SOC网络安全管理中心系统平台建设方案.docx

《SOC网络安全管理中心系统平台建设方案.docx》由会员分享，可在线阅读，更多相关《SOC网络安全管理中心系统平台建设方案.docx（47页珍藏版）》请在第一文库网上搜索。

1、项目编号:某网络安全管理中心系统平台建 设 方 案目录1 概述52 体系架构72.1 XX运营商安全运行中心的建设目标72.2 安全运行中心建设的体系架构92.2.1 全国soc一省级SOC二级架构92.2.2 基于层次模型的体系结构103 功能模块143.1 SOC核心系统143.1.1 接口层143.1.1.1 企业数据收集143.1.1.2 安全数据收集143.1.1.3 配置中心143.1.1.4 响应中心153.1.2 数据分析层153.1.2.1 资产管理153.1.2.2 漏洞分析153.1.2.3 威胁分析153.1.2.4 风险分析163.1.2.5 安全信息库163.1.2

2、.6 任务调度163.1.3 应用层173.1.3.1 角色和用户管理173.1.3.2 风险管理183.1.3.3 分析查询213.1.3.4 系统维护223.1.3.5 安全设备管理233.2 SOC外部功能模块243.2.1 人员组织管理243.2.2 企业资产管理243.2.3 脆弱性管理253.2.4 事件和日志管理253.2.5 配置收集263.2.6 安全产品接口263.2.7 安全知识系统263.2.8 工单系统273.2.9 响应工具及APl294 实施方案304.1 WEB界面定制方案304.1.1 仪表板组件304.1.2 资产信息管理组件314.1.3 异常流量监控组件

3、314.1.4 安全事件监控管理组件324.1.5 脆弱性管理组件324.1.6 安全策略管理组件324.1.7 安全预警组件324.1.8 安全响应管理组件334.1.9 网络安全信息334.2 二级结构实施方案334.3 部署方案344.3.1 全国中心部署方案344.3.2 江苏省中心部署方案344.3.3 安全数据采集方案354.4 其他364.4.1 安全评价364.4.2 配置收集和审计方案374.4.3 XX扫描器解决方案385 优势概述40附录一：事件管理支持产品一览421概述随着XX运营商的网络规模庞大、系统复杂，其中的各种网络设备、服务器、 工作站、业务系统、支撑系统都存在

4、着超常的复杂性、多样性。随着安全越来越 受到重视，安全子系统也逐步发展到复杂和多样的系统，这些安全子系统通常首 先在各个业务系统中独立建立，然后随着安全管理的规模和成本的不断上升逐步 发展到产生了整个企业建立一致的安全管理体系的需求，XX的安全运行中心解 决方案（SeCUrityoPerationCenter简称SOC）正是满足这种需求，为企业安 全整合提供解决方案，通过最佳的安全技术和最佳的安全实践帮助用户从分散的 安全实现集中的、可管理的安全。XX的SOC解决方案帮助用户解决以下的问 题： 分散的管理增加管理成本和管理难度作为一个新兴的、覆盖范围极大技术领域，信息安全可以划分为众多的细分

5、领域，例如防火墙、入侵检测、漏洞扫描、认证和授权、加密、防病毒、VPN. PKL内容过滤等等，每个领域内均有最好的厂商和解决方案供应商，企业往往 根据自身的需求，选择其中最优秀的产品，这就造成了这样一种现象：安全产品 和厂商基本均为基于“点”的解决方案，即基于某一安全细分领域的解决方案， 这些解决方案都需要单独购买、实施和管理。这种情况下，随着使用产品种类和 数量的增加需要不断增加管理和维护人员，管理成本往往呈指数级的增加，但是 管理效率却仍然存在瓶颈，特别是多种数据不能相互沟通和关联更加剧了这一现 象，这些问题导致对集中化管理的要求； 安全信息和知识的共享水平较差以往的观念往往认为，“安全是

6、安全管理人员的事情”，目前，这种情况正在 极大地改善，越来越多的企业通过安全策略明确地定义不同人员在安全组织中所 处的位置和应该担负的责任，与之不能相称的是，目前的安全产品仍然往往仅仅 提供安全管理员的角色和视图，不能让普通系统管理员参与到安全管理和安全信 息的共享中来，必须建立一种让所有的IT人员能够使用和监控与他们相关的安 全信息的系统，让整个安全组织，而不仅仅是安全管理员为网络的安全负责 海量事件某企业在一次病毒爆发的过程中在一天内产生了二千万的入侵检测告警，在 这样的告警量水平情况下，管理员往往疲于应付，并且容易忽略一些重要但是数 量较小的告警，尽管海量事件分析的需要的技能并不很高超，

7、但如果仅仅依靠安 全管理员人工分析，需要占用大量人员，而且容易出错。必须将规则化的分析让 机器来实现，管理员和安全专家可以专注于更为复杂的分析。海量事件是现代企 业安全管理和审计面临的主要挑战之一 缺乏智能告警的信息是一台服务器受到某种windows RPC病毒的攻击，而事实上该 服务器是Unix服务器；传统的网络IDS事件告警无法分析当服务器受到攻击时 攻击是否成功；无法通过发现攻击者的一系列组合攻击从而提高告警级别.以上的种种问题提示我们，孤立的事件无法为我们揭示问题的本质，必须有 更加智能的分析方法，它可以分析多个事件的之间的联系，可以将不同的数据来 源关联起来，可以将各种数据和知识关联

8、起来；总而言之，企业需要智能化的处 理方式，需要极大地提高效率，需要防止误报。 必须改变以事件为中心的视角现有的安全产品往往以安全事件为视角，用户第一眼看到的是各种各样的事 件，但实际情况是，用户关注的核心不是事件本身，而是他们的资产是否受到了 保护，需要保护的关键资产是否受到了威胁。因此必须改变以事件为中心的视角， 以用户关心的核心资产为中心，提供面向资产的、基于安全健康指标的告警服务 安全知识的不足。各种各样的产品提供了大量的安全机制，但是无论是关联、分析还是响应， 都必须建立在知识的基础上。这些知识有些是通用的，可以来自供应商，有些是 与客户实际环境密切相关的，必须来自实际生产环境，必须

9、保证这些知识的不断 积累，才能真正实现智能化。 安全响应能力不足对安全响应的要求包括：/发现问题后必须能快速找到解决方法并最快速度进行响应，响应的 过程中要求明确响应的责任人、响应办反并反馈响应结果，对安全 事件响应的整个过程必须有记录和考核；, 建立一支有经验的响应队伍，这个队伍包括内部人员和外部专家支 持；, 支持自动化的响应和通知手段。对这些问题的深刻认识，都促使我们认识到，必须进一步发展安全体系，在 现有产品体系的基础上架构集中的管理解决方案，因此XX在国内首先提出了安 全运行中心(SeCUrityOPeratiOnCenter)解决方案，提供一个整体性、智能性 的安全管理解决方案。2

10、体系架构2.1 XX运营商安全运行中心的建设目标XX安全运行中心（SOC）解决方案提供的整体解决方案是建立在现有的安 全环境的基础上，能够实现以资产为核心的全面安全管理的管理系统，他实现了 以下的特性： 以资产为核心的全面安全管理XX整体安全管理架构是以资产为核心的。BS7799将所有与信息相关能够 体现价值的资产都称为信息资产，XX通过多年的服务实践发现，这种定义难以 在实践中进行方便的操作，考虑到我们主要是管理基于网络和主机的资产，因此, XX在兼容BS7799标准的基础上，对资产进行了简化，将资产定义为可管理的 带IP的设备资产和其上的附属软件和数据。如某台服务器是可管理资产，则这 个资

11、产包含了硬件、操作系统、应用软件和数据库、数据库中的数据。XX安全运行中心的所有信息都以资产为中心，例如漏洞和威胁都会被归结 到资产，并在资产的层面进行关联和分析。用户登陆后也主要关注他们管理范围 内的资产状况。这和以往的以事件为中心的安全管理有本质性的区别。 面向部门和用户的安全管理XX安全运行中心针对中国企业的管理结构特点，允许用户在系统内部设立 企业结构逻辑视图，允许通过定义角色来分配权限。可以快速地为每个资产定位 其负责人以及相关部门、领导、管理员、备份管理员等信息。XX安全运行中心是供所有的安全管理员、系统管理员、网络管理员使用的 系统，通过角色定义，每个用户可以登陆到系统，看到自己

12、管理的资产和系统的 健康状况和告警。通过对角色的操作权限以及管辖资产范围的定义，可以精确地 对权限进行限制，保障最小授权原则。 强大完善的资产管理支持基于LDAP的资产管理，可以和不同系统的资产数据库进行同步。支持 资产价值（可用性需求、完整性需求、保密性需求）的评估。完整记录资产及其 上的应用，均支持自动发现和手动调整。 以资产为核心的漏洞管理以资产为核心，驱动漏洞的定期扫描、评估。用户可以在SOC界面中针对 资产定制定期扫描或者发起一次单独的扫描，通过SoC界面驱动扫描系统，扫 描的结果会返回到SoC系统中,所有信息经过标准化后存放在统一的数据库中， 漏洞信息和资产信息可以方便地供关联使用

13、，扫描结果还可以自动触发安全响应 流程，保证一发现漏洞就进行解决。通过以资产为核心的漏洞管理，系统可以提 供比传统的漏洞扫描器更加详尽的信息、更快的响应以及更强的信息交互和关联, 并且可以实现统一的控制管理。 以资产为核心的威胁管理威胁管理主要通过事件管理体现出来，与以往以事件管理为核心的系统相比 较，XXSOC中心将收集到的所有事件信息都归结到资产，很好地实现了基于资 产视角的视图，用户可以方便地根据资产的价值和关键性来进行事件的分级。XXSOC中心大量支持已有安全产品的事件收集，做到即插即用，对于不支 持的产品，提供可视化的变成编写数据的收集和标准化agent,保证快速的扩展。 所有事件收

14、集机制都是详细可定制的。 强大的智能处理智能化处理是XX安全运行中心解决海量事件、事件分散化、误报的的重要 机制，XX的智能处理方式主要包括：/底层智能处理：通过数据过滤、标准化、数据合并、实时数据关联 来实现底层的智能事件处理，特别是实时数据关联实现了基于规则 的关联，发现实时数据之间的潜在联系，可以改变和调整级别。,基于资产的关联：当数据被归结到资产之后，不同来源的事件数据 以及漏洞相关数据被汇聚在一起，在这个新的数据集的基础上，进 行新一轮的关联分析，由于集中了异种事件的关联分析，这种分析 可以有效减少误报，提供更多参考。, 统计分析关联：基于异常检测的原理，在资产的基础上，检测是否 有

15、异常的行为，发现未知攻击。,知识库智能搜索：通过将事件、漏洞等数据与知识库进行关联，给 系统管理员充分的信息、参考和解决方案。 深入的配置管理能力XXSOC管理中心支持以下安全产品的管理配置：LinktrUSt Cyberwall全系 列产品、LinktrUStIDS全系列产品。XXSOC管理还支持对非XX产品进行配置的收集和集中存放以及定期配置 审计。 丰富完善的主动响应管理XXSOC解决方案支持丰富的主动响应方式：支持完整的工单流程，工单可以通过事件、漏洞自动触发；XXSoe管理系 统支持包括短信、email、留言等通知响应能力；支持基于OPSEC等机制的安 全产品互动能力，XX产品还支持应用程序调用和APl接口。 全面的知识支持XX公司作为专业的安全公司，在安全领域有多年的丰富经验，建立了 ST 一 Force实验室，保证对最新安全技术、新安全动态、最新安全漏洞的跟踪，在 ST-Force的支持下建立的强大的知识系统和技术模型保证了 XX能够提供业界 最领先的安全知