202x年网络安全管理中心系统平台建设方案建议word版Word格式.docx
- 文档编号:17204591
- 上传时间:2022-11-28
- 格式:DOCX
- 页数:40
- 大小:580.10KB
202x年网络安全管理中心系统平台建设方案建议word版Word格式.docx
《202x年网络安全管理中心系统平台建设方案建议word版Word格式.docx》由会员分享,可在线阅读,更多相关《202x年网络安全管理中心系统平台建设方案建议word版Word格式.docx(40页珍藏版)》请在冰豆网上搜索。
3.1.3.3分析查询23
3.1.3.4系统维护23
3.1.3.5安全设备管理24
3.2SOC外部功能模块25
3.2.1人员组织管理25
3.2.2企业资产管理25
3.2.3脆弱性管理26
3.2.4事件和日志管理26
3.2.5配置收集27
3.2.6安全产品接口27
3.2.7安全知识系统27
3.2.8工单系统28
3.2.9响应工具及API31
4实施方案32
4.1WEB界面定制方案32
4.1.1仪表板组件32
4.1.2资产信息管理组件33
4.1.3异常流量监控组件33
4.1.4安全事件监控管理组件34
4.1.5脆弱性管理组件34
4.1.6安全策略管理组件34
4.1.7安全预警组件34
4.1.8安全响应管理组件35
4.1.9网络安全信息35
4.2二级结构实施方案35
4.3部署方案36
4.3.1全国中心部署方案36
4.3.2江苏省中心部署方案36
4.3.3安全数据采集方案37
4.4其他38
4.4.1安全评价38
4.4.2配置收集和审计方案39
4.4.3扫描器解决方案40
5优势概述42
附录一:
事件管理支持产品一览43
1概述
随着的网络规模庞大、系统复杂,其中的各种网络设备、服务器、工作站、业务系统、支撑系统都存在着超常的复杂性、多样性。
随着安全越来越受到重视,安全子系统也逐步发展到复杂和多样的系统,这些安全子系统通常首先在各个业务系统中独立建立,然后随着安全管理的规模和成本的不断上升逐步发展到产生了整个企业建立一致的安全管理体系的需求,的安全运行中心解决方案(Security
OperationCenter简称SOC)正是满足这种需求,为企业安全整合提供解决方案,通过最佳的安全技术和最佳的安全实践帮助用户从分散的安全实现集中的、可管理的安全。
的SOC解决方案帮助用户解决以下的问题:
分散的管理增加管理成本和管理难度
作为一个新兴的、覆盖范围极大技术领域,信息安全可以划分为众多的细分领域,例如防火墙、入侵检测、漏洞扫描、认证和授权、加密、防病蠹、VPN、PKI、内容过滤等等,每个领域内均有最好的厂商和解决方案供应商,企业往往根据自身的需求,选择其中最优秀的产品,这就造成了这样一种现象:
安全产品和厂商基本均为基丁“点”的解决方案,即基丁某一安全细分领域的解决方案,这些解决方案都需要单独购买、实施和管理。
这种情况下,随着使用产品种类和数量的增加需要不断增加管理和维护人员,管理成本往往呈指数级的增加,但是管理效率却仍然存在瓶颈,特别是多种数据不能相互沟通和关联更加剧了这一现象,这些问题导致对集中化管理的要求;
安全信息和知识的共享水平■较差
以往的观念往往认为,“安全是安全管理人员的事情”,目前,这种情况正在极大地改善,越来越多的企业通过安全策略明确地定义不同人员在安全组织中所处的位置和应该担负的责任,与之不能相称的是,目前的安全产品仍然往往仅仅提供安全管理员的角色和视图,不能让普通系统管理员参与到安全管理和安全信息的共享中来,必须建立一种让所有的IT人员能够使用和监控与他们相关的安全信息的系统,让整个安全组织,而不仅仅是安全管理员为网络的安全负责
海量事件
某企业在一次病蠹爆发的过程中在一天内产生了二千万的入侵检测告警,在
这样的告警量水平情况下,管理员往往疲丁应付,并且容易忽略一些重要但是数量较小的告警,尽管海量事件分析的需要的技能并不很高超,但如果仅仅依靠安全管理员人工分析,需要占用大量人员,而且容易出错。
必须将规则化的分析让机器来实现,管理员和安全专家可以专注丁更为复杂的分析。
海量事件是现代企业安全管理和审计面临的主要挑战之一
缺乏智能
告警的信息是一台服务器受到某种windowsRPC病蠹的攻击,而事实上该服务器是Unix服务器;
传统的网络IDS事件告警无法分析当服务器受到攻击时攻击是否成功;
无法通过发现攻击者的一系列组合攻击从而提高告警级别…….
以上的种种问题提示我们,孤立的事件无法为我们揭示问题的本质,必须有更加智能的分析方法,它可以分析多个事件的之间的联系,可以将不同的数据来源关联起来,可以将各种数据和知识关联起来;
总而言之,企业需要智能化的处理方式,需要极大地提高效率,需要防止误报。
必须改变以事件为中心的视角
现有的安全产品往往以安全事件为视角,用户第一眼看到的是各种各样的事件,但实际情况是,用户关注的核心不是事件本身,而是他们的资产是否受到了保护,需要保护的关键资产是否受到了威胁。
因此必须改变以事件为中心的视角,以用户关心的核心资产为中心,提供面向资产的、基丁安全健康指标的告警服务
安全知识的不足。
各种各样的产品提供了大量的安全机制,但是无论是关联、分析还是响应,都必须建立在知识的基础上。
这些知识有些是通用的,可以来自供应商,有些是
与客户实际环境密切相关的,必须来自实际生产环境,必须保证这些知识的不断积累,才能真正实现智能化。
安全响应能力不足
对安全响应的要求包括:
发现问题后必须能快速找到解决方法并最快速度进行响应,响应的过程中要求明确响应的责任人、响应办反并反馈响应结果,对安全事件响应的整个过程必须有记录和考核;
建立一支有经验的响应队伍,这个队伍包括内部人员和外部专家支持;
支持自动化的响应和通知手段。
对这些问题的深刻认识,都促使我们认识到,必须进一步发展安全体系,在现有产品体系的基础上架构集中的管理解决方案,因此在国内首先提出了安全运行中心(SecurityOperationCenter)解决方案,提供一个整体性、智能性的安全管理解决方案。
2体系架构
2.1安全运行中心的建设目标
安全运行中心(SOC)解决方案提供的整体解决方案是建立在现有的安全环境的基础上,能够实现以资产为核心的全面安全管理的管理系统,他实现了以
下的特性:
以资产为核心的全面安全管理
整体安全管理架构是以资产为核心的。
BS7799将所有与信息相关能够体现价值的资产都称为信息资产,通过多年的服务实践发现,这种定义难以在实践中进行方便的操作,考虑到我们主要是管理基丁网络和主机的资产,因此,在兼容
BS7799标准的基础上,对资产进行了简化,将资产定义为可管理的带IP的设
备资产和其上的附届软件和数据。
如某台服务器是可管理资产,则这个资产包含了硬件、操作系统、应用软件和数据库、数据库中的数据。
安全运行中心的所有信息都以资产为中心,例如漏洞和威胁都会被归结到资产,并在资产的层面进行关联和分析。
用户登陆后也主要关注他们管理范围内的资产状况。
这和以往的以事件为中心的安全管理有本质性的区别。
面向部门和用户的安全管理
安全运行中心针对中国企业的管理结构特点,允许用户在系统内部设立企业结构逻辑视图,允许通过定义角色来分配权限。
可以快速地为每个资产定位其负责人以及相关部门、领导、管理员、备份管理员等信息。
安全运行中心是供所有的安全管理员、系统管理员、网络管理员使用的系统,通过角色定义,每个用户可以登陆到系统,看到自己管理的资产和系统的健康状况和告警。
通过对角色的操作权限以及管辖资产范围的定义,可以精确地对权限进行限制,保障最小授权原则。
强大完善的资产管理
支持基丁LDAP的资产管理,可以和不同系统的资产数据库进行同步。
支持
资产价值(可用性需求、完整性需求、保密性需求)的评估。
完整记录资产及其上的应用,均支持自动发现和手动调整。
以资产为核心的漏洞管理
以资产为核心,驱动漏洞的定期扫描、评估。
用户可以在SOC界面中针对
资产定制定期扫描或者发起一次单独的扫描,通过SOC界面驱动扫描系统,扫描的结果会返回到SOC系统中,所有信息经过标准化后存放在统一的数据库中,漏洞信息和资产信息可以方便地供关联使用,扫描结果还可以自动触发安全响应流程,保证一发现漏洞就进行解决。
通过以资产为核心的漏洞管理,系统可以提供比传统的漏洞扫描器更加详尽的信息、更快的响应以及更强的信息交互和关联,并且可以实现统一的控制管理。
以资产为核心的威胁管理
威胁管理主要通过事件管理体现出来,与以往以事件管理为核心的系统相比较,SOC中心将收集到的所有事件信息都归结到资产,很好地实现了基丁资产视角的视图,用户可以方便地根据资产的价值和关键性来进行事件的分级。
SOC中心大量支持已有安全产品的事件收集,做到即插即用,对丁不支持的产品,提供可视化的变成编写数据的收集和标准化agent,保证快速的扩展。
所有事件收集机制都是详细可定制的。
强大的智能处理
智能化处理是安全运行中心解决海量事件、事件分散化、误报的的重要机制,的智能处理方式主要包括:
底层智能处理:
通过数据过滤、标准化、数据合并、实时数据关联来实现底层的智能事件处理,特别是实时数据关联实现了基丁规则的关联,发现实时数据之间的潜在联系,可以改变和调整级别。
基丁资产的关联:
当数据被归结到资产之后,不同来源的事件数据以及漏洞相关数据被汇聚在一起,在这个新的数据集的基础上,进行新一轮的关联分析,由丁集中了异种事件的关联分析,这种分析可以有效减少误报,提供更多参考。
统计分析关联:
基丁异常检测的原理,在资产的基础上,检测是否有异常的行为,发现未知攻击。
知识库智能搜索:
通过将事件、漏洞等数据与知识库进行关联,给系统管理员充分的信息、参考和解决方案。
深入的配置管理能力
SOC管理中心支持以下安全产品的管理配置:
LinktrustCyberwall全系歹U产品、LinktrustIDS全系歹U产品。
SOC管理还支持对非产品进行配置的收集和集中存放以及定期配置审计。
丰富完善的主动响应管理
SOC解决方案支持丰富的主动响应方式:
支持完整的工单流程,工单可以通过事件、漏洞自动触发;
SOC管理系统支持包括短信、email、留言等通知响应能力;
支持基丁OPSEC等机制的安全产品互动能力,产品还支持应用程序调用和API接口。
全面的知识支持
公司作为专业的安全公司,在安全领域有多年的丰富经验,建立了ST-
Force实验室,保证对最新安全技术、新安全动态、最新安全漏洞的跟踪,在ST-Force的支持下建立的强大的知识系统和技术模型保证了能够提供业界最领先的安全知识管理和支持。
公司拥有丰富的专业的安全服务经验,拥有各种行业安全经验,保证我们能
够深入了解用户,协助用户一起总结用户独有的安全知识。
大规模实时多级分布式系统
的安全运行中心解决方案为最大型的企业设计,支持多级管理体系,允许多
级安全运行中心进行数据同步或者数据交互。
为超大型企业的设计支持多达数十
万的资产和每日上千万的数据处理能力。
2.2安全运行中心建设的体系架构
2.2.1全国soc—省级soc二级架构
SOC建设的目标主要是提供安全管理能力、节约成本,因此集中化和智能
化是必然的标志,我们根据中国的要求设计了全国、省级二级的解决方案,这种
解决方案主要综合考虑了现倒萨有管理体制和网络流量情况,实现最大程度的
优化,对丁知识管理,认为建设集中的知识库便丁全国范围内的知识共享,具体的二级体系架构图如下所示:
全国二级SOC架构
2.2.2基于层次模型的体系结构
对安全运行中心进行了完善的规划,将整个SOC的产品系列分为SOC核心功能以及SOC外部模块,SOC核心系统的功能主要集中在以资产为核心的风险管理方面,因此他的核心功能是对收集到的各种数据包括资产、漏洞、威胁、日志、配置进行分析和智能处理,在一个统一的界面下以用户最需要的方式呈现出来,保证用户高效处理各种问题。
为了整个SOC的运转,必须采用一些相关的外部模块,这些模块可能是通过提供,也可能是用户本身系统就具备了的,这些模块功能相对独立丁SOC核心模块,但是这些外部模块也使用统一的SOC界面来进行管理,具体体系结构如下:
外部模块
SOC作为为中国的统一的可管理的安全平■台的产品,内部可划分为三层:
应用层、数据处理分析层和接口层,各层中包括了多个功能模块或子系统:
接口层:
主要提供对外部系统的接口,这个接口经过标准化定义后,可以接收来自外部模块或者其他系统的数据;
数据处理和分析层:
对各种数据进行关联处理和基丁资产的映射。
应用层:
实现各种交互和响应的模块,该模块同时提供了用户接口
卜面的图示揭示的更加详细的模块划分:
SOC的接口层,提供了SOC和其下被集成系统的交互功能,主要起采集异
构数据和调用特定系统接口的作用,其中包括的功能模块或子系统有:
企业数据收集、安全数据收集、配置中心和响应中心等。
在这一层各类异构的数据被全部或分类地归一化表示为SOC系统内部使用的统一格式,同时也可将SOC内部统一格式的指令和数据解析成特定的结构,供需调用的子系统使用。
该层屏蔽了SOC系统和外部系统在数据集和指令集上的差异,为SOC对其他系统和安全解决方案的集成提供了基础和保障,是该产品能具有广泛适用性的关键所在。
SOC的数据处理分析层对各类统一格式的内部数据进行存储、管理和基丁规则的关联分析(Rules-basedCorrelation),同时对各类任务进行统一协调管理并向下层的执行模块下发指令。
按数据的类别和功能划分为资产信息处理、漏洞分析、威胁分析、风险分析、安全信息库和任务调度派发中心等模块(子系统)0在这一层一方面对从接口层收集来的各种数据进行存储;
另一方面接收上层的指
令进行统一调度管理并传送给下层的执行模块以实现用户的管理功能。
该层是
SOC系统的数据处理和指令指挥中心,是SOC具有强大数据处理和管理功能的关键所在。
SOC的应用层将数据管理分析层提供的信息以具体的方式显示给SOC系统
用户,并接收用户的操作和管理指令,通知下层相应模块或子系统。
根据功能的可划分为用户管理、审计管理、资产管理、漏洞管理、威胁管理、风险管理、分析查询、安全设备管理和系统维护等模块和子系统。
该层提供和用户的交互,是
系统可呈现性和可操作性的关键所在。
外部模块包括了人员组织管理、企业资产管理、脆弱性管理、事件和日志管
理、配置收集、安全产品接口、安全知识系统、工单系统、响应工具及API,这
些外部模块会在后面进行介绍。
3功能模块
3.1SOC核心系统
3.1.1接口层
3.1.1.1企业数据收集
目前企业数据主要分成二类:
企业员工数据、资产数据。
定义了可扩展的企业员工数据、资产数据接口标准格式,这个接口将不随系统变化而变化,外部模块可以自行决定数据获取来源和方式,然后将数据格式化,按照该接口的标准发送到soc系统的企业数据收集接口。
企业数据收集接口根据内部模块需求,将数据转换为内部数据格式。
3.1.1.2安全数据收集
安全数据收集主要包括二大类:
安全事件、安全漏洞
安全事件可以细分为:
告警、日志;
安全漏洞目前可以细分为扫描器报告漏洞、配置审计产生的漏洞。
需要注意的是,在数据送入SOC前,已经完成了所有的基础数据分析和标准化工作,例如SOC本身不完成配置的脆弱性分析,而是由外部系统完成的。
安全数据收集接口根据内部模块需求,将数据转换为内部数据格式。
3.1.1.3配置中心
配置中心将SOC内部统一的安全设备配置指令解析为特定的格式,通过调用外部对应的模块(各类实现级的安全设备配置工具或API)实现配置功能,目
前可先支持自有的安全产品,之后在实施中进行扩充。
该模块实际上翻译SOC
内部配置命令,并为安全设备管理模块提供实现级的支持。
考虑到现实中用户对一般性设备配置管理的需求,我们拟定在中国的项目中实现对非系统平■台的配置的收集和存储。
3.1.1.4响应中心
无论在动态安全模型、还是静态安全模型中,响应都是不可缺少的重要一环。
只有在检测到安全事件、风险后进行及时、有效、自动的响应才能对企业安全进行有效防护。
该模块根据SOC内部统一的响应指令产生标准响应(如email、SNMP、windows消息通知等);
或在解析为特定的格式的基础上,通过调用外部对应的模块接口(如工单系统、短信网关、防火墙互动等)实现各类特定响应。
3.1.2数据分析层
3.1.2.1资产管理
该模块将接口层收集的数据检查其完整性、进行分析整理,然后存储到安全信息库。
3.1.2.2漏洞分析
该模块将收集到的漏洞信息映射到资产,并且将漏洞中的各种厂商数据映射
到统一的漏洞列表中,便丁比较和查询,然后将漏洞信息存储到安全信息库,同
时该模块将经过整理和分析的数据实时提交给风险分析模块。
3.1.2.3威胁分析
该模块对所有标准格式的原始事件数据进行存储,并根据规则进行攻击关联
(非目标相关的关联),达到过滤事件、简化事件的目的,为SOC提供更有效的安全信息,减轻SOC数据处理的压力。
关联分析的主要工作完全是针对事件和日志的,主要工作包括:
数据过滤
数据合并
分级
基丁规则的智能实时关联
事件的收集和分析目由esecuritysentinel来实现。
3.1.2.4风险分析
根据资产信息、漏洞信息、威胁信息,依据安全知识进行关联,并基丁资产根据计算规则定量地计算资产的风险值,达到过滤事件、简化数据的目的,为SOC用户提供更有意义的资产风险信息,这也是SOC产品最具价值的核心功能。
ImpactCorrelation
根据资产信息、漏洞信息、威胁信息,依据安全知识进行关联,得到真正能对资产产生风险的安全信息,并存储到安全信息库。
风险值计算和调整
在ImpactCorrelation的基础上,基丁资产根据计算规则定量地计算资产的风险值,并按资产分别存储到安全信息库。
3.1.2.5安全信息库
该模块主要是存储安全信息和安全知识,是整个SOC的数据存储中心,但该存储中心不只是有一个数据库实现的,是由多个分类存储数据的数据库构成的。
同时安全信息中心还具有安全数据初步处理的功能,主要是做一些基本的统
计功能,为进一步数据分析提供更有效的数据,提高分析统计的效率。
3.1.2.6任务调度
提供统一的用户命令调用接口,用户定时和即时的管理指令(如扫描命令、配置命令等)都汇总到该模块,由其进行统一调度,调用下层的配置管理或响应管理模块来实现具体任务。
内部分为指令产生和任务调度两部分。
3.1.3应用层
3.1.3.1角色和用户管理
用户管理是SOC系统中极其重要的一部分,保证了用户操作的合法性,是用户正常使用该层其他模块的基础。
为了保证系统使用的灵活性和可扩展性,设计为基丁角色的用户管理模式,这也是目前大多数企业中没有专门的安全管理部门所带来的客观需要,在角色管理的整个概念中,包括了员工、SOC用户、角
色、访问对象权限、操作权限这5个概念:
员工:
员工是指企业内部的人员,员工情况由外部系统“人员组织管理”提供,并非每个员工都有SOC帐号,但是基本系统中存储的每个员工都和一些资产绑定;
SOC用户:
在SOC系统中拥有一个统一的用户名、密码和一定权限的一个逻辑帐号,该帐号一定对应一个企业员工,该帐号只有对应一个或者多个角色才能有效在SOC中进行操作;
角色:
限定用户的访问对象、操作权限的集合,对角色定义可以简单地指定他能操作的资产对象、能执行的针对这资产的动作、系统操作,就完成了一个角色的定义,也可以制定一个角色由若干基础角色组成,例如我们预先定义了系统维护角色、用户管理角色,我们再定义一个系统管理员角色包含以上二个角色的功能,这种灵活的角色定义能力保证用户可以根据需求灵活定义和修改
访问对象:
访问对象主要包括资产、安全设备,可以为角色划定一个范
围,用户对这个范围之外的数据是不知道的,也不会显示出来
操作权限:
可以对角色指定一系列操作的权限,操作权限分成两种,一种是和对象相关的,指定该种权限时,必须制定访问对象范围,然后制定针对性地可以做什么操作,另外一种是和对象无关的,例如一些系统维护功能,可以直接为角色指定
通过以上完善的角色体系,SOC系统支持虚拟子系统的概念,即在系统中允许创建一个业务系统,该系统拥有一个全权限的管理员,这个系统对其他虚拟子系统不可见,而系统管理员完全控制该系统范围内的资产和安全设备,同时,他可以在这个业务系统范围内自由创建角色和用户。
角色和用户管理模块的功能同时包括了日志和审计功能,记录用户行为用丁集中的审计。
3.1.3.2风险管理
通过统一的风险管理界面,可以以资产为核心,实现对资产、漏洞和威胁(事件)的综合管理。
3.1.3.2.1资产管理
资产管理采用按照系统划分的资产树结构,方便地对资产进行浏览。
系统提供便捷的查询与统计功能,便丁安全管理人员和系统管理人员能方便地查找所需信息资产的信息,并能关联查找到相关的评估、风险、历史安全事件等信息。
使安全管理人员和系统管理人员能及时掌握信息资产的安全状况。
资产管理模块提供标准接口,同时本身应能管理信息资产的识别、建档、变更等活动。
标准系统定义
定义可管理的标准OS系统(如Unix系歹0、Windows系歹0等),应包含所有主流的系统,可采用在系统内内置预先定义的方法。
资产类别定义
定义安全资产的类别,如服务器、工作站和数据库等,可采用在系统内内置预先定义的方法。
业务系统定义
定义企业内部业务系统(如计费系统等),以便提供资产的业务逻辑视图。
应允许分级定义来满足实际业务的情况。
这样的定义方式可以更进一步理解为定义了“虚拟系统”,从而为实现“将用户的权限限定在一定资产范围内”提供基础保证。
资产届性的录入和修改
通过界面添加资产,填写(指定)或修改资产的届性(包括名称、资产类别、标准系统类别、所届业务系统、安全责任人、IP地址、资产安全价值、是否为24小时运行、备注信息等),主要用丁添加零星资产和修改资产届性。
资产的批量导入
导入标准格式的资产数据源,支持格式应包括excel、xml、txt、DB等。
主
要用丁系统初次运行时,导入由用户提供批量信息。
可以考虑根据本系统提供的统一内部格式,开发标准导入模块和针对不同数据源的转换模块。
资产的导出
将资产数据导出成标准格式的数据源,支持格式应包括excel、xml、txt、
DB等。
此功能可满足将数据和
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 202 网络安全 管理中心 系统 平台 建设 方案 建议 word