安全运行管理平台白皮书.docVIP

密 级：秘密 文档编号： 项目代号： 安全运行管理平台（SOC） 白皮书 V 3.0  文档控制 拟 制: 编写者 审 核: 审核者 批 准: 标准化: 读 者： 版本控制 版本 提交日期 相关组织和人员 版本描述 V1.0 2005-4-20 V2.0 2005-11-28 V3.0 2007-3-25 目录 1 面临的挑战 4 2 SOC的目标 4 2.1 事件集中监控 4 2.2 资产风险管理 5 2.3 网络监控 5 3 系统功能 5 3.1 安全事件集中监控 5 3.1.1 事件的归一化（Normalization） 6 3.1.2 事件的聚合（Aggregation） 7 3.1.3 事件的关联（Correlation） 8 3.1.4 事件的呈现（Visualization） 10 3.2 资产风险管理 12 3.3 网络监控 16 3.3.1 全局流量管理 16 3.3.2 协议统计 17 3.3.3 服务统计 18 3.3.4 网络吞吐量 18 3.3.5 网络活跃性分析 19 3.4 统计报表管理 20 3.4.1 安全性类报表 21 3.4.2 利用率类报表 21 3.4.3 网络异常报表 22 3.4.4 自定义报表 22 3.5 系统自身管理 23 4 应用领域 23 5 可量化的指标 24 6 运行环境 24 6.1 事件处理服务器 24 6.2 风险管控与预警中心 24 6.3 事件源协议 24  面临的挑战 信息化愈来愈普及的今天，信息安全的重要程度也日益提高，这带动了全面的信息安全初期建设，政府、企业、机构都在信息化建设中安装了防火墙、防病毒、IDS/IDP、VPN、身份认证、安全审计各种安全设备和软件，在初步缓解了安全隐患的同时，却引入了后续的让安全管理人员十分头痛的一系列问题： 初步的建设引入了众多异构的安全技术，它们的运行效果无从量化； 海量的安全事件充斥着大量不可靠的信息，从而变的毫无价值； 制定安全策略的高层管理人员无法获得对安全态势的全局观； 那些没有经过处理的、相互独立的原始安全事件不仅不能给我们带来任何价值，反而让我们在一些误报的事件上消耗有限的精力，就像“狼来了”的故事一样，当狼真的来了的时候，我们的管理人员和安全机制已经变的麻痹了。 因此安全管理体系需要一种能够从管理的高度代表信息安全系统的动态模型，而不仅仅是一些静态的管理模型（安全策略管理、身份管理、安全意识教育等）。安全事件管理就是这样一种实时的、动态的管理模型，是安全管理体系中人工智能的主要体现。 安全事件管理技术的创新在于能够实时的分析来自于计算/网络/存储/安全等设备的与安全相关的事件，其优势在于信息来源的广泛。通过关联来自于不同地点、不同层次、不同类型的安全事件，发现真正的安全风险，提高安全报警的信噪比，从而可以准确的、实时的评估当前的安全态势和风险，并根据预先制定策略作出快速的响应。 SOC的目标 事件集中监控 这是SOC的首要目标。查阅和分析大量的日志是一项耗时耗力的事情，但却又是安全管理员不得不做的日常工作，他们的时间大部分耗费在排除大量不重要的事件上，这必然使得对真正安全事故响应的延迟，错过了安全防护的最佳时机。因此，安全管理系统中事件的自动整合和关联显得尤为重要。 通过事件整合，安全事件可以以统一的格式集中上报，通过事件关联，安全管理系统可以发现与某种特定攻击相关的关键事件甚至可以知道其所产生的实际危害。 资产风险管理 通过对事件的处理以及对漏洞、威胁和资产的计算，系统会实时的计算当前风险，我们称之为风险的量化，然后以图形化的方法将它表达出来，让安全管理员在最短的时间感知到全网风险的程度。 网络监控 通过对网络流量、负载、协议、用户的监控，系统会实时显示当前的网络状况，然后以图形化的方法将它表达出来，让管理员在最短的时间感知到全网的使用程度。 系统功能 安全事件集中监控 SOC系统收集、分析、关联从各种企业安全设备收集到的信息，分为四个独立的处理阶段：归一化（Normalization）、聚合（Aggregation）、关联（Correlation）和显示（Visualization）。 在归一化和聚合阶段，从所有入侵检测系统、防火墙、操作系统、应用和防病毒系统收集安全事件，并转换成简单易懂的XML格式。然后，对格式化后的记录进行基于规则和统计关联技术的关联分析。最后，通过图形化的页面集中实时显示关联分析结果。 事件的归一化（Normalization） 目前在信息安全领域存在较少的技术标准，当各种安全设备产生事件信息（事件格式和内容）时，往往采用不同的形式。例如：不同厂商的防火墙在执行类似的功能时，它们的syslog 信息却大不相同。事实