需求分析
传统的安全管理方式是将分散在各地、不同种类的安全防护系统分别管理,这样导致安全信息分散互不相通,安全策略难以保持一致,这种传统的管理运行方式因此成为许许多多安全隐患形成的根源。安全运营中心(Security Operation Center)是针对传统管理方式的一种重大变革。它将不同位置、不同安全系统中分散且海量的单一安全事件进行汇总、过滤、收集和关联分析,得出全局角度的安全风险事件,并形成统一的安全决策对安全事件进行响应和处理。总体来说SOC的根本模型就是PDR模型,而SOC系统就是实现其中的D(Detection,检测)和R(Response,响应)。SOC的需求主要是从以下几个方面得到体现:
大系统的管理
通常安全系统是分别独立逐步的建立起来的,比如防病毒系统、防火墙系统、入侵检测系统等,各个系统都有单独的管理员或者管理控制台。这种相对独立的部署方式带来的问题是各个设备独立的配置、各个引擎独立的事件报警,这些分散独立的安全事件信息难以形成全局的风险观点,导致了安全策略和配置难于统一协调。这种对于大规模系统的安全管理也正是SOC的需求根源,就是说只有大系统、拥有复杂应用的系统才有SOC的需求。
海量信息数据
随着安全系统建设越来越大,除了需要协调各个安全系统之间的问题之外,由于安全相关的数据量越来越大,有些关键的安全信息和告警事件常常被低价值或无价值的告警信息所淹没,一些全局性的、影响重大的问题很难被分析和提炼出来。为了从大量的、孤立的单条事件中准确的发现全局性的、整体的安全威胁行为,需要SOC这样一个平台使得整个安全体系的检测能力更加准确,更加集中于影响重大的焦点问题。
信息安全目标
我们知道传统的信息安全有7个属性,即保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、真实性(Authenticity)、不可否认性(Nonreputiation)、可追究性(Accountability)和可控性/可治理性(Controllability/Governability)。信息安全的目标是要确保全局的掌控,确保整个体系的完整性,而不仅限于局部系统的完整性;对于安全问题、事件的检测要能够汇总和综合到中央监控体系,确保可追究性是整个体系的可追究性。SOC的出现就是为了确保对全局的掌控,实现全面支撑信息安全管理目标。
全局可控性
可控性是信息安全7个属性中最重要的一个,可控性最重要的体现是全局监控、预警能力和应急响应处理能力。全局预警就是要建立全局性的安全状况收集系统,对于新的安全漏洞和攻击方法的及时了解,针对体系内局部发生的安全入侵等事件进行响应。我们通常用水桶效应来描述分布式系统的安全性问题,认为整个系统的安全性取决于水桶中最薄弱的一块木条。SOC就像是这个水桶的箍,有了这个箍,水桶就很难崩溃,即使出现个别的漏洞,也不至于对整个体系造成灾难性的破坏。SOC充分利用所掌握的空间、时间、知识、能力等资源优势,形成全局性的资源协调体系,为系统的全局可控性提供有力的保障。
启明星辰安全管理运营解决方案是由“四个中心、三个平台”组成的统一安全管理平台。
“四个中心”是弱点评估中心、事件监控中心、风险管理中心和应急响应中心;“三个平台”是策略和配置平台、知识管理平台和资源管理平台。
1.四个中心
事件监控中心 监控各个网络设备、操作系统等日志信息,以及安全产品的安全事件报警信息等,以便及时发现正在和已经发生的安全事件,例如网络蠕虫攻击事件、非授权漏洞扫描事件、远程口令暴力破解事件等,及时协调和组织各级安全管理机构进行处理,及时采取积极主动措施,保证网络和业务系统的安全、可靠运行。
弱点评估中心 通过弱点评估中心可以掌握全网各个系统中存在的安全漏洞情况,结合当前安全的安全动态和预警信息,有助于各级安全管理机构及时调整安全策略,开展有针对性的安全工作,并且可以借助弱点评估中心的技术手段和安全考核机制可以有效督促各级安全管理机构将安全工作落实。
风险管理中心 整个风险管理中心的运作可以通过事件监控中心和弱点评估中心所掌握的全网安全动态,有针对性指导各级安全管理机构做好安全防范工作,特别是针对当前发生频率较高的攻击做好预警和防范工作。本中心是从检测到响应的中枢环节,汇总和分析也是在这里实现的。
应急响应中心 仅仅及时检测到安全事件是不够的,必须做出即时的、正确的响应才能保证网络的安全。应急响应中心作为安全管理运营解决方案的重要组成部分之一为应急响应服务实现工具化、程序化、规范化提供了管理平台。应急响应中心主要是通过工单管理系统来实现的。应急响应中心接收由风险管理中心根据安全威胁事件生成的事件通知单,并对事件通知单的处理过程进行管理,将所有事件响应过程信息存入后台数据库,并可生成事件处理和分析报告。
2.三个平台
策略和配置管理平台。网络安全的整体性要求需要有统一安全策略的管理。通过为全网安全管理人员提供统一的安全策略,指导各级安全管理机构因地制宜的做好安全策略的部署工作,有利于在全网形成安全防范的合力,提高全网的整体安全防御能力,同时通过安全管理运营解决方案策略和配置管理平台的建设可以进一步完善整个IP网络的安全策略体系建设,为指导各项安全工作的开展提供行动指南,有效解决目前因缺乏口令、认证、访问控制等方面策略而带来到安全风险问题。
知识管理平台。统一的安全策略、安全知识库信息等信息的发布,不仅可以充分共享各种安全信息资源,而且也会成为各级安全管理机构之间进行安全经验交流的平台,有助于提高全网的安全技术水平和能力。足够的安全知识和信息是各个角色正确工作的基础。
资源管理平台。资源管理平台主要包括两个方面:人力资源管理和资产管理。人力资源管理保证在需要的时候,可以找到合适的人。资产管理主要是管理安全管理运营解决方案监控范围的各个系统和设备,是风险管理、事件监控协同工作和分析的基础。
实时事件关联分析
事件监控中心对来自不同安全系统的报警信息进行实时的关联分析,关联分析的整个过程都是在内存中进行的,并根据威胁程度的大小对安全事件进行排序,对不同威胁程度的安全事件通过不同颜色来着重显示。
多样化显示方式
事件监控中心提供了多种实时显示方式,如网络拓扑方式、雷达方式、柱形图等,直观的将安全威胁数据呈现给用户。
丰富直观的报表
启明星辰安全管理运营解决方案提供了丰富的报表模板供用户选择,除了文字总结还可以用清晰直观的图形化方式将报表呈现给用户。
广泛的平台支持
启明星辰安全管理运营解决方案支持从各种主流安全系统收集安全事件数据,并可以和网管系统实现结合管理。目前支持的产品有:
■防火墙系统:Checkpoint NG, NGAI and Provider/1; Cisco PIX; Netscreen; Secure Computing Sidewinder G2.
■入侵监测系统:启明星辰天阗IDS,Enterasys Dragon, ISS RealSecure, Cisco Secure IDS(v3:POP; v4:RDEP); Snort; Symantec Manhunt; nCircle IP360.
■防病毒系统:Sophos; Symantec Corporate (Norton); McAfee ePO; Trend Micro.
■漏洞扫描系统:启明星辰天镜Scanner; eEye Retina; nCircle IP360; Nessus; ISS Scanner, Foundstone Foundscan.
■网管系统:HP OpenView; MicroMuse NetCool; CA UniCenter.
■其他:Windows Event Log; UNIX Syslog; Tripwire; SNMP, SNMP Traps.
■定制化:基于日志的数据源通常可以在一周左右定制化完成
弱点评估管理
启明星辰安全管理运营解决方案的弱点评估中心通过人工审计和漏洞扫描工具两种方式,收集整个网络的弱点情况并进行统一管理,使得管理人员可以清楚的掌握全网的安全健康状况。
弱点评估管理具有统一的可视界面,显示各个系统的安全漏洞分布情况,包括以下内容:
该漏洞相关的链接信息,包括CVE编号、漏洞描述、受影响的系统类型以及漏洞的解决方案等信息;
统计信息,即给出漏洞的分布、数量等统计信息。
启明星辰安全管理运营解决方案支持多种漏洞扫描工具,包括启明星辰的天镜漏洞扫描系统、ISS Scanner、eEye Retina、Nessus、Foundstone Foundscan等。
应急响应管理
启明星辰安全管理运营解决方案的应急响应管理是通过工作流系统实现的。该系统是专门针对安全事件的处理过程,根据具体的安全响应流程进行定制的。其工作流程如下图所示:
事件监控中心监测到安全事件后有专人生成新的工单,一方面有专人会通过系统报警的方式收到通知并在规定的时间内对工单进行接收,并进入对安全事件的处理阶段,另一方面工单跟踪模块会对工单被派发后的整个过程进行跟踪,进行工单收回、重新派发等工作。工单处理结果可能有两种可能:一种是安全事件被解决,这个工单就被关闭,同时工单的内容被保存到知识库中,作为历史记录和以后参考用;另一种情况是安全事件因为某些原因没有被彻底解决,这个工单所包含的问题会被重新处理考虑,生成新的工单,进入新的工单处理流程。
应急响应管理完善了从防护到检测再到响应的一个安全事件处理过程的闭环。
全面知识管理
启明星辰安全管理运营解决方案的知识管理平台既提供一般知识管理功能,比如安全知识库、培训和人员考核等,也提供了强大的漏洞库、事件特征库、补丁库、安全配置知识库和应急响应知识库等。启明星辰公司作为国家CNCVE项目的承担单位拥有自主产权的漏洞库和事件特征库,启明星辰安全管理运营解决方案的漏洞库和事件特征库兼容了国内国际上流行的各种漏洞库,比如CNCVE,CVE,Bugtraq等,同时启明星辰的积极防御实验室会及时发布最新发现的各种安全漏洞,并定期对已知漏洞进行总结。