安全系統(tǒng)運(yùn)營(yíng)中心發(fā)展現(xiàn)狀與應(yīng)用探討

1、實(shí)用標(biāo)準(zhǔn)文檔安全運(yùn)營(yíng)中心（SOC）發(fā)展現(xiàn)狀與應(yīng)用探討隨著電信企業(yè)信息化建設(shè)步伐的加快，如何有效化解安全風(fēng)險(xiǎn)，有效應(yīng)對(duì)各種突發(fā)性 安全事件已成為不容忽視的問題。與普通企業(yè)相比，電信運(yùn)營(yíng)商的信息安全系統(tǒng)不僅部署地域分散，規(guī)模龐大，而且與業(yè)務(wù)系統(tǒng)耦合性較高；如何將現(xiàn)有安全系統(tǒng)納入統(tǒng)一的管理平臺(tái)，實(shí)現(xiàn)安全形勢(shì)全局分析和動(dòng)態(tài)監(jiān)控已成為各級(jí)信息系統(tǒng)維護(hù)部門面臨的主要問題。SOC（SecurityOperationCenter）安全運(yùn)營(yíng)中心應(yīng)運(yùn)而生，是目前流行的電信級(jí)安全解決方案。SOC的出現(xiàn)對(duì)應(yīng)數(shù)據(jù)的集中管理趨勢(shì)，通過集中收集、過濾、關(guān)聯(lián)分析安全事件，提供安 全趨勢(shì)報(bào)告，及時(shí)作出反應(yīng)，實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的有效控制

2、。目前主要安全廠商陸續(xù)推出了SOC解決方案，中國(guó)移動(dòng)、中國(guó)電信也相繼拿出若干省市開展SOC建設(shè)試點(diǎn)工作。由于國(guó)內(nèi)沒有成熟的運(yùn)維經(jīng)驗(yàn)，SOC發(fā)展過程遇到一些問題，導(dǎo)致人們對(duì)SOC產(chǎn)生不少認(rèn)識(shí)誤區(qū)， 直接影響了 SOC的大規(guī)模推廣。本文全面分析了 SOC 的定位、主要功能、技術(shù)難點(diǎn)以及發(fā)展趨勢(shì)，并探討了SOC存在的主要問題，希望幫助人們?nèi)胬斫釹OC,更好地推動(dòng)這一新生事務(wù)的發(fā)展。1. SOC概述信息系統(tǒng)發(fā)展的一個(gè)顯著特點(diǎn)是：資源平臺(tái)化、數(shù)據(jù)集中化。信息安全保障系統(tǒng)作為 信息系統(tǒng)的重要組成部分，其發(fā)展也必須符合信息系統(tǒng)發(fā)展趨勢(shì)。安全運(yùn)行中心是描述 “對(duì)安全事件（Securityincident）提

3、供檢測(cè)和響應(yīng)服務(wù)的所有平臺(tái)”通用術(shù)語。SOC的核心是檢測(cè)和響應(yīng)功能，通俗一點(diǎn)講，就是基于獲取的海量安全事件，分析整個(gè)系統(tǒng)的安全狀態(tài)和安全趨勢(shì)，對(duì)危害嚴(yán)重的安全事件及時(shí)做出反應(yīng)。1.1. SOC的安全子系統(tǒng)組成依據(jù)信息系統(tǒng)生命周期理論，與信息的產(chǎn)生、傳輸、存儲(chǔ)、分析、處理五個(gè)環(huán)節(jié)相對(duì)應(yīng)，SOC系統(tǒng)包括下列功能模塊：事件發(fā)生器（E）模塊事件發(fā)生器負(fù)責(zé)生成安全事件，可分為基于數(shù)據(jù)的事件發(fā)生器和基于狀態(tài)的事件發(fā)生 器。前者指?jìng)鞲衅?，如網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)、 主機(jī)檢測(cè)系統(tǒng)、防火墻等，主要產(chǎn)生由操作系統(tǒng)、 應(yīng)用、網(wǎng)絡(luò)操作引發(fā)的事件；后者指輪詢器（ Poller）,產(chǎn)生響應(yīng)外部激勵(lì)（如 Ping、SNMP 命令

4、）的事件，外部激勵(lì)主要用來檢查服務(wù)狀態(tài)、數(shù)據(jù)完整性。這類事件的典型例子是網(wǎng)管系統(tǒng)中輪詢工作站向管理工作站發(fā)送的告警信息。收集模塊（C）收集模塊負(fù)責(zé)從不同傳感器收集信息并轉(zhuǎn)換為標(biāo)準(zhǔn)格式，從而形成統(tǒng)一信息方便后續(xù) 處理。存儲(chǔ)模塊（D）和其他模塊相比，存儲(chǔ)模塊標(biāo)準(zhǔn)化程度很高，可以簡(jiǎn)單理解為數(shù)據(jù)庫(kù)，惟一特殊的是 需要進(jìn)行相關(guān)性處理，識(shí)別來自同一源或不同源的重復(fù)事件。分析模塊（A+K ）該模塊負(fù)責(zé)分析存儲(chǔ)在數(shù)據(jù)庫(kù)中的事件，為響應(yīng)模塊提供響應(yīng)的充分依據(jù)（告警信息）。分析過程又離不開知識(shí)庫(kù)（K模塊）的支持，知識(shí)庫(kù)存儲(chǔ)入侵路徑、系統(tǒng)安全模型、安全策 略等知識(shí)。分析模塊是 SOC系統(tǒng)最復(fù)雜的部分，包括相關(guān)性分析

5、、結(jié)構(gòu)化分析、入侵路徑 分析、行為分析。響應(yīng)模塊（R）響應(yīng)模塊功能負(fù)責(zé)對(duì)安全事件做出及時(shí)有效響應(yīng)，涵蓋反擊正在發(fā)生安全事件的所有 響應(yīng)（Reaction）和報(bào)告工具。由于牽扯到人的因素，響應(yīng)行為具有相當(dāng)?shù)闹饔^性，很多時(shí) 候需要根據(jù)長(zhǎng)期積累的基于經(jīng)驗(yàn)的最佳實(shí)踐或建議。但其重要性不能低估。響應(yīng)模塊不僅需要對(duì)外提供自動(dòng)化的控制臺(tái)接口、事件快速響應(yīng)接口、實(shí)時(shí)監(jiān)控接口、統(tǒng)計(jì)分析接口；還需向用戶提供永久性風(fēng)險(xiǎn)評(píng)估報(bào)告、中長(zhǎng)期安全行為報(bào)告、系統(tǒng)狀態(tài)報(bào)告。1.2. SOC vs NOC目前電信運(yùn)營(yíng)商都已建立網(wǎng)管中心（NOC）。根據(jù)ITU提出的FCAPS模型，網(wǎng)管系統(tǒng)的主要功能是故障管理 （Fault）、配置管

6、理（Configuration）、計(jì)費(fèi)管理（Accounting）、性能管理 （Performance）、安全管理（Security）。表面上 NOC有安全管理功能，似乎 SOC與NOC功能 重疊；實(shí)際上由于二者定位不同，功能、作用差別很大。概括起來，網(wǎng)管中心與安全運(yùn)營(yíng)中 心主要區(qū)別如下：XNOC的安全管理功能側(cè)重訪問控制，強(qiáng)調(diào)控制對(duì)計(jì)算機(jī)網(wǎng)絡(luò)中信息的訪問，保護(hù)系 統(tǒng)、服務(wù)、數(shù)據(jù)免受非法入侵、破壞；SOC注重對(duì)安全攻擊的檢測(cè)和響應(yīng)。XNOC的安全功能著眼于“事前預(yù)防”，即先采取措施預(yù)防非法攻擊；而 SOC的安全 功能屬于“事后處理”，換句話說，出現(xiàn)安全事件怎樣阻斷攻擊，怎么反擊。網(wǎng)管中心強(qiáng)調(diào)對(duì)

7、網(wǎng)絡(luò)的全面管理，在五大功能中安全管理只占很少一部分；而SOC完全面向安全管理，安全功能更專業(yè)、全面。XSOC在收集安全事件時(shí)，有時(shí)采用輪詢方式，利用某些網(wǎng)管系統(tǒng)的監(jiān)控功能。長(zhǎng)期以來，人們?cè)?NOC的建設(shè)、管理、維護(hù)方面積累了豐富的經(jīng)驗(yàn)，SOC的建設(shè)和運(yùn)行可以合理借鑒這些經(jīng)驗(yàn)。例如，在組織架構(gòu)和管理模式方面SOC可以參照NOC的做法；但在工作流程設(shè)計(jì)上SOC最好采用與 NOC平行的模式。出于簡(jiǎn)化管理考慮，國(guó)外也有將SOC和NOC放在一起的成功案例。2. SOC涉及的關(guān)鍵技術(shù)在安全事件的一體化處理流程中，SOC采用一系列新技術(shù)，在有效提高應(yīng)用系統(tǒng)安全性的同時(shí)，盡量減輕安全事件相關(guān)操作對(duì)業(yè)務(wù)系統(tǒng)性能

8、的影響。SOC建設(shè)中涉及的關(guān)鍵技術(shù)有負(fù)載均衡技術(shù)、模式分析技術(shù)、結(jié)構(gòu)化分析技術(shù)、快速響應(yīng)技術(shù)。2.1. 負(fù)載均衡在SOC的設(shè)計(jì)和建設(shè)過程，必須優(yōu)先考慮性能因素。雖然原始信息越多、越詳細(xì)，越 有助于SOC分析和檢測(cè)正在發(fā)生的攻擊企圖，但采集、處理過多的信息對(duì) SOC處理能力提出挑戰(zhàn)，嚴(yán)重影響性能。 一方面，每個(gè)傳感器每秒鐘可能產(chǎn)生成百上千條消息，全部類型各 異的傳感器實(shí)時(shí)上報(bào)消息對(duì)SOC收集模塊的處理能力提出很高要求。另一方面，收集模塊也輪詢獲取系統(tǒng)狀態(tài)，過于頻繁的輪詢會(huì)占用被管理系統(tǒng)寶貴的CPU資源，直接影響其業(yè)務(wù)的運(yùn)行。與保證服務(wù)器端服務(wù)類似，提高SOC的伸縮性、可用性可以采用：負(fù)載均衡技術(shù)

9、，如高可用性（ HA）、集群（Cluster）、雙機(jī)熱備。源過濾技術(shù)，傳感器預(yù)先過濾掉不重要的信息，減輕SOC的處理壓力。2.2. 模式分析（相關(guān)性）安全事件分析處理的好壞直接關(guān)系著SOC系統(tǒng)的后續(xù)處理，分析模塊綜合分析來自不同設(shè)備、數(shù)量龐大的事件序列，通過模式匹配找出安全事件之間的內(nèi)在聯(lián)系（相關(guān)性），最終產(chǎn)生高度合成的準(zhǔn)確分析結(jié)果。模式分析的基本內(nèi)容包括：1）識(shí)別重復(fù)信息，對(duì)于收到的多條重復(fù)信息進(jìn)行篩選或過濾，以減輕存儲(chǔ)負(fù)擔(dān)。2）序列模式匹配，判別一系列消息是否由同一入侵企圖觸發(fā)。3）事件模式匹配，通過基于時(shí)間的上下文分析，識(shí)別緩慢分布式入侵過程。4）安全策略匹配，基于行為匹配識(shí)別符合安全策

10、略規(guī)則的某些事件，如管理員登陸、 認(rèn)證。5）系統(tǒng)威脅分析，判斷目標(biāo)系統(tǒng)是否受已檢測(cè)到攻擊企圖的威脅，并分析此類攻擊對(duì) 系統(tǒng)安全的整體影響。2.3. 脆弱性分析脆弱T（ Vulnerability ）是指系統(tǒng)存在的安全漏洞或不安全的行為，這些信息可能損害整體安全級(jí)別，也可能被“黑客”加以利用發(fā)動(dòng)入侵攻擊。作為知識(shí)庫(kù)的一個(gè)組件，弱點(diǎn)數(shù)據(jù)庫(kù)存儲(chǔ)三類脆弱性：結(jié)構(gòu)化脆弱性這種脆弱性通常指軟件的內(nèi)部缺陷，例如緩沖區(qū)溢出Bug、字符串格式化缺陷等。功能化脆弱性通常指與配置、操作行為、用戶等運(yùn)行環(huán)境有關(guān)的弱點(diǎn)，這種脆弱性的一個(gè)顯著特點(diǎn) 是只要一個(gè)所需條件不具備，它就在系統(tǒng)中以“非激活”狀態(tài)存在。顯然定義、格式

11、化、整 理這類脆弱性，需要操作系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用各方面專家的參與。拓?fù)湎嚓P(guān)脆弱性這類脆弱性主要基于網(wǎng)絡(luò)（如監(jiān)聽、IP欺騙），還包含可能的入侵路徑的脆弱性。拓?fù)湎嚓P(guān)脆弱性導(dǎo)入弱點(diǎn)數(shù)據(jù)庫(kù)一般需要拓?fù)浣５闹С帧?.4. 4.快速響應(yīng)快速響應(yīng)是SOC根本目標(biāo)，所有模塊均服務(wù)于該功能。緊急響應(yīng)的內(nèi)容根據(jù)環(huán)境不同 而有所差異，從監(jiān)控事件的進(jìn)一步發(fā)展到攻擊的追蹤。當(dāng)大規(guī)模攻擊爆發(fā)時(shí)，及時(shí)隔離攻擊源是防止攻擊影響擴(kuò)大化的有效措施。當(dāng)SOC檢測(cè)到WWW服務(wù)器被入侵、頁面遭到非法篡改，快速響應(yīng)則意味著盡快恢復(fù)服務(wù)器的正常運(yùn)行，把事件的負(fù)面影響降到最小。在攻擊發(fā)生之前，必須確定響應(yīng)流程；該流程需要經(jīng)過提前演練并備案

12、。為了保證快速、有效的響應(yīng)，應(yīng)急響應(yīng)流程至少應(yīng)包括特定級(jí)別的事件升級(jí)制度（ Escalation）。在事件 升級(jí)制度中，根據(jù)攻擊的嚴(yán)重程度， 采取不同的響應(yīng)流程，由不同級(jí)別人員處理。 以三級(jí)處 理模式為例，現(xiàn)場(chǎng)值守人員處理已知類型攻擊， 第二級(jí)安全專業(yè)小組處理不明類型攻擊， 第 三級(jí)實(shí)驗(yàn)室研究小組（如 CERT）對(duì)復(fù)雜攻擊進(jìn)行重放、原理分析并找出適當(dāng)?shù)慕鉀Q辦法。3. SOC的發(fā)展趨勢(shì)3.1. 1.認(rèn)識(shí)誤區(qū)由于SOC出現(xiàn)時(shí)間不長(zhǎng)，無論是用戶還是安全廠商都缺乏足夠的建設(shè)、維護(hù)經(jīng)驗(yàn)，目 前對(duì)SOC存在下列認(rèn)識(shí)誤區(qū)：1）對(duì)SOC的作用認(rèn)識(shí)不足，片面夸大或貶低SOC。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展給電信運(yùn)營(yíng)商

13、帶來了沉重的安全壓力，SOC的誕生為信息安全問題解決提供一縷曙光，于是人們認(rèn)為SOC可以解決一切安全問題。另一方面，目前已經(jīng)運(yùn)行的SOC由于缺乏必要的支撐，管理體制沒有理順；效果不盡如人意，對(duì) SOC的懷 疑聲又不斷。對(duì) SOC作用的片面認(rèn)識(shí)很大程度上由于安全廠商宣傳誤導(dǎo)，導(dǎo)致人們對(duì)SOC 期望過高；因?yàn)?SOC是一種蓬勃發(fā)展的新生事物，出現(xiàn)問題也在所難免，需要在發(fā)展中不 斷完善。2）將SOC僅僅理解為軟件系統(tǒng)，忽略其平臺(tái)特性。與以往單一的安全系統(tǒng)相比，SOC最大的優(yōu)勢(shì)是為統(tǒng)一安全管理提供了完整平臺(tái)，提高了對(duì)于安全威脅的精確檢測(cè)能力和一體化響應(yīng)能力。要使SOC真正發(fā)揮作用，后期的維護(hù)、二次開發(fā)

14、工作必不可少，其重要性甚至不亞于前期建設(shè)工作。后期維護(hù)工作一方面是整合資源，將所有安全子系統(tǒng)盡可能納入SOC管理范圍；另一方面要加強(qiáng)子系統(tǒng)建設(shè)，根據(jù)業(yè)務(wù)需要開發(fā)相應(yīng)接口。3）技術(shù)層面考慮多，管理層面考慮少。根據(jù)信息風(fēng)險(xiǎn)管理最佳實(shí)踐BS7799/ISO7799 ,信息安全工作是“七分技術(shù)，三分管理”。SOC也不例外，它的建設(shè)不僅僅是技術(shù)問題，與管理制度也密切相關(guān)。SOC 一般適用于信息系統(tǒng)規(guī)模龐大、應(yīng)用復(fù)雜的情況，在這種環(huán)境下，管理工作顯得尤其重要。如果無法與現(xiàn)有安全管理制度、流程有機(jī)銜接，SOC建設(shè)很可能流于形式，無法發(fā)揮預(yù)期效果。電信運(yùn)營(yíng)商在建設(shè)安全運(yùn)營(yíng)中心的同時(shí)，必須理順安全管理體系，制定

15、詳細(xì)、可操作的規(guī)章流程，抓好組織體系、人員培訓(xùn)等方面建設(shè)。3.2. 急需解決的問題不可否認(rèn)，新興的SOC技術(shù)有待完善。總結(jié)起來，SOC的發(fā)展需要重點(diǎn)解決以下問題：1）標(biāo)準(zhǔn)化問題標(biāo)準(zhǔn)是制約SOC發(fā)展的最大障礙，雖然主要安全廠商都推出了SOC解決方案，但大都采用私有技術(shù)、基于特定操作系統(tǒng)（平臺(tái)）或特定型號(hào)安全產(chǎn)品（防火墻、入侵檢測(cè)系統(tǒng)、 路由器），SOC之間無法互通。SOC標(biāo)準(zhǔn)化涉及采集數(shù)據(jù)的格式、傳輸協(xié)議、安全知識(shí)庫(kù)信 息存儲(chǔ)、輸出告警的格式（響應(yīng)）等。目前一些國(guó)際組織已開始這方面標(biāo)準(zhǔn)的制定工作，例 如IETF入侵檢測(cè)工作組開始制定消息格式與傳輸協(xié)議標(biāo)準(zhǔn)。2）自動(dòng)化響應(yīng)目前對(duì)于發(fā)現(xiàn)的入侵企圖，通

16、常做法是人工干預(yù)、手工清除；這樣雖然能夠保證效果， 但效率無法保證，尤其是面臨拒絕服務(wù)攻擊（ DOS/DDOS）。對(duì)入侵或攻擊行為進(jìn)行自動(dòng)化 響應(yīng)引起人們濃厚興趣， 一些企業(yè)也在開發(fā)一些自動(dòng)工具；例如某些入侵檢測(cè)系統(tǒng)檢測(cè)到攻擊后自動(dòng)阻塞來自攻擊源的所有數(shù)據(jù)，有些工具將黑客攻擊重定向到一個(gè)可觀測(cè)的受控環(huán) 境，記錄攻擊行為，甚至嘗試反擊。鑒于安全問題的復(fù)雜性，一般情況下慎用自動(dòng)工具，這 類工具更適宜處理大量并發(fā)攻擊，同時(shí)應(yīng)加強(qiáng)使用審計(jì)。3）與業(yè)務(wù)系統(tǒng)的無縫集成SOC需要提供外部接口，更好地與特定行業(yè)用戶現(xiàn)有業(yè)務(wù)系統(tǒng)銜接起來。對(duì)于電信業(yè)而言，目前廣泛使用了工單（ EMOS）、業(yè)務(wù)運(yùn)營(yíng)支撐系統(tǒng)（BOS

17、S）、資源管理系統(tǒng)等。只 有與用戶業(yè)務(wù)/支撐系統(tǒng)有機(jī)結(jié)合在一起，才能充分發(fā)揮SOC作為中央監(jiān)控中心的價(jià)值所在， 幫助企業(yè)構(gòu)建可控、一體化安全管理體系，保障業(yè)務(wù)持續(xù)、穩(wěn)定發(fā)展。4.如何建設(shè)一個(gè)安全監(jiān)控中心（SOC） ?雖然信息安全管理問題主要是個(gè)從上而下的問題，不能指望通過某一種工具來解決，但良好的安全技術(shù)基礎(chǔ)架構(gòu)能有效的推動(dòng)和保障信息安全管理。隨著國(guó)內(nèi)行業(yè)IT應(yīng)用度和信息安全管理水平的不斷提高，企業(yè)對(duì)于安全管理的配套設(shè)施如安全監(jiān)控中心（SOC）的要求也將有大幅度需求，這將會(huì)是一個(gè)較明顯的發(fā)展趨勢(shì)。推行SOC的另外一個(gè)明顯的好處是考慮到在國(guó)內(nèi)企業(yè)目前的信息化程度下直接實(shí)施信息管理變革的困難性，如

18、果嘗試先從技術(shù)角度入手建立SOC相對(duì)來說阻力更小，然后通過SOC再推動(dòng)相應(yīng)的管理流程制定和實(shí)施，這也未嘗不是值得推薦的并且符合國(guó)情的建設(shè)方式，而且目前已經(jīng)有些IT應(yīng)用成熟度較高的大型企業(yè)開始進(jìn)行這方面工作的試點(diǎn)和探索了， 因?yàn)檫@些組織已經(jīng)認(rèn)識(shí)到僅依賴于某些安全產(chǎn)品，不可能有效地保護(hù)自己的整體網(wǎng)絡(luò)安全，信息安全作為一個(gè)整體，需要把安全過程中的有關(guān)各方如各層次的安全產(chǎn)品、分支機(jī)構(gòu)、運(yùn)營(yíng)網(wǎng)絡(luò)、客戶等納入一個(gè)緊密的統(tǒng)一安全管理平臺(tái)中，才能有效地保障企業(yè)的網(wǎng)絡(luò)安全和保護(hù)原有投資，信息安全管理水平的高低不是單一的安全產(chǎn)品的比較，也不是應(yīng)用安全產(chǎn)品的多少和時(shí)間的比較， 而是組織的整體的安全管理平臺(tái)效率間的比

19、較。下面我們就來談?wù)劷⒁粋€(gè)SOC應(yīng)該從那些方面考慮。首先，一個(gè)較完善的 SOC應(yīng)該具有以下功能模塊：安全設(shè)備的集中管理統(tǒng)一日志管理（集中監(jiān)控）：包括各安全設(shè)備的安全日志的統(tǒng)一監(jiān)控；安全日志的統(tǒng)一存儲(chǔ)、查詢、分析、過濾和報(bào)表生成等功能、安全日志的統(tǒng)一告警平臺(tái)和統(tǒng)一的自動(dòng)通知等；模塊分析：大型網(wǎng)絡(luò)中的不同節(jié)點(diǎn)處往往都部署了許多安全產(chǎn)品，起到不同的作用。首先要達(dá)到的目標(biāo)是全面獲取網(wǎng)絡(luò)安全實(shí)時(shí)狀態(tài)信息，解決網(wǎng)絡(luò)安全管理中的透明性問題。解決網(wǎng)絡(luò)安全的可管理控制性問題。從安全管理員的角度來說，最直接的需求就是在一個(gè)統(tǒng)一的界面中可以監(jiān)視到網(wǎng)絡(luò)中每個(gè)安全產(chǎn)品的運(yùn)行情況，并對(duì)他們產(chǎn)生的日志和報(bào)警信息進(jìn)行統(tǒng)一分

20、析和匯總。統(tǒng)一配置管理（集中管理）：包括各安全設(shè)備的安全配置文件的集中管理，提高各管理 工具的維護(hù)管理水平， 提高安全管理工作效率； 有條件的情況下實(shí)現(xiàn)各安全產(chǎn)品的配置 文件（安全策略）的統(tǒng)一分發(fā)，修正和更新；配置文件的統(tǒng)一在（離）線管理，定期進(jìn) 行采集和審核，對(duì)安全產(chǎn)品的各種屬性和安全策略進(jìn)行集中的存儲(chǔ)、查詢。模塊分析：目前企業(yè)中主要的安全產(chǎn)品如防火墻、入侵檢測(cè)和病毒防護(hù)等往往是各自為政，有自己獨(dú)立的體系和控制端。通常管理員需要同時(shí)運(yùn)行多個(gè)控制端，這就直接導(dǎo)致了對(duì)安全設(shè)備統(tǒng)一管理的要求。不過從目前國(guó)內(nèi)的情況來說，各不同廠商的安全產(chǎn)品統(tǒng)一管理 的難度較大，統(tǒng)一監(jiān)控更容易實(shí)現(xiàn)，在目前現(xiàn)狀中也更為

21、重要。目前國(guó)內(nèi)現(xiàn)狀是各個(gè)安全公司都從開發(fā)管理自己設(shè)備的管理軟件入手，先做到以自己設(shè)備為中心，把自己設(shè)備先管理起來， 同時(shí)提出自己的協(xié)議接口，使產(chǎn)品能夠有開放性和兼容性。這些安全設(shè)備管理軟件和網(wǎng)絡(luò)管理軟件類似，對(duì)安全設(shè)備的發(fā)現(xiàn)和信息讀取主要建立在SNMP協(xié)議基礎(chǔ)上，對(duì)特定的信息輔助其他網(wǎng)絡(luò)協(xié)議。獲取得內(nèi)容大部分也和網(wǎng)絡(luò)設(shè)備管理相同，如CPU使用情況，內(nèi)存使用情況，系統(tǒng)狀態(tài)，網(wǎng)絡(luò)流量等。各安全產(chǎn)品和系統(tǒng)的統(tǒng)一協(xié)調(diào)和處理（協(xié)同處理）：協(xié)調(diào)處理是安全技術(shù)的目標(biāo)，同時(shí)也符合我國(guó)對(duì)信息安全保障的要求即實(shí)現(xiàn)多層次的防御體系。整體安全技術(shù)體系也應(yīng)該有多層次的控制體系。不僅僅包含各種安全產(chǎn)品，而且涉及到各主機(jī)操

22、作系統(tǒng)、應(yīng)用軟 件、路由交換設(shè)備等等。模塊分析：目前國(guó)內(nèi)有部分提法是IDS和防火墻的聯(lián)動(dòng)就是基于這種思路的，但是實(shí)際的使用情況中基本上沒有客戶認(rèn)同這點(diǎn)，原因當(dāng)然有很多，但實(shí)際上要實(shí)現(xiàn)這點(diǎn)還需要較長(zhǎng)的技術(shù)積累。設(shè)備的自動(dòng)發(fā)現(xiàn)：網(wǎng)絡(luò)拓?fù)渥兓竽茏詣?dòng)發(fā)現(xiàn)設(shè)備的調(diào)整并進(jìn)行基本的探測(cè)和給出信 息。模塊分析：大部分企業(yè)內(nèi)部的網(wǎng)絡(luò)的拓?fù)涠际窃谧兓模绻恢С衷O(shè)備的自動(dòng)發(fā)現(xiàn)，就需要人工方式解決，給管理員造成較大的工作壓力，也不能掌握網(wǎng)絡(luò)的實(shí)際拓?fù)洌@樣不 便于排錯(cuò)和發(fā)現(xiàn)安全故障?？梢圆捎米詣?dòng)搜尋拓?fù)涞臋C(jī)制。如 IBM Tivoli Netview 可以自動(dòng) 發(fā)現(xiàn)大多數(shù)網(wǎng)絡(luò)設(shè)備的類型，或通過更改 MIB庫(kù)，來

23、隨時(shí)添加系統(tǒng)能識(shí)別的新的設(shè)備。安全服務(wù)的集中管理實(shí)現(xiàn)安全相關(guān)軟件/補(bǔ)丁安裝情況的管理功能，建立安全相關(guān)軟件/補(bǔ)丁信息庫(kù)，提供查詢、統(tǒng)計(jì)、分析功能，提供初步的分發(fā)功能。模塊分析：微軟在對(duì)自己的操作系統(tǒng)的全網(wǎng)補(bǔ)丁分發(fā)上走的比較前，成功的產(chǎn)品有SUS和SNS等，國(guó)際上也有部分的單一產(chǎn)品是作這個(gè)工作的，但目前還沒有看到那個(gè) SOC集成了這個(gè)模塊。安全培訓(xùn)管理：建立安全情報(bào)中心和知識(shí)庫(kù)（側(cè)重安全預(yù)警平臺(tái)），包括：最新安全知識(shí)的收集和共享；最新的漏洞信息和安全技術(shù)，；實(shí)現(xiàn)安全技術(shù)的交流和培訓(xùn)。持續(xù)更新發(fā)展的知識(shí)和信息是維持高水平安全運(yùn)行的保證。模塊分析：雖然這個(gè)模塊的技術(shù)含量較低，但要為安全管理體系提供有

24、效的支持，這個(gè)模塊是非常重要的，有效的安全培訓(xùn)和知識(shí)共享是提示企業(yè)的整體安全管理執(zhí)行能力的基礎(chǔ)工作，也有助于形成組織內(nèi)部統(tǒng)一有效的安全信息傳輸通道，建立安全問題上報(bào)、 安全公告下發(fā)、處理和解決反饋的溝通平臺(tái)。風(fēng)險(xiǎn)分析自動(dòng)化：自動(dòng)的搜集系統(tǒng)漏洞信息、 對(duì)信息系統(tǒng)進(jìn)行入侵檢測(cè)和預(yù)警， 分析安 全風(fēng)險(xiǎn)，并通過系統(tǒng)安全軟件統(tǒng)一完成信息系統(tǒng)的補(bǔ)丁加載，病毒代碼更新等工作， 有效的提高安全工作效率，減小網(wǎng)絡(luò)安全的"時(shí)間窗口 ",大大提高系統(tǒng)的防護(hù)能力。模塊分析：安全管理軟件實(shí)施的前提是已經(jīng)部署了較完善的安全產(chǎn)品，如防火墻，防病毒，入侵檢測(cè)等。有了安全產(chǎn)品才能夠管理和監(jiān)視，安全管理平臺(tái)的

25、作用在于在現(xiàn)有各種產(chǎn)品的基礎(chǔ)上進(jìn)行一定的數(shù)據(jù)分析和部分事件關(guān)聯(lián)工作，例如設(shè)置掃描器定期對(duì)網(wǎng)絡(luò)進(jìn)行掃描，配合該時(shí)間段的入侵檢測(cè)系統(tǒng)監(jiān)控日志和補(bǔ)丁更新日志，就可以對(duì)整網(wǎng)的技術(shù)脆弱性有個(gè)初步的了解。業(yè)務(wù)流程的安全管理初步的資產(chǎn)管理（資產(chǎn)、人員）：統(tǒng)一管理信息資產(chǎn)，匯總安全評(píng)估結(jié)果，建立風(fēng)險(xiǎn)管理模型。提供重要資產(chǎn)所面臨的風(fēng)險(xiǎn)值、相應(yīng)的威脅、脆弱性的查詢、統(tǒng)計(jì)、分析功能。模塊分析：國(guó)內(nèi)外安全廠商中資產(chǎn)管理功能都很簡(jiǎn)單，和現(xiàn)有的財(cái)務(wù)、運(yùn)營(yíng)軟件相差非常大，基本上是照般了 BS7799中的對(duì)資產(chǎn)的分析和管理模塊。安全管理系統(tǒng)與網(wǎng)管系統(tǒng)的聯(lián)動(dòng)（協(xié)調(diào)處理）：安全管理系統(tǒng)和網(wǎng)絡(luò)管理平臺(tái)已經(jīng)組織常用的運(yùn)營(yíng)支持系統(tǒng)結(jié)合

26、起來，更有效的利用系統(tǒng)和人力資源，提高整體的運(yùn)營(yíng)和管理 水平。模塊分析：如果可能的話，由于各產(chǎn)品的作用體現(xiàn)在網(wǎng)絡(luò)中的不同方面，統(tǒng)一的安全管理平臺(tái)必然要求對(duì)網(wǎng)絡(luò)中部署的安全設(shè)備和部分運(yùn)營(yíng)設(shè)備的安全模塊進(jìn)行協(xié)同管理，這也是安全管理平臺(tái)追求的最高目標(biāo)。但這并非是一個(gè)單純的技術(shù)問題，還涉及到行業(yè)內(nèi)的標(biāo)準(zhǔn)和聯(lián)盟。目前在這方面作的一些工作如Check Point公司提出的opsec開放平臺(tái)標(biāo)準(zhǔn)，即入侵檢測(cè)產(chǎn)品發(fā)現(xiàn)攻擊和 check point防火墻之間的協(xié)調(diào)，現(xiàn)在流行的IPS概念，自動(dòng)封鎖攻擊來源等，都在這方面作了較好的嘗試，在和整體的網(wǎng)絡(luò)管理平臺(tái)的結(jié)合方面，目前國(guó)內(nèi)外作的工作都較少，相對(duì)來說一些大型的IT廠商如舊M/CISCO/CA由于本身就具備多條產(chǎn)品 線（網(wǎng)絡(luò)、安全、應(yīng)用產(chǎn)品），其自身產(chǎn)品的融合工作可能已經(jīng)作了一些，但總體來說成熟 度不（Wj。與其它信息系統(tǒng)的高度融合：實(shí)現(xiàn)與 OA、ERP等其他信息系統(tǒng)的有機(jī)融合，有效的利 用維護(hù)、管理、財(cái)務(wù)等各方面信息提高安全管理水平。 安全管理的決策分析和知識(shí)經(jīng)驗(yàn)將成 為公