信息安全管理中心设计研究论文.doc

信息安全管理中心设计研究论文 1系统架构 该系统包括安全事件管理模块、安全业务模块、控制中心、安全策略库、日志数据库、网间协作模块 1.1安全事件管理模块 1.1.1安全事件收集子模块 1.1.2安全事件预处理模块 通过几个步骤进行安全事件的预处理：（1）标准化：将外部设备的日志统一格式；（2）过滤：在标准化步骤后自定义具有特别属性(包括事件名称、内容、产生事件设备IP/MAC等)的不关心的安全事件进行丢弃或特别关注的安全事件进行特别标记；（3）归并：针对大量相同属性事件进行合并整理 1.1.3安全事件分析子模块 关联分析：通过内置的安全规则库将原本孤立的实时事件进行纵向时间轴与历史事件比对和横向属性轴与其他安全事件比对识别威胁事件事件分析子模块是SOC系统中最复杂的部分涉及各种分析技术包括相关性分析、结构化分析、入侵路径分析、行为分析事件告警：通过上述过程产生的告警信息通过XML格式进行安全信息标准化、规范化告警信息集中存储于日志数据库能够满足容纳长时间信息存储的需求 1.2安全策略库及日志库 安全策略库主要功能是传递各类安全管理信息同时将处理过的安全事件方法和方案收集起来形成安全共享知识库为培养高素质网络安全技术人员提供培训资源信息内容包括安全管理信息、风险评估信息、网络安全预警信息、网络安全策略以及安全案例库等安全信息安全日志库主要功能是存储事件管理模块中收集的安全日志可采用主流的关系性数据库实现例如Oracle、DB2、SQLServer等 1.3安全业务模块 安全业务模块包括拓扑管理子模块和安全风险评估子模块拓扑管理子模块具备的功能：(1)通过网络嗅探自动发现加入网络中的设备及其连接获取最初的资产信息；(2)对网络拓扑进行监控监控节点运行状态；(3)识别新加入和退出节点；(4)改变网络拓扑结构其过程与现有同类SOC产品类似在此不再赘述目前按照国标（GB/T20984信息安全风险评估规范）将信息系统安全风险分为五个等级从低到高分别为微风险、一般风险、中等风险、高风险和极高风险系统将通过接收安全事件管理模块的分析结果完成资产的信息安全风险计算工作进行定损分析并自动触发任务单和响应来降低资产风险达到管理和控制风险的效果 1.4控制中心模块 该模块负责管理全网的安全策略进行配置管理对全网资产进行统一配置和策略统一下发改变当前需要对每个设备分别下方策略所带来的管理负担并不断进行优化调整控制中心提供全网安全威胁和事故的集中处理服务事件的响应可通过各系统的联动、向第三方提供事件信息传递接口、输出任务工单等方式实现该模块对于确认的安全事件可以通过自动响应机制一方面给出多种告警方式（如控制台显示、邮件、短信等）另一方面通过安全联动机制阻止攻击（如路由器远程控制、交换机远程控制等）各系统之间联动通过集合防火墙、入侵监测、防病毒系统、扫描器的综合信息通过自动调整安全管理中心内各安全产品的安全策略以减弱或者消除安全事件的影响 1.5网间协作模块 该模块的主要功能是根据结合自身的工作任务判定是否需要其它SOC的协同若需要进行协同则与其它SOC之间进行通信传输相关数据请求它们协助自己完成安全威胁确认等任务 2结束语 本文提出了一种协同式安全管理中心的实现方法充分利用了各SOC的协同处理能力在某个SOC发现疑似信息安全威胁但又不能准确判定时结合其它SOC的处理能力和已掌握的疑似信息安全威胁进