SOC安全管理平台系统平台方案建议

密级：秘密。

文档编号：项目代号：

中国电信网络安全管理平台工程。

五网络安全管理中心系统平台建设方案建议。

安氏互联网安全系统（中国）****。

information security one (china) ltd.

2023年8月。

随着电信的网络规模庞大、系统复杂，其中的各种网络设备、服务器、工作站、业务系统、支撑系统都存在着超常的复杂性、多样性。随着安全越来越受到重视，安全子系统也逐步发展到复杂和多样的系统，这些安全子系统通常首先在各个业务系统中独立建立，然后随着安全管理的规模和成本的不断上升逐步发展到产生了整个企业建立一致的安全管理体系的需求，安氏的安全运行中心解决方案（security operation center简称soc）正是满足这种需求，为企业安全整合提供解决方案，通过最佳的安全技术和最佳的安全实践帮助用户从分散的安全实现集中的、可管理的安全。安氏的soc解决方案帮助用户解决以下的问题：

分散的管理增加管理成本和管理难度。

作为一个新兴的、覆盖范围极大技术领域，信息安全可以划分为众多的细分领域，例如防火墙、入侵检测、漏洞扫描、认证和授权、加密、防病毒、vpn、pki、内容过滤等等，每个领域内均有最好的厂商和解决方案**商，企业往往根据自身的需求，选择其中最优秀的产品，这就造成了这样一种现象：安全产品和厂商基本均为基于“点”的解决方案，即基于某一安全细分领域的解决方案，这些解决方案都需要单独购买、实施和管理。这种情况下，随着使用产品种类和数量的增加需要不断增加管理和维护人员，管理成本往往呈指数级的增加，但是管理效率却仍然存在瓶颈，特别是多种数据不能相互沟通和关联更加剧了这一现象，这些问题导致对集中化管理的要求；

安全信息和知识的共享水平较差。

以往的观念往往认为，“安全是安全管理人员的事情”，目前，这种情况正在极大地改善，越来越多的企业通过安全策略明确地定义不同人员在安全组织中所处的位置和应该担负的责任，与之不能相称的是，目前的安全产品仍然往往仅仅提供安全管理员的角色和视图，不能让普通系统管理员参与到安全管理和安全信息的共享中来，必须建立一种让所有的it人员能够使用和监控与他们相关的安全信息的系统，让整个安全组织，而不仅仅是安全管理员为网络的安全负责。

海量事件。

某企业在一次病毒爆发的过程中在一天内产生了二千万的入侵检测告警，在这样的告警量水平情况下，管理员往往疲于应付，并且容易忽略一些重要但是数量较小的告警，尽管海量事件分析的需要的技能并不很高超，但如果仅仅依靠安全管理员人工分析，需要占用大量人员，而且容易出错。必须将规则化的分析让机器来实现，管理员和安全专家可以专注于更为复杂的分析。海量事件是现代企业安全管理和审计面临的主要挑战之一。

缺乏智能。

告警的信息是一台服务器受到某种windows rpc病毒的攻击，而事实上该服务器是unix服务器；传统的网络ids事件告警无法分析当服务器受到攻击时攻击是否成功；无法通过发现攻击者的一系列组合攻击从而提高告警级别…….

以上的种种问题提示我们，孤立的事件无法为我们揭示问题的本质，必须有更加智能的分析方法，它可以分析多个事件的之间的联系，可以将不同的数据**关联起来，可以将各种数据和知识关联起来；总而言之，企业需要智能化的处理方式，需要极大地提高效率，需要防止误报。

必须改变以事件为中心的视角。

现有的安全产品往往以安全事件为视角，用户第一眼看到的是各种各样的事件，但实际情况是，用户关注的核心不是事件本身，而是他们的资产是否受到了保护，需要保护的关键资产是否受到了威胁。因此必须改变以事件为中心的视角，以用户关心的核心资产为中心，提供面向资产的、基于安全健康指标的告警服务。

安全知识的不足。

各种各样的产品提供了大量的安全机制，但是无论是关联、分析还是响应，都必须建立在知识的基础上。这些知识有些是通用的，可以来自**商，有些是与客户实际环境密切相关的，必须来自实际生产环境，必须保证这些知识的不断积累，才能真正实现智能化。

安全响应能力不足。

对安全响应的要求包括：

发现问题后必须能快速找到解决方法并最快速度进行响应，响应的过程中要求明确响应的责任人、响应办反并反馈响应结果，对安全事件响应的整个过程必须有记录和考核；

建立一支有经验的响应队伍，这个队伍包括内部人员和外部专家支持；

支持自动化的响应和通知手段。

对这些问题的深刻认识，都促使我们认识到，必须进一步发展安全体系，在现有产品体系的基础上架构集中的管理解决方案，因此安氏在国内首先提出了安全运行中心（security operation center）解决方案，提供一个整体性、智能性的安全管理解决方案。

安氏安全运行中心（soc）解决方案提供的整体解决方案是建立在现有的安全环境的基础上，能够实现以资产为核心的全面安全管理的管理系统，他实现了以下的特性：

以资产为核心的全面安全管理。

安氏整体安全管理架构是以资产为核心的。bs7799将所有与信息相关能够体现价值的资产都称为信息资产，安氏通过多年的服务实践发现，这种定义难以在实践中进行方便的操作，考虑到我们主要是管理基于网络和主机的资产，因此，安氏在兼容bs7799标准的基础上，对资产进行了简化，将资产定义为可管理的带ip的设备资产和其上的附属软件和数据。如某台服务器是可管理资产，则这个资产包含了硬件、操作系统、应用软件和数据库、数据库中的数据。

安氏安全运行中心的所有信息都以资产为中心，例如漏洞和威胁都会被归结到资产，并在资产的层面进行关联和分析。用户登陆后也主要关注他们管理范围内的资产状况。这和以往的以事件为中心的安全管理有本质性的区别。

面向部门和用户的安全管理。

安氏安全运行中心针对中国企业的管理结构特点，允许用户在系统内部设立企业结构逻辑视图，允许通过定义角色来分配权限。可以快速地为每个资产定位其负责人以及相关部门、领导、管理员、备份管理员等信息。

安氏安全运行中心是供所有的安全管理员、系统管理员、网络管理员使用的系统，通过角色定义，每个用户可以登陆到系统，看到自己管理的资产和系统的健康状况和告警。通过对角色的操作权限以及管辖资产范围的定义，可以精确地对权限进行限制，保障最小授权原则。

强大完善的资产管理。

支持基于ldap的资产管理，可以和不同系统的资产数据库进行同步。支持资产价值（可用性需求、完整性需求、保密性需求）的评估。完整记录资产及其上的应用，均支持自动发现和手动调整。

以资产为核心的漏洞管理。

以资产为核心，驱动漏洞的定期扫描、评估。用户可以在soc界面中针对资产定制定期扫描或者发起一次单独的扫描，通过soc界面驱动扫描系统，扫描的结果会返回到soc系统中，所有信息经过标准化后存放在统一的数据库中，漏洞信息和资产信息可以方便地供关联使用，扫描结果还可以自动触发安全响应流程，保证一发现漏洞就进行解决。通过以资产为核心的漏洞管理，系统可以提供比传统的漏洞扫描器更加详尽的信息、更快的响应以及更强的信息交互和关联，并且可以实现统一的控制管理。

以资产为核心的威胁管理。

威胁管理主要通过事件管理体现出来，与以往以事件管理为核心的系统相比较，安氏soc中心将收集到的所有事件信息都归结到资产，很好地实现了基于资产视角的视图，用户可以方便地根据资产的价值和关键性来进行事件的分级。

安氏soc中心大量支持已有安全产品的事件收集，做到即插即用，对于不支持的产品，提供可视化的变成编写数据的收集和标准化agent，保证快速的扩展。所有事件收集机制都是详细可定制的。

强大的智能处理。

智能化处理是安氏安全运行中心解决海量事件、事件分散化、误报的的重要机制，安氏的智能处理方式主要包括：

底层智能处理：通过数据过滤、标准化、数据合并、实时数据关联来实现底层的智能事件处理，特别是实时数据关联实现了基于规则的关联，发现实时数据之间的潜在联系，可以改变和调整级别。

SOC安全管理平台系统平台方案建议

食品安全管理平台方案

电子档案管理系统平台

电子档案管理系统平台

其他用户还读了