安全管理中心产品安氏.doc

1.前言 1.1. SOC介绍 （主要描述对理解和厂家进行建设的理念）1.1.1. 概述安全管理平台（即SOC）是一个管理的概念，而非常规安全产品的概念。安全管理系统实现一个安全可管理的平台。它有机的将管理与技术相融合，将企业部署的基础防护结合成为一个整体，使得企业安全工作可量化、可考核。SOC系统并不实现防火墙、IDS、防病毒、身份管理等安全产品系统的具体安全功能，而是一个安全信息的综合管理平台，通过对安全信息的分析处理可以实现一些常规安全产品所不能实现的综合的安全管理功能。对于现有安全基础防护而言，SOC系统是一个上层综合分析系统，汇总所有的安全信息，包括安全告警事件、脆弱性信息和资产信息，并进行集中管理和监控；对于企业的安全管理工作流程，SOC是一个技术实现平台，安全管理者可以利用SOC系统开展日常的安全工作，使得安全工作流程化、制度化。安氏SOC理念是建立统一安全门户，实现所有的模块都基于统一的B/S结构，使整个系统具备一个完整的、统一、一致的中文管理界面，以资产的风险控制为核心进行安全管理，将所有安全信息按照ISO13335风险管理理念将包括安全威胁、资产信息、脆弱性信息、安全措施等各种信息基于资产关联和展现出来，可定量的对资产的风险进行计算，能够把用户关心部门或者业务系统的安全风险状况直观地按照地域或者业务系统展示出来。1.1.2. SOC的地位和作用安全管理中心（SOC）是一个管理的概念，而非常规安全产品的概念。它有机的将管理与技术相融合，将企业部署的安全产品结合成为一个整体，使得企业安全工作可量化、可考核。以往的安全工作太过技术化，防火墙、防病毒、VPN等等这些安全产品往往只适合于技术人员，而非管理人员和业务等非技术人员，而且，很少有人能说清楚一个企业的安全到底怎么样了。安全管理系统实现一个安全可管理的平台。实现类似网管系统对网络设备的关系。管理人员、业务人员、技术人员都可以在SOC系统里找到自己关心的安全问题。管理者的需要当前，很少有能够直接报告到管理者的安全报告。安全产品的报告太多的文字和技术细节，缺少像网管系统那样图文并茂的报表和呈现方式。个别系统提供一定的图形化界面和报告也只反映了局部或者一个层面的安全问题，缺少整体和宏观的安全表现。安全工作的考核也很难开展。不能说哪个省、哪个部门受到攻击，系统瘫痪就是安全工作做的不好，很可能是被关注的程度比较高，收到的攻击才比较多。所以，现阶段很难考核相关地域、系统、人员在安全工作上的成绩。没有考核，安全工作开展上也缺乏动力。SOC系统能够实现安全整体呈现和安全考核，充当了安全决策的辅助系统。业务人员的需要当前，企业都在强调改变以往以技术为核心的经营方式，突出业务的核心地位，强调技术为业务服务。但是，在安全领域，由于可控力度弱，还处于技术能提供什么就是什么的地位。当前，很多电信企业都和用户特别是大用户签订了SLA等服务质量保证协议，如果不能有效解决安全隐患和安全管理，建设再多的冗余和应用都不足以保障用户的SLA。业务人员已经能够很好的使用网管系统（NOC）从网络层面抓取数据，提供给大客户并进行业务经营分析；SOC将是业务人员从安全层面抓取数据的一个基础平台。通过SOC建设，实现以业务为核心的安全管理，使得技术真正有能力为业务提供需要的数据和内容。技术人员的需要技术人员可能对企业的网络、应用和系统很熟悉，但是不一定对安全很专业，经过多年的培养与锻炼，电信企业培养了大量的网络、系统和应用专家，但是缺少安全专家。而且，企业的大多数技术人员对安全的认识往往是片面的，缺少系统和深度。从而，他们平时的安全工作也就不可避免是自己了解什么就做些什么，想起什么就做点什么。“我应该做到什么层面才是到位的？”“我负责的系统到底有什么安全问题？”“有了安全问题我该怎么做？”这些问题困扰着技术人员在安全方面开展工作。SOC系统能够从一个相对权威的层面告诉技术人员该做什么，该怎么做。SOC定位领信认为，安全管理中心（SOC）是一种管理形式，是介于现有安全系统和管理者之间的一种管理形式。SOC系统并不实现防火墙、IDS、防病毒等安全产品系统的具体安全功能，而是实现一种管理职能；从而可能派生出一些常规安全产品所不能实现的特定安全功能。1.2. 本产品的发展（描述产品路线图） 2002年安氏在国内率先推出安全管理平台SOC1.1版本，建立统一安全事件监控、知识库和信息安全管理和安全运维体系。 2003年安氏推出SOC2.0，在业内首先提供统一安全风险管理概念，关联安全威胁事件、安全漏洞和资产价值，给出量化的风险指标。 2004年安氏推出SOC2.3，采取自主知识产权的安全事件管理子系统，提供更为完善的知识库，实现知识库和安全风险、安全告警的关联。 2005年安氏推出SOC2.5，采用统一的安全管理Portal，增加异常流量管理、安全投诉管理、用户身份管理子系统，提供可订制的安全报表。 2006年安氏推出SOC3.0，开创性实现安全指标KPI管理，增加了安全审计管理和合规性管理模块； 2007年安氏对SOC3.0版本进行升级，增加了安全基线管理，可以根据企业要求把安全基线内置到SOC中，并可以自动以基线为标准，进行深度评估。同时安氏推出基于SOC的可管理安全服务MSSP，为客户的SOC运行提供强有力的安全支持； 2008年安氏计划推出SOC3.1版本，提供安全系统拓扑自动发现管理，更加完善的安全监控机制，提供基于C/S的安全监控工具，内建安全事件与处理流程。1.3. 厂家实施、服务能力 国内最全面安全管理中心建设和服务经验在2002 年即签订了中国第一个安全管理中心的项目，在2003 年又签订了多个安全管理中心的项目，并在2004 年在中国电信集团公司实现多级SOC 建设，目前已经取得了电信、金融、企业等多个行业的实施经验，在行业内产生了巨大的影响。通过这些经验，安氏领信不断完善自身的SOC 产品，并且建立起一支强大的服务队伍。管理类的项目，实施经验和不断的服务尤其重要，安氏公司的经验和服务会带给客户更加高效可信的安全管理体系。自从安氏公司2002的第一个安全管理中心项目到目前为止，安氏SOC已拥24套（不含二期、三期扩容），含二期、三期扩容共32套SOC系统开发集成及实施的成功案例。占市场SOC份额的75%以上。目前为止，安氏公司独家中标的网络安全管理平台工程项目，无论从数量上，还是从业务规模上，皆居业界安全厂商之首。专门的SOC 研发中心安氏领信在南京建立了专门的SOC 支持研发中心，建立了专门产品研发队伍及客户支持队伍。领信通过多年安全产品的研发过程中积累了大量经验，保证南京研发中心从建立开始就在规范的研发流程基础上进行开发。在南京研发中心，安氏设有专门的SOC实施服务队伍，由10多个经验丰富的工程师组成，在7年来的SOC建设中积累了大量的实施经验，是客户SOC成功建设的可靠保证。对国内国际主要理念的符合性安氏SOC开发参考了多个国内国际的标准或者最佳实践，具体包括：ITIL、ISO13335、计算机信息系统安全保护等级划分准则（GB17859）、系统安全工程成熟度模型（SSE-CMM）、信息保障技术框架（IATF 3.0）、BS7799/ISO17799专业的安全服务SOC实施不仅仅是一个简单的软件开发和部署的过程，而更是一个安全梳理的过程，安氏提供强大的配套安全服务，保证更好的SOC可用性，安氏提供的配套服务包括：安全管理顾问咨询服务、安全驻点运维服务、安全风险评估服务、安全加固建议及符合性检查服务、安全预警服务、安全事件监控服务、安全应急响应服务、安全培训服务。用户可以方便选择直接采用安氏的服务或者使用安氏服务的方法论来建设自身的内部服务体系。更多的情况是用户将二者结合，有效建设自身安全管理体系。2. 产品介绍 2.1. 系统结构 SOC系统由统一的Web Portal、风险管理平台和服务管理平台、对外接口、其他专业安全系统的集成等部分组成，如下图：领信SOC系统中，由安全门户、风险管理、事件管理三大系统组成，它们及下属模块分别关系如下分别如下：具体部分功能描述如下：统一Web Portal：UI采用集中统一的Web方式，既免除了安装繁琐的客户端软件，又能在统一的界面中操作，所有安全产品通过统一安全门户管理。风险管理平台：收集和分析事件、漏洞，结合资产信息开展各类分析，并将风险、事件、漏洞、审计信息呈现给用户，用于日常监控和问题排查。服务管理平台：结合配置数据库，实现基于ITIL的各种安全服务管理，包括故障管理、预警管理、变更管理、考核管理、知识管理等。服务管理平台中的配置数据库包括资产管理、IP地址管理等配置数据。专业安全系统：领信提供或者非领信提供的专项安全管理功能，通过Portal进行集成，这种系统一般有专门接口，而非通用的接口发送数据。接口：SOC提供主动和被动接口，方便和其他系统进行交互，可以交互数据包括配置库、流程管理数据、风险数据等，可以交互接口包括XML/SOAP、API、Syslog、SNMP Trap、短信、Email、应用程序等。2.2. 主要功能模块 （各模块的介绍，如采集器、事件分析、资产管理、响应处理、风险管理）领信SOC系统中，由安全门户、风险管理、事件管理三大子系统组成，它们及下属模块分别关系如下分别如下：安全门户系统(Portal) 安全门户(Portal) 用户管理风险管理系统安全概览（首页）指标管理(KPI)风险查看资产管理IP事件管理脆弱性管理工单预警管理报表管理策略管理安全知识管理系统管理事件管理系统 事件收集体系 关联分析 其他功能下面的章节我们会详细介绍每个部分的功能。2.2.1. 安全门户系统(Portal)安全门户安全门户（Portal）是SOC的统一入口，通过Portal能够查看安全总体状况，能够代登陆进入其他安全专业系统，如领信帐号口令管理系统等。Portal提供个人工作台、安全功能、待办事宜等功能。个人工作台提供风险概览信息；安全功能区提供各类安全产品单点登陆功能；待办事宜显示当前用户需要办理的事项清单。以下是安全portal的界面：用户管理用户管理是对SOC中用户的管理及其能访问系统的授权模块。主要包括以下功能：用户组增删改、查看；用户增删改、查看、可访问子系统授权；用户口令重置等。以下是相应界面：1用户列表界面2用户维护界面2.2.2. 风险管理系统安全概览（首页）安全概览由信息概览、系统信息组成。信息概览信息概览提供总体风险仪表板、设备状态概览和SOC各组件状态概览功能。总体风险仪表板总体风险仪表板由总体风险概览和当天风险风险概览组成。总体风险概览提供总体风险地图、KPI级别比例分布图、过去30天告警数量变化，告警信息列表。当天风险概览提供威胁级别分布、24小时威胁曲线图、漏洞状态分布图、漏洞级别分布图等。以下是总体风险仪表板的界面：整体风险信息概览当天风险信息概览设备状态概览设备状态概览主要对用户指定的设备进行监控和管理。设备状态监控界面SOC组件状态监控SOC组件监控主要对SOC系统中各模块级数据库状态进行监控，如下图：系统信息系统信息提供SOC系统中业务系统、工单、用户等系统信息供管理员查看。指标管理(KPI)过去安全系统通常关注于安全事件、漏洞、资产价值，但忽略了其他一些安全管理的要素，如防毒软件安装率、资产登记率、流量等。为了解决这个问题，从本版本开始提出了指标（KPI）和Incident的概念，指标（KPI）：是评价SOC系统内部运行状况的衡量标准，它具有5个级别，即微风险、低风险、中风险、高风险和极度风险，严重级别的赋值分别从04，严重程度由低到高逐级递增；被评价的指标从时间角度可划分两个大类：定时及实时，从层次的角度也可划分为两个大类：一级指标和二级指标，其中一级指标并不是实体，它只起汇总的作用，而二级指标是系统产生风险的实体，具体的评价方法由本文的第二章给出。Incident：可被称为故障或告警，它主要是由违反指标情况产生的；它只具有两个级别，分别是一般告警和严重告警，其中一般告警对应指标违反严重级别3（高风险），而严重告警对应指标违反严重级别4（极度风险），一般而言incident是需要由用户确认的，除非某incident需确认时间过长，在这种情况下则由系统自动确认。 KPI举例1资产登记率定期进行资产发现，比较资产数据库中登记的资产，从而提供一个管理指标，指明资产登记完整度2终端防毒安装率通过比较防毒集中管理软件中登记的终端情况和SOC中登记终端资产状况，给出终端资产防毒软件安装比例，指明防毒软件安装比例，防毒第一步就是要保证较高的安装率3单一病毒集中发作指标某一单一病毒发作超过某一阈值，则表明该病毒正在普遍发作4启动文件和启动项变化关键服务器的启动文件或者启动项发生异常，则提示用户进行检查，是否受到木马和后门的侵袭以下是相关界面：风险管理风险管理是企业安全的关键，我们在进行安全的监控和管理的时候，不应该割裂地看待企业的安全威胁、弱点和资产，而是应该把他们综合在一起，以风险作为唯一的指标来检查和管理企业安全。很多企业已经经历了风险评估服务或者建立了自己的风险评估体系，但是那仅仅是一个横切面式的评估，不是持续的评估，领信总结了自己多年的评估加固服务经验，在此基础上，推出了持续性评估解决方案，以资产为核心，综合不断更新的资产漏洞、不断产生的威胁事件，进行持续性风险计算，并将最后的量化的风险归结到5个级别上。系统除了持续性计算每个资产的风险，还持续性地按照业务系统和地域来综合计算业务系统和地域风险级别。为了防止在综合的过程中信息的损失，领信还使用了独创的双重指示灯，每个业务系统的风险指示灯由业务系统综合风险等级和业务系统之下的最高资产风险等级指示，保证用户对整个业务系统的风险状况一目了然。以下是风险查看模块的界面：风险计算主要依据是来源于incident,对象为资产、地域及业务系统；为了防止在综合的过程中信息的损失，领信还使用了独创的双重指示灯，对于资产风险图标的大圆为橙色或红色即表示有需要确认的incident（资产不存在小点）；对于地域或业务系统，其中大圆表示地域或业务系统本身的风险状况，而小点则表示该地域或业务系统下是否存在未确认的incident或风险。按地域查看风险按照业务系统查看风险风险查看模块支持按照地域查看和按照业务系统查看。通过风险查看模块，用户一旦登录，就可以明确看到哪里有问题，问题产生的原因，用户可以逐层点击进入查看问题所在，如下图。资产管理领信信息安全基础平台是以资产为核心建立的，所有信息的存放，例如事件、漏洞都是以资产的视角来查看的，领信资产管理系统的的管理界面如下：资产管理具备的功能包括：新增资产：增加一个资产，只有拥有业务系统权限的人才能在某个业务系统之下新增一个资产修改资产：对资产信息进行修改停用资产：该资产被划入被停用的资产，被停用资产可以恢复或者转移到另外一个业务系统，现实情况中经常有资产被替换或者挪用。删除资产：删除或多个一个资产业务系统树管理：系统支持无限深度的自定义业务系统树状结构，通过本功能，可以对业务系统进行增删改维护，删除某个业务系统节点必须保证该业务系统下为空。查看资产详细信息：具体查看内容见后面的描述。立即扫描资产：立即对某个资产发动一次扫描，并返回扫描结果，该功能要求配置了内置的扫描器。如果需要批量扫描资产，则应该在系统管理的任务管理功能中进行定义。资产导入：通过excel表格批量导入资产数据资产导出：通过excel批量导出指定业务系统的资产信息资产查询：允许通过灵活的方式根据资产的各个字段来进行查询，允许指定IP地址段来进行查询。资产发现：允许对指定IP地址段发现活动的IP，并扫描其系统。预备资产管理：资产发现得到的结果中没有登记的IP作为预备资产，预备资产可以新增为新的资产，也可以合并到现有资产。安全基线定义：后面配置审计脆弱性资产信息主要包括：资产编号、资产名称、资产所属标准系统（可以多个，即为资产使用的操作系统、应用软件等、响应人、响应组、所属业务系统、地理未知、硬件型号、序列号、用途、资产价值等。IP事件管理长时间以来没有被列入资产的IP设备常常在安全管理中被忽略，而这些设备又通常是安全问题的重灾区，因此为了防范安全管理中的死角从本版本开始增加了非资产的事件和漏洞监控，其中非资产事件功能集成在IP事件管理中，非资产漏洞监控集成与脆弱性模块的漏洞管理中。本模块主要是对IP设备的事件监控，提供根据公司的IP设备事件监控，以下是界面图：脆弱性管理领信SOC脆弱性管理分漏洞管理、配置管理、变更管理三大类，漏洞管理主要是指通过扫描器扫描的方式确认资产存在的脆弱性（漏洞）；配置脆弱性是指通过收集配置，然后和基线比较的方式审计资产存在的脆弱性；变更管理是指通过收集配置，然后和已确认的变更比较以确认当前配置是否存在变更。漏洞管理本版本中漏洞管理从资产和非资产、扫描任务三个视角去展现系统中分析发现的漏洞，每一个视角用户可以查看概览信息、资产或非资产的漏洞状况、漏洞在资产或段上的分布情况。以下是漏洞管理的界面：漏洞管理支持Linktrust Network Scanner和其他第三方扫描器，对于第三方扫描器领信提供标准接口（XML方式），并可以按照客户要求定制与第三方Scanner互操作功能（需要第三方Scanner厂商提供相关驱动接口）领信本次推荐Linktrust Network Scanner作为全网扫描器，该扫描器实现了和SOC的无缝集成，它的特点如下： 支持远程安装，支持多主机部署，方便有多个隔离网络的企业进行分布式扫描和集中管理 可以扫描多达1500个漏洞，以及500种以上的信息 支持网络发现，用于资产自动发现和核查 支持高速扫描 支持全面扫描，例如对www服务的扫描不限于80端口 灵活可定制策略 快速更新，每周更新保证最快最及时为用户提供更新 借助SOC的web界面实现多用户远程管理 借助SOC的响应功能实现被动扫描：可以资产被攻击时立即发动对其实时专项扫描并检查系统是否可能被影响 借助SOC实现基于资产将入侵检测和扫描器等信息关联在一起 借助SOC的关联能力，将作业计划内对资产扫描产生的告警事件标志为一般日志，防止误报 借助SOC的作业计划能力灵活定义定期扫描 借助SOC的角色管理能力限制随意的扫描，保证正确的授权 借助SOC的响应管理模块，可以使用email、短信等方式通知，并且可以实现工单的派发 借助SOC的资产系统，支持漏洞基于业务系统（多个资产组成的集合）的分布统计配置管理据领信多年的主机人工审计经验收集本地配置信息，并根据安全基线进行审计，不符合基线的会被作为弱点汇集到脆弱性管理模块。配置脆弱性信息收集脚本主要用于收集重要主机系统上与安全相关的系统信息，并通过与脆弱性管理系统中相关安全基线的比较，分析获得系统的本地安全脆弱性信息。目前SOC系统能够收集Solaris、Linux、HP-Unix、AIX、Windows及Cisco网络设备的配置信息，要分析这些信息是否配置得当、是否安全，就需要定义一个分析标准即配置安全基线定义标准，对应于可收集配置信息的设备，目前SOC系统可以定义Solaris、Linux、HP-Unix、AIX、Windows及Cisco的配置安全基线，并支持自定义脚本收集配置脆弱性。内置的配置管理基线包含一下内容（目前总共36项）：一旦安全管理小组确定了配置安全基线定义标准，就要求对检查出来的所有脆弱性进行处理。完整性检查原理和概述工作原理在信息系统处在稳定状态下，领信完整性检查系统根据用户制定的安全策略对指定的文件或网络配置进行读取，并根据策略要求生成相应的基线状态值（文件属性、文件内容、哈希值等）。用户通过定制完整性检测任务，定时获取受监控数据的当前状态值，与基线状态值进行比较，发现数据偏离，同时将偏离状态通过电子邮件、短信等方式告知管理员。l 实现机制Hash算法（散列/摘要算法）最早应用于确认传输数据的完整性，由于算法生成的摘要信息具有不可逆运算和不可伪造的特性，Hash算法具有较强的信息防篡改能力。领信集中审计和文件完整性管理系统借助数种主流的Hash算法对信息系统的数据与网络进行完整性校验，防止任何非授权的更改。任何行为的安全检测均会增加系统开销，对于运营的服务器进行安全检测的同时还需要考虑系统开销带来的代价。实时检测造成系统的开销较大，一般的入侵行为往往具有潜伏期，领信集中审计和文件完整性管理系统为此使用了定时、定量检测的机制转移了检测对系统性能带来的开销，保证了信息系统在检测的过程中仍能正常对外提供等量服务。 l 工作流程 上图表主要描述了完整性检查系统进行完整性监控的工作流程。工作流程的每个步骤进行如下：1部署领信完整性检查系统，针对信息系统的特性制定合适的安全策略（其中策略包括：监控对象、监控属性、对象安全级别、事件响应方式、执行序列等内容）。2按照安全策略中的要求，由完整性检查系统收集稳定状态下信息系统的状态，并将此收集信息保存到加密的数据库文件中，此步骤为初始化基线数据库。（基线数据库为完整性检验的基准）。3完整性检测，领信完整性系统系统产品通过获取当前信息系统状态并与基线状态进行比较，发现状态的偏离即时通过多种方式（E-mail、短信等）向管理员发送告警信息。4借助领信完整性系统系统传送的告警信息，管理员可及时了解到信息系统的状态及其偏离情况，以及更改是否为授权操作导致。5如果更改为非授权操作，管理员就可以及时采取适当的解决措施，包括：从备份文件恢复数据或调整安全防护策略避免潜在入侵。6如果更改为授权操作导致，管理员需要更新基线数据库为当前状态，避免了授权更改扰乱下一次的完整性告警。7在进行完整检测后，管理员可以根据实际情况对安全策略进行调整（添加新的监控对象、修改某些对象的安全级别）。主要检查内容1配置完整性审计系统能够对配置进行存储和基线比较，发现变化，系统还支持逐行进行比较，分析出主要的差异，高亮其中差异部分供用户查看。2文件完整性审计l 强大的保护能力领信集中审计和文件完整性管理系统提供了强大的工具用于保护网络服务器及系统。通过建立审计策略，安全管理员可以检测内部/外部入侵、用户错误、软件故障、未许可的系统后门：预先定义的策略文件针对特定的操作系统定义的策略文件帮助快速建立安全基线保护特定的数据和文件。加密签名的基线数据库，策略文件，报表均可使用128位的加密算法进行签名，保护其不被非法修改。l 快速检查领信集中审计和文件完整性管理系统通过比较当前文件属性与基线数据库的差别，提供广泛及快速的变动检查能力： 多种算法支持4种签名算法支持文件修改检查。 多种属性监控监视多达14种文件属性（UNIX）、24种文件属性和注册表项（NT / WIN2000）。因此，即使内容没有修改，也能检测对数据的未授权操作。 严重级别可对不同的文件赋予不同的严重级别。当变动发生时，管理员能够根据严重级别安排处理（恢复）顺序。 报告处理完整性检查报告能够根据严重级别发送给设定的处理人员。发送方式包括电子邮件、短信。3端口管理主要包括两个方面：l 端口发现和变更管理：系统自动收集被管理UNIX服务器上开放的端口，每次比较端口的变化，并提醒系统管理员变化，对变化的处理类似于完整性检查。l 端口登记：登记端口开放作用，需要集成商进行协助登记和解释。工单预警管理工单管理领信SOC解决方案建立了内嵌的工作流系统，该系统专门针对安全事件的处理，可以针对具体的安全响应流程进行定制。工单内容领信定义的工单包含以下内容：说明工单编号唯一标识工单的编号。编制规则为：发出日期（格式为：YYYYMMDD）发送当天的流水号，如20031117001工单类型工单种类紧急程度紧急或一般现象描述安全事件现象的简要描述原因分析对引起待处理的安全事件的原因的简要分析处理意见对如何处理该安全事件的建议处理结果工单的处理结果派单人发出工单的人责任人负责处理该事件的责任人最长受理时间责任人必须在规定的时间范围内受理该工单。如果超过时间没有受理，系统通过E-mail和手机短信向责任人催办，同时通知派单人。最长处理时间责任人必须在规定的时间范围内处理完该工单，并上报处理结果。如果超过时间没有处理完，系统通过E-mail和手机短信向责任人催办，同时通知派单人。处理过程中，派单人和责任人可以对现象描述、原因分析、处理意见、处理结果中增加内容，但不能修改以前人输入的内容。系统需记录增加的时间和增加人。在显示工单时，显示所有的修改记录。在处理工单时能方便地关联查询相关资产的漏洞列表、风险列表、历史事件。并能关联到安全知识中的相关内容，为事件处理人员提供帮助和指导信息。预设处理流程工单处理流程如下：在分派后，派单人可以收回工单，重新分派处理人员。工单创建人在确认处理结果时可以发回责任人重新处理，或重新指派责任人。在处理过程中，派单人可以随时取消工单。创建工单时能设定受理、处理工单的时限，在时限到达时通过E-mail或手机短信向责任人催办，并通知相关人员。工单状态改变时也能通过E-mail或手机短信通知相关人员。责任人在报告处理结果时，可以将详细的安全事件处理报告作为附件上传。与威胁管理模块、漏洞管理模块的集成安全事件监控管理中心在监控安全事件的过程中，根据一定的规则，将具有较高威胁性，需要进行响应处理的安全事件触发工单流程。漏洞管理模块通过漏洞扫描，发现了高风险的漏洞，系统也会触发工单流程。工单系统会通知安全管理人员，并由安全管理人员在进行进一步的分析后，有选择地发出安全事件处理工单，启动安全事件响应流程。预警管理领信目前预警是SOC功能的一部分，和资产、风险、威胁等功能紧密联系在一起。预警的主要功能包括： 预警信息显示：在SOC用户的工作区内逐条滚动，以醒目的方式（颜色、位置等）显示当前的预警信息。预警要求响应，预警信息在被点击后确认后则不再显示在用户工作区内。 查看预警的详细信息用户通过点击预警信息，查看其详细信息，包括：预警名称、预警类型、预警等级、保密级别、可信度、影响范围、流行性、受影响标准系统、影响资产、预警内容（因预警类型差异而不同）。 预警信息的类型包括：威胁预警、安全公告、脆弱性预警、病毒预警、软件预警、攻击预警、内容预警。预警类别可以用户自定义。 预警的级别：紧急（一级）、报警（二级）、预警（三级）、一般（四级）、 依据预备预警产生正式预警：在预警信息管理页面中，可以查看到所有系统根据规则生成的预备预警信息，其中一些是必要的预警信息，通过选定某个信息后选择发布，并补充填写一些具体内容后将其通过选定的方式发布。 手工生成正式预警信息：在人工发布向导的提示下，通过选择预警种类，填写预警的信息，包括预警的级别，可能影响的机器，通知的人员，通知的方式（登录显示、SNMP Traps、email、短信，其中登录显示为必选项），完成预警信息录入过程。 预警支持按地域发送 设定预备预警产生的规则：按照预警的类别分别设置它们产生的条件（脆弱性更新时有新的脆弱性发布并达到某个级别；某类威胁的发生密度或增长幅度已经达到某个阀值，流量监控发现流量异常），符合条件的生成预警。报表管理领信建立了一个以业界领先的基于web的报表中心，用户可以方便地根据自身需求定制和导入报表，提供按照客户需求定制报表的服务；领信SOC中缺省提供了如下的强大报表体系。 报表支持PDF、Excel、Html、Word等格式的报表导出； 报表支持Web打印功能； 报表支持定时发送功能，可以按照用户定的日程自动发送定制的报表到用户信箱。报表按级别可以分为： 决策层报表：适合高级领导，对整个系统的业务进行概括性的统计分析。 执行层报表：适合部门经理，可以按照业务系统、地域和人员的组合分析其管理范围内的各种安全风险状况和安全维护情况。 安全管理员报表：适合安全管理员，列出各种统计和相关细节。报表按种类可以分为：l 资产类：资产数量变化趋势报表资产数量TOP20分布报表资产详细信息报表l 漏洞类：漏洞级别数量变化趋势报表漏洞数量TOP10统计报表漏洞数量TOP20分布报表漏洞级别评估报表漏洞扫描任务结果比较报表漏洞业务系统地域比较报表地域漏洞数量变化统计报表配置脆弱性类：配置脆弱性类型数量变化趋势报表配置脆弱性数量统计报表配置脆弱性数量TOP20分布报表配置脆弱性级别评估报表l 风险类报表：风险值变化趋势报表风险级别变化趋势报表l 威胁类报表：威胁级别变化趋势报表威胁数量TOP10统计报表威胁数量TOP20分布报表威胁目的IP地址TOP10统计报表威胁源IP地址TOP10统计报表威胁目的端口TOP10统计报表威胁源端口TOP10统计报表威胁数量资产TOP10统计报表威胁级别评估报表l 事件类：事件数目变化趋势报表事件名称TOP10统计报表l 工单类报表：人员风险确认及响应报表人员风险及时确认率报表地域风险确认及响应报表地域风险及时确认率报表故障工单创建总数报表故障工单处理总数报表故障工单处理效率报表故障工单超时统计报表报表界面图一：报表界面图二：安全知识管理安全知识管理主要提供用户安全知识的维护和安全知识查看，与事件、漏洞等关联等。知识来源有如下3种： 厂商提供的在线升级，如领信； 用户录入； 工单处里转知识库；知识库查询界面如下：系统管理系统管理主要是对SOC系统本身进行维护的配置的模块，主要功能包括： 角色权限管理：领信安全管理中心支持强大的基于资产和系统功能对象的角色定义，支持组机制，方便地实现授权和权限划分； 组件状态管理：SOC支持完全分布式管理，组件状态管理能够实时现实分布各个组件当前运行状况、数据库当前状态。 系统和数据库维护：可以实现数据库状态查看、数据库维护、安全信息库的本地和远程升级的功能； 响应规则管理：制定根据各类安全风险、安全事件和安全漏洞采用的自动响应，可以采取自动响应类型包括：发送SNMP Traps、发送E-mail、发送短信、创建预备工单、创建预备预警、调用外部程序、防火墙互动等； SOC日志管理：SOC自身日志的查询、日志规则定义和日志维护； 扫描器注册和管理：领信SOC内置了扫描器，这些扫描器是分布式配置的，通过注册和管理可以定义和连接扫描器、查看扫描器的状态或者发起一次扫描； Agent管理：管理各种收集配置的agent； 任务调度中心：发起和调度各种即时的、定期的任务； Syslog服务器管理：系统内置了syslog服务器，在此处可以方便地配置syslog服务器，并查看syslog服务器的状态2.2.3. 安全事件管理安全事件管理主要完成对事件的集中收集、管理和分析。主要的功能包括事件收集、事件集中处理和实时关联分析。事件收集体系安全事件数据采集采用完全可定制的agent，提供了agent编制的标准接口，所有agent都提供源码。 Agent能收集各种常见的安全设备或其它IT信息设备产生的各种与信息安全有关的日志、事件告警等信息；在收集到数据后，系统会对事件进行格式化，格式化后的事件的基本内容见其他文档。能够支持以下事件源： 在企业中广泛使用的不同型号，不同厂家的防火墙、入侵检测系统等安全设备； 操作系统记录的重要安全相关的日志和事件告警，支持Windows 2000/NT，各种版本的UNIX系统； 各种类型的数据库日志，例如ORACLE，MS SQL SERVER； 防病毒系统、访问控制系统、用户集中管理和认证系统； 基于SNMP trap和syslog事件； 能够通过多种方式收集事件源发送的安全事件： 文件方式，可以通过读取事件源的日志文件，来获取其中与安全有关的信息； SNMP trap，接收来自设备的SNMP Trap的事件； Syslog方式，以Syslog方式接收安全事件； ODBC可以通过ODBC数据库接口获取事件源存放在各种数据库中的安全相关信息； 网络SOCKET接口 可以通过TCP/IP网络，以Socket通信的方式获得安全事件； OPSEC接口 可以接收来自本类型的安全事件服务器发送来的事件； 第三方agent或者应用程序，第三方的应用程序或者agent可以通过以上方式或者标准输出直接将安全事件转发给安全事件采集系统。事件处理和关联分析事件处理和关联分析主要负责对事件进行标准化、集中存储、合并、关联分析和统计。对于事件的过滤、归并、关联分析， SOC提供了丰富的脚本定义语言，能定义任何符合用户需求的规则。事件过滤事件管理提供了所有对事件过滤的功能，事件过滤可以都是采用界面化定义的方式，过滤后的事件有丢弃、存储、事件信息调整等处理方式。系统内置了对相关度低的事件过滤功能，用户可以选择是否使用。事件归并分析 事件归并内置规则如下： 根据事件名称进行归并分析； 根据事件的类型进行归并分析； 根据源进程进行归并分析； 根据目标进程进行归并分析； 根据攻击源进行归并分析； 根据攻击目标地址进行归并分析； 根据事件的原始时间进行归并； 根据事件的进入SOC事件进行归并； 根据受攻击的设备类型进行归并分析； 根据受攻击的系统类型及版本信息进行归并分析； 根据特定时间要求和用户策略进行横向事后关联分析。以上归并条件可以多个一起使用，用户也可以按照自己的意图自定义各类归并规则。事件关联分析可以根据脚本编写复杂的关联分析功能满足用户的各种关联分析需要。对于常见的事件关联规则，领信定义了丰富的内置关联分析规则库，其中部分内置的规则如下图：所有的规则定义采用界面化的脚本定义，方便了用户使用；所有的关联分析规则都可以进行定量定义和分析；其他功能事件管理提供各类模板库自动升级功能，定期自动下发到相应的SOC系统。对于常见的监控内容，领信有雄厚的技术支持团队，给予用户定义各类分析规则模板库；基于事件的响应事件管理内置响应中心，用户可以定义各种响应条件，支持对满足用户条件的事件触发相应的响应，目前支持的相应方式有：SNMP Trap、Syslog、短信、Email、图形化显示、工单、预警等。可以根据用户选择开发相应的其他响应接口。2.3. 产品特点及与同类产品的比较 （产品性能、优势）2.3.1. 安氏的领先地位 专门大型研发机构：南京安全管理开发中心，60多人专业研发队伍。 首次引进国内并成功实施业内第一个案例江苏移动SOC。超前领导业界的SOC安全理念及规范，已成业内标准典范。 完全自主开发：便于帮助用户进行定制，高度适合中国企业实际情况，能快速响应用户 实用性强：经过近二十个成功案例验证 集成度高：多个功能由统一的界面完成 结构完整、规划完整，功能覆盖最全 自动化程度高，模块之间关联能力强大，与安全服务完美结合 专业安全厂商，多年积累的安全服务经验、安全理念、风险算法，形成独有专业化特色，SOC与安全服务紧密结合。 强大的开放性 垃圾邮件系统结合 异常流量系统结合（NTG，ARBO等） GUARD系统结合 企业工单系统结合 企业资产库结合 预警系统结合 网管系统的结合 与其他有安全管理需求的系统结合 其他厂商一直采取跟随策略，目前相当于安氏SOC2.0 的水平 安氏SOC3.0 首次在安全领域提出关键 KPI 指标的概念 以高质量的规范化服务于客户为最终目标 2.3.2. 技术优势安氏领信提供了业界领先的安全管理中心（SOC）解决方案，安全管理平台的技术优势： 实现所有的模块都基于统一的B/S结构，使整个系统具备一个完整的、统一、一致的中文管理界面。 支持AIX、Solaris、HP UNIX、Linux等多种平台，软件系统采取分布式结构，可以根据用户的需要自由扩展处理能力。数据库采用大型商业数据库oracle，确保了数据的处理能力和数据处理的可靠性和稳定性。 安氏SOC理念是建立统一安全门户，他的主要特点包括三个：对所有建立统一安全门户对所有安全管理系统进行集成、IT产品的安全相关信息进行管理、对所有安全产品进行全面安全管理。因此安氏SOC提供统一portal功能、实现安全信息收集和分析、对安全产品运行状态和配置情况进行管理。 以资产的风险控制为核心进行安全管理，将所有安全信息按照ISO13335风险管理理念将包括安全威胁、资产信息、脆弱性信息、安全措施等各种信息基于资产关联和展现出来，可定量的对资产的风险进行计算，能够把用户关心部门或者业务系统的安全风险状况直观地按照地域或者业务系统展示出来。 安氏SOC能够实现强大的分析功能，这些分析功能包括：标准化、过滤、归并、基于关联语言的关联分析、基于审计分析知识库的审计分析、基于安全知识库的关联分析、基于资产关联分析、定损关联分析，其中定损关联指对比分析针对资产攻击和资产本身漏洞之间的关系，明确攻击行为对信息资产或者业务系统的危害性，从而确定攻击行为能否成功。 支持丰富采集设备，由于国内各运营商特别是移动大规模部署，对国内产品支持非常好，包括各种主流安全设备做到即插即用：安氏ids和漏洞扫描系统、华为网络设备和安全设备、绿盟ids和扫描器、启明星辰ids和扫描器。 实现全面的脆弱性管理，包括配置脆弱性、系统漏洞两个方面，能够自动、定期，有层次地，分布地收集信息资产的脆弱性情况，支持脆弱性生命周期管理，形成动态、持续的安全问题发现、安全风险评估系统。安氏系统内置扫描器方便用户获得统一解决方案，也支持第三方扫描器，方便用户保护现有投资并有更多选择机会。 安全审计模块，对收集的信息，按照萨班斯的要求自动进行审计分析 安氏SOC从用户的安全管理需求出发，支持完整的KPI关键指标管理，内置了40多个安全KPI，使用户能够对安全的各个方面进行准确的了解和评价，例如终端防毒安装率、关键补丁更新率等。 安氏SOC功能非常完整，包含客户要求各个模块功能，不存在完全依靠大规模开发来满足的情况，仅仅需要定制和修改就可以满足用户的个性化需求。 强大、可更新的安全知识库：安氏的安全管理平台提供了业界最丰富的安全知识库，知识库中既包含了标准的安全知识、漏洞信息，还包含了安氏多年来通过各多个运营商服务积累的大量的安全经验积累，安全故障处理案例等。安氏的安全知识库支持自动关联，可以自动关联到安全事件、安全漏洞、安全风险，资产信息。用户可以选中一条安全告警，就可以定为到特定的资产，了解安全事件产生的原因，同时获得安全解决方案建议。 企业级分布能力：支持多级SOC，是业界唯一有建设多级SOC案例的厂商3. 国网建设建议3.1. 总体思路3.1.1. 信息安全目标概述信息安全（Information security）安全的主要目标是保护信息和信息资产的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持。 保密性定义为保障信息仅仅为那些被授权使用的人获取。 完整性定义为保护信息及其处理方法的准确性和完整性。 可用性定义为保障授权使用人在需要时可以获取信息和使用相关的资产。如何保证信息资产的保密性、完整性和可用性呢？必须用风险管理的手段来实现，风险管理是企业安全管理的核心，正确的风险管理方法是不断评估和监控企业信息资产中存在的风险，并以目前的风险为适当的保护轮廓和安全规范的基础，可以帮助实现更为精确的安全方案、在安全方案花费和安全提升带来的资产获益之间取得平衡。目前业内在进行信息安全风险的控制过程中，都以ISO13335国际标准的模型为参考：可以看出，风险控制是一个动态的模型，我们在风险控制的过程中最主要需要考量的因素是：资产及其价值、威胁、漏洞和防护措施。通过他们，我们计算出需要关注的风险值：资产及资产价值：资产是只对某个组织有价值的东西，信息资产分别具有不同的安全属性，机密性、完整性和可用性分别反映了资产在三个不同方面的特性。安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察三种不同安全属性，可以得出一个能够基本反映资产价值的数值。威胁：威胁是对系统和企业网的资产引起不期望事件而造成的损害的潜在可能性。威胁可能源于对企业信息直接或间接的攻击，例如非授权的泄露、篡改、删除等，在机密性、完整性或可用性等方面造成损害。威胁也可能源于偶发的、或蓄意的事件。一般来说，威胁总是要利用企业网络中的系统、应用或服务的弱点（弱点的定义参见弱点一章）才可能成功地对资产造成伤害。漏洞：弱点和资产紧密相连，它可能被威胁利用、引起资产损失或伤害。值得注意的是，弱点本身不会造成损失，它只是一种条件或环境、可能导致被威胁利用而造成资产损失。防护措施：防护措施可以是安全产品部署、策略执行、人工加固等，防护措施通过改变资产价值、威胁、漏洞来改变风险。所有的安全产品和安全技术都是通过改变风险的某一属性从而达到降低风险的目标，最终保护了我们宝贵的信息资产。3.1.2. 宏观安全模型信息安全体系包括安全策略体系、安全组织体系、安全技术体系、安全运作体系。其中，安全策略体系