SOC安全運營中心
介紹
什麼是SOC(安全運營中心)?
安全運營中心是指爲保證信息資產的安全, 採用集中管理方式統一管理相關安全產品, 蒐集所有安全信息, 並通過對收集到各種安全事件進行深層的分析、統計和關聯、及時反映被管理資產的安全基線, 定位安全風險, 對各類安全時間及時提供處理方法和建議的安全解決方案。
安全運營中心(SOC ) 的主要思想是採用多種安全產品的Agent和安全控制中心,最大化地利用技術手段,在統一安全策略的指導下,將系統中的各個安全部件協同起來,實現對各種網絡安全資源的集中監控、統一策略管理、智能審計及多種安全功能模塊之間的互動,並且能夠在多個安全部件協同的基礎上實現實時監控、安全事件預警、報表處理、統計分析、應急響應等功能,使得網絡安全管理工作由繁變簡,更爲有效。
架構
安全運營中心(SOC)的體系架構具備適應性強(能夠適用於不同節點接入網絡和系統環境)、可擴充性強、集中化安全管理等優點,其框架體系主要是爲了解決目前各類安全產品各自爲陣、難以組成一個整體安全防禦體系的問題。真正的整體安全是在一個整體的安全策略下,安全產品、安全管理、安全服務以及管理制度相互協調的基礎上才能夠實現。安全運營中心(SOC )框架如圖所示。一般由四個中心組成。
- 四個中心
綜合安全管理中心:安全管理中心還提供各種專項的安全集中管理功能來保證用戶對某些專門安全問題的管理,主要加強內控管理,例如資產安全管理、系統補丁管理、異常流量管理、完整性檢查等。
安全事件管理中心:全面收集安全設備、網絡設備、主機、服務和應用的安全事件信息;通過分類、過濾、規範化、歸併發送到安全事件庫;經過綜合安全事件關聯分析,發現和確認一些攻擊信息、違反合規約性以及異常行爲;能夠提供安全事件追溯,爲調查取證提供有效的證據;對於確認的高風險安全事件可以通過自動響應機制,一方面給出多種告警方式(如控制檯顯示、郵件、短信等),另一方面通過安全聯動機制阻止攻擊(如OPSEC、路由器遠程控制、交換機遠程控制等);真正體現出安全事件管理領域的“動態自動防禦”精髓。
資產風險管理中心:全面收集信息資產的漏洞信息,通過綜合關聯分析去除各種誤報,發現有用信息,給出級別度量。系統能夠自動完成以往專家完成的風險計算工作,進行定損分析,並自動觸發任務單和響應來降低風險,達到管理和控制風險的效果。
運維管理中心:該中心提供日常運維工作的服務保障體系;包括各種時鐘同步、系統管理、資產配置庫、資產工作狀態和拓撲信息、安全知識管理、安全考覈管理、流程管理實現等。例如工單管理用於追蹤安全事件、資產風險和事故的處理情況;預警管理可以實現主動的預警,通過企業安全管理中心和各個安全服務供應商共同合作,形成一條完成的預警-處理鏈,可以保證在漏洞出現還未被利用前就送達各個管理員並保證被採取了應對的措施;還有通過對日常工作的進行評價來促使我們找到如何提高安全水平的方法。
- 功能
⒈統一管理
安全運營中心(S O C)建立在安全設備部署的基礎之上,主要圍繞安全的預防、發現、反應環節搭建,實現了安全預警、集中監控、安全事件處理等更高層次的安全管理。這些建立在安全設備部署之上的安全管理包括:預防環節的安全預警信息通告,安全評估結果綜合分析的安全信息庫;發現環節的收集防火牆、入侵檢測、日誌系統、防病毒系統中的有關安全事件,呈現安全告警的集中安全監控系統;反應環節的以電子流的方式,進行安全事件處理流轉,保存安全事件處理經驗的安全事件運行系統。
安全運營中心(S O C ) 對各種安全產品的監控和管理,可以利用各個安全子系統中已有的信息採集和控制機制來實現,也可以採用直接與安全設備交互的方式進行,主要取決於各個安全子系統自身的構架以及提供的管理接口。
⒉安全事件實時監控與實時通報
網絡安全工作的本質在於控制網絡安全風險,風險管理是安全管理的核心。考察安全成本和安全威脅後果之間的關係,以可接受的成本來降低安全風險到可接受的水平。全網上的各種安全設備和產品每天都要產生大量的各種安全事件。對這些事件的集中監視是控制網絡風險、保證網絡業務正常運行的重要手段。安全運營中心專注於全網中安全相關事件的實時監控,收集並彙總重大安全事件的數據(如:大規模蠕蟲事件,重大攻擊事件等),進行關聯性分析,全面提高對網絡事件的快速反應能力;同時,將安全事件備份到後臺的數據庫中,以備查詢和生成安全運行報告。
安全事件通報與業務系統、工作流緊密結合。安全運營中心在發現某業務系統內出現安全事件後,還將及時把這些安全事件通知各業務系統的管理員以便及時予以處理
⒊全網統一安全策略
對於網絡的安全運行維護,最具有挑戰性的莫過於保持全網策略的一致性。尤其是對於日新月異的網絡安全技術,需要經常性頻繁應對出現的新漏洞,根據新的業務調整安全策略。安全運營中心支持統一、集成的策略管理,包括策略的制定、分發和策略執行情況的檢查。安全策略管理包括設備安全策略、事件響應策略和全局安全策略等。
統一安全策略管理制訂全網的安全策略,這些策略文件可下發給各相關部門,通過直接(也可以手工)的方式進行配置落實。策略的管理能夠通過全局策略的調整、業務的變化、各網管和部門反饋來的意見等情況,不斷調整、優化安全策略。
⒋基於角色的安全事件可視化
安全運營中心提供統一的安全管理,併爲不同級別和性質的管理員提供不同層次和性質的管理視圖。一般全網系統是一個複雜的分佈式大規模網絡,因此核心層、分佈層以及接入層的網絡管理員具有不同的職責。系統不但能夠提供運行核心層的管理員對所有安全系統宏觀的管理視圖,也能夠爲各地主要業務網絡的管理員對自己管轄區域內的安全設備和安全系統部件進行區域自治管理,此外,還能夠通過安全運營中心(SOC)對分佈於整個網絡的某個安全子系統,進行整體安全策略的發放和狀態監測及管理。安全運營中心(SOC)根據需要設置可視化條件,實時在全網拓撲圖中顯示最重要的多組事件,包括設備名稱、事件定位、風險概況、脆弱性等信息
⒌安全事件關聯分析
安全運營中心(SOC)要對各個不同安全設備(入侵檢測、漏洞掃描、防火牆等)報告的安全信息進行集中的數據挖掘和分析,進行全局的相關性分析和報表顯示,以發現低級安全事件相關聯後表現出的高級安全事件,以及異常行爲之間、漏洞和入侵之間的對應關係,便於對攻擊的確認和安全策略的調整。安全運營中心一般支持基於規則的關聯分析、基於統計的關聯分析和基於漏洞的關聯分析等3種形式。根據此關聯分析的功能,結合網絡的業務應用系統的事件特徵,通過分析與制定安全域與業務安全控制策略和基於業務應用的流程異常監控,制定相關的特定關聯分析規則,配合事件監控、拓撲管理及綜合顯示等方面的內容,從而實現業務安全監控及追蹤功能的事件定位。
⒍宏觀分析與安全決策支持
安全運營中心(S O C)應支持對各安全設備上報的有安全數據進行宏觀統計、分析和決策支持。宏觀統計分析主要是在大量數據的基礎上,對安全事件進行綜合分析,比如將攻擊信息和安全漏洞信息關聯起來,產生詳盡的安全報告,提供安全決策支持,強有力地支持全網安全事件的及時發現(檢測)、準確定位(追蹤)、儘快處理(應急響應)、進一步防範(預警)以及全網安全策略制定(策略)。網絡運行維護管理員根據宏觀分析提供的全局安全狀況和安全態勢信息,並結合網絡的管理體系、人員管理規章制度、管理流程以及行政管理規定, 爲針對安全事件的處理決策提供支持。
⒎安全事件全局預警
對於像衝擊波、紅色代碼等危害較大的網絡蠕蟲的較大規模入侵,從一個地區向另一地區滲透可能有一定的延時。在這段延時期間,安全運營中心(SOC )有義務將這種警報發佈到尚未受攻擊的區域中去,以起到提前佈防的預警作用。
⒏安全事件知識庫
爲了實現安全事件的集中收集、記錄、審計和流程化處理(集中、分類、入庫、處理),共享最新安全知識,保證安全人才的儲備,安全運營中心(S O C )建立安全事件知識庫。知識庫將各級安全運營中心的安全管理信息收集起來,爲各級安全維護人員形成統一的安全共享知識庫,以完成安全信息管理和W E B 發佈,主要實現安全管理信息、安全事件庫、安全策略配置庫、安全技術信息交流、處置預案庫、補丁庫、安全知識庫等欄目的信息發佈管理和瀏覽。安全管理員可以通過安全知識庫的輔助工具學習,瞭解相關知識,輔助進行運維工作。
NOC的工作要符合服務水平協議(SLA),並且以減少宕機時間的方式管理事件,話句話說,就是關注可用性和性能。SOC則度量他們保障知識產權和敏感客戶數據的能力,關注於安全。
產品
- 啓明星辰泰合安管平臺(SOC)產品簡介
泰合信息安全運營中心(Security Operation Center)系統是一個面向全網IT資源的集中安全管理平臺。她通過對網絡中各類IT資源的安全域劃分,以及海量異構網絡與安全事件的採集、處理和分析,面向業務信息系統建立一套可度量的風險模型,使得各級管理員能夠實現全網的資產運行監控、事件分析與審計、風險評估與度量、預警與響應、態勢分析,並藉助標準化的流程管理實現持續的安全運營。
藉助泰合信息安全運營中心(SOC)系統,客戶可以將日常安全管理工作變無序爲有序、化複雜爲簡單,全面提升網絡安全管理能力:
1.從局部安全提升爲全局安全
2.從單點防禦提升爲協同防禦
3.從模糊管理提升爲量化管理
- 產品功能
泰合信息安全運營中心繫統基於開放式的軟件平臺設計架構,由多個功能模塊組成,用戶可以自由選擇搭配,後續還能夠無縫升級。
系統的主要功能包括:
1、網絡運行監控
系統能夠對全網的各類網絡設備、安全設備、主機、數據庫、應用系統等實時、細粒度的運行監控,及時發現網絡中的可用性故障,並進行故障定位和告警響應,確保重要業務信息系統的可用性和業務連續性。
系統能夠形象地展示出用戶的網絡拓撲,並動態展示拓撲節點的運行狀態,還能夠根據用戶管理的組織和部門結構在地圖上展示出設備或者設備組的地理位置。
2、事件及流量管理
系統能夠採集全網中各類網絡設備、安全設備、主機、數據庫、應用系統等的日誌、告警和事件,並對這些信息進行範式化、過濾、歸併,形成統一的事件格式,包括統一事件嚴重等級、統一事件類型和名稱等,使得管理員能夠在系統的管理控制檯上方便地瀏覽所有安全事件,並確保信息的一致性。針對所有安全事件,系統能夠藉助泰合獨有的事件關聯分析引擎進行多種事件關聯分析,包括規則關聯、漏洞管理、統計關聯,等等。
除了採集各類安全事件,系統還能夠採集形如NetFlow的流量日誌。針對採集來的NetFlow流量日誌的分析,系統能夠建立網絡流量模型,通過泰合特有的基於流量基線的分析算法,發現網絡異常行爲。
3、脆弱性管理
系統支持將各類第三方漏洞掃描、應用掃描和人工評估的漏洞信息整合到一起,形成基於資產和業務的漏洞信息庫,並計算資產和業務的脆弱性。系統能夠對新發現的漏洞信息進行預警通告。
4、安全預警與風險管理
系統可以遵循《GB-T20984-2007信息安全技術信息安全風險評估規範》標準的推薦要求對用戶業務信息系統進行風險評估與分析,結合資產及業務的價值、脆弱性和威脅信息,計算資產或業務的風險等級,並進行預警和展示。系統還能對重要的威脅事件、漏洞信息進行預警和展示。
5、態勢分析
泰合安全運營中心繫統是國內首個具備態勢宏觀分析能力的安全管理平臺。針對系統收集到的海量安全事件,系統藉助地址熵分析、三元組分析、熱點驗證分析等數據挖掘技術,幫助管理員從宏觀層面把握整體安全態勢,對重大威脅進行識別、定位、預測和跟蹤。
6、響應管理
系統具備完善的響應管理功能,能夠根據用戶設定的各種觸發條件,通過多種方式(例如郵件、短信、聲音、SNMPTrap等)通知用戶,並觸發可以自定義的響應處理流程,直至跟蹤到問題處理完畢,從而實現安全事件的閉環管理。
系統支持設備控制腳本,允許管理員自動對設備進行操作控制,及時阻斷攻擊源。系統內置工作流引擎,能夠進行響應處理流程的自定義。系統具備開放式接口,能夠與第三方運維管理系統實現對接。
7、知識管理
系統具有國內最完善的安全管理知識庫系統,內容涵蓋安全事件庫、安全策略庫、安全公告庫、預警信息庫、漏洞庫、關聯規則庫、處理預案庫、工作流程庫、案例庫、報表庫等,並提供定期或者不定期的知識庫升級服務。
8、用戶管理
系統採用三權分立的管理體制,默認設置了用戶管理系統管理員、安全運營中心管理員、審計管理員分別管理。系統用戶管理採用基於角色的訪問控制策略,即依據對系統中角色行爲來限制對資源的訪問。
9、自身系統管理
實現了系統自身安全及維護管理。主要包括組織管理、系統數據庫及功能組件運行狀態監控、日誌維護及其他一些與系統本身相關的運行維護的管理和配置功能。
10、信息展示
系統爲客戶提供了多樣化的信息展示方式。包括:整合網絡的可視化視圖、具體應用服務的運行細粒度視圖、基於規則的安全事件交叉視圖、基於資產及安全域的風險視圖,等等。
11、報表報告
系統具備實時和調度報表功能,能夠根據各種統計條件實時動態地產生豐富的統計報表,也可以根據客戶自定義的調度計劃定期自動生成報表報告。系統支持客戶自定義報表功能,能夠生成各類客戶化的報表報告。
- 典型應用
- 技術優勢
提供全面的一站式安全運營中心解決方案,內置網絡管理、安全管理和運維管理功能,並能夠靈活選擇功能模塊。
系統簡單實用、界面美觀大方、內置豐富的儀表板,適用於各級管理人員。
支持對超過130種國內外主流設備和系統日誌及事件的高速採集、範式化、關聯分析、安全存儲和響應。
具有國內最完善的安全管理知識庫,內容涵蓋安全事件庫、安全策略庫、安全公告庫、預警信息庫、漏洞庫、關聯規則庫、處理預案庫、工作流程庫、案例庫、報表庫等,並可以升級具備國內最領先的安全事件關聯分析與態勢感知能力,實現對全網安全風險的量化分析、安全態勢評估,並具有態勢預測的能力內置基於工作流的安全突發事件響應管理功能及處理流程強大的客戶化定製能力,包括基於開放架構的管理平臺和一支國內最專業的定製開發團隊。
參考文獻:
1、http://nssffcs.blog.51cto.com/860714/178845
2、安全管理平臺(SOC)在國家電子政務外網中的應用 郭紅 王勇 吳亞非
3、http://netsecurity.51cto.com/art/201111/302069.htm