安全运营中心发展现状与应用探讨.doc

《安全运营中心发展现状与应用探讨.doc》由会员分享，可在线阅读，更多相关《安全运营中心发展现状与应用探讨.doc（10页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、安全运营中心（安全运营中心（SOC）发展现状与应用探讨）发展现状与应用探讨随着电信企业信息化建设步伐的加快，如何有效化解安全风险，有效应对各种突发性安全事件已成为不容忽视的问题。与普通企业相比，电信运营商的信息安全系统不仅部署地域分散，规模庞大，而且与业务系统耦合性较高；如何将现有安全系统纳入统一的管理平台，实现安全形势全局分析和动态监控已成为各级信息系统维护部门面临的主要问题。SOC(SecurityOperationCenter)安全运营中心应运而生，是目前流行的电信级安全解决方案。SOC 的出现对应数据的集中管理趋势，通过集中收集、过滤、关联分析安全事件，提供安全趋势报告，及时作出反应，

2、实现对风险的有效控制。目前主要安全厂商陆续推出了 SOC 解决方案，中国移动、中国电信也相继拿出若干省市开展 SOC 建设试点工作。由于国内没有成熟的运维经验，SOC 发展过程遇到一些问题，导致人们对 SOC 产生不少认识误区，直接影响了 SOC 的大规模推广。本文全面分析了 SOC 的定位、主要功能、技术难点以及发展趋势，并探讨了 SOC 存在的主要问题，希望帮助人们全面理解 SOC，更好地推动这一新生事务的发展。1. SOC 概述概述信息系统发展的一个显著特点是：资源平台化、数据集中化。信息安全保障系统作为信息系统的重要组成部分，其发展也必须符合信息系统发展趋势。安全运行中心是描述“对安全

3、事件(SecurityIncident)提供检测和响应服务的所有平台”通用术语。SOC 的核心是检测和响应功能，通俗一点讲，就是基于获取的海量安全事件，分析整个系统的安全状态和安全趋势，对危害严重的安全事件及时做出反应。1.1.SOC 的安全子系统组成的安全子系统组成依据信息系统生命周期理论，与信息的产生、传输、存储、分析、处理五个环节相对应，SOC 系统包括下列功能模块：事件发生器（E）模块事件发生器负责生成安全事件，可分为基于数据的事件发生器和基于状态的事件发生器。前者指传感器，如网络入侵检测系统、主机检测系统、防火墙等，主要产生由操作系统、应用、网络操作引发的事件；后者指轮询器（Poll

4、er） ，产生响应外部激励（如Ping、SNMP 命令）的事件，外部激励主要用来检查服务状态、数据完整性。这类事件的典型例子是网管系统中轮询工作站向管理工作站发送的告警信息。收集模块（C）收集模块负责从不同传感器收集信息并转换为标准格式，从而形成统一信息方便后续处理。存储模块（D）和其他模块相比，存储模块标准化程度很高，可以简单理解为数据库，惟一特殊的是需要进行相关性处理，识别来自同一源或不同源的重复事件。分析模块（A+K）该模块负责分析存储在数据库中的事件，为响应模块提供响应的充分依据（告警信息）。分析过程又离不开知识库（K 模块）的支持，知识库存储入侵路径、系统安全模型、安全策略等知识。分

5、析模块是 SOC 系统最复杂的部分，包括相关性分析、结构化分析、入侵路径分析、行为分析。响应模块（R）响应模块功能负责对安全事件做出及时有效响应，涵盖反击正在发生安全事件的所有响应（Reaction）和报告工具。由于牵扯到人的因素，响应行为具有相当的主观性，很多时候需要根据长期积累的基于经验的最佳实践或建议。但其重要性不能低估。响应模块不仅需要对外提供自动化的控制台接口、事件快速响应接口、实时监控接口、统计分析接口；还需向用户提供永久性风险评估报告、中长期安全行为报告、系统状态报告。1.2.SOC vs NOC目前电信运营商都已建立网管中心（NOC） 。根据 ITU 提出的 FCAPS 模型，

6、网管系统的主要功能是故障管理(Fault)、配置管理(Configuration)、计费管理(Accounting)、性能管理(Performance)、安全管理(Security)。表面上 NOC 有安全管理功能，似乎 SOC 与 NOC 功能重叠；实际上由于二者定位不同，功能、作用差别很大。概括起来，网管中心与安全运营中心主要区别如下：NOC 的安全管理功能侧重访问控制，强调控制对计算机网络中信息的访问，保护系统、服务、数据免受非法入侵、破坏；SOC 注重对安全攻击的检测和响应。NOC 的安全功能着眼于“事前预防” ，即先采取措施预防非法攻击；而 SOC 的安全功能属于“事后处理” ，换句

7、话说，出现安全事件怎样阻断攻击，怎么反击。网管中心强调对网络的全面管理，在五大功能中安全管理只占很少一部分；而 SOC完全面向安全管理，安全功能更专业、全面。SOC 在收集安全事件时，有时采用轮询方式，利用某些网管系统的监控功能。长期以来，人们在 NOC 的建设、管理、维护方面积累了丰富的经验，SOC 的建设和运行可以合理借鉴这些经验。例如，在组织架构和管理模式方面 SOC 可以参照 NOC 的做法；但在工作流程设计上 SOC 最好采用与 NOC 平行的模式。出于简化管理考虑，国外也有将 SOC 和 NOC 放在一起的成功案例。2. SOC 涉及的关键技术涉及的关键技术在安全事件的一体化处理流

8、程中，SOC 采用一系列新技术，在有效提高应用系统安全性的同时，尽量减轻安全事件相关操作对业务系统性能的影响。SOC 建设中涉及的关键技术有负载均衡技术、模式分析技术、结构化分析技术、快速响应技术。2.1.负载均衡负载均衡在 SOC 的设计和建设过程，必须优先考虑性能因素。虽然原始信息越多、越详细，越有助于 SOC 分析和检测正在发生的攻击企图，但采集、处理过多的信息对 SOC 处理能力提出挑战，严重影响性能。一方面，每个传感器每秒钟可能产生成百上千条消息，全部类型各异的传感器实时上报消息对 SOC 收集模块的处理能力提出很高要求。另一方面，收集模块也轮询获取系统状态，过于频繁的轮询会占用被管

9、理系统宝贵的 CPU 资源，直接影响其业务的运行。与保证服务器端服务类似，提高 SOC 的伸缩性、可用性可以采用：负载均衡技术，如高可用性（HA） 、集群（Cluster） 、双机热备。源过滤技术，传感器预先过滤掉不重要的信息，减轻 SOC 的处理压力。2.2.模式分析（相关性）模式分析（相关性）安全事件分析处理的好坏直接关系着 SOC 系统的后续处理，分析模块综合分析来自不同设备、数量庞大的事件序列，通过模式匹配找出安全事件之间的内在联系（相关性） ，最终产生高度合成的准确分析结果。模式分析的基本内容包括：1)识别重复信息，对于收到的多条重复信息进行筛选或过滤，以减轻存储负担。2)序列模式匹

10、配，判别一系列消息是否由同一入侵企图触发。3)事件模式匹配，通过基于时间的上下文分析，识别缓慢分布式入侵过程。4)安全策略匹配，基于行为匹配识别符合安全策略规则的某些事件，如管理员登陆、认证。5)系统威胁分析，判断目标系统是否受已检测到攻击企图的威胁，并分析此类攻击对系统安全的整体影响。2.3.脆弱性分析脆弱性分析脆弱性（Vulnerability）是指系统存在的安全漏洞或不安全的行为，这些信息可能损害整体安全级别，也可能被“黑客”加以利用发动入侵攻击。作为知识库的一个组件，弱点数据库存储三类脆弱性：结构化脆弱性这种脆弱性通常指软件的内部缺陷，例如缓冲区溢出 Bug、字符串格式化缺陷等。功能化

11、脆弱性通常指与配置、操作行为、用户等运行环境有关的弱点，这种脆弱性的一个显著特点是只要一个所需条件不具备，它就在系统中以“非激活”状态存在。显然定义、格式化、整理这类脆弱性，需要操作系统、网络、应用各方面专家的参与。拓扑相关脆弱性这类脆弱性主要基于网络（如监听、IP 欺骗） ，还包含可能的入侵路径的脆弱性。拓扑相关脆弱性导入弱点数据库一般需要拓扑建模的支持。2.4.4.快速响应快速响应快速响应是 SOC 根本目标，所有模块均服务于该功能。紧急响应的内容根据环境不同而有所差异，从监控事件的进一步发展到攻击的追踪。当大规模攻击爆发时，及时隔离攻击源是防止攻击影响扩大化的有效措施。当 SOC 检测到

12、 WWW 服务器被入侵、页面遭到非法篡改，快速响应则意味着尽快恢复服务器的正常运行，把事件的负面影响降到最小。在攻击发生之前，必须确定响应流程；该流程需要经过提前演练并备案。为了保证快速、有效的响应，应急响应流程至少应包括特定级别的事件升级制度（Escalation） 。在事件升级制度中，根据攻击的严重程度，采取不同的响应流程，由不同级别人员处理。以三级处理模式为例，现场值守人员处理已知类型攻击，第二级安全专业小组处理不明类型攻击，第三级实验室研究小组（如 CERT）对复杂攻击进行重放、原理分析并找出适当的解决办法。3. SOC 的发展趋势的发展趋势3.1.1.认识误区认识误区由于 SOC 出

13、现时间不长，无论是用户还是安全厂商都缺乏足够的建设、维护经验，目前对 SOC 存在下列认识误区：1)对 SOC 的作用认识不足，片面夸大或贬低 SOC。计算机网络技术的迅猛发展给电信运营商带来了沉重的安全压力，SOC 的诞生为信息安全问题解决提供一缕曙光，于是人们认为 SOC 可以解决一切安全问题。另一方面，目前已经运行的 SOC 由于缺乏必要的支撑，管理体制没有理顺；效果不尽如人意，对 SOC 的怀疑声又不断。对 SOC 作用的片面认识很大程度上由于安全厂商宣传误导，导致人们对SOC 期望过高；因为 SOC 是一种蓬勃发展的新生事物，出现问题也在所难免，需要在发展中不断完善。2)将 SOC

14、仅仅理解为软件系统，忽略其平台特性。与以往单一的安全系统相比，SOC 最大的优势是为统一安全管理提供了完整平台，提高了对于安全威胁的精确检测能力和一体化响应能力。要使 SOC 真正发挥作用，后期的维护、二次开发工作必不可少，其重要性甚至不亚于前期建设工作。后期维护工作一方面是整合资源，将所有安全子系统尽可能纳入 SOC 管理范围；另一方面要加强子系统建设，根据业务需要开发相应接口。3)技术层面考虑多，管理层面考虑少。根据信息风险管理最佳实践BS7799/ISO7799，信息安全工作是“七分技术，三分管理” 。SOC 也不例外，它的建设不仅仅是技术问题，与管理制度也密切相关。SOC 一般适用于信

15、息系统规模庞大、应用复杂的情况，在这种环境下，管理工作显得尤其重要。如果无法与现有安全管理制度、流程有机衔接，SOC 建设很可能流于形式，无法发挥预期效果。电信运营商在建设安全运营中心的同时，必须理顺安全管理体系，制定详细、可操作的规章流程，抓好组织体系、人员培训等方面建设。3.2.急需解决的问题急需解决的问题不可否认，新兴的 SOC 技术有待完善。总结起来，SOC 的发展需要重点解决以下问题：1)标准化问题标准是制约 SOC 发展的最大障碍，虽然主要安全厂商都推出了 SOC 解决方案，但大都采用私有技术、基于特定操作系统（平台）或特定型号安全产品（防火墙、入侵检测系统、路由器） ，SOC 之

16、间无法互通。SOC 标准化涉及采集数据的格式、传输协议、安全知识库信息存储、输出告警的格式（响应）等。目前一些国际组织已开始这方面标准的制定工作，例如 IETF 入侵检测工作组开始制定消息格式与传输协议标准。2)自动化响应目前对于发现的入侵企图，通常做法是人工干预、手工清除；这样虽然能够保证效果，但效率无法保证，尤其是面临拒绝服务攻击（DOS/DDOS） 。对入侵或攻击行为进行自动化响应引起人们浓厚兴趣，一些企业也在开发一些自动工具；例如某些入侵检测系统检测到攻击后自动阻塞来自攻击源的所有数据，有些工具将黑客攻击重定向到一个可观测的受控环境，记录攻击行为，甚至尝试反击。鉴于安全问题的复杂性，一

17、般情况下慎用自动工具，这类工具更适宜处理大量并发攻击，同时应加强使用审计。3)与业务系统的无缝集成SOC 需要提供外部接口，更好地与特定行业用户现有业务系统衔接起来。对于电信业而言，目前广泛使用了工单（EMOS） 、业务运营支撑系统（BOSS） 、资源管理系统等。只有与用户业务/支撑系统有机结合在一起，才能充分发挥 SOC 作为中央监控中心的价值所在，帮助企业构建可控、一体化安全管理体系，保障业务持续、稳定发展。4. 如何建设一个安全监控中心（如何建设一个安全监控中心（SOC）？）？虽然信息安全管理问题主要是个从上而下的问题，不能指望通过某一种工具来解决，但良好的安全技术基础架构能有效的推动和

18、保障信息安全管理。随着国内行业 IT 应用度和信息安全管理水平的不断提高，企业对于安全管理的配套设施如安全监控中心（SOC）的要求也将有大幅度需求，这将会是一个较明显的发展趋势。推行 SOC 的另外一个明显的好处是考虑到在国内企业目前的信息化程度下直接实施信息管理变革的困难性，如果尝试先从技术角度入手建立 SOC 相对来说阻力更小，然后通过 SOC 再推动相应的管理流程制定和实施，这也未尝不是值得推荐的并且符合国情的建设方式，而且目前已经有些 IT 应用成熟度较高的大型企业开始进行这方面工作的试点和探索了，因为这些组织已经认识到仅依赖于某些安全产品，不可能有效地保护自己的整体网络安全，信息安全

19、作为一个整体，需要把安全过程中的有关各方如各层次的安全产品、分支机构、运营网络、客户等纳入一个紧密的统一安全管理平台中，才能有效地保障企业的网络安全和保护原有投资，信息安全管理水平的高低不是单一的安全产品的比较，也不是应用安全产品的多少和时间的比较，而是组织的整体的安全管理平台效率间的比较。下面我们就来谈谈建立一个 SOC 应该从那些方面考虑。首先，一个较完善的 SOC 应该具有以下功能模块：安全设备的集中管理安全设备的集中管理统一日志管理（集中监控）：包括各安全设备的安全日志的统一监控；安全日志的统一存储、查询、分析、过滤和报表生成等功能、安全日志的统一告警平台和统一的自动通知等；模块分析：

20、大型网络中的不同节点处往往都部署了许多安全产品，起到不同的作用。首先要达到的目标是全面获取网络安全实时状态信息，解决网络安全管理中的透明性问题。解决网络安全的可管理控制性问题。从安全管理员的角度来说，最直接的需求就是在一个统一的界面中可以监视到网络中每个安全产品的运行情况，并对他们产生的日志和报警信息进行统一分析和汇总。统一配置管理（集中管理）：包括各安全设备的安全配置文件的集中管理，提高各管理工具的维护管理水平，提高安全管理工作效率；有条件的情况下实现各安全产品的配置文件（安全策略）的统一分发，修正和更新；配置文件的统一在（离）线管理，定期进行采集和审核，对安全产品的各种属性和安全策略进行集

21、中的存储、查询。模块分析：目前企业中主要的安全产品如防火墙、入侵检测和病毒防护等往往是各自为政，有自己独立的体系和控制端。通常管理员需要同时运行多个控制端，这就直接导致了对安全设备统一管理的要求。不过从目前国内的情况来说，各不同厂商的安全产品统一管理的难度较大，统一监控更容易实现，在目前现状中也更为重要。目前国内现状是各个安全公司都从开发管理自己设备的管理软件入手，先做到以自己设备为中心，把自己设备先管理起来，同时提出自己的协议接口，使产品能够有开放性和兼容性。这些安全设备管理软件和网络管理软件类似，对安全设备的发现和信息读取主要建立在 SNMP 协议基础上，对特定的信息辅助其他网络协议。获取

22、得内容大部分也和网络设备管理相同，如 CPU 使用情况，内存使用情况，系统状态，网络流量等。各安全产品和系统的统一协调和处理（协同处理）：协调处理是安全技术的目标，同时也符合我国对信息安全保障的要求即实现多层次的防御体系。整体安全技术体系也应该有多层次的控制体系。不仅仅包含各种安全产品，而且涉及到各主机操作系统、应用软件、路由交换设备等等。模块分析：目前国内有部分提法是 IDS 和防火墙的联动就是基于这种思路的，但是实际的使用情况中基本上没有客户认同这点，原因当然有很多，但实际上要实现这点还需要较长的技术积累。设备的自动发现：网络拓扑变化后能自动发现设备的调整并进行基本的探测和给出信息。模块分

23、析：大部分企业内部的网络的拓扑都是在变化的，如果不支持设备的自动发现，就需要人工方式解决，给管理员造成较大的工作压力，也不能掌握网络的实际拓扑，这样不便于排错和发现安全故障。可以采用自动搜寻拓扑的机制。如 IBM Tivoli Netview 可以自动发现大多数网络设备的类型，或通过更改 MIB 库，来随时添加系统能识别的新的设备。安全服务的集中管理安全服务的集中管理实现安全相关软件/补丁安装情况的管理功能，建立安全相关软件/补丁信息库，提供查询、统计、分析功能，提供初步的分发功能。模块分析：微软在对自己的操作系统的全网补丁分发上走的比较前，成功的产品有SUS 和 SNS 等，国际上也有部分的

24、单一产品是作这个工作的，但目前还没有看到那个SOC 集成了这个模块。安全培训管理：建立安全情报中心和知识库（侧重安全预警平台） ，包括：最新安全知识的收集和共享；最新的漏洞信息和安全技术,；实现安全技术的交流和培训。持续更新发展的知识和信息是维持高水平安全运行的保证。模块分析：虽然这个模块的技术含量较低，但要为安全管理体系提供有效的支持，这个模块是非常重要的，有效的安全培训和知识共享是提示企业的整体安全管理执行能力的基础工作，也有助于形成组织内部统一有效的安全信息传输通道，建立安全问题上报、安全公告下发、处理和解决反馈的沟通平台。风险分析自动化：自动的搜集系统漏洞信息、对信息系统进行入侵检测和

25、预警，分析安全风险，并通过系统安全软件统一完成信息系统的补丁加载，病毒代码更新等工作，有效的提高安全工作效率，减小网络安全的“时间窗口“，大大提高系统的防护能力。模块分析：安全管理软件实施的前提是已经部署了较完善的安全产品，如防火墙，防病毒，入侵检测等。有了安全产品才能够管理和监视，安全管理平台的作用在于在现有各种产品的基础上进行一定的数据分析和部分事件关联工作，例如设置扫描器定期对网络进行扫描，配合该时间段的入侵检测系统监控日志和补丁更新日志，就可以对整网的技术脆弱性有个初步的了解。业务流程的安全管理业务流程的安全管理初步的资产管理（资产、人员）：统一管理信息资产，汇总安全评估结果，建立风险

26、管理模型。提供重要资产所面临的风险值、相应的威胁、脆弱性的查询、统计、分析功能。模块分析：国内外安全厂商中资产管理功能都很简单，和现有的财务、运营软件相差非常大，基本上是照般了 BS7799 中的对资产的分析和管理模块。安全管理系统与网管系统的联动（协调处理）：安全管理系统和网络管理平台已经组织常用的运营支持系统结合起来，更有效的利用系统和人力资源，提高整体的运营和管理水平。模块分析：如果可能的话，由于各产品的作用体现在网络中的不同方面，统一的安全管理平台必然要求对网络中部署的安全设备和部分运营设备的安全模块进行协同管理，这也是安全管理平台追求的最高目标。但这并非是一个单纯的技术问题，还涉及到

27、行业内的标准和联盟。目前在这方面作的一些工作如 Check Point 公司提出的 opsec 开放平台标准，即入侵检测产品发现攻击和 check point 防火墙之间的协调，现在流行的 IPS 概念，自动封锁攻击来源等，都在这方面作了较好的尝试，在和整体的网络管理平台的结合方面，目前国内外作的工作都较少，相对来说一些大型的 IT 厂商如 IBM/CISCO/CA 由于本身就具备多条产品线（网络、安全、应用产品） ，其自身产品的融合工作可能已经作了一些，但总体来说成熟度不高。与其它信息系统的高度融合：实现与 OA、ERP 等其他信息系统的有机融合，有效的利用维护、管理、财务等各方面信息提高安

28、全管理水平。安全管理的决策分析和知识经验将成为公司管理的重要组成部分。组织的安全管理组织的安全管理组织构成：根据企业的不同情况建立专职或兼职的安全队伍，从事具体的安全工作。由于信息安全工作往往需要多个业务部门的共同参与，为迅速解决业务中出现的问题，提高工作效率，公司必须建立跨部门的协调机制。具体协调机构应由专门的安全组织负责，并明确牵头责任部门或人员。有条件的企业或者组织应成立独立的安全工作组织。组织责任：a) 建立健全相关的安全岗位及职责；b) 制定并发布相关安全管理体系，定期进行修正；c) 对信息系统进行安全评估和实施，处理信息安全事故；f) 部门间的协调和分派并落实信息安全工作中各部门的

29、职责；以上是 SOC 必须具备的一些模块，现阶段国内外也有一些厂商推出了安全管理平台软件，从推动整个行业发展来看当然是好现象，但萝卜快了不洗泥，其中也存在一些发展中的问题，比如作为一个 SOC 必然要求具备统一的安全日志审计功能，但单一安全设备审计软件不能等同于安全管理平台，究其原因为国内现有安全厂商中安全设备厂商占多数，优势项目是在已有安全设备上添加统一日志管理和分析功能，由于是单个厂商的行为缺乏整体的行业标准，导致目前的安全审计软件普遍缺乏联动性，不支持异构设备，就算是对java 的支持各个厂商的实现力度也不同，普遍只具备信息统计功能和分析报告的功能。 。在目前的安全管理平台提供商中，能提

30、供完整的产品体系厂商非常少。而号称专业的安全产品厂商，因为安全产业起步很晚，这些厂商只能在某个领域做深，还无法提供整套的安全产品线，这也是一个现实。作为用户应该认清需求，把各种安全产品在自己网络中结合起来，深入了解安全管理平台提供商的实力，才能够达到安全目的，满足自己的安全需求。最后，从投入产出比的角度来说，因为 SOC 往往只是一个软件平台的开发工作，大多数情况下不需要或者较少需要新的硬件投入，总投入往往不是很大，如果上了 SOC 后即使不能完善和推荐安全管理体系，也可以起到减轻管理员的工作负担，增强管理员的控制力度，并对整个网络内的安全状况进行统一监控和管理的作用，这样总体来说安全管理平台 SOC 的投入产出就非常值得。