信息安全管理中心设计研究.docxVIP

信息安全管理中心设计研究 　　1系统架构　　该系统包括安全事件管理模块、安全业务模块、控制中心、安全策略库、日志数据库、网间协作模块。　　安全事件管理模块　　安全事件收集子模块　　能够通过多种方式收集各类信息安全设备发送的安全事件信息，收集方式包含几种：(1)基于SNMPTrap和Syslog方式收集事件；(2)通过0DBC数据库接口获取设备在各种数据库中的安全相关信息；(3)通过OPSec接口接收事件。在收集安全事件后，还需要安全事件预处理模块的处理后，才能送到安全事件分析子模块进行分析。　　安全事件预处理模块　　通过几个步骤进行安全事件的预处理：（1）标准化：将外部设备的日志统一格式；（2）过滤：在标准化步骤后，自定义具有特别属性(包括事件名称、内容、产生事件设备IP/MAC等)的不关心的安全事件进行丢弃或特别关注的安全事件进行特别标记；（3）归并：针对大量相同属性事件进行合并整理。　　安全事件分析子模块　　关联分析：通过内置的安全规则库，将原本孤立的实时事件进行纵向时间轴与历史事件比对和横向属性轴与其他安全事件比对，识别威胁事件。事件分析子模块是SOC系统中最复杂的部分，涉及各种分析技术，包括相关性分析、结构化分析、入侵路径分析、行为分析。事件告警：通过上述过程产生的告警信息通过XML格式进行安全信息标准化、规范化，告警信息集中存储于日志数据库，能够满足容纳