北京长天安全运营中心解决方案

序言

在网络安全形势日益严峻的今天，为了保障企业网络的安全畅通，各企业已经正在开展一系列安全工作，其中有各种安全体系和安全产品的部署，也有购买专业安全服务公司的风险评估、加固等安全服

务，以确保网络的正常运营。但随着网络规模和安全系统的不断变化，使得企业的安全管理体系变得越来越复杂，安全事件和网络故障难以判断和定位；对网络管理员和安全管理员的要求越来越高，管理成本高居不下；在安全管理流程方面，产生的数据无法为企业最高管理层提供准确的决策依据。主要原因是传统的安全管理方式是将分散在各地、不同种类、不同厂家的安全产品和网络、主机系统分别管理，导致信息分散互不相通，产生大量的误报漏报，安全策略难以保持一致。这种传统的安全管理运营方式因此成为许多安全隐患形成的根源。安全运营中心（Security clearcase/" target="_blank" >cc">Operation Center，简称SOC）是针对传统管理方式，尤其是针对安全管理和运营维护方式的一种重大变革，它将不同位置、不同安全产品钟分散且海量的安全事件进行收集、过滤、重组和关联分析，得出全局角度的安全风险，融合技术手段与管理手段，发挥网络安全集中管理的整体优势，及时有效的监控和处理网络安全事件，维持整体网络的安全性和可用性一直在一个较高的等级上。

安全运营中心－SOC，主要解决的问题体现在以下几方面：

复杂的网络安全管理

通常大量的安全系统都是逐步独立建设的，比如防病毒系统、防火墙、入侵检测系统、漏洞扫描系统等，各个系统都有各自独立的部署方式和管理控制台。这种相对独立的部署方式带来的问题是各个设备独立的配置、各个引擎独立的事件报警，这些分散独立的安全事件信息难以形成全局的风险观点，导致了安全策略和配置难于统一协调。这种对于复杂的网络的安全管理正是SOC的需求根源，也是SOC着重解决的问题之一。

海量报警与事件

在各种安全设备和网络、主机系统投入运营后，安全相关的数据量会迅速增加，形成海量数据和报警事件。如在"冲击?quot;或蠕虫病毒爆发时，一个省级的电信网络能够爆发两千万到一亿的事件量。如果缺乏强大的事件关联分析、综合管理能力，就会导致有些关键的安全信息和告警事件被低价值或无价值的告警信息淹没，一些全局性的、影响重大的问题将被忽视，从而引发严重的安全事故。SOC能够使得整个安全体系的检测能力更加准确，筛选过滤大量无用或低价值报警事件，更加集中于影响重大的焦点问题。

系统安全补丁

安全问题很大程度上是由于系统漏洞导致的，而解决这一问题的直接手段就是及时更新各系统的安全相关软件/补丁。SOC实现安全相关软件/补丁安装情况的管理功能，并建立安全相关软件/补丁信息库，提供查询、统计、分析功能，提供初步的分发功能。

安全相关知识与漏洞信息

日常的安全运营，是一个知识水平不断积累的过程，必要的知识共享是提升企业的整体安全管理执行能力的基础。SOC具备完整的安全相关的知识库，包括最新安全知识的收集和共享；最新的漏洞信息和安全技术以及各种安全事件的处理手段与工具说明等，有助于形成组织内部统一有效的安全信息传输通道，建立安全问题上报、安全公告下发、处理和解决反馈的沟通平台。

安全运营（Operation）流程

信息安全保障能力，不是简单地堆砌技术和产品能够得到的，也不是单一的技术可以完全实现的，它是由技术、管理、流程等诸多因素通过宏观的监控手段实现的。因此，SOC的建设不只是产品部署，它需要配套的运维操作流程和配套的紧急响应处理流程。这些操作流程和制度是整体安全策略的组成部分，且对于安全管理的决策分析和知识经验都将成为公司管理的重要组成部分。

组织安全管理

信息安全工作往往需要多个业务部门的共同参与，为迅速解决业务中出现的安全问题或隐患，提高工作效率，在日常的安全运营体系中必须具备跨部门的协调机制，在SOC中成立专职的安全机构，负责牵头、协调、分派、处理信息安全事件，评估和实施安全措施等

长天安全运营中心解决方案

根据对目前安全管理现状的深入分析和了解，长天进一步发展和完善自己原有的安全体系，结合国际先进的IT管理方法和技术标准，设计出完整的安全运营和集中管理的解决方案，将技术手段与管理手段进行充分整合，发挥管理平台在网络安全管理的整体优势，充分体现网络安全管理集中化、层次化的特点，重点保护客户网络系统的高可用性以及各支撑系统和业务系统的安全。

长天安全运营中心主要具有如下组成：

集中安全管理平台

集中安全管理平台主要功能包括：

集中安全策略和配置管理。长天SOC的集中安全管理平台实现对信息系统中所有安全设备、网络设备和主机系统的集中的智能化的安全策略管理和配置管理，使得即便技术水平不高的管理员也可以对安全风险进行实时监控和处理。

事件收集、过滤和关联分析。集中安全管理平台对来自各设备的数据信息、报警事件等进行采集、格式化，通过实时智能关联（Correlation）与过滤技术进行事件分析，提高事件分析效率。

报警与预置规则处理。面对攻击时，反应速度越慢，攻击所造成的损失就越大。如果要将遭受攻击时引起的风险降到最低，必须满足两个关键指标：一是安全事件告警时间，另外就是阻止攻击的能力。长天SOC中需要提供多种形式的报警机制，确保用户在遭受攻击时，能够在第一时间通知用户。除了需要通过电子邮件、报警或其他的方式在第一时间进行安全报警通知之外，还预置了大量攻击事件特征以及在事件发生后自动采取的纠错操作，这样如果发生安全问题就可以立即得到解决，可以大幅降低风险和避免企业机密信息泄漏。这样就防止了由于管理员不能及时处理安全事件而造成不必要的损失。而且企业不再需要雇用技术水平很高的安全专家对每一个安全检查点进行监控。这种方式使得企业安全管理成本大幅度降低。

自定义规则配置。针对不同的客户需求和攻击行为的多样性，长天SOC集中安全管理平台具有强大的自定义功能，通过安全阀值、过滤规则和处理规则三个方面对平台进行定制。安全阀值是指对某类型安全事件采取行动的临界点，例如：如果某个用户连续多次输入错误的密码，那么这既可能是用户忘记了他的密码，也可能是黑客通过字典的方式破解该用户密码，那么我们必须为用户输入错误密码的次数设定一个阀值。如果该用户输入错误的密码的次数超过该阀值，就自动锁定该用户。过滤规则是对攻击事件的确认，从大量的安全信息中识别真正的安全攻击。例如：通过检查传输的数据是否包含特定的字符串来检查某种病毒。处理规则是确认发生攻击事件后需要立即采取的步骤。

风险管理。风险管理是实现对跨网络基础架构威胁管理的首选方案。为了帮助管理人员确定攻击的严重程度，长天SOC的风险管理模块将在网络基础架构各处部署的众多单点安全产品所产生的大量事件和警报在一个控制台上加以简化和相互关联。能够帮助减少杂乱无章的现象，例如误报和漏报等，同时快速识别真正的安全威胁，缩短响应时间。

决策协助与报告。长天SOC 还拥有先进的决策支持和智能报告功能，可以将各种安全设备报告数据转换成易于理解的信息。为高层决策者提供决策支持。

安全知识库

安全知识的共享是安全水平提高的必要基础，长天SOC具有完善的、多数据来源的安全知识库，在其中储重要的安全事件、分析报告和安全知识等，同时知识库也提供事件处理流程等信息。安全知识库的数据和来源主要包括安全漏洞、安全通告信息、事件处理案例、各种安全知识、相关产品资料、操作手册等。

安全现状指数与趋势报告

长天SOC安全管理平台收集和整理所有的安全事件报告，整理分析，产生相应的专业安全报表。

安全报表包括了强大的安全趋势分析和安全现状指数报告功能，能够将一段时期内的整体安全状况、攻击来源、攻击方式、攻击目标，最多的和最少的攻击排序、IP子网攻击、IP子网攻击目标、设备类型、事件警告类型、事件状况类型和事件的严重性等等做出专业的分析报告，同时能够预测近一段时间的安全威胁、攻击方式等一系列安全趋势。

SOC运维体系和紧急响应流程

长天安全运营中心，是一种安全集中管理的形式，它不仅仅是技术（Technology）层面产品的功能实现，而是由运维人员、运维流程、制度和技术手段等不同组建充分结合的构筑的安全运维体系。同时，这些制度和流程也是整体安全策略的组成部分，需要被纳入严格的配置和变更管理之中，并对运维人员做好相应的宣传和培训，定期进行演练，使得每个角色和相关人员都明白自己的责任和相关流程。SOC还有一个重要组成部分就是运行人员、应急小组和专家队伍。对于这些人员的管理，同样需要相应的管理制度和紧急处理流程，在紧急处理流程中还应该包括明确的事件升级（Escalation）制度。

长天基于对当前最为流程、最有权威性的IT管理标准ITIL的深刻理解和实践，以组织业务和客户实际需求为出发点，设计出SOC运维流程与紧急响应流程，协助客户建立并完善日常安全运维体系和紧急情况下的处理能力，真正发挥SOC的高度集中、风险可控的巨大优势。

长天安全运营中心特色

长天企业作为国内系统集成和应用软件领域的领导厂商之一，在信息安全领域已有多年的集成和服务的经验。长天安全运营中心主要具有如下特色：

高度集中的安全管理

长天SOC解决方案能够实现高度集中的安全管理，实现对设备、拓扑的自动发现和监控管理，统一管理安全事件和日志信息，并对安全相关软件/补丁安装进行集中管理。

智能化的关联过滤技术

长天SOC解决方案采用业界先进的动态事件关联和认知推理技术，智能化过滤和关联各类安全事件，并通过预置规则和自定义事件关联规则等方式进行主动处理，从而避免了因海量报警和错误报警信息引发的决策失误。

方便灵活的配置管理方式

长天SOC解决方案核心平台具有灵活方便的配置管理方式，提供"一屏式"（Single Screen）的监控和分析平台和远程访问平台，极大方便安全管理人员对整个信息系统安全的控制和把握。

符合国际通用的安全标准，具备跨平台特性

长天SOC支持现有的国际国内标准和已经在事实上成为行业标准的软件和技术。同时，广泛支持各厂家的产品。

包括国内外知名厂家的防火墙、NIDS、HIDS、VPN及通信加密产品、主流操作系统和数据库、网络设备、防病毒系统、主流网络管理系统（如HP Openview、Cisco Works等）、其他安全认证、安全管理和代理服务器等。

详情参见长天SOC技术白皮书。

丰富完善的安全现状指数和趋势报告功能

长天安全运营中心为用户安全管理人员、技术管理者和高层决策者提供了丰富的报告模板，能够对安全数据进行实时分析，为用户提供图文并茂、简单有效的数据，且自动生成安全简报。简报包括日简报、周简报、月简报。简报包括安全状态分析（横向）和安全趋势分析（纵向），用户可以从不同层次不同角度观察网络的安全状态和趋势。

具有高效合理的安全运维流程和安全服务管理

长天SOC不是简单的产品功能实现，而是整个安全运维流程的集中管理。长天SOC根据国际通用的IT服务管理最佳实践标准ITIL和安全管理标准BS7799设计出标准的安全运维流程，并结合长天的安全评估、加固、咨询等专业安全服务体系，充分发挥安全运营中心在安全管理和安全决策上的重要作用。

具有完善的紧急事件管理和处理流程

长天SOC解决方案在充分利用核心平台对紧急事件的强大处理能力之外，结合多年的安全事件处理经验和知识库的总结，并充分结合SOC运维流程，设计出完整的紧急事件响应、上报、通知相关流程，并协助客户建设安全紧急响应队伍，提高事件处理技能，充分保证企业信息系统的安全稳定运行。

原文转自：http://www.ltesting.net