启明星辰安全管理运营解决方案

　　需求分析

　　传统的安全管理方式是将分散在各地、不同种类的安全防护系统分别管理，这样导致安全信息分散互不相通，安全策略难以保持一致，这种传统的管理运行方式因此成为许许多多安全隐患形成的根源。安全运营中心(Security Operation Center)是针对传统管理方式的一种重大变革。它将不同位置、不同安全系统中分散且海量的单一安全事件进行汇总、过滤、收集和关联分析，得出全局角度的安全风险事件，并形成统一的安全决策对安全事件进行响应和处理。总体来说SOC的根本模型就是PDR模型，而SOC系统就是实现其中的D(Detection，检测)和R(Response，响应)。SOC的需求主要是从以下几个方面得到体现：

　　大系统的管理

　　通常安全系统是分别独立逐步的建立起来的，比如防病毒系统、防火墙系统、入侵检测系统等，各个系统都有单独的管理员或者管理控制台。这种相对独立的部署方式带来的问题是各个设备独立的配置、各个引擎独立的事件报警，这些分散独立的安全事件信息难以形成全局的风险观点，导致了安全策略和配置难于统一协调。这种对于大规模系统的安全管理也正是SOC的需求根源，就是说只有大系统、拥有复杂应用的系统才有SOC的需求。

　　海量信息数据

　　随着安全系统建设越来越大，除了需要协调各个安全系统之间的问题之外，由于安全相关的数据量越来越大，有些关键的安全信息和告警事件常常被低价值或无价值的告警信息所淹没，一些全局性的、影响重大的问题很难被分析和提炼出来。为了从大量的、孤立的单条事件中准确的发现全局性的、整体的安全威胁行为，需要SOC这样一个平台使得整个安全体系的检测能力更加准确，更加集中于影响重大的焦点问题。

　　信息安全目标

　　我们知道传统的信息安全有7个属性，即保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、真实性(Authenticity)、不可否认性(Nonreputiation)、可追究性(Accountability)和可控性/可治理性(Controllability/Governability)。信息安全的目标是要确保全局的掌控，确保整个体系的完整性，而不仅限于局部系统的完整性;对于安全问题、事件的检测要能够汇总和综合到中央监控体系，确保可追究性是整个体系的可追究性。SOC的出现就是为了确保对全局的掌控，实现全面支撑信息安全管理目标。

　　全局可控性

　　可控性是信息安全7个属性中最重要的一个，可控性最重要的体现是全局监控、预警能力和应急响应处理能力。全局预警就是要建立全局性的安全状况收集系统，对于新的安全漏洞和攻击方法的及时了解，针对体系内局部发生的安全入侵等事件进行响应。我们通常用水桶效应来描述分布式系统的安全性问题，认为整个系统的安全性取决于水桶中最薄弱的一块木条。SOC就像是这个水桶的箍，有了这个箍，水桶就很难崩溃，即使出现个别的漏洞，也不至于对整个体系造成灾难性的破坏。SOC充分利用所掌握的空间、时间、知识、能力等资源优势，形成全局性的资源协调体系，为系统的全局可控性提供有力的保障。

　　需求分析

　　传统的安全管理方式是将分散在各地、不同种类的安全防护系统分别管理，这样导致安全信息分散互不相通，安全策略难以保持一致，这种传统的管理运行方式因此成为许许多多安全隐患形成的根源。安全运营中心(Security Operation Center)是针对传统管理方式的一种重大变革。它将不同位置、不同安全系统中分散且海量的单一安全事件进行汇总、过滤、收集和关联分析，得出全局角度的安全风险事件，并形成统一的安全决策对安全事件进行响应和处理。总体来说SOC的根本模型就是PDR模型，而SOC系统就是实现其中的D(Detection，检测)和R(Response，响应)。SOC的需求主要是从以下几个方面得到体现：

　　大系统的管理

　　通常安全系统是分别独立逐步的建立起来的，比如防病毒系统、防火墙系统、入侵检测系统等，各个系统都有单独的管理员或者管理控制台。这种相对独立的部署方式带来的问题是各个设备独立的配置、各个引擎独立的事件报警，这些分散独立的安全事件信息难以形成全局的风险观点，导致了安全策略和配置难于统一协调。这种对于大规模系统的安全管理也正是SOC的需求根源，就是说只有大系统、拥有复杂应用的系统才有SOC的需求。

　　海量信息数据

　　随着安全系统建设越来越大，除了需要协调各个安全系统之间的问题之外，由于安全相关的数据量越来越大，有些关键的安全信息和告警事件常常被低价值或无价值的告警信息所淹没，一些全局性的、影响重大的问题很难被分析和提炼出来。为了从大量的、孤立的单条事件中准确的发现全局性的、整体的安全威胁行为，需要SOC这样一个平台使得整个安全体系的检测能力更加准确，更加集中于影响重大的焦点问题。

　　信息安全目标

　　我们知道传统的信息安全有7个属性，即保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、真实性(Authenticity)、不可否认性(Nonreputiation)

　　、可追究性(Accountability)和可控性/可治理性(Controllability/Governability)。信息安全的目标是要确保全局的掌控，确保整个体系的完整性，而不仅限于局部系统的完整性;对于安全问题、事件的检测要能够汇总和综合到中央监控体系，确保可追究性是整个体系的可追究性。SOC的出现就是为了确保对全局的掌控，实现全面支撑信息安全管理目标。

　　全局可控性

　　可控性是信息安全7个属性中最重要的一个，可控性最重要的体现是全局监控、预警能力和应急响应处理能力。全局预警就是要建立全局性的安全状况收集系统，对于新的安全漏洞和攻击方法的及时了解，针对体系内局部发生的安全入侵等事件进行响应。我们通常用水桶效应来描述分布式系统的安全性问题，认为整个系统的安全性取决于水桶中最薄弱的一块木条。SOC就像是这个水桶的箍，有了这个箍，水桶就很难崩溃，即使出现个别的漏洞，也不至于对整个体系造成灾难性的破坏。SOC充分利用所掌握的空间、时间、知识、能力等资源优势，形成全局性的资源协调体系，为系统的全局可控性提供有力的保障。

　　功能特点

　　实时事件关联分析

　　事件监控中心对来自不同安全系统的报警信息进行实时的关联分析，关联分析的整个过程都是在内存中进行的，并根据威胁程度的大小对安全事件进行排序，对不同威胁程度的安全事件通过不同颜色来着重显示。

　　多样化显示方式

　　事件监控中心提供了多种实时显示方式，如网络拓扑方式、雷达方式、柱形图等，直观的将安全威胁数据呈现给用户。

　　丰富直观的报表

　　启明星辰安全管理运营解决方案提供了丰富的报表模板供用户选择，除了文字总结还可以用清晰直观的图形化方式将报表呈现给用户。

　　广泛的平台支持

　　启明星辰安全管理运营解决方案支持从各种主流安全系统收集安全事件数据，并可以和网管系统实现结合管理。目前支持的产品有：

　　■防火墙系统：Checkpoint NG NGAI and Provider/1 Cisco PIX Netscreen Secure Computing Sidewinder G2.

　　■入侵监测系统：启明星辰天阗IDS Enterasys Dragon ISS RealSecure Cisco Secure IDS Snort Symantec Manhunt nCircle IP360.

　　■防病毒系统：Sophos Symantec Corporate (Norton) McAfee ePO Trend Micro.

　　■漏洞扫描系统：启明星辰天镜Scanner eEye Retina nCircle IP360 Nessus ISS Scanner Foundstone Foundscan.

　　■网管系统：HP OpenView Micro

　　Muse NetCool CA UniCenter.

　　■其他：WindowsEvent Log UNIX Syslog Tripwire SNMP SNMP Traps.

　　■定制化：基于日志的数据源通常可以在一周左右定制化完成

　　弱点评估管理

　　启明星辰安全管理运营解决方案的弱点评估中心通过人工审计和漏洞扫描工具两种方式，收集整个网络的弱点情况并进行统一管理，使得管理人员可以清楚的掌握全网的安全健康状况。

　　弱点评估管理具有统一的可视界面，显示各个系统的安全漏洞分布情况，包括以下内容：

　　该漏洞相关的链接信息，包括CVE编号、漏洞描述、受影响的系统类型以及漏洞的解决方案等信息;

　　统计信息，即给出漏洞的分布、数量等统计信息。

　　启明星辰安全管理运营解决方案支持多种漏洞扫描工具，包括启明星辰的天镜漏洞扫描系统、ISS Scanner、eEye Retina、Nessus、Foundstone Foundscan等。

　　应急响应管理

　　启明星辰安全管理运营解决方案的应急响应管理是通过工作流系统实现的。该系统是专门针对安全事件的处理过程，根据具体的安全响应流程进行定制的。其工作流程如下图所示：

　　事件监控中心监测到安全事件后有专人生成新的工单，一方面有专人会通过系统报警的方式收到通知并在规定的时间内对工单进行接收，并进入对安全事件的处理阶段，另一方面工单跟踪模块会对工单被派发后的整个过程进行跟踪，进行工单收回、重新派发等工作。工单处理结果可能有两种可能：一种是安全事件被解决，这个工单就被关闭，同时工单的内容被保存到知识库中，作为历史记录和以后参考用;另一种情况是安全事件因为某些原因没有被彻底解决，这个工单所包含的问题会被重新处理考虑，生成新的工单，进入新的工单处理流程。

　　应急响应管理完善了从防护到检测再到响应的一个安全事件处理过程的闭环。

　　全面知识管理

　　启明星辰安全管理运营解决方案的知识管理平台既提供一般知识管理功能，比如安全知识库、培训和人员考核等，也提供了强大的漏洞库、事件特征库、补丁库、安全配置知识库和应急响应知识库等。启明星辰公司作为国家CNCVE项目的承担单位拥有自主产权的漏洞库和事件特征库，启明星辰安全管理运营解决方案的漏洞库和事件特征库兼容了国内国际上流行的各种漏洞库，比如CNCVE，CVE，Bugtraq等，同时启明星辰的积极防御实验室会及时发布最新发现的各种安全漏洞，并定期对已知漏洞进行总结。