对国内安全管理平台研发现状的分析与建议

信息安全、等级保护、及安全平台的一些文档

聚 焦对国内安全管理平台研发现状的分析与建议徐金伟，宋建平摘 要：作者在对国内外安全管理平台（SOC）调研的基础上，阐述了个人对我国研发安全管理平台（SOC）的分析思索和建议，可供从事安全管理平台（SOC）建设的同行参考。 关键词：一体化安全管理；安全管理平台；SOC1 概述1.1 从 ESM 到 SOC，国外安全管理平台的发展从 2001 年起，随着整体安全解决理念在信息安全界 越来越流行，国外企业不断强化自己的安全策略并大量 配置了实现安全策略所需要的各种安全设备。由此带来 的新问题是：安全管理人员需要面对各种安全产品管理的 复杂性、操作系统和安全产品策略的易变性等棘手问题。 InfoSec Hard Problems 把大型网络的安全服务管理列为 需要解决的 9 个难题之一。在这种大环境的需求下，E S M （Enterprise Security Management）的概念应运而生， 按照 E S M 的概念研制成的产品（系统）即安全管理平台 适应了上述不断增长的安全管理需求。 安全管理平台的基本功能包括：策略与一致性管理；控 制与身份认证管理；事故与事件管理和配置与脆弱性管理。 根 据 I D C 预 测： 在 2002-2006 间， 安 全 管 理 平 台 将 会 有 31% 的 增 长。 目 前 有 代 表 性 的 E S M 产 品 有： S y m e n t e c 公司的 Se cu r it y M an a ge me n t Sy s te m； e-Security 公司的 Security Event Management； Intellitactics 公司的 Network Security Manager 等。 Symentec 公司的 Security Management System 通 过使用、配置、集成、汇总、分析、报告环节，对自有安 全产品和第三方安全产品进行安全管理；通过集成方案对 抗混合威胁，通过阻断攻击减少系统损失，利用优先、相 关和脆弱性策略等分析技术，从事件管理、事故管理和策 略管理 3 个结构层次对网络进行集成管理 e-Security 公司的 Security Event Management 由 Sentinel、Wizard 和 Advisor 3 个模块组成。能够通过其 Agent Builder 提供对管理对象的 100% 覆盖，管理对象包括防火墙、V P N、服务器、I D S、数据库、路由器、防 病毒系统、认证系统和 P K I。提供安全事件的实时和历史 分析；通过对网络攻击进行基于规则语言的相关分析减少 虚警；提供基于全景安全分析的企业安全管理，提供关 键安全事件的应急响应。其 W i z a r d 模块提供了基于规则 的用户 A g e n t s 接口，使用户可以监视企业的任何设备， 数据源包括 log files、ODBC、 sockets、serial ports、 OPSEC LEA、Cisco SDK 和 SNMP 等。 据 Gartner 报告预测，由于目前大企业在选择安全产 品群时，83% 选择独立的安全产品，而只有 16% 选择安 全产品套件，因此安全管理平台的发展需求会较大。 E S M 发展的趋势是综合

信息安全、等级保护、及安全平台的一些文档

管理 I D S、I P S、防火墙、漏 洞评估工具和网关防病毒产品等，并能借助蜜罐等技术提 供计算机取证能力；此外，也有人预测网络管理与安全管 理会融合在一起。需要注意的是这种趋势有可能使安全管 理平台捆绑了过多功能，带来某些系统上问题。 自 2003 年 开 始，I T 界 又 推 出 了 S O C 的 概 念，S O C 是英文 “security operation center ” 的缩写， 直译是 “安 全运行中心” 。2005 年 3 月 C A 在 e T r u s t 信息安全年会 上推出 S O C 3+1 安全运维中心解决方案及在电信行业的 应用，业内人士认为这一解决方案的提出，揭示出信息安 全体系建设的本质 - 以完善管理为基础，以有效的技术 保障为核心。C A 中国公司阐述了以下理念： “任何一个 企业为了信息安全所采取的任何安全措施，不管是技术方 面的还是管理方面的，都是为了保障整个企业的信息资产 的安全，而安全运维中心就是以全面保障企业信息资产安 全为目的，以企业信息资产的风险管理为核心，建立起全 网统一的安全事件监视和响应体系，以及保障这一体系正2008.计算机安聚 焦确运作的管理体系。 ”安全运维中心是针对传统信息安全 管理方式的一种重大变革。它将关键设备的运行管理权利 集中到一起，通过高度自动化的管理产品和手段，将分散 在各地区、不同业务网络上面的各种安全产品有机地结成 一个整体。 C A 公司 S O C 3+1 安全运维中心方案包括所有基于 I P 的网络和应用系统的安全：涵盖从网络边界安全、内 网安全、服务器安全、数据库安全及应用安全；所有信息 系统中用户的有效管理，包括用户角色和权限的管理；所 有安全产品组成的安全体系的实时管理和监控；负责协同 高层领导，制定和实施企业长期安全目标和策略，并将其 分解为中期和短期策略，负责日常安全配置和维护。 其他应用于安全管理的产品还有 SIM(security information management)，它包括安全事件收集、关联 分析和存储。ROC(response operation center) 安全事件 响应中心， MSS(managed security service) 安全服务管理 ； S O C 包 括 了 S I M + E n g i n e + R O C + M S S， 其 中 的 E n g i n e 就是防火墙、IDS、扫描器、防病毒、网络设备等。全体系的搭建思路，因为用户直接操作的、见到的就是安 全管理平台。 从 S O C 的功能发展上可分为 3 个维度：防护、监控 与审计，包含了安全事件管理的事前、事中、事后整个过 程。但信息安全包含的内容非常多，S O C 究竟应该管理 那些内容，各部分功能如何协调一致是 S O C 建设者不可 回避的问题。根据 S O C 功能扩展的三维模型，我们提出 了适合 SOC 建设规划的“花瓶”模

信息安全、等级保护、及安全平台的一些文档

型。 S O C 既不是单纯的事件分析器，也不是安全设备的 管理集成，是整个网络的安全管理核心。按照 S O C 功能 发展的方向，功能平台设计为 3 个平台，数据采集源于同 一个数据采集平台，好比是一个插满花的花瓶，因此称作 “花瓶”模型。1.2 国内安全管理平台的发展2004 年 7 月，国内某单位技术交流中心专家组，在 为国家某重要经济单位制定的《国家 X X 系统信息安全体 系总体方案》中首次正式提出了“安全管理平台”的理念 和具体建设方案。从此，揭开了国内安全厂商开发安全管 理平台（S O C）的小高潮。经过 3 年的研发，国内主要的 安全产品研发商均推出了自己的安全管理平台产品。比较 典 型 有： 天 融 信 的 T O P S E C T - S O C、 安 氏 S O C、 绿 盟 科技的 E S P、启明星辰的泰合信息安全运营中心、中和威 的 S M C、中软的运行管理系统 C O M S2.0、国都兴业的一 体化管理平台、神州泰岳的 SOC 等等。 实际上，安全管理平台与 S O C 在本质上没有大的区 别，安全管理平台侧重对安全设备的集中管理，而 S O C 则侧重于网络上业务流程的过程监控和安全事件响应的闭 环处理。图 1 安全管理平台建设的花瓶模型花瓶中的水：水指的是模型中的信息流，为 S O C 平 台提供分析所需的数据，同时又把策略修改的配置送给设 备。数据采集平台就比如是花瓶中花的根系。信息来源有 不同的方式：网络设备、安全设备、服务器、终端等设备 有关安全的系统日志与设备本身的状态数据，可以由系统 本身提供，也可由安装的代理程序进行收集。 安全设备上报的安全事件。对不同安全设备的安全预 警信息进行关联分析，有助于对威胁的定位。 网络链路的原始数据不仅是行为审计信息的来源，也 是安全监控系统的重要数据来源，但该数据量较大，入侵 检测、 病毒检测、 审计系统都有自己的数据采集分析方法， 在花瓶模型中，数据采集是统一的，避免了一个链路因多 种系统需求的多个镜像，把一次镜像的原始数据，经过初 步的规范整理，再分别给不同的安全系统分析使用。 数据的采集量一般很大，可以在一定的网络区域布置 专用的数据采集设备，收集本区域的有关信息，并转发2 安全管理平台的设计思想分析上述厂家均从网络与信息安全一体化管理的角度，提 出了自己的设计思想和技术方案。 下面首先介绍设计思想 ：2.1 花瓶模型设计思想信息安全体系是企业业务持续性发展的保障，在一定 程度上安全管理平台 ( S O C ) 的建设方式就体现了信息安2算机安全 2008.聚 焦S O C 下发的安全策略。所以 S O C 系统对网络的管理一般 采

信息安全、等级保护、及安全平台的一些文档

用分级分域管理，方便了管理人员的管理，也降低了对 SOC 中心的带宽压力。 花瓶中的花枝：SOC 功能发展的 3 个维度防护、监控、 审计，既分离又相互依赖，是花瓶中的 3 束花枝，它们共 同建立在一个信息收集平台上，形成了信息安全体系的事 前防护、事中监控与应急调度、事后审计的 3 个阶段的全 方位安全管理。 花瓶中的花朵：花瓶中赏心悦目的自然是花瓶中绽开 的花朵，也就是模型中功能平台的用户界面。3 个功能平 台可以单独使用，分别有自己的用户管理界面。 花 瓶 模 型 形 象 地 把 S O C 的 建 设 展 示 出 来， 不 仅 给 S O C 的开发提供体系架构，而且可以给企业信息安全保 障体系的建设提供了思路，通过 S O C 的建设，企业安全 保障体系也将逐步建设起来。 针对典型用户， 我们总结了一些网络类型的安全需求， 建议 SOC 建设的侧重点如表 1 所示。表 1 SOC 建设项目侧重点外 S I M 类产品为核心，做外围上层开发，实行了主要安 全产品的接入（如：防火墙、I D S）和对这些产品的策略 配置、日志收集等集中管理功能。(2) 部份厂商自主开发 安全产品的管理协议，相对进展慢些，能支持的安全设备 也略少， 但日志的综合审计功能（报表）比较有特色。(3) 部分厂商的 S O C 仅限于管理自家生产的单性能安全产品， 如只能管理自己研发的防火墙或 I D S 产品。(4) 部分厂商 的 S O C 在运维管理方面很有特色，不仅囊括了原网管系 统的大部功能，还包括了如安全事件收集、处理和考核功 能，发挥了安全管理的重要辅助作用。4 国内安全管理平台 (SOC) 研发中暴露的问题通过调研，我们认为，我国自主研发的安全管理平台 （S O C）尚有许多亟待解决的技术问题，一是安全产品的 标准管理协议问题。目前国内没有制定统一的安全产品接 口协议，各厂家也不开放自己的技术框架，这种状况从根 上严重影响了各类通用安全产品的互通互联。二是绝大多 数产品没有安全事件应急处理的预案专家知识库和安全事 件的预测模型库。由于缺乏较科学的定性和定量相结合的 分析手段，导致无法准确评估安全事件的威胁程度，提不 出切实可行的应急防范措施，无法胜任安全预警的任务和 目标。三是国内缺乏技术可靠并具有自主产权的通用 S I M 平台和接口引擎提供商，这在一定程度上加大了安全产品2.2 产品特点归纳起来，以上厂家在产品架构上有以下特点：(1) 安全设备集中管理控制；(2) 安全事件集中收集和分析统 计 (3) 统一安全策略和制度管理 (4) 图形化的拓扑管理 ； ； ； (5) 安全事件应急响应的预案处理 (6) 简单的安全事件知 ； 识库管

信息安全、等级保护、及安全平台的一些文档

理。生产厂商开发费用，各个公司要投入相当人力、物力开发 管理接口， 采用的管理协议也是五花八门。四是服务问题， 安全管理平台技术比较复杂， 有些问题的暴露需较长时间， 用户想用好平台难度较大，这就需要厂家提供长期的安全 服务，但目前看，不大现实，一是因为有许多控制技术还 未过关，二是用户是否愿意每年付数额不菲的服务费。2.3 网络部署拓扑结构和实现的功能(1) 由分布在网络中的 Agent 和安全控制中心组成。 (2) 实现对各种网络安全资源的集中监控、统一策略 管理、智能审计及多种安全功能模块之间的互动。 (3) 实现对网络的实时监控、 安全事件预警、 报表处理、 统计分析等。5 安全管理平台 (SOC) 的技术实现下面介绍一下某厂家成功运行在电信系统的 SOC。 该厂家的设计人员对目前 S O C 在建设和运行中存在 问题提出了自己的解决方法： 问题 1：虽然进行了归并压制关联分析，依然有大量 的报警事件需要响应。导致管理员依然面对海量事件无从 下手，一部分用户甚至开始质疑 SOC 的作用。 解答：网络安全运行管理中心不仅仅是安全信息的汇 总，需要结合业务针对性的发现和挖掘关键事件。 问题 2：大量的用户只把 SOC 作为普通安全产品来使3 国内部分安全管理平台（SOC）现状分析2007 年 2 月，某单位技术交流中心专门组织专家对 国内生产安全管理平台（S O C）的主要厂家进行了一次 产品调研，现将调研的简况归纳如下：(1) 部份厂商以国2008.计算机安聚 焦用，期望通过部署 S OC 就可实现安全事件的自动发现和处 理，即可高枕无忧，导致技术措施和管理手段完全脱节。 解答：网络安全运行管理中心应通过流程来实现人和 技术的结合。 问题 3：被管的核心资产的安全状态无法实时展现， 导致管理员不了解资产的安全和风险状态，不知道该采取 什么安全策略和措施。 解答：动态实时的监控关键资产的安全状态即动态风 险管理。 问题 4：大部分 S O C 可以很好地分析和报告出安全 事件，但无法做出及时的策略配置变更和调整，没有很好 的策略配置模版和发布机制。 解答：需要构建策略发布中心，提供策略制作工具和 策略配置模版库。 问题 5：大部分 S O C 没提供很好的安全事件处理和 响应办法，导致安全事件的响应没有保障，安全事件不知 由谁来处理、如何处理、处理到什么程度。 解答：需要引入考核机制来确保安全事件的及时响应 和策略制度的有效执行。 问题 6：安全运行管理中心仅限于安全管理员使用， 没有成为企业信息安全知识中心，导致 S O C 并没有纳入 到整个安全管理体系中

信息安全、等级保护、及安全平台的一些文档

。 解答：安全管理不仅仅只是安全管理人员的工作，需 构建企业的安全信息中心，提高全民的安全意识。 问题 7：网络管理系统、安全管理系统、运维流程管理 重复建设现象严重，网管系统和安全管理系统分别构建运 维管理系统，网管系统和安全管理系统单独构建采集系统。 解答：构建网络管理系统、安全管理系统、运维流程 管理三位一体的安全运行管理中心。 问题 8：很多 SOC 厂商的支持仅限于产品功能的加强。 服务支持力度不够。 解答：网络安全运行管理中心不是产品是专业的安全 管理服务。 根据以上问题该公司为用户设计实现了八大中心的 S O C 平台体系。八大中心分别是：安全监控管理中心、 安全风险管理中心、事件分析处理中心、业务安全分析中 心、安全策略管理中心、安全事件响应中心、考核评价管 理中心、安全信息发布中心。 （1）安全监控管理中心 安全监控管理应该对目标资产进行监控和管理。应该包括资产管理、拓扑展示和状态监控。 资产管理作为 S O C 平台的最基础功能，确定了安全 管理的对象和目标，在 S O C 中，将所有业务系统的网络 设备、安全设备、服务器及其之上承载的操作系统、数据 库、应用系统、接口方式、硬件属性、使用维护人员等信 息均作为资产管理的内容，提供资产录入、管理、变更等 管理功能。 拓扑展示是网络安全管理的重要内容，网管人员需要 通过直观、统一、真实的拓扑视图监控、管理网络和系统。 发现的对象包括路由器、交换机、网桥和服务器系统。网 络图可以帮助网管人员了解网络设备的工作情况，实现资 产和被管对象的可视化、威胁实时展示以及事件报警的图 形化提示。 状态监控通过相关网管协议对被管资产和安全设备系 统的网管数据和日志信息的采集，实时对资产的运行状态 进行监控。 （2）安全风险管理中心 风险管理是对潜在的威胁和可能的影响进行有效地管 理。而传统的安全产品大多只给出实时发生的安全事件报 警，管理员在慌乱中寻找和采取应对措施，这样的安全管 理体系是不完善的。一个较为完善的安全管理体系，应该 时刻认识到目标网络系统或某个单元的安全状况和风险情 况，甚至推测出可能的威胁、事件和影响，以及相应的安 全策略和措施。当事件发生时，可以从容应对。 安全风险管理中心应该嵌入风险信息收集模块、风险 分析算法，以图形化的方式给出风险状态地实时显示，为 管理员展示目标网络系统的风险态势情况，为安全维护管 理提供策略指导和措施建议。 风险管理中心应该包括的关键模块：脆弱性管理、动 态风险分析管理和

本文来源：https://www.bwwdw.com/article/bg31.html