信息安全管理中心設計研究

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了信息安全管理中心設計研究范文，希望能給你帶來靈感和參考，敬請閱讀。

1系統架構

該系統包括安全事件管理模塊、安全業務模塊、控制中心、安全策略庫、日志數據庫、網間協作模塊。

1.1安全事件管理模塊

1.1.1安全事件收集子模塊

能夠通過多種方式收集各類信息安全設備發送的安全事件信息，收集方式包含幾種：(1)基于SNMPTrap和Syslog方式收集事件；(2)通過0DBC數據庫接口獲取設備在各種數據庫中的安全相關信息；(3)通過OPSec接口接收事件。在收集安全事件后，還需要安全事件預處理模塊的處理后，才能送到安全事件分析子模塊進行分析。

1.1.2安全事件預處理模塊

通過幾個步驟進行安全事件的預處理：（1）標準化：將外部設備的日志統一格式；（2）過濾：在標準化步驟后，自定義具有特別屬性(包括事件名稱、內容、產生事件設備IP/MAC等)的不關心的安全事件進行丟棄或特別關注的安全事件進行特別標記；（3）歸并：針對大量相同屬性事件進行合并整理。

1.1.3安全事件分析子模塊

關聯分析：通過內置的安全規則庫，將原本孤立的實時事件進行縱向時間軸與歷史事件比對和橫向屬性軸與其他安全事件比對，識別威脅事件。事件分析子模塊是SOC系統中最復雜的部分，涉及各種分析技術，包括相關性分析、結構化分析、入侵路徑分析、行為分析。事件告警：通過上述過程產生的告警信息通過XML格式進行安全信息標準化、規范化，告警信息集中存儲于日志數據庫，能夠滿足容納長時間信息存儲的需求。

1.2安全策略庫及日志庫

安全策略庫主要功能是傳遞各類安全管理信息，同時將處理過的安全事件方法和方案收集起來，形成安全共享知識庫，為培養高素質網絡安全技術人員提供培訓資源。信息內容包括安全管理信息、風險評估信息、網絡安全預警信息、網絡安全策略以及安全案例庫等安全信息。安全日志庫主要功能是存儲事件管理模塊中收集的安全日志，可采用主流的關系性數據庫實現，例如Oracle、DB2、SQLServer等。

1.3安全業務模塊

安全業務模塊包括拓撲管理子模塊和安全風險評估子模塊。拓撲管理子模塊具備的功能：(1)通過網絡嗅探自動發現加入網絡中的設備及其連接，獲取最初的資產信息；(2)對網絡拓撲進行監控，監控節點運行狀態；(3)識別新加入和退出節點；(4)改變網絡拓撲結構，其過程與現有同類SOC產品類似，在此不再贅述。目前按照國標（GB/T20984-2007信息安全風險評估規范），將信息系統安全風險分為五個等級，從低到高分別為微風險、一般風險、中等風險、高風險和極高風險。系統將通過接收安全事件管理模塊的分析結果，完成資產的信息安全風險計算工作，進行定損分析，并自動觸發任務單和響應來降低資產風險，達到管理和控制風險的效果。

1.4控制中心模塊

該模塊負責管理全網的安全策略，進行配置管理，對全網資產進行統一配置和策略統一下發，改變當前需要對每個設備分別下方策略所帶來的管理負擔，并不斷進行優化調整?？刂浦行奶峁┤W安全威脅和事故的集中處理服務，事件的響應可通過各系統的聯動、向第三方提供事件信息傳遞接口、輸出任務工單等方式實現。該模塊對于確認的安全事件可以通過自動響應機制，一方面給出多種告警方式（如控制臺顯示、郵件、短信等），另一方面通過安全聯動機制阻止攻擊（如路由器遠程控制、交換機遠程控制等）。各系統之間聯動通過集合防火墻、入侵監測、防病毒系統、掃描器的綜合信息，通過自動調整安全管理中心內各安全產品的安全策略，以減弱或者消除安全事件的影響。

1.5網間協作模塊

該模塊的主要功能是根據結合自身的工作任務，判定是否需要其它SOC的協同。若需要進行協同，則與其它SOC之間進行通信，傳輸相關數據，請求它們協助自己完成安全威脅確認等任務。

2結束語

本文提出了一種協同式安全管理中心的實現方法。充分利用了各SOC的協同處理能力，在某個SOC發現疑似信息安全威脅但又不能準確判定時，結合其它SOC的處理能力和已掌握的疑似信息安全威脅，進行更加全面的判定，提高了發現威脅的準確率，同時在信息安全威脅轉變為信息安全風險并造成更大危害之前能夠更早地發現威脅，為后續安全事故的響應處理贏得更多時間。

作者：王偉 謝學富 杜志良 單位：廣東電子工業研究院 中國科學院云計算產業技術創新與育成中心