公務(wù)員期刊網(wǎng) 論文中心 正文

信息安全管理中心設(shè)計研究

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了信息安全管理中心設(shè)計研究范文,希望能給你帶來靈感和參考,敬請閱讀。

信息安全管理中心設(shè)計研究

1系統(tǒng)架構(gòu)

該系統(tǒng)包括安全事件管理模塊、安全業(yè)務(wù)模塊、控制中心、安全策略庫、日志數(shù)據(jù)庫、網(wǎng)間協(xié)作模塊。

1.1安全事件管理模塊

1.1.1安全事件收集子模塊

能夠通過多種方式收集各類信息安全設(shè)備發(fā)送的安全事件信息,收集方式包含幾種:(1)基于SNMPTrap和Syslog方式收集事件;(2)通過0DBC數(shù)據(jù)庫接口獲取設(shè)備在各種數(shù)據(jù)庫中的安全相關(guān)信息;(3)通過OPSec接口接收事件。在收集安全事件后,還需要安全事件預(yù)處理模塊的處理后,才能送到安全事件分析子模塊進(jìn)行分析。

1.1.2安全事件預(yù)處理模塊

通過幾個步驟進(jìn)行安全事件的預(yù)處理:(1)標(biāo)準(zhǔn)化:將外部設(shè)備的日志統(tǒng)一格式;(2)過濾:在標(biāo)準(zhǔn)化步驟后,自定義具有特別屬性(包括事件名稱、內(nèi)容、產(chǎn)生事件設(shè)備IP/MAC等)的不關(guān)心的安全事件進(jìn)行丟棄或特別關(guān)注的安全事件進(jìn)行特別標(biāo)記;(3)歸并:針對大量相同屬性事件進(jìn)行合并整理。

1.1.3安全事件分析子模塊

關(guān)聯(lián)分析:通過內(nèi)置的安全規(guī)則庫,將原本孤立的實(shí)時事件進(jìn)行縱向時間軸與歷史事件比對和橫向?qū)傩暂S與其他安全事件比對,識別威脅事件。事件分析子模塊是SOC系統(tǒng)中最復(fù)雜的部分,涉及各種分析技術(shù),包括相關(guān)性分析、結(jié)構(gòu)化分析、入侵路徑分析、行為分析。事件告警:通過上述過程產(chǎn)生的告警信息通過XML格式進(jìn)行安全信息標(biāo)準(zhǔn)化、規(guī)范化,告警信息集中存儲于日志數(shù)據(jù)庫,能夠滿足容納長時間信息存儲的需求。

1.2安全策略庫及日志庫

安全策略庫主要功能是傳遞各類安全管理信息,同時將處理過的安全事件方法和方案收集起來,形成安全共享知識庫,為培養(yǎng)高素質(zhì)網(wǎng)絡(luò)安全技術(shù)人員提供培訓(xùn)資源。信息內(nèi)容包括安全管理信息、風(fēng)險評估信息、網(wǎng)絡(luò)安全預(yù)警信息、網(wǎng)絡(luò)安全策略以及安全案例庫等安全信息。安全日志庫主要功能是存儲事件管理模塊中收集的安全日志,可采用主流的關(guān)系性數(shù)據(jù)庫實(shí)現(xiàn),例如Oracle、DB2、SQLServer等。

1.3安全業(yè)務(wù)模塊

安全業(yè)務(wù)模塊包括拓?fù)涔芾碜幽K和安全風(fēng)險評估子模塊。拓?fù)涔芾碜幽K具備的功能:(1)通過網(wǎng)絡(luò)嗅探自動發(fā)現(xiàn)加入網(wǎng)絡(luò)中的設(shè)備及其連接,獲取最初的資產(chǎn)信息;(2)對網(wǎng)絡(luò)拓?fù)溥M(jìn)行監(jiān)控,監(jiān)控節(jié)點(diǎn)運(yùn)行狀態(tài);(3)識別新加入和退出節(jié)點(diǎn);(4)改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),其過程與現(xiàn)有同類SOC產(chǎn)品類似,在此不再贅述。目前按照國標(biāo)(GB/T20984-2007信息安全風(fēng)險評估規(guī)范),將信息系統(tǒng)安全風(fēng)險分為五個等級,從低到高分別為微風(fēng)險、一般風(fēng)險、中等風(fēng)險、高風(fēng)險和極高風(fēng)險。系統(tǒng)將通過接收安全事件管理模塊的分析結(jié)果,完成資產(chǎn)的信息安全風(fēng)險計算工作,進(jìn)行定損分析,并自動觸發(fā)任務(wù)單和響應(yīng)來降低資產(chǎn)風(fēng)險,達(dá)到管理和控制風(fēng)險的效果。

1.4控制中心模塊

該模塊負(fù)責(zé)管理全網(wǎng)的安全策略,進(jìn)行配置管理,對全網(wǎng)資產(chǎn)進(jìn)行統(tǒng)一配置和策略統(tǒng)一下發(fā),改變當(dāng)前需要對每個設(shè)備分別下方策略所帶來的管理負(fù)擔(dān),并不斷進(jìn)行優(yōu)化調(diào)整??刂浦行奶峁┤W(wǎng)安全威脅和事故的集中處理服務(wù),事件的響應(yīng)可通過各系統(tǒng)的聯(lián)動、向第三方提供事件信息傳遞接口、輸出任務(wù)工單等方式實(shí)現(xiàn)。該模塊對于確認(rèn)的安全事件可以通過自動響應(yīng)機(jī)制,一方面給出多種告警方式(如控制臺顯示、郵件、短信等),另一方面通過安全聯(lián)動機(jī)制阻止攻擊(如路由器遠(yuǎn)程控制、交換機(jī)遠(yuǎn)程控制等)。各系統(tǒng)之間聯(lián)動通過集合防火墻、入侵監(jiān)測、防病毒系統(tǒng)、掃描器的綜合信息,通過自動調(diào)整安全管理中心內(nèi)各安全產(chǎn)品的安全策略,以減弱或者消除安全事件的影響。

1.5網(wǎng)間協(xié)作模塊

該模塊的主要功能是根據(jù)結(jié)合自身的工作任務(wù),判定是否需要其它SOC的協(xié)同。若需要進(jìn)行協(xié)同,則與其它SOC之間進(jìn)行通信,傳輸相關(guān)數(shù)據(jù),請求它們協(xié)助自己完成安全威脅確認(rèn)等任務(wù)。

2結(jié)束語

本文提出了一種協(xié)同式安全管理中心的實(shí)現(xiàn)方法。充分利用了各SOC的協(xié)同處理能力,在某個SOC發(fā)現(xiàn)疑似信息安全威脅但又不能準(zhǔn)確判定時,結(jié)合其它SOC的處理能力和已掌握的疑似信息安全威脅,進(jìn)行更加全面的判定,提高了發(fā)現(xiàn)威脅的準(zhǔn)確率,同時在信息安全威脅轉(zhuǎn)變?yōu)樾畔踩L(fēng)險并造成更大危害之前能夠更早地發(fā)現(xiàn)威脅,為后續(xù)安全事故的響應(yīng)處理贏得更多時間。

作者:王偉 謝學(xué)富 杜志良 單位:廣東電子工業(yè)研究院 中國科學(xué)院云計算產(chǎn)業(yè)技術(shù)創(chuàng)新與育成中心