基于协同分析信息安全管理中心设计与实现.docVIP

基于协同分析信息安全管理中心设计与实现 　　【 摘 要 】 为了解决信息安全防护中的“信息孤岛”问题，综合性安全管理中心（SOC）应运而生。但随着信息安全形势的严峻，有必要进一步提升SOC的防护能力。论文提出一种协同式SOC架构，其中包括安全事件管理模块、安全业务模块、控制中心、安全策略库、日志数据库、网间协作模块；能够充分利用信息共享和协同分析，来发现更为隐秘的攻击，提高整体防护能力。 　　【 关键词 】 信息安全；安全管理中心；协同分析 　　1 引言 　　随着我国信息安全工作的推进，防火墙、防病毒与IDS（入侵检测系统）、VPN、安全审计产品等已经在很多单位得到部署。但信息安全是一个复杂的、综合性、全局性的工程，部署大量安全设备使得对它们的管理变得日渐复杂，加重了网管人员的负担；同时，由于历史原因，现有部署的安全设备往往都是各自为政，“信息孤岛”现象严重，设备之间难以联动，误报率和漏报率较高，用户面对每天产生的海量的安全日志望洋兴叹，很难得出具有价值的系统整体安全形势分析报告，难以应对当前日益复杂多变的安全威胁。为此，能够把分散的安全设备、安全策略、安全日志进行统一管理和运营的综合性安全管理中心（Security Operation Center， SOC）产品应运而生，也有称之为安全运营中心。建设SOC的主要目的是为了扭转当前的信息安全防护产品和手段“各自为政，联动