信息安全体系是企业业务持续性发展的保障,在一定程度上安全管理平台(SOC)的建设方式就体现了信息安全体系的搭建的思路,因为用户直接操作的、见到的就是安全管理平台。
一、SOC的建设思路:“花瓶”模型
从SOC的功能发展上可分为三个维度:防护、监控与审计,包含了安全事件管理的事前、事中、事后整个过程。但信息安全包含的内容非常多,SOC究竟应该管理那些内容,各部分功能如何协调一致是SOC建设者不可回避的问题。根据SOC功能扩展的三个维度,我们提出了适合SOC建设规划的“花瓶”模型。
SOC既不是单纯的事件分析器,也不是安全设备的管理集成,是整个网络的安全管理核心。按照SOC功能发展的方向,功能平台设计为三个平台,数据采集源于同一个数据采集平台,好比是一个插满花的花瓶,因此称作“花瓶”模型。
Ø
花瓶中的水:水指的是模型中的信息流,为SOC平台提供分析所需的数据,同时又把策略修改的配置送给设备。数据采集平台就比如是花瓶中花的根系。信息来源有不同的方式:
n
网络设备、安全设备、服务器、终端等设备有关安全的系统日志与设备本身的状态数据,可以由系统本身提供,也可由安装的代理程序进行收集。
n
安全设备上报的安全事件。对不同安全设备的安全预警信息进行关联分析,有助于对威胁的定位。
n
网络链路的原始数据。实际上原始数据不仅是行为审计信息的来源,也是安全监控系统的重要数据来源,但该数据量较大,入侵检测、病毒检测、审计都有自己的数据采集分析方法,在花瓶模型中,数据采集统一起来,避免了一个链路因多种系统需求的多个镜像,把一次镜像的原始数据,经过初步的规范整理,再分别给不同的安全系统分析使用。
数据的采集量一般很大,可以在一定的网络区域布置专用的数据采集设备,收集本区域的有关信息,并转发中心下发的安全策略。所以SOC系统对网络的管理一般采用分级分域管理,方便了管理人员的管理,也降低了对SOC中心的带宽压力。
Ø
花瓶中的花枝:SOC功能发展的三个维度防护、监控、审计,既分离又相互依赖,建立在一个信息收集平台上,就是花瓶中的三束花,同时也形成了信息安全体系的事前防护、事中监控与应急调度、事后审计的三个阶段的全方位安全管理。
Ø
花瓶中的花朵:花瓶中赏心悦目的自然是花瓶中绽开的花朵,也就是模型中功能平台的用户界面。三个功能平台可以单独使用,分别有自己的用户管理界面。
花瓶模型形象地把SOC的建设展示出来,不仅给SOC的开发提供体系架构,而且可以给企业信息安全保障体系的建设提供思路,把SOC的建设过程与安全保障的建设联系起来,更好地保障业务的安全。花瓶模型的一个思路是把安全体系的信息收集平台统一建设,不仅可以把各个孤立的安全体系根本上联系起来,而且可以方便扩展未来的安全需求,真正地体现“平台”的效能。
二、从功能出发,回归到功能需求
网络的用途不同,对安全的需求也不相同,所以在SOC的建设中也有所侧重,就好象花瓶中的每支花各吐芬芳,各有不同。
对内部网络,有完全的管理权限,可以采用监控与审计的管理方式,否则监控中发现了问题,不能去落实处理,不能消灭危害源;审计中发现了是某个方向来的攻击踪迹,但对网络的具体设备与人员不能识别,审计就无法最终取证。如政府专网中,网络接入的终端与服务器都是可管理的,可以识别每个人员与设备,甚至为了安全需要,可以用行政命令做出一些安全管理规定,比如不允许安装某些非业务需求的软件。
对外部网络,是不可控制的网络,最好的方式就是增加防护。对于企业网络来说,互联网是自己无法控制的,防护是首要的安全需求。防护不仅是“大门”的防护,对自己内部重要的服务区域、数据资源都要进行防护。利用安全区域的概念可以有效地区分某些重要区域,并提供相应安全级别的保护。如提供互联网服务的商务网站,主要是对网络出口上的攻击防护,以及内部对自己数据库的完整性保护。
对于运营商,互联网就是他们管理的网络,但网络承载的业务是客户自己决定的,所以运营商更关注对网络设备的攻击,而不是对服务的攻击,所以防护主要是对网络设备的防护。
我们总结了一些网络类型的安全需求,建议SOC建设的侧重点如下表:
|
客户
|
网络类型
|
侧重建设
|
重点保护对象
|
|
运营商
|
互联网
|
网络层防护
|
网络业务的连通性
|
|
|
管理网络
|
接口要防护,内部重点是监控与审计
|
数据的安全与服务提供
|
|
ISP\ICP
|
为互联网服务
|
接口防护是重点,内部需要审计
|
数据的安全与服务提供
|
|
政府
|
外网
|
与互联网连接的服务主要是接口防护
|
服务提供
|
|
|
内网
|
监控与审计,重要的服务区域接口地方也要防护
|
数据的安全与服务提供
|
|
大企业
|
一般是与互联网连接的内部工作网络
|
接口要防护,内部网络的监控是重点,重要服务区域要审计
|
数据的安全与服务提供
|
|
中小企业
|
利用互联网的服务,内部小局域网
|
安全防护一般就够用了,主要在接口上
|
数据的安全
|
|
金融
|
专用网络但与互联网有接口,提供基于互联网的金融服务
|
接口与重点区域都要重点防护,内部网络需要监控与审计
|
数据的安全与服务提供
|
|
军队
|
涉密专用网络,独立的网络
|
网络监控与审计,重点区域应加强防护
|
数据的安全
|
本文转自 zhaisj 51CTO博客,原文链接:http://blog.51cto.com/zhaisj/42468,如需转载请自行联系原作者
