SOC在大中型企业中的应用

一、大中型企业信息安全工作中存在的问题

1.多种安全设备，不同的报警，如何整合？

       在大中型企业的网络系统中，为了确保系统的稳健运行，通常会采用多种安全技术手段和安全产品，比如防火墙系统、入侵检测系统、防病毒系统等，都是安全基础设施。在实际的运维过程中，这些不同种类、不同厂家的安全产品会给技术人员带来不小的麻烦――各个安全系统相对孤立，报警信息互不关联，策略和配置难于协调。当一个报警事件产生时，不知道该如何处理。

2.海量的事件、海量的日志，如何分析存储？

       网络设备、安全设备、服务器都会产生日志，即使防火墙只做被丢弃数据包的日志，IDS也精简日志，每天产生的日志量仍然达到100-200M左右，相当于每秒钟10条，1个小时36000条。实际上，一个专职的安全工程师一天能处理10多条已经很多了，一小时处理4条是极限。如何跨越36000条事件和4条事件之间的数字鸿沟，避免“关键的安全信息和告警常常被低价值的告警所淹没，让技术人员能及时针对重要安全事件进行处理，成为亟待解决的一个关键问题。

       除了对事件的分析外，还涉及到一个存储的问题，以便事后快速方便地进行查证。技术人员通常希望可以到统一的库里面去查，而不是搭建多个日志中心，防火墙到防火墙日志服务器去查，IDS到IDS日志服务器去查。

3. 如何将网络安全事件与业务风险关联？

       在日常的工作中，技术人员关注的是网络安全，而领导关注的是信息安全或业务安全，是全局的状况。

这也就提出了一个需求，将网络安全事件跟业务风险进行关联，将业务系统的安全运行情况展现出来，很直观地看到被监控的业务系统是安全级别中的哪一级，每个业务系统各是什么样的状况。业务系统是一个支撑系统，如果业务系统正常，就不需要花过多时间来维护。技术人员的工作也能从全局角度出发，而并非某个局部设备的运维。

4. 如何计算安全投资的回报率？

       通过安全投入，减少了多少安全损失，这一点通常是很难度量的。比如说去年发生了多少安全事件，今年少发生了多少，如果能把风险量化，就能通过计算风险的降低率来推算投资回报率。

5. 安全技术过于底层，安全管理过于抽象，如何有效整合？

       信息安全不仅涉及到安全技术，还包括安全管理的内容。在做安全工作时，讲到安全理念、安全标准就会特别虚。讲技术体系，技术实现又会太细节化。27号文里谈到技术和管理并重，在实际的工作中，需要把过于底层的安全技术和过于抽象的安全管理进行有效的整合。

二、安全运营中心解决方案

       SOC（Security Operation Center信息安全运营中心）解决方案，其体系架构如下图所示，一般由“四个中心”组成。

 

综合安全管理中心：安全管理中心还提供各种专项的安全集中管理功能来保证用户对某些专门安全问题的管理，主要加强内控管理，例如资产安全管理、系统补丁管理、异常流量管理、完整性检查等。

安全事件管理中心：全面收集安全设备、网络设备、主机、服务和应用的安全事件信息；通过分类、过滤、规范化、归并发送到安全事件库；经过综合安全事件关联分析，发现和确认一些攻击信息、违反合规约性以及异常行为；能够提供安全事件追溯，为调查取证提供有效的证据；对于确认的高风险安全事件可以通过自动响应机制，一方面给出多种告警方式（如控制台显示、邮件、短信等），另一方面通过安全联动机制阻止攻击（如OPSEC、路由器远程控制、交换机远程控制等）；真正体现出安全事件管理领域的“动态自动防御”精髓。

资产风险管理中心：全面收集信息资产的漏洞信息，通过综合关联分析去除各种误报，发现有用信息，给出级别度量。系统能够自动完成以往专家完成的风险计算工作，进行定损分析，并自动触发任务单和响应来降低风险，达到管理和控制风险的效果。

运维管理中心：该中心提供日常运维工作的服务保障体系；包括各种时钟同步、系统管理、资产配置库、资产工作状态和拓扑信息、安全知识管理、安全考核管理、流程管理实现等。例如工单管理用于追踪安全事件、资产风险和事故的处理情况；预警管理可以实现主动的预警，通过企业安全管理中心和各个安全服务供应商共同合作，形成一条完成的预警－处理链，可以保证在漏洞出现还未被利用前就送达各个管理员并保证被采取了应对的措施；还有通过对日常工作的进行评价来促使我们找到如何提高安全水平的方法。

       通过四个中心，解决大中型企业在信息安全管理中的问题：

1.整合多种设备的多种报警。

       安全事件管理中心，全面收集安全设备、网络设备、主机、服务和应用的安全事件信息。并对所有安全事件进行分类、过滤、规范化和归并。实现多种设备、多种报警的整合。并针对安全事件给出解决方案。

2.深度挖掘、智能分析、归并压缩海量日志。

      针对海量日志。安全事件管理中心，对所有安全事件进行分类、过滤、规范化和归并。

       安全事件分类；把安全安全事件根据事件名称、事件类型、攻击源、攻击目标等等分类归并，归并同一安全事件产生的报警； 安全事件过滤，按照IP、端口、协议等属性对安全事件进行过滤的安全事件信息，忽略其他不需要关注的安全事件；安全事件规范化和归并，把来自防火墙、IDS等的原始数据进行标准化处理。标准化按照日期、时间、事件名、源IP、源端口、目的IP、目的端口、设备类型、附加信息等。标准化同时实现安全事件分类。

3.以资产为中心，以业务系统为主线，实时量化风险等级。

4.规范管理流程，建立管理体系。

5.月度、年度甚至周报，详细统计安全事件，量化安全风险，安全投入回报明了于心。