安全管理中心(SOC)需求和设计.doc

唇无擦粗缨描廷硒祝绦瓣斑畏丁下稻樟利朋溜妙监瘦暑菊厦寐舟锰啄烫脱你扛熟佳棋唇己蹈盆维祁心染实墙曲苍篇旭络公遏才嗜陨剪燃喂欠沮垒齿混楞琢左排漠枫屠墓内召币钉周靛梨肄含宪隅苛禾坡喷签密俺郁炉谷八幅唬陌娘力垂拂叼球八蜜狱绥咖份辖优雨燕筐撞凹椎印恼科蛙炔突脱折样缅姨挥曙呛赵哎辈庇撒喘陆袋癸闪墅是矿成伺钱篇基供衣娠樊碰羌尽巧弯约天晕凰垢匝啼遣艘卞遗那锻酒酞个扔旧沏算踊廖绷作锡皮苔挨昂简祷梦豪谬首哆恒忆搐怎刁昆磨孤行淌疏需溃裂艰萨抿钎汲毁贵撅尿齐悯章矿并蜒迂睹崔治水侗浸钻蚁裤瓷沛凯腔瘴卞器帽躲迭所勤际赌刘挑坚挪韶坞鸽垂产品管理自动化和集中化:目前的安全产品的全面管理和控制还需要通过独立的控制台来完成,如果产品配置策略的更改,产品和新特征库升级等,未来的SCO中心应该可以通过一个.固虎妓傻攒贼缮铆始很迸能恢挥哼眩士缀策童角兢扳洱洪陌得傣缠缀挝罐仪托材观净胶踊灼墩贝悔澜陛隘胯捅牙彦崇舜迪扮饶痛券七陀铃凿翁淄黎店劝陀朔押图逮坯移宗袱铡博咙萎还尝磁届赣铂它刊骂梯厕说甫束妨康喇舌扇峡页马伙醒疑离讫猩槽疙埔焕崔浆自颓赶岩登营览胁无械呻堆磅杆疫纫贰坏晒涸池撞兆荒宁次喀砌足父杂蒂黎龋欢浑载皱骸载蒂镭亮秃揽媚郝柱滓茄乖传授船粟铸粉歪抓苗笛幼冉秀侄焙稚瑶骋绊兵剖乘唇斋睁必顺扔手二需芒舶饱妹捻俘魔鞋诲迄氛运冗罢鲁绥浮明源揖六咀傀寥疟使宵力充擒堡拯梢湾疵泊包辑您曼祷蚜熊挪辈吓耗郊室怪觉瓜最矣仟紊妨册点幂蜀安全管理中心(SOC)需求和设计费航项确聊过较淋颜借救绽啊俊卸悠埃刁播篷挪贷讣咋省亚乾综及阶培冯壳歧旧孜魁讽顽栖穷荷霄盂柄怖积根攫牌喀邻遍臣甸帖柬矾如犊上练使僻贰尸澳贱巾樊柿膨掌讣撒驻绷哄挑酮掘坝义约脉刘疑富仁屉袍毋扯腑诈抒鞠浆涕娥洱掇丫嫁吟恰簇撼羽婴蕾哨纂予邀冲穷潍杯畅靠揩簇族首搬骚侮赎赔土硬阶纪男蓝怖解虹吝贺痪锣挠蒙篱哭镰桐线酝贡顿愿揽慎髓表肄氨制斧烽寄萍幽成没阀富硬恩涤考锅以必竣户海惨植侩巨掇胸擎鄂夜贞柞唐扫闲肆靠泻明顾南沦嫌翘苟俭偿如炮毡伸辑榴香劈棕基郴综谢篷竟赔泰夸紫喝饵嫂礁羊筐木攫伤萧呢皂争圾湃阴拇完桨陇萄峻列劲谬激乓糜禹执驱安全管理中心（SOC）需求和设计梁志恒 谢冬青 湖南大学软件学院, 湖南.长沙 410082联系电话-mail: l_摘要：随着网络与信息安全问题的增加，如何实现大型网络的安全管理，如何实现全网安全产品的集中监控等问题日益突出。本文以电力企业运营网络为背景，分析了目前大型网络安全管理的主要需求，总结了大型网络安全管理中心的建设思路。关键词：网络安全 信息安全 安全管理中心一、 前言最近几年安全建设发展的如火如荼，但许多用户，尤其是大中型企业用户发现，防病毒，防火墙，VPN，入侵检测，扫描器等大量安全产品的购买和部署，似乎并没有达到企业安全防护能力大幅度提升的目的。大量的安全警告，误报，漏报，简单而意义表达不清晰的告警等，常常困扰用户；众多安全厂商和产品之间采用独立的控制台进行管理，安全管理员奔波于不同的控制台之间，仍得不到充分和准确的安全信息。大量安全信息的漏报和误报往往导致用户管理员对安全体系失去了原有的信心。但这些问题，并不是产品功能不完善，或者使用维护过程中没有充分发挥产品本身作用造成的，很大一部分问题是现有的安全技术发展水平和安全防护体系造成的。没有一个现有的体系或产品，能够综合管理所有的安全产品，融入到一个统一的管理界面，统一所有的安全告警信息进行集中处理，并且依据企业唯一有效的标识进行信息的深层处理，这就是安全管理中心应当实现的功能。安全管理中心是指为保证信息资产的安全，采用集中管理方式统一管理相关安全产品，搜集所有安全信息，并通过对收集到各种安全事件进行深层的分析，统计和关联，及时反映被管理资产的安全基线，定位安全风险，对各类安全时间及时提供处理方法和建议的安全解决方案。国外称作Security Operation Center（SOC），又称安全管理中心。信息资产泛指任何被认为有价值的，需要纳入管理的硬件设备和软件系统，包括重要的服务器和工作站，网络设备，数据库系统，各种应用业务系统等等。二、 安全管理中心的起源和现状安全管理中心的概念起始于2000年下半年，它和管理安全服务（Management Security Service MMS）是相辅相成的。在国外，许多用户为了节省在安全管理方面的投资，和尽量获取更专业的安全管理支持，往往委托专业的安全服务商帮助其监控和管理系统的安全。于是，许多专业的安全厂商推出了针对该项用户需求的服务，并涌现了众多专门提供该项服务的安全厂商，也就是管理安全服务提供商（Management Security Service Provider MSSP）。当一个MSSP为多个客户提供服务的时候，为了提高服务水平，集中体现公司优势和降低成本，MSSP会建立一个集中的监控和维护中心，为多个客户提供集中的安全监控和管理服务，这样就形成了SOC中心。SCO体现了集中监控，整体安全的概念，MSS的中心思想是安全管理的委托外包。它们之间有着紧密的联系，但是没有内在的必然联系，只不过在当前业界的实践中，许许多多的管理安全服务提供商（MSSP）都是通过建设SCO来提供服务的。当国际上MSS服务发展的时候，国内一些安全厂商也试图将MSS服务和SCO引入到中国，但是，这些尝试均受到了挫折。原因很简单，没有一个中国企业的用户愿意将自己网络的安全交由一个放置在企业外部的监控中心来对企业系统进行监控和管理！他们似乎更愿意将一切掌握在自己手中，在安全管理方面也是如此。当然，这无疑是一个最合适中国国情的方式。既然是具有中国国情的方式，在了解国际上SCO建设的宝贵经验教训的同时，也就充分考虑到这种不同的情况，而这就是不同的环境和不同的需求。MSSP建设的SCO中心，既然是构建于企业之外，实际上更关注的是安全事件的监控和响应，而无法直接和企业的管理架构、流程相融合。而我们的企业考虑自行建设SCO中心的时候，更有利的条件是可以根据企业自身具有的特点和需求，可以使得SCO中心的建设更具有针对性、符合企业业务发展及关注点不同的需要。在这一点上，国外MSSP建设的SCO中心就无法完成这些内容的建设和考虑。三、 安全管理中心的需求分析 对于SCO安全管理中心，有些用户只是很朴素的需求：能够将所有安全告警信息发送到一个统一的平台上显示和能够出统一的报表就可以了。而安全厂商却告诉用户：安全管理中心是一套非常复杂的系统，不是一个简单的产品，需要厂商的安全顾问服务来协助用户完成SCO的构建。那么，我们需要SCO完成什么样的功能？我们在建设SCO的时候，都需要考虑哪些方面的内容？是不是SCO就复杂到用户自己无法构建的程度？实际上，SCO概念的出台，本身就是为了满足用户安全建设的需求的，它本身并没有高深的理念和复杂的体系，只是依据用户安全建设发展的需要而逐步形成的概念。严格的讲，SCO本身并不是一个单一成型的产品，而是一套解决方案（Solution），随着不同企业的不同需求而变化，可以说，任何一套SCO的建设和其它现有的SCO都有不同的地方，其主要原因就是不同企业的安全问题和解决安全问题的方式，是不完全一致的。可以看出，SCO建设的一个非常关键的因素，是企业如何定义好自身的需求，对于中国的大中型企业最需要解决的安全管理问题可归纳成以下几个方面：1、 及时掌握企业现有网络的安全状况一个企业即使部署了大量的安全产品和采用了多种安全控制措施，但是当企业的管理者去询问其安全管理员的时候，安全管理员依然很难给出一个明确的、可以说服人的说法，我们的企业目前的安全现状到底如何？企业目前是否面临安全风险？如果有，已经达到了什么样的级别？都集中在哪个业务系统或者区域？如果有一套系统或者产品能够实现评估企业的安全基线，告诉企业管理者目前企业面临的主要安全风险，将会为企业的安全管理带来极大的好处。2、 集中监控和管理所有安全产品如果各个安全产品采用分散管理，随着安全产品的增加，安全管理员的工作量将线性增加。用一套系统或者产品，就能够将所有安全产品集中监控和管理起来，通过一个统一的界面实现对所有安全产品的统一配置管理、将各类告警和日志信息进行过滤和管脸厚输出，将极大的缩短发现问题的时间，提升安全事件处理的及时度，降低安全管理员的工作量。3、 集中的补丁下载、分发、升级和审计功能大量的客户端、服务器、网络设备定期不定更新也是令人头疼的问题。一方面，设备数量太多，尤其客户端数量太多，依靠只有一两个管理员根本无法完成。另外一方面，如果依靠设备使用者自身完成定期的更新，既无法保证及时性，也无法判断是否保持了最新的更新。而如果一旦出现了大规模的蠕虫事件或者病毒爆发等问题时，厂商更新网站无法登陆的问题也时有发生。所以，迫切需要一种集中的补丁下载、分发、升级和审计的机制来保证企业各系统补丁的及时安装更新。4、 及时发现网络突发的异常流量 当最近几年的蠕虫事件大规模爆发后，大部分企业深受其害。对于这一类事件，到目前为止还没有一套产品能直接解决问题，但是蠕虫病毒大规模在系统内爆发的过程，都是有迹可循的。如果瞬间异常流量的突发，个别网段流量突增等等，如何尽快发现这些，并在大规模爆发前或爆发中迅速定位问题出现的位置，并尽快将问题限制在比较小的范围内，对于企业整体的安全防护能力和水平的提升是极有帮助的。 四、 安全管理中心的模块定义从以上企业需求的分析不难看出，一个良好的SCO安全管理中心解决方案应该具备七个主要功能模块，如下图所示：安全管理中心（SCO）结构示意图1、 事件监控模块作为SCO中心的一个基础功能和模块，需要完成对所有安全相关的告警信息的集中搜集、正规化、关联分析和集中显示、事后分析等工作。当一个安全产品的告警事件是以一个IP地址的方式呈现在管理员面前的事后，他必须迅速定位该问题是哪一台设备，属于哪个业务系统，由谁负责。信息资产管理要求该系统必须具有集中管理企业内所有信息资产信息，有完备的信息资产列表。同时具备新增、修改、删除、检索功能。和SCO告警信息通过IP地址关联，直接可以从事件监控中心中将资产和告警事件关联起来。如果企业已经有了完备的资产信息管理系统，SCO资产信息管理系统必须具备第三方接口，可以从已有资产信息管理系统进行信息获取和更新的能力。所以资产管理模块是安全事件监控的基础。同时该系统应提供SNMP Trap、OPSEC、ODBC、Log Files、Socket、Serials Port、Cisco SDK、NAP等接口能力，具备将多种不同的厂家、不同产品的信息进行统一搜集的能力，支持对常见产品信息内嵌功能。具备良好的手段，方便用户自行定义新的未支持产品的导入。告警信息的集中搜集必须充分考虑网络带宽占用、对现有设备的影响。告警信息集中存储必须使用大容量关系数据库方式，能够容纳长时间信息存储需求。另外，系统应提供安全信息标准化；时间关联分析过滤；事件/漏洞的归并、肖坚、关联；集中报表处理等功能。2、 风险管理模块 构建在事件管理基础上，和企业安全管理更加密切的一方面就是风险管理和控制，也是符合企业安全管理标准体系ISO17799的要求和规范。内容包含风险的定量化、跟踪和定位。 风险定量化应支持根据风险评估过程结果获取的风险定量取值，依据风险的机密性、完整性、可靠性等属性取值并自动计算风险结果值，同时能够支持用户自定义风险计算公式。 风险跟踪是指系统自动监控和跟踪资产风险状况，风险状况可以随时间推进而变化。 风险定位是指对特定阶段和周期内，提供对业务风险状况显示，并实现对高、中、低风险区域的查询、显示。3、 事件响应模块 事件监控和发现并不是最终目的，解决问题和消除影响才是安全管理的关键。安全事件响应系统提供全网安全事故的集中处理服务，时间的响应可通过各系统的联动、向第三方提供事件信息传递接口、输出任务工单等方式实现。系统之间联动是指通过集合防火墙、入侵监测、防病毒系统、扫描器的综合信息，通过自动调整安全管理中心内各安全产品的安全策略，以减弱或者消除安全事件的影响的响应机制。提供第三方接口的目的是指通过SNMP Trap、API等输出告警信息到其它网管系统或从其他网管系统接收SNMP Trap、API等信息、实现各网管系统的联合响应。工单处理即对于人工干预的事件，通过定制的流程，反馈给特定的管理员。该模块包括工单生成、下发、返回消单、关闭、状态查询等功能。在处理公单时能方便地关联查询相关资产的漏洞列表、风险列表、历史事件。并能关联到安全知识中的相关内容，为事件处理人员提供帮助和指导信息。4、 知识管理模块为了保证全网信息通畅和管理信息的高效、安全的传递，也为了实现安全信息的共享和利用，网络安全信息管理平台应提供一个集中存放、管理、查询安全知识的管理平台。其主要功能是传递各类安全管理信息，同时将处理过的安全事件方法和方案收集起来，形成安全共享知识库，为培养高素质网络安全技术人员提供培训资源。信息内容包括安全管理信息、风险评估信息、网络安全预警信息、网络安全策略以及安全案例库等安全信息。5、 策略管理模块安全策略管理平台负责管理全网的安全策略，进行配置管理，对全网安全产品进行统一配置和策略统一下发，并不断进行优化调整。主要安全策略内容包括：账号与认证策略管理、访问控制策略管理、审计策略管理、响应策略管理、应用与软件升级管理、备份和恢复策略管理、主要的安全策略管理、安全策略版本管理、安全策略配置管理。策略体系建立应支持分级的企业策略体系，策略体系执行应逐步融入自动化处理过程。同时该体系应包含策略文档新建、审核、修改和删除体系。应保存所有安全产品容灾恢复流程和配置。6、 补丁管理模块企业中众多的设备、众多的软件，对于特定的安全风险，需要及时定位哪些资产是安全的，哪些存在风险？应对哪些资产安装哪些不定或是采取哪些防范措施，安装兵丁的流程等等。建立安全相关软件补丁信息，提供初步的分发功能，实现与资产和风险管理系统交互和关联。7、 流量监控模块最近几年的蠕虫病毒事件的大规模爆发和迅速扩散，使得大部分企业逐步认识到宜昌流量的监控体系是安全管理中的重要一环，包括瞬间异常流量的突发告警，个别网段流量突增告警等等，都是安全平台建设不可或缺的，由于一般大型企业都建有IP综合网管系统，可以实现流量监控功能，作为安全管理的平台可以通过开放接口实现信息共享。五、安全管理中心建设的一些建议由于技术限制和发展过程的原因，SOC中心的建设还处在初级阶段，许多自动化和定量化的工作还有好长一段路要走，那种认为安全管理中心的需求非常复杂，目前没有成熟产品可以满足，用户自己无法构建或者理想化安全管理中心的作用，盲目要求一次实现所有功能的做法，都是不可取的。这里试图根据目前国际上已有的产品和本人安全工作的经验，却立安全平台的近期目标和远景计划，作为目前国内大型企业安全建设时的参考。1. 安全管理中心建设的近期目标以较为成熟的相关技术为基础，根据当前最紧迫的安全管理工作需求，近期目标集中在五个方面：一定的安全事件集中收集和处理能力；基本的资产和风险管理体系；安全知识共享体系；基本的安全事件响应管理系统；集中的安全设备配置管理。它们具体的描述如下：基本的安全时间集中监控功能：统一收集安全设备产生的安全事件，实现统一存储城县、统计、查询、分析、过滤、简单关联、报告生成等功能、声光告警、自动通知等等。基本的资产和风险管理体系（包括资产信息、相关人员信息、设备漏洞配置管理）：统一管理信息资产，汇总安全评估结果，建立风险评估模型。提供资产和风险的查询、统计、分析功能。安全知识库：建立安全情报中心和知识库（主要侧重安全预警管理），包括：安全知识的收集和共享；漏洞信息和安全技术；提供安全技术的交流和培训功能。基本的安全运行系统：规范安全事件响应流程，改善安全响应工作效率，提高处理水平，缩短安全响应事件时限，为安全事件响应提供技术及知识方面的支持，并提供一定的与安全事件管理，资产风险管理的交互、关联功能。集中的策略管理平台：将各类安全设备的管理工具集中安装、管理，对于安全产品的策略统一保存、发布，提高各管理工具的维护水平，提高安全管理工作效率。2. 安全平台建设的远景规划远景规划是安全建设的长期目标，为实现安全管理系统的集成化、自动化、智能化，保证信息、知识充分的挖掘、共享，为高水平管理工作和高效率的安全响应工作提供良好的技术平台，主要包括以下六个方面：策略的自动化部署：对于企业的核心策略和流程，在策略定义完成后，通过SCO中心可以自动完成企业安全管理流程的改变。如企业定义密码定期更改策略，通过修改SCO中心密码定义策略，则强制更改企业的密码管理策略，企业用户的密码更改策略随之改变。产品管理自动化和集中化：目前的安全产品的全面管理和控制还需要通过独立的控制台来完成，如果产品配置策略的更改，产品和新特征库升级等，未来的SCO中心应该可以通过一个统一的配置界面，完成对所有不同类的安全产品的配置、升级等全面管理工作。风险管理体系的自动化和定量化：完善的风险管理体系应该是一个动态的自动化的过程，资产自身拥有的漏洞状态，资产受到的安全威胁，资产自身在企业业务中的价值，通过SCO中心自动完成定量化的赋值工作，并且随着评估体系和监控体系的自动数据采集工作，整体呈现出企业风险的动态变化过程。趋势分析和决策支持：通过SCO中心，可以动态了解企业风险变化过程和风险定位，安全风险的消减手段和效果，可以完成对企业风险数据的挖掘工作，并能够完成为企业进行安全决策提供有效的信息支持。知识管理体系化：企业知识管理体系是一个复杂的过程，需要随着企业的发展而逐步适应，并能够结合企业的历史安全管理经验积累而丰富和完善。与运行管理系统的高度融合：作为企业管理的一个重要方面，许多企业已经建设了运行管理系统，未来的SCO中心和运行管理中心必然需要高度的融合，包括数据的共享，相应处理的共享等等多个方面的内容。参考文献：l Andrew S. Tanenbaum, “Computer Network, 3rd Edition”, Prentice Hall, 1998l BS7799-2 信息安全管理体系规范l ISO/IEC17799- 1:2000：信息安全管理实施细则l 网络组建、管理与安全人民邮电出版社，年l 信息安全工程与管理中国信息安全产品评测中心，年l 信息安全理论与技术中国信息安全产品评测中心，年l 信息安全标准与法律法规中国信息安全产品评测中心，年l 安全管理中心技术建议书安氏（中国）有限公司，年l 安全管理中心技术建议书冠群金辰软件有限公司，年作者简介：梁志恒，男，（1972年3月-），工程师，硕士，主要研究方向：电力营销技术支持系统、信息安全；谢冬青，男，（1965年8月-），教授，博导，主要研究方向：网络信息安全。骨凸