信息系统安全管理理论及应用李建华信息系统安全管理理论及应用5-6第6章信息安全综合管理系统.pptVIP

解决的问题 1）通过关联分析，处理海量事件 2）可视化集中管理与决策平台 3）通过风险评估，降低运维成本 发展历史 1）最初以基于管理监控服务的SOC形式出现，早期源于Bruce Schnier建立的Counterpane （未把其SOC产品化） 2）建立SOC中心（比如ISS SOC），支持安全集中监控、研究、处理流程 3）SOC的概念慢慢转移到集中安全管理的需求，早期有eSecurity、Intellitactics和NetForensics三个主要的SIM厂家。 体系结构 体系结构（续） 体系结构（续） 体系结构（续） 体系结构（续） 体系结构（续） SOC与SIM 基于管理监控服务的SOC建设 基于管理监控服务的SOC建设（续） SOC的发展趋势 规则关联--基于规则的关联可将预先打包的转换事件数据提供给数据的不同“视图”。例如，规则可以按照与某个具体交易操作、某一类交易和某个地理地点等准则相关的所有事件对数据进行详审 异常关联--基于异常情况的关联往往要依赖于SIM系统所创建的被测量事件数据库，以及从该数据库的“学习模式”中收集的一组“基线”数据。“基线”快照一般会运行几个星期，然后与当前事件进行比较，以确定是否正在发生与基线不同的异常情况 统计关联--统计关联技术可提供有用的信息，特别是针对基于时间的事件 Net