对国内安全管理平台研发现状的分析与建议.docx

对国内安全管理平台研发现状的分析与建议“花瓶”模型图1安全管理平台建设的花瓶模型S O C下发的安全策略所以S O C系统对网络的管理一般采用分级分域管理，方便了管理人员的管理，也降低了对SOC中心的带宽压力花瓶中的花枝：SOC功能发展的3个维度防护、监控、审计，既分离又相互依赖，是花瓶中的3束花枝，它们共同建立在一个信息收集平台上，形成了信息安全体系的事前防护、事中监控与应急调度、事后审计的3个阶段的全方位安全管理花瓶中的花朵：花瓶中赏心悦目的自然是花瓶中绽开的花朵，也就是模型中功能平台的用户界面3个功能平台可以单独使用，分别有自己的用户管理界面花瓶模型形象地把S O C的建设展示出来，不仅给S O C的开发提供体系架构，而且可以给企业信息安全保障体系的建设提供了思路，通过S O C的建设，企业安全保障体系也将逐步建设起来针对典型用户，我们总结了一些网络类型的安全需求，建议SOC建设的侧重点如表1所示表1 SOC建设项目侧重点2.2产品特点归纳起来，以上厂家在产品架构上有以下特点：(1)安全设备集中管理控制；(2)安全事件集中收集和分析统计；(3)统一安全策略和制度管理；(4)图形化的拓扑管理；(5)安全事件应急响应的预案处理；(6)简单的安全事件知识库管理。

2.3网络部署拓扑结构和实现的功能(1)由分布在网络中的Agent和安全控制中心组成2)实现对各种网络安全资源的集中监控、统一策略管理、智能审计及多种安全功能模块之间的互动3)实现对网络的实时监控、安全事件预警、报表处理、统计分析等3 国内部分安全管理平台（SOC）现状分析2007年2月，某单位技术交流中心专门组织专家对国内生产安全管理平台（S O C）的主要厂家进行了一次产品调研，现将调研的简况归纳如下：(1)部份厂商以国外S I M类产品为核心，做外围上层开发，实行了主要安全产品的接入（如：防火墙、I D S）和对这些产品的策略配置、日志收集等集中管理功能2)部份厂商自主开发安全产品的管理协议，相对进展慢些，能支持的安全设备也略少，但日志的综合审计功能（报表）比较有特色3)部分厂商的S O C仅限于管理自家生产的单性能安全产品，如只能管理自己研发的防火墙或I D S产品4)部分厂商的S O C在运维管理方面很有特色，不仅囊括了原网管系统的大部功能，还包括了如安全事件收集、处理和考核功能，发挥了安全管理的重要辅助作用4 国内安全管理平台(SOC)研发中暴露的问题通过调研，我们认为，我国自主研发的安全管理平台（S O C）尚有许多亟待解决的技术问题，一是安全产品的标准管理协议问题。

目前国内没有制定统一的安全产品接口协议，各厂家也不开放自己的技术框架，这种状况从根上严重影响了各类通用安全产品的互通互联二是绝大多数产品没有安全事件应急处理的预案专家知识库和安全事件的预测模型库由于缺乏较科学的定性和定量相结合的分析手段，导致无法准确评估安全事件的威胁程度，提不出切实可行的应急防范措施，无法胜任安全预警的任务和目标三是国内缺乏技术可靠并具有自主产权的通用S I M 平台和接口引擎提供商，这在一定程度上加大了安全产品生产厂商开发费用，各个公司要投入相当人力、物力开发管理接口，采用的管理协议也是五花八门四是服务问题，安全管理平台技术比较复杂，有些问题的暴露需较长时间，用户想用好平台难度较大，这就需要厂家提供长期的安全服务，但目前看，不大现实，一是因为有许多控制技术还未过关，二是用户是否愿意每年付数额不菲的服务费5 安全管理平台(SOC)的技术实现下面介绍一下某厂家成功运行在电信系统的SOC该厂家的设计人员对目前S O C在建设和运行中存在问题提出了自己的解决方法：问题1：虽然进行了归并压制关联分析，依然有大量的报警事件需要响应导致管理员依然面对海量事件无从下手，一部分用户甚至开始质疑SOC的作用。

解答：网络安全运行管理中心不仅仅是安全信息的汇总，需要结合业务针对性的发现和挖掘关键事件问题2：大量的用户只把SOC作为普通安全产品来使地关联在一起，这3部分信息按照内在的关联进行联动，以实现预警的及时性、准确性和针对性3）事件分析处理中心事件分析处理作为S O C的基本功能，应该实现各类安全事件、日志信息的采集，统一分析处理事件的处理流程包括：事件采集、事件标准化、事件过滤、归并压制、关联分析、报警目前国内S O C的事件过滤和关联分析功能还有待加强1）事件过滤安全事件处理应对采集到的数据必须有过滤功能以缩减安全事件数量（卖方应对提供其系统事件过滤压缩比），包括：①过滤掉严重程度较低的原始事件信息②通过指定事件影响的设备、事件采用协议、事件类别、事件标题等事件属性进行过滤③应能对事件数据过滤的开启状态进行手工设定2）安全事件关联安全运行管理中心应具有较强的安全事件关联功能，来深度挖掘安全隐患、判断安全事件的严重程度，具体应支持以下关联方式：①基于规则的关联分析：将可疑的安全活动场景（暗示某潜在安全攻击行为的一系列安全事件序列）加以预先定义系统能够使用定义好的关联性规则表达式，对收集到的安全事件进行检查，确定该事件是否和特定的规则匹配。

②至少应能够对以下安全活动场景预先定义关联规则：DDoS攻击、缓冲区溢出攻击、网络蠕虫、邮件病毒、垃圾邮件、电子欺骗、非授权访问、企图入侵行为、木马、非法扫描、可疑URL③具备自定义网络安全攻击行为功能，可以通过可视化的流程图定义某种网络攻击行为④可根据安全事件发生的因果关系，进行逻辑上关联分析⑤给出事件关联相关度的定量分析⑥可根据网络安全的动态情况，自适应过滤相关度较低的事件⑦提供多种事件关联规则定义的方式，既包括通过简单明了的向导创建关联性规则，也包括允许用户使用类似脚本语言的方式⑧关联性规则表达式应该支持规则的多级嵌套，前一规则输出作为后一规则的输入，以及规则之间的并集和交集处理⑨关联性规则应该具有良好的移植性，可以按照特定的文件格式，如XML、导入和导出⑩基于统计的关联分析：定义一些大的安全事件类别，对每个类别的事件设定一个合理的阀值，将出现的事件先归类，然后进行缓存和计数，当在某一段时间内，计数达到该阀值，可以产生一个级别更高的安全事件基于资产的关联分析：安全事件应能与相关资产的敏感性以及相关资产上的漏洞进行关联，从而判断某个安全事件是否能造成不良影响以及造成不良影响的严重程度。

4）业务安全分析中心早期的E S M类安全运行管理中心仅仅是把目标网络系统所有的与安全相关的信息集中汇总起来，仅仅靠简单的关联规则，进行了事件的统计、合并，并不能给管理员带来很强的安全指导，系统管理员其实依然面对海量的事件而无从下手，这也就是目前E S M类安全运行管理中心使用效果差的主要原因之一SOC应该引入关键业务点（KBP）的概念，结合业务应用定位关键业务链（KBP）和关键业务链上的关键设备，对其进行重点监控和单独显示SOC应该能提供关键业务视图展示功能，安全事件按照关键业务链分组来显示经安全运行管理中心过滤和归并压制后的事件，经过安全运行管理中心的业务安全分析中心，按照关键业务视图展示出来如此，海量事件报警的现象将得到极大地缓解5)安全策略管理中心S O C不能仅限于安全监控和分析，还必须提供强有效的安全控制和管理功能构建安全策略管理中心就显得尤为重要，通过安全策略管理中心来实现相关安全策略配置的发布和执行安全策略管理中心负责全网的基本网络安全策略模板的制订，并将安全策略转换为可执行的脚本，实现策略的有效执行和快速部署6)安全事件响应中心安全运行管理中心应该内置强制性的安全事件响应处理工具，即基于ITIL的流程管理系统（工单管理系统），实现安全事件与运维人员的关联，做到安全事件有人负责有人处理。

同时可以直接纳入到已有的流程管理系统安全事件自动触发工单和任务单系统，把任务和工作派发到相应的管理员工单系统实时显示工单处理状态，由安全管理负责人进行监督和审核确保安全事件的及时强制处理7)考核评价管理中心决策作用。