理配置：Linktrust

15、 Cyberwall全系列产品、Linktrust IDS全系列产品。XXSOC管理还支持对非XX产品进行配置的收集和集中存放以及定期配置审计。l 丰富完善的主动响应管理XXSOC解决方案支持丰富的主动响应方式：支持完整的工单流程，工单可以通过事件、漏洞自动触发；XXSOC管理系统支持包括短信、email、留言等通知响应能力；支持基于OPSEC等机制的安全产品互动能力，XX产品还支持应用程序调用和API接口。l 全面的知识支持XX公司作为专业的安全公司，在安全领域有多年的丰富经验，建立了STForce实验室，保证对最新安全技术、新安全动态、最新安全漏洞的跟踪，在ST-Force的支持下建立的强大的知识系统和技术模型保证了XX能够提供业界最领先的安全知识管理和支持。XX公司拥有丰富的专业的安全服务经验，拥有各种行业安全经验，保证我们能够深入了解用户，协助用户一起总结用户独有的安全知识。l 大规模实时多级分布式系统XX的安全运行