安全系統(tǒng)運營中心發(fā)展現(xiàn)狀與應(yīng)用探討

1、實用標(biāo)準(zhǔn)文檔安全運營中心（SOC）發(fā)展現(xiàn)狀與應(yīng)用探討隨著電信企業(yè)信息化建設(shè)步伐的加快，如何有效化解安全風(fēng)險，有效應(yīng)對各種突發(fā)性 安全事件已成為不容忽視的問題。與普通企業(yè)相比，電信運營商的信息安全系統(tǒng)不僅部署地域分散，規(guī)模龐大，而且與業(yè)務(wù)系統(tǒng)耦合性較高；如何將現(xiàn)有安全系統(tǒng)納入統(tǒng)一的管理平臺，實現(xiàn)安全形勢全局分析和動態(tài)監(jiān)控已成為各級信息系統(tǒng)維護部門面臨的主要問題。SOC（SecurityOperationCenter）安全運營中心應(yīng)運而生，是目前流行的電信級安全解決方案。SOC的出現(xiàn)對應(yīng)數(shù)據(jù)的集中管理趨勢，通過集中收集、過濾、關(guān)聯(lián)分析安全事件，提供安 全趨勢報告，及時作出反應(yīng)，實現(xiàn)對風(fēng)險的有效控制

2、。目前主要安全廠商陸續(xù)推出了SOC解決方案，中國移動、中國電信也相繼拿出若干省市開展SOC建設(shè)試點工作。由于國內(nèi)沒有成熟的運維經(jīng)驗，SOC發(fā)展過程遇到一些問題，導(dǎo)致人們對SOC產(chǎn)生不少認識誤區(qū)， 直接影響了 SOC的大規(guī)模推廣。本文全面分析了 SOC 的定位、主要功能、技術(shù)難點以及發(fā)展趨勢，并探討了SOC存在的主要問題，希望幫助人們?nèi)胬斫釹OC,更好地推動這一新生事務(wù)的發(fā)展。1. SOC概述信息系統(tǒng)發(fā)展的一個顯著特點是：資源平臺化、數(shù)據(jù)集中化。信息安全保障系統(tǒng)作為 信息系統(tǒng)的重要組成部分，其發(fā)展也必須符合信息系統(tǒng)發(fā)展趨勢。安全運行中心是描述 “對安全事件（Securityincident）提

3、供檢測和響應(yīng)服務(wù)的所有平臺”通用術(shù)語。SOC的核心是檢測和響應(yīng)功能，通俗一點講，就是基于獲取的海量安全事件，分析整個系統(tǒng)的安全狀態(tài)和安全趨勢，對危害嚴(yán)重的安全事件及時做出反應(yīng)。1.1. SOC的安全子系統(tǒng)組成依據(jù)信息系統(tǒng)生命周期理論，與信息的產(chǎn)生、傳輸、存儲、分析、處理五個環(huán)節(jié)相對應(yīng)，SOC系統(tǒng)包括下列功能模塊：事件發(fā)生器（E）模塊事件發(fā)生器負責(zé)生成安全事件，可分為基于數(shù)據(jù)的事件發(fā)生器和基于狀態(tài)的事件發(fā)生 器。前者指傳感器，如網(wǎng)絡(luò)入侵檢測系統(tǒng)、 主機檢測系統(tǒng)、防火墻等，主要產(chǎn)生由操作系統(tǒng)、 應(yīng)用、網(wǎng)絡(luò)操作引發(fā)的事件；后者指輪詢器（ Poller）,產(chǎn)生響應(yīng)外部激勵（如 Ping、SNMP 命令

4、）的事件，外部激勵主要用來檢查服務(wù)狀態(tài)、數(shù)據(jù)完整性。這類事件的典型例子是網(wǎng)管系統(tǒng)中輪詢工作站向管理工作站發(fā)送的告警信息。收集模塊（C）收集模塊負責(zé)從不同傳感器收集信息并轉(zhuǎn)換為標(biāo)準(zhǔn)格式，從而形成統(tǒng)一信息方便后續(xù) 處理。存儲模塊（D）和其他模塊相比，存儲模塊標(biāo)準(zhǔn)化程度很高，可以簡單理解為數(shù)據(jù)庫，惟一特殊的是 需要進行相關(guān)性處理，識別來自同一源或不同源的重復(fù)事件。分析模塊（A+K ）該模塊負責(zé)分析存儲在數(shù)據(jù)庫中的事件，為響應(yīng)模塊提供響應(yīng)的充分依據(jù)（告警信息）。分析過程又離不開知識庫（K模塊）的支持，知識庫存儲入侵路徑、系統(tǒng)安全模型、安全策 略等知識。分析模塊是 SOC系統(tǒng)最復(fù)雜的部分，包括相關(guān)性分析

5、、結(jié)構(gòu)化分析、入侵路徑 分析、行為分析。響應(yīng)模塊（R）響應(yīng)模塊功能負責(zé)對安全事件做出及時有效響應(yīng)，涵蓋反擊正在發(fā)生安全事件的所有 響應(yīng)（Reaction）和報告工具。由于牽扯到人的因素，響應(yīng)行為具有相當(dāng)?shù)闹饔^性，很多時 候需要根據(jù)長期積累的基于經(jīng)驗的最佳實踐或建議。但其重要性不能低估。響應(yīng)模塊不僅需要對外提供自動化的控制臺接口、事件快速響應(yīng)接口、實時監(jiān)控接口、統(tǒng)計分析接口；還需向用戶提供永久性風(fēng)險評估報告、中長期安全行為報告、系統(tǒng)狀態(tài)報告。1.2. SOC vs NOC目前電信運營商都已建立網(wǎng)管中心（NOC）。根據(jù)ITU提出的FCAPS模型，網(wǎng)管系統(tǒng)的主要功能是故障管理 （Fault）、配置管

6、理（Configuration）、計費管理（Accounting）、性能管理 （Performance）、安全管理（Security）。表面上 NOC有安全管理功能，似乎 SOC與NOC功能 重疊；實際上由于二者定位不同，功能、作用差別很大。概括起來，網(wǎng)管中心與安全運營中 心主要區(qū)別如下：XNOC的安全管理功能側(cè)重訪問控制，強調(diào)控制對計算機網(wǎng)絡(luò)中信息的訪問，保護系 統(tǒng)、服務(wù)、數(shù)據(jù)免受非法入侵、破壞；SOC注重對安全攻擊的檢測和響應(yīng)。XNOC的安全功能著眼于“事前預(yù)防”，即先采取措施預(yù)防非法攻擊；而 SOC的安全 功能屬于“事后處理”，換句話說，出現(xiàn)安全事件怎樣阻斷攻擊，怎么反擊。網(wǎng)管中心強調(diào)對

7、網(wǎng)絡(luò)的全面管理，在五大功能中安全管理只占很少一部分；而SOC完全面向安全管理，安全功能更專業(yè)、全面。XSOC在收集安全事件時，有時采用輪詢方式，利用某些網(wǎng)管系統(tǒng)的監(jiān)控功能。長期以來，人們在 NOC的建設(shè)、管理、維護方面積累了豐富的經(jīng)驗，SOC的建設(shè)和運行可以合理借鑒這些經(jīng)驗。例如，在組織架構(gòu)和管理模式方面SOC可以參照NOC的做法；但在工作流程設(shè)計上SOC最好采用與 NOC平行的模式。出于簡化管理考慮，國外也有將SOC和NOC放在一起的成功案例。2. SOC涉及的關(guān)鍵技術(shù)在安全事件的一體化處理流程中，SOC采用一系列新技術(shù)，在有效提高應(yīng)用系統(tǒng)安全性的同時，盡量減輕安全事件相關(guān)操作對業(yè)務(wù)系統(tǒng)性能

8、的影響。SOC建設(shè)中涉及的關(guān)鍵技術(shù)有負載均衡技術(shù)、模式分析技術(shù)、結(jié)構(gòu)化分析技術(shù)、快速響應(yīng)技術(shù)。2.1. 負載均衡在SOC的設(shè)計和建設(shè)過程，必須優(yōu)先考慮性能因素。雖然原始信息越多、越詳細，越 有助于SOC分析和檢測正在發(fā)生的攻擊企圖，但采集、處理過多的信息對 SOC處理能力提出挑戰(zhàn)，嚴(yán)重影響性能。 一方面，每個傳感器每秒鐘可能產(chǎn)生成百上千條消息，全部類型各 異的傳感器實時上報消息對SOC收集模塊的處理能力提出很高要求。另一方面，收集模塊也輪詢獲取系統(tǒng)狀態(tài)，過于頻繁的輪詢會占用被管理系統(tǒng)寶貴的CPU資源，直接影響其業(yè)務(wù)的運行。與保證服務(wù)器端服務(wù)類似，提高SOC的伸縮性、可用性可以采用：負載均衡技術(shù)

9、，如高可用性（ HA）、集群（Cluster）、雙機熱備。源過濾技術(shù)，傳感器預(yù)先過濾掉不重要的信息，減輕SOC的處理壓力。2.2. 模式分析（相關(guān)性）安全事件分析處理的好壞直接關(guān)系著SOC系統(tǒng)的后續(xù)處理，分析模塊綜合分析來自不同設(shè)備、數(shù)量龐大的事件序列，通過模式匹配找出安全事件之間的內(nèi)在聯(lián)系（相關(guān)性），最終產(chǎn)生高度合成的準(zhǔn)確分析結(jié)果。模式分析的基本內(nèi)容包括：1）識別重復(fù)信息，對于收到的多條重復(fù)信息進行篩選或過濾，以減輕存儲負擔(dān)。2）序列模式匹配，判別一系列消息是否由同一入侵企圖觸發(fā)。3）事件模式匹配，通過基于時間的上下文分析，識別緩慢分布式入侵過程。4）安全策略匹配，基于行為匹配識別符合安全策

10、略規(guī)則的某些事件，如管理員登陸、 認證。5）系統(tǒng)威脅分析，判斷目標(biāo)系統(tǒng)是否受已檢測到攻擊企圖的威脅，并分析此類攻擊對 系統(tǒng)安全的整體影響。2.3. 脆弱性分析脆弱T（ Vulnerability ）是指系統(tǒng)存在的安全漏洞或不安全的行為，這些信息可能損害整體安全級別，也可能被“黑客”加以利用發(fā)動入侵攻擊。作為知識庫的一個組件，弱點數(shù)據(jù)庫存儲三類脆弱性：結(jié)構(gòu)化脆弱性這種脆弱性通常指軟件的內(nèi)部缺陷，例如緩沖區(qū)溢出Bug、字符串格式化缺陷等。功能化脆弱性通常指與配置、操作行為、用戶等運行環(huán)境有關(guān)的弱點，這種脆弱性的一個顯著特點 是只要一個所需條件不具備，它就在系統(tǒng)中以“非激活”狀態(tài)存在。顯然定義、格式

11、化、整 理這類脆弱性，需要操作系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用各方面專家的參與。拓撲相關(guān)脆弱性這類脆弱性主要基于網(wǎng)絡(luò)（如監(jiān)聽、IP欺騙），還包含可能的入侵路徑的脆弱性。拓撲相關(guān)脆弱性導(dǎo)入弱點數(shù)據(jù)庫一般需要拓撲建模的支持。2.4. 4.快速響應(yīng)快速響應(yīng)是SOC根本目標(biāo)，所有模塊均服務(wù)于該功能。緊急響應(yīng)的內(nèi)容根據(jù)環(huán)境不同 而有所差異，從監(jiān)控事件的進一步發(fā)展到攻擊的追蹤。當(dāng)大規(guī)模攻擊爆發(fā)時，及時隔離攻擊源是防止攻擊影響擴大化的有效措施。當(dāng)SOC檢測到WWW服務(wù)器被入侵、頁面遭到非法篡改，快速響應(yīng)則意味著盡快恢復(fù)服務(wù)器的正常運行，把事件的負面影響降到最小。在攻擊發(fā)生之前，必須確定響應(yīng)流程；該流程需要經(jīng)過提前演練并備案

12、。為了保證快速、有效的響應(yīng)，應(yīng)急響應(yīng)流程至少應(yīng)包括特定級別的事件升級制度（ Escalation）。在事件 升級制度中，根據(jù)攻擊的嚴(yán)重程度， 采取不同的響應(yīng)流程，由不同級別人員處理。 以三級處 理模式為例，現(xiàn)場值守人員處理已知類型攻擊， 第二級安全專業(yè)小組處理不明類型攻擊， 第 三級實驗室研究小組（如 CERT）對復(fù)雜攻擊進行重放、原理分析并找出適當(dāng)?shù)慕鉀Q辦法。3. SOC的發(fā)展趨勢3.1. 1.認識誤區(qū)由于SOC出現(xiàn)時間不長，無論是用戶還是安全廠商都缺乏足夠的建設(shè)、維護經(jīng)驗，目 前對SOC存在下列認識誤區(qū)：1）對SOC的作用認識不足，片面夸大或貶低SOC。計算機網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展給電信運營商

13、帶來了沉重的安全壓力，SOC的誕生為信息安全問題解決提供一縷曙光，于是人們認為SOC可以解決一切安全問題。另一方面，目前已經(jīng)運行的SOC由于缺乏必要的支撐，管理體制沒有理順；效果不盡如人意，對 SOC的懷 疑聲又不斷。對 SOC作用的片面認識很大程度上由于安全廠商宣傳誤導(dǎo)，導(dǎo)致人們對SOC 期望過高；因為 SOC是一種蓬勃發(fā)展的新生事物，出現(xiàn)問題也在所難免，需要在發(fā)展中不 斷完善。2）將SOC僅僅理解為軟件系統(tǒng)，忽略其平臺特性。與以往單一的安全系統(tǒng)相比，SOC最大的優(yōu)勢是為統(tǒng)一安全管理提供了完整平臺，提高了對于安全威脅的精確檢測能力和一體化響應(yīng)能力。要使SOC真正發(fā)揮作用，后期的維護、二次開發(fā)

14、工作必不可少，其重要性甚至不亞于前期建設(shè)工作。后期維護工作一方面是整合資源，將所有安全子系統(tǒng)盡可能納入SOC管理范圍；另一方面要加強子系統(tǒng)建設(shè)，根據(jù)業(yè)務(wù)需要開發(fā)相應(yīng)接口。3）技術(shù)層面考慮多，管理層面考慮少。根據(jù)信息風(fēng)險管理最佳實踐BS7799/ISO7799 ,信息安全工作是“七分技術(shù)，三分管理”。SOC也不例外，它的建設(shè)不僅僅是技術(shù)問題，與管理制度也密切相關(guān)。SOC 一般適用于信息系統(tǒng)規(guī)模龐大、應(yīng)用復(fù)雜的情況，在這種環(huán)境下，管理工作顯得尤其重要。如果無法與現(xiàn)有安全管理制度、流程有機銜接，SOC建設(shè)很可能流于形式，無法發(fā)揮預(yù)期效果。電信運營商在建設(shè)安全運營中心的同時，必須理順安全管理體系，制定

15、詳細、可操作的規(guī)章流程，抓好組織體系、人員培訓(xùn)等方面建設(shè)。3.2. 急需解決的問題不可否認，新興的SOC技術(shù)有待完善?？偨Y(jié)起來，SOC的發(fā)展需要重點解決以下問題：1）標(biāo)準(zhǔn)化問題標(biāo)準(zhǔn)是制約SOC發(fā)展的最大障礙，雖然主要安全廠商都推出了SOC解決方案，但大都采用私有技術(shù)、基于特定操作系統(tǒng)（平臺）或特定型號安全產(chǎn)品（防火墻、入侵檢測系統(tǒng)、 路由器），SOC之間無法互通。SOC標(biāo)準(zhǔn)化涉及采集數(shù)據(jù)的格式、傳輸協(xié)議、安全知識庫信 息存儲、輸出告警的格式（響應(yīng)）等。目前一些國際組織已開始這方面標(biāo)準(zhǔn)的制定工作，例 如IETF入侵檢測工作組開始制定消息格式與傳輸協(xié)議標(biāo)準(zhǔn)。2）自動化響應(yīng)目前對于發(fā)現(xiàn)的入侵企圖，通

16、常做法是人工干預(yù)、手工清除；這樣雖然能夠保證效果， 但效率無法保證，尤其是面臨拒絕服務(wù)攻擊（ DOS/DDOS）。對入侵或攻擊行為進行自動化 響應(yīng)引起人們濃厚興趣， 一些企業(yè)也在開發(fā)一些自動工具；例如某些入侵檢測系統(tǒng)檢測到攻擊后自動阻塞來自攻擊源的所有數(shù)據(jù)，有些工具將黑客攻擊重定向到一個可觀測的受控環(huán) 境，記錄攻擊行為，甚至嘗試反擊。鑒于安全問題的復(fù)雜性，一般情況下慎用自動工具，這 類工具更適宜處理大量并發(fā)攻擊，同時應(yīng)加強使用審計。3）與業(yè)務(wù)系統(tǒng)的無縫集成SOC需要提供外部接口，更好地與特定行業(yè)用戶現(xiàn)有業(yè)務(wù)系統(tǒng)銜接起來。對于電信業(yè)而言，目前廣泛使用了工單（ EMOS）、業(yè)務(wù)運營支撐系統(tǒng)（BOS

17、S）、資源管理系統(tǒng)等。只 有與用戶業(yè)務(wù)/支撐系統(tǒng)有機結(jié)合在一起，才能充分發(fā)揮SOC作為中央監(jiān)控中心的價值所在， 幫助企業(yè)構(gòu)建可控、一體化安全管理體系，保障業(yè)務(wù)持續(xù)、穩(wěn)定發(fā)展。4.如何建設(shè)一個安全監(jiān)控中心（SOC） ?雖然信息安全管理問題主要是個從上而下的問題，不能指望通過某一種工具來解決，但良好的安全技術(shù)基礎(chǔ)架構(gòu)能有效的推動和保障信息安全管理。隨著國內(nèi)行業(yè)IT應(yīng)用度和信息安全管理水平的不斷提高，企業(yè)對于安全管理的配套設(shè)施如安全監(jiān)控中心（SOC）的要求也將有大幅度需求，這將會是一個較明顯的發(fā)展趨勢。推行SOC的另外一個明顯的好處是考慮到在國內(nèi)企業(yè)目前的信息化程度下直接實施信息管理變革的困難性，如

18、果嘗試先從技術(shù)角度入手建立SOC相對來說阻力更小，然后通過SOC再推動相應(yīng)的管理流程制定和實施，這也未嘗不是值得推薦的并且符合國情的建設(shè)方式，而且目前已經(jīng)有些IT應(yīng)用成熟度較高的大型企業(yè)開始進行這方面工作的試點和探索了， 因為這些組織已經(jīng)認識到僅依賴于某些安全產(chǎn)品，不可能有效地保護自己的整體網(wǎng)絡(luò)安全，信息安全作為一個整體，需要把安全過程中的有關(guān)各方如各層次的安全產(chǎn)品、分支機構(gòu)、運營網(wǎng)絡(luò)、客戶等納入一個緊密的統(tǒng)一安全管理平臺中，才能有效地保障企業(yè)的網(wǎng)絡(luò)安全和保護原有投資，信息安全管理水平的高低不是單一的安全產(chǎn)品的比較，也不是應(yīng)用安全產(chǎn)品的多少和時間的比較， 而是組織的整體的安全管理平臺效率間的比

19、較。下面我們就來談?wù)劷⒁粋€SOC應(yīng)該從那些方面考慮。首先，一個較完善的 SOC應(yīng)該具有以下功能模塊：安全設(shè)備的集中管理統(tǒng)一日志管理（集中監(jiān)控）：包括各安全設(shè)備的安全日志的統(tǒng)一監(jiān)控；安全日志的統(tǒng)一存儲、查詢、分析、過濾和報表生成等功能、安全日志的統(tǒng)一告警平臺和統(tǒng)一的自動通知等；模塊分析：大型網(wǎng)絡(luò)中的不同節(jié)點處往往都部署了許多安全產(chǎn)品，起到不同的作用。首先要達到的目標(biāo)是全面獲取網(wǎng)絡(luò)安全實時狀態(tài)信息，解決網(wǎng)絡(luò)安全管理中的透明性問題。解決網(wǎng)絡(luò)安全的可管理控制性問題。從安全管理員的角度來說，最直接的需求就是在一個統(tǒng)一的界面中可以監(jiān)視到網(wǎng)絡(luò)中每個安全產(chǎn)品的運行情況，并對他們產(chǎn)生的日志和報警信息進行統(tǒng)一分

20、析和匯總。統(tǒng)一配置管理（集中管理）：包括各安全設(shè)備的安全配置文件的集中管理，提高各管理 工具的維護管理水平， 提高安全管理工作效率； 有條件的情況下實現(xiàn)各安全產(chǎn)品的配置 文件（安全策略）的統(tǒng)一分發(fā)，修正和更新；配置文件的統(tǒng)一在（離）線管理，定期進 行采集和審核，對安全產(chǎn)品的各種屬性和安全策略進行集中的存儲、查詢。模塊分析：目前企業(yè)中主要的安全產(chǎn)品如防火墻、入侵檢測和病毒防護等往往是各自為政，有自己獨立的體系和控制端。通常管理員需要同時運行多個控制端，這就直接導(dǎo)致了對安全設(shè)備統(tǒng)一管理的要求。不過從目前國內(nèi)的情況來說，各不同廠商的安全產(chǎn)品統(tǒng)一管理 的難度較大，統(tǒng)一監(jiān)控更容易實現(xiàn)，在目前現(xiàn)狀中也更為

21、重要。目前國內(nèi)現(xiàn)狀是各個安全公司都從開發(fā)管理自己設(shè)備的管理軟件入手，先做到以自己設(shè)備為中心，把自己設(shè)備先管理起來， 同時提出自己的協(xié)議接口，使產(chǎn)品能夠有開放性和兼容性。這些安全設(shè)備管理軟件和網(wǎng)絡(luò)管理軟件類似，對安全設(shè)備的發(fā)現(xiàn)和信息讀取主要建立在SNMP協(xié)議基礎(chǔ)上，對特定的信息輔助其他網(wǎng)絡(luò)協(xié)議。獲取得內(nèi)容大部分也和網(wǎng)絡(luò)設(shè)備管理相同，如CPU使用情況，內(nèi)存使用情況，系統(tǒng)狀態(tài)，網(wǎng)絡(luò)流量等。各安全產(chǎn)品和系統(tǒng)的統(tǒng)一協(xié)調(diào)和處理（協(xié)同處理）：協(xié)調(diào)處理是安全技術(shù)的目標(biāo)，同時也符合我國對信息安全保障的要求即實現(xiàn)多層次的防御體系。整體安全技術(shù)體系也應(yīng)該有多層次的控制體系。不僅僅包含各種安全產(chǎn)品，而且涉及到各主機操

22、作系統(tǒng)、應(yīng)用軟 件、路由交換設(shè)備等等。模塊分析：目前國內(nèi)有部分提法是IDS和防火墻的聯(lián)動就是基于這種思路的，但是實際的使用情況中基本上沒有客戶認同這點，原因當(dāng)然有很多，但實際上要實現(xiàn)這點還需要較長的技術(shù)積累。設(shè)備的自動發(fā)現(xiàn)：網(wǎng)絡(luò)拓撲變化后能自動發(fā)現(xiàn)設(shè)備的調(diào)整并進行基本的探測和給出信 息。模塊分析：大部分企業(yè)內(nèi)部的網(wǎng)絡(luò)的拓撲都是在變化的，如果不支持設(shè)備的自動發(fā)現(xiàn)，就需要人工方式解決，給管理員造成較大的工作壓力，也不能掌握網(wǎng)絡(luò)的實際拓撲，這樣不 便于排錯和發(fā)現(xiàn)安全故障?？梢圆捎米詣铀褜ね負涞臋C制。如 IBM Tivoli Netview 可以自動 發(fā)現(xiàn)大多數(shù)網(wǎng)絡(luò)設(shè)備的類型，或通過更改 MIB庫，來

23、隨時添加系統(tǒng)能識別的新的設(shè)備。安全服務(wù)的集中管理實現(xiàn)安全相關(guān)軟件/補丁安裝情況的管理功能，建立安全相關(guān)軟件/補丁信息庫，提供查詢、統(tǒng)計、分析功能，提供初步的分發(fā)功能。模塊分析：微軟在對自己的操作系統(tǒng)的全網(wǎng)補丁分發(fā)上走的比較前，成功的產(chǎn)品有SUS和SNS等，國際上也有部分的單一產(chǎn)品是作這個工作的，但目前還沒有看到那個 SOC集成了這個模塊。安全培訓(xùn)管理：建立安全情報中心和知識庫（側(cè)重安全預(yù)警平臺），包括：最新安全知識的收集和共享；最新的漏洞信息和安全技術(shù)，；實現(xiàn)安全技術(shù)的交流和培訓(xùn)。持續(xù)更新發(fā)展的知識和信息是維持高水平安全運行的保證。模塊分析：雖然這個模塊的技術(shù)含量較低，但要為安全管理體系提供有

24、效的支持，這個模塊是非常重要的，有效的安全培訓(xùn)和知識共享是提示企業(yè)的整體安全管理執(zhí)行能力的基礎(chǔ)工作，也有助于形成組織內(nèi)部統(tǒng)一有效的安全信息傳輸通道，建立安全問題上報、 安全公告下發(fā)、處理和解決反饋的溝通平臺。風(fēng)險分析自動化：自動的搜集系統(tǒng)漏洞信息、 對信息系統(tǒng)進行入侵檢測和預(yù)警， 分析安 全風(fēng)險，并通過系統(tǒng)安全軟件統(tǒng)一完成信息系統(tǒng)的補丁加載，病毒代碼更新等工作， 有效的提高安全工作效率，減小網(wǎng)絡(luò)安全的"時間窗口 ",大大提高系統(tǒng)的防護能力。模塊分析：安全管理軟件實施的前提是已經(jīng)部署了較完善的安全產(chǎn)品，如防火墻，防病毒，入侵檢測等。有了安全產(chǎn)品才能夠管理和監(jiān)視，安全管理平臺的

25、作用在于在現(xiàn)有各種產(chǎn)品的基礎(chǔ)上進行一定的數(shù)據(jù)分析和部分事件關(guān)聯(lián)工作，例如設(shè)置掃描器定期對網(wǎng)絡(luò)進行掃描，配合該時間段的入侵檢測系統(tǒng)監(jiān)控日志和補丁更新日志，就可以對整網(wǎng)的技術(shù)脆弱性有個初步的了解。業(yè)務(wù)流程的安全管理初步的資產(chǎn)管理（資產(chǎn)、人員）：統(tǒng)一管理信息資產(chǎn)，匯總安全評估結(jié)果，建立風(fēng)險管理模型。提供重要資產(chǎn)所面臨的風(fēng)險值、相應(yīng)的威脅、脆弱性的查詢、統(tǒng)計、分析功能。模塊分析：國內(nèi)外安全廠商中資產(chǎn)管理功能都很簡單，和現(xiàn)有的財務(wù)、運營軟件相差非常大，基本上是照般了 BS7799中的對資產(chǎn)的分析和管理模塊。安全管理系統(tǒng)與網(wǎng)管系統(tǒng)的聯(lián)動（協(xié)調(diào)處理）：安全管理系統(tǒng)和網(wǎng)絡(luò)管理平臺已經(jīng)組織常用的運營支持系統(tǒng)結(jié)合

26、起來，更有效的利用系統(tǒng)和人力資源，提高整體的運營和管理 水平。模塊分析：如果可能的話，由于各產(chǎn)品的作用體現(xiàn)在網(wǎng)絡(luò)中的不同方面，統(tǒng)一的安全管理平臺必然要求對網(wǎng)絡(luò)中部署的安全設(shè)備和部分運營設(shè)備的安全模塊進行協(xié)同管理，這也是安全管理平臺追求的最高目標(biāo)。但這并非是一個單純的技術(shù)問題，還涉及到行業(yè)內(nèi)的標(biāo)準(zhǔn)和聯(lián)盟。目前在這方面作的一些工作如Check Point公司提出的opsec開放平臺標(biāo)準(zhǔn)，即入侵檢測產(chǎn)品發(fā)現(xiàn)攻擊和 check point防火墻之間的協(xié)調(diào)，現(xiàn)在流行的IPS概念，自動封鎖攻擊來源等，都在這方面作了較好的嘗試，在和整體的網(wǎng)絡(luò)管理平臺的結(jié)合方面，目前國內(nèi)外作的工作都較少，相對來說一些大型的IT廠商如舊M/CISCO/CA由于本身就具備多條產(chǎn)品 線（網(wǎng)絡(luò)、安全、應(yīng)用產(chǎn)品），其自身產(chǎn)品的融合工作可能已經(jīng)作了一些，但總體來說成熟 度不（Wj。與其它信息系統(tǒng)的高度融合：實現(xiàn)與 OA、ERP等其他信息系統(tǒng)的有機融合，有效的利 用維護、管理、財務(wù)等各方面信息提高安全管理水平。 安全管理的決策分析和知識經(jīng)驗將成 為公