安全信息管理平台SOC
信息安全神经中枢——安全管理平台(SOC)
信息安全神经中枢——信息安全管理平台(SOC)信息安全管理平台,又叫作安全管理平台(security management)、安全信息管理中心(SIM,security information management)、安全信息与事件管理平台(SIEM,security information event management)、安全运营中心(SOC,security operation center),等。
在国内外有多种多样的称呼,总之其目的是管理安全相关的信息。
我们这里所提到的信息其实说的通俗一点就是日志信息和性能监控信息。
信息安全管理平台(习惯上我们称之为SOC)就是把各式各样的设备(网络设备-交换/路由,安全设备-防火墙/IPS,系统设备-win/linux)中的日志信息收集过来,经过SOC系统的处理与分析,在海量数据中挖掘出对于用户来说重要的、危险的、有用的信息。
SOC的发展:第一代SOC:由事件/信息收集器演变而来的作为信息集中管理的平台,多数厂家只是支持自己的产品日志格式,国内都定义为:日志收集器。
国内安全/网络设备生产厂家都有各自的日志收集器,并附带管理自己设备的功能;第二代SOC:由于第一代SOC能做到的工作只是作为信息收集,并不能对于其收集的各项事件信息进行分析和处理,所以第二代SOC在2005年左右在个厂家兴起。
其核心技术就是加入了国外流行的概念:关联分析。
关联分析其核心技术是“状态机”,通过定义资产信息和分析事件状态的变化来对信息进行深入的分析和对攻击/异常行为的判断。
国内厂家在第二代SOC上已经花费了大量的资金和时间,但效果并不理想。
第三代SOC:从现实情况来看,第二代SOC并没有得到国内大部分用户的认可和信任。
于是,第三代SOC的诞生引起了大家的兴趣。
在原有第二代SOC的基础之上,各厂家纷纷对SOC进行了“改装”,有的加入了网络管理模块,有的加入运维管理模块,还有的加入各式各样能嵌入的信息系统,导致现在第三代SOC越来越庞大,越来越臃肿。
网络安全管理平台SOC
网络安全管理平台SOC
产品背景
产品简介
安全管理控制平台在应用、核心、边界、汇集等各个层次上安全控制功能,基于业务工作流,面向身份、权限、流量、域名和数据报文,开展一致性请求检测,实现完整性保护;基于信息资产登记,开展响应服务的一致性检测,支持机密性保护,突破未知网络攻击发现与威胁识别分析能力的提升。
产品特点
多元异构数据汇聚融合,具备PB量级数据的接入、存储、共享能力。
多类型网络安全威胁数据统计分析,支持拒绝服务攻击、木马僵尸网络、恶意代码、网站后门、网页篡改、域名劫持、蠕虫利用、漏洞利用等公告及数据类型的统计和关联分析,具备对未知攻击的感知发现能力。
提供态势要素信息提取功能,具备威胁识别、安全事件交互式分析和关联展示能力。
具有网络安全预警及持续诊断功能,支持多操作哦系统平台,具备网络化、自动化交付能力,支持安全事件全生命周期的持续监控、处置、跟踪等。
技术参数
平台架构
产品介绍。
安全运维中心(SOC)
在前一篇文章里,已经对安全运维外包(MSS)这种服务模式进行了简单的分析,下面我们再来看看安全运维服务的另一种模式,安全运维中心(SOC)的建设。
正是由于安全外包服务所面临的各种各样的问题,企业或组织在选择安全运维模式时,更多的是在考虑依靠自身的力量建立完全属于自己安全运维队伍,来保障自身网络与业务系统的安全。
组织一旦决定建设自身的安全运维环境,那么将必然面临以下问题:•安全运维队伍:如何建立一个高效、具备解决问题能力的安全运维队伍?•安全运维流程:如何建立适合核心业务需求的安全事件处理机制、流程?•安全运维平台:依靠何种手段将众多的安全基础设施管理起来?要解决以上三个问题,组织的安全运维中心的概念就应运而生了。
安全运维中心有时称为安全运营中心(SOC,Security Operations Center)。
一、安全运维中心的内容之前我们讨论过过,安全运维的主要目的即是保证安全手段(产品+ 技术)的应用能够达到预期的良好效果(Effect)和提高效率(Efficiency)。
因此,从整体上说,安全运维工作是一个综合的管理与运营维护能力,需要的不仅仅是一个综合的安全设备管理技术或管理工具,而是一个能够将整体的安全组织、安全策略、安全技术、安全风险、安全事件、安全操作等统一的管理并保证其运转(Operations)有效(Effective and Efficiency)的一个平台,这样的平台,我们可以称之为安全运维中心(SOC)。
安全运维中心(SOC)至少包含三个方面的内容:(1)安全人员(People)信息安全保障技术框架(IATF)里认为人员在安全保障框架的核心。
人是信息系统的主体,是信息系统的拥有者、管理者和使用者,是信息保障体系的核心。
在安全运维中心(SOC)里,安全运维人员也是保障整个运维平台稳定、高效的核心。
SOC的安全运维人员包括日常运维小组、应急响应小组和安全专家等3个主要组成。
安全运维人员的安全技能、安全意识、服务能力的高低在安全运维的效果中起着至关重要的作用。
SOC理解
1.在soc的用途方面大家理解上的偏差对于用户,关心的是自己网络或者业务所面临的安全风险,以及利用soc整合人员、流程应对安全事件,更好、更全面的了解现状和快速做出反应。
对于soc提供商,关心的是自己的技术如何,拥有多少的模块,支持多少的设备,漏洞库的数目等等,而没有站在用户的角度来思考问题。
2.在成熟度上的不足soc更像是个概念性的东西,而且厂家还尚未把这个概念摸透就匆匆上马抢占市场,其实都是半成品,糊弄不懂的还可以。
可以说soc中的各个模块距离成熟都还很远,更别说这整个的系统了。
3.在易用性上的不足soc所呈现所提供的界面、模块,出现的报警信息,都还不能做到傻瓜化,门槛较高,本来都该soc提供的分析功能,全都变成要人来判断了,那么soc还有什么意义4.差异化造成的问题由于企业的不同,soc必然会结合企业的主要业务、安全组织架构、流程来进行差异化,这导致每个soc必然要有大量的单独开发过程,模块的重用比较低,影响厂家的研发速度和升级换代,对厂家的利润空间进行了挤压。
而开发并不能深入了解企业的业务,导致系统和业务的贴合不够紧密5.恶性竞争虽然soc刚刚起步,但国内的各大安全厂商纷纷来抢夺这块大蛋糕,某省的电信企业招标,竞标之激烈超出企业的想象,最后夺标的压价之低差不多就是赔本作。
这种不从自身做起,而只靠打价格战的做法,实在是对整个行业都不利的soc的问题太多,不是短时期能解决的,我有个想法,以后会和大家交流========== =========================SOC和SIEM这两个概念大家已经说了很多了,之间的区别其实很大,根本不是一个概念上的东西!SOC是一个安全运营组织,SIEM是一个以安全信息和安全事件为基础的技术管理平台,因此区别是首先表现在构成上就是很大不同,当然相同之处都是安全策略工具的组成部分!首先SOC(传统意义上的安全运营中心)不是任何客户都适用的,它有很多重要的功能不是产品技术能解决和实现的(就像大家了解到的流程、人员等),它的基本结构往往都是由于客户本身的实际需求和自身条件不具备等原因,导致SOC的畸形和失效!!!就像很多电信运营商建立了所谓的SOC却得不到应有的期望一样,就其原因还是自身条件不具备、实际需求不具备等,例如组织梯队不健全,很多省级电信运营商负责安全的专职人员也就1到2人,甚至兼职!因此你可以想象一下安全运营工作由谁来执行,由谁来改进,由谁来审核...,所以更不用说SOC其它重要组成部分的缺失了。
安全管理平台(SOC)的发展趋势分析
安全管理平台(SOC)的发展趋势分析-网御神州1SOC一词的起源SOC(Security Operations Center)是一个外来词。
而在国外,SOC这个词则来自于NOC(Network Operation Center,即网络运行中心)。
NOC强调对客户网络进行集中化、全方位的监控、分析与响应,实现体系化的网络运行维护。
随着信息安全问题的日益突出,安全管理理论与技术的不断发展,需要从安全的角度去管理整个网络和系统,而传统的NOC在这方面缺少技术支撑,于是,出现了SOC的概念。
不过,至今国外都没有形成统一的SOC的定义。
维基百科也只有基本的介绍:SOC(Security Operations Center)是组织中的一个集中单元,在整个组织和技术的高度处理各类安全问题。
SOC具有一个集中化的办公地点,有固定的运维管理人员。
国外各个安全厂商和服务提供商对SOC的理解也差异明显。
2SOC产生的动因为了不断应对新的安全挑战,企业和组织先后部署了防火墙、UTM、入侵检测和防护系统、漏洞扫描系统、防病毒系统、终端管理系统,等等,构建起了一道道安全防线。
然而,这些安全防线都仅仅抵御来自某个方面的安全威胁,形成了一个个“安全防御孤岛”,无法产生协同效应。
更为严重地,这些复杂的IT资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件,形成了大量“信息孤岛”,有限的安全管理人员面对这些数量巨大、彼此割裂的安全信息,操作着各种产品自身的控制台界面和告警窗口,显得束手无策,工作效率极低,难以发现真正的安全隐患。
另一方面,企业和组织日益迫切的信息系统审计和内控要求、等级保护要求,以及不断增强的业务持续性需求,也对客户提出了严峻的挑战。
针对上述不断突出的客户需求,从2000年开始,国内外陆续推出了SOC(Security Operations Center)产品。
目前国内的SOC产品也称为安全管理平台,由于受到国内安全需求的影响,具有很强的中国特色。
SOC安全管理平台解决方案
对可能的攻击作出及时有效的回应
产生的Correlation Event可以通过实时界面查看,也可以通过报表展示 可以导入和导出Correlation规则,导出后为xml文件格式
事件关联
Correlation rule种类
Watchlist
Advanced Watchlist Basic Correlation Advanced Correlation Free rule Language
事件关联
Watchlist
通过向导(Wizard)建立
该correlation 规则允许指定一个文本值,correlation Engine 会在接收到的所有事项的所有的Meta-tag中进 行检查 例如:Watchlist能够检查一个黑客的源ip地址,一旦 在任何事项的任何位置发现该地址,立即报告并作出 对策
无用数据 误报 海量数据
信息分配和共享不充分
传统安全产品仅仅提供面向安全人员的信息,但实际上, 所有人都从自身角度触发需要了解安全信息
管理者:
安全到底如何了? 有没有一说话的数字? 一切是否在掌握之中? 我们的投资又什么回报?
安全管理员:
我关心所有和安全相关的信息 我更关注最新安全更新,主动
安氏安全管理中心解决方案的主要模块 配置建议 安氏安全管理中心解决方案优势
分阶段实施-短期目标
短期目标
一定的安全事件集中收集和处理能力:实现现有安全 产品的事件收集和集中管理
安全运营平台SOC建设思考与实践
61开发测试Development and Testing2020 . 09 中国金融电脑安全运营平台SOC 建设思考与实践国家开发银行信息科技局 卫剑钒 雷东生当前,作为企业提高信息安全水平的主要工具,安全管理平台(Security Operation Center,SOC)建设成为企业安全管理工作进入成熟阶段的关键性标志之一,同时也是企业满足关键信息基础设施安全保护合规要求的重要举措。
对此,国家开发银行(以下简称“国开行”)针对性启动了统一信息安全运营平台项目建设,并通过构建以SOC 平台为核心的安全运营体系,初步实现了对主要信息安全威胁的“可知、可管、可控”。
一、SOC 平台的建设思路1.规划先行、充分调研SOC 本身并不是新生事物,然而,多年来业界对SOC 的认可度和应用效果却评价不一,部分单位投入大量人力、财力建成的SOC 未能发挥出预期功效。
针对这一现状,国开行对业界的主流产品以及同业SOC 平台的建设运营情况进行了深入调研,以求能充分了解项目痛点、吸收先行者的宝贵经验,在避免“踩雷”的同时,尽可能提高项目质量。
与此同时,国开行还借此机会,摸清理顺了本单位对SOC 平台建设的诸多特色需求。
基于上述准备,国开行按照规划先行的建设思路,在SOC 平台正式立项之前,即首先启动了SOC 规划咨询项目,包括引入专业的第三方安全咨询机构,开展SOC 平台建设需求分析和详细设计,提出产品选型技术路线建议,制定可落地的平台实施方案等。
通过咨询项目,国开行共梳理设计出包括五项核心功能在内的约200个功能需求点,并对威胁防御、威胁情报、大屏展示和机器学习等四项关键技术进行了深入研究。
通过对规划研究成果和企业现状审慎评估,国开行决定对当前技术实现难度较大、不够成熟的需求指标(如机器学习)执行分步实施策略。
同时,在咨询项目成果的基础上,还通过专项调研增加了蜜罐产品的部署需求,实现了对内网威胁的精准识别。
SOC 平台功能需求梳理如图1所示。
soc指标
soc指标SOC(Security Operations Center)是安全运营中心的缩写,是指一个专门负责监视、分析和应对安全事件的机构或团队。
SOC通常由安全分析师、网络工程师、安全管理员等成员组成,其主要任务是监控和保护网络系统、应用和数据的安全。
SOC通常借助安全信息和事件管理系统(SIEM)等工具来收集、分析和报告安全事件,以及实施实时响应和处置措施。
为了评估一个SOC的绩效,常常会使用一些指标来衡量其运营效果。
以下是一些常见的SOC指标:1. 平均响应时间(Average Response Time):指SOC对安全事件的响应所需的平均时间。
较短的响应时间通常意味着SOC能够更快地检测和应对潜在的威胁。
2. 平均解决时间(Average Resolution Time):指SOC解决安全事件所需的平均时间。
较短的解决时间通常表明SOC具有高效的工作流程和技术手段。
3. 检测率(Detection Rate):指SOC能够准确检测到的安全事件比例。
高的检测率意味着SOC能够更好地识别潜在的威胁,并采取适当的措施。
4. 虚警率(False Positive Rate):指SOC报警中误报的比例。
较低的虚警率意味着SOC能够减少误报的干扰,更准确地将注意力集中在真正的威胁上。
5. 恢复时间(Recovery Time):指SOC从安全事件中恢复正常运营所需的时间。
较短的恢复时间意味着SOC能够更快地恢复业务功能并降低损失。
这些指标可以帮助评估SOC的绩效,并作为改进和优化SOC 运营的依据。
然而,具体的SOC指标可能因组织的安全需求和威胁环境的不同而有所差异。
soc安全运维管理平台
企业网络安全பைடு நூலகம்理
政府网络安全管理
金融机构网络安全管理
教育机构网络安全管理
医疗行业网络安全管理
互联网企业网络安全管 理
实时监控:对网络、系统、应用进行实时监控,及时发现异常情况
智能分析:利用大数据和人工智能技术,对安全事件进行智能分析,提高响 应速度
风险评估:对网络、系统、应用进行风险评估,提前发现潜在风险
效果评估:使用 SOC安全运维管理 平台后,教育机构 的网络安全水平得 到了显著提升,降 低了网络安全风险
发展趋势:智能化、自动化、 集成化
挑战:数据安全、隐私保护、 合规性
技术应用:人工智能、大数据、 云计算
应用场景:金融、政府、企业、 教育等
云计算技术的普及 和应用
云端安全运维管理 的优势:集中管理、 实时监控、快速响 应
添加标题
添加标题
添加标题
添加标题
数据预处理:清洗、去噪、标准化 等
数据可视化:将分析结果以图表、 仪表盘等形式展示,便于用户理解 和决策
实时监控:对系统进行实时监控,及时发现异常行为 智能分析:利用大数据和人工智能技术,对异常行为进行智能分析 预警机制:建立预警机制,提前发现潜在安全风险 响应策略:制定响应策略,快速响应安全事件,降低损失
,a click to unlimited possibilities
汇报人:
SOC安全运维管理平台:一种用于监控、分析和 管理网络安全的集成平台
功能:实时监控网络流量、检测安全威胁、分 析安全事件、响应安全事件、管理安全策略等
平台架构:基于云计算、大数据和人工智能等技术 组成模块:包括安全监控、安全分析、安全响应和安全管理等 安全监控:实时监控网络、系统、应用和数据的安全状况 安全分析:对安全数据进行深度分析和挖掘,发现潜在威胁 安全响应:对安全事件进行快速响应和处理,降低安全风险 安全管理:提供安全管理策略、流程和工具,确保安全合规和持续改进
SOC杂谈
a.可能采用SOC的客户
大企业为主,本身具有一定的技术实力,具有良好的组织架构和安全战略眼光,有强烈的技术自主权,以IT类
业务为核心,相当重视信息的安全和保护。
b.有安全需求但不大可能采用SOC的客户
中小企业为主,业务可能相关,也可能很重要,但是出于人力和成本的考虑,不可能把安全放到那么高的位置,
等涉密产品方面。
b.早期的国产防病毒软件厂商
c.早期的防火墙厂商及其渠道。
这类厂商切入行业时间早,渗透深入,由于某些方面独特的技术或资质优势,雄霸一方比较稳固。
但是同时存在一些思维定势,对全面安全认识不够深入,自身架需要改革。由于原有市场的饱和、
国外势力的切入挤压等因素,这类厂商继续寻找新的扩展方向和盈利点,在市场大潮的推动下迅速
看起来有些悲壮的草根安全企业。 同样也有他们的弱势,就是管理不够规范,缺乏技术方向的指导和
规划,业务人员和业务流程不够专业。
3.传统IT基础设施企业。典型的大而全的恐龙企业。例如IBM,HP,Cisco,随着他们业务范围的拓展
和安全市场带来的巨大投资,安全都成了他们业务蓝图中或重或轻的一块肥肉。当然,范围在国内这样
过程中,会出现一个少则两三年,多则到达永久合作的技术合作期,来协助客户完成业务改造以及策略的实施保证。
* 即使不需要SOC但是需要安全的大量中小型客户中,他们也需要一个团队来保障业务的正常开展。
硬策略则是安全策略的具体实现和终端执行部分,包括病毒升级和防护规则,防火墙和IDS管理规则等等。
也许以上部分很多概念划分比较模糊笼统,大家能够理解就好。
说了那么多,回到正题上来,安全管理平台(或具体的安全操作平台SOC)到底是产品管理,还是信息管理,
运营商IP网安全管理平台SOC的设计与工程实现
系统上线与维护
将平台部署到生产环境,并进行持续 的监控和维护,保证平台的稳定性和 安全性。
05
04
编码与测试
按照开发计划进行编码,并对每个模 块进行单元测试和集成测试。
数据采集与处理模块的实现
数据源确定
明确需要采集的数据类型和来源,如 网络流量数据、安全设备日志等。
数据采集方法
采用不同的采集技术,如SNMP、 syslog等,实现数据的自动采集。
安全性设计
采用多层次的安全防护措施,包 括防火墙、入侵检测系统、加密 传输等,确保系统数据的安全性
。
数据采集与处理模块设计
数据源接入
支持多种数据源接入,包括网络流量、安全设备、主机日志等数据预处理
对采集到的原始数据进行清洗、过滤、摘要等处理,转化为可读性 更强、可用性更高的数据。
等。
测试环境搭建
为SOC平台搭建符合测试要求 的硬件和软件环境,包括服务 器、网络设备、安全设备等。
测试数据准备
根据测试方案,准备相应的测 试数据,包括正常数据和异常 数据,用于验证SOC平台的功
能和性能。
功能测试与性能指标评估
功能测试
01
按照测试方案,对SOC平台的功能进行逐一测试,包括数据采
集、数据处理、告警分析、事件响应等。
意义
设计并实现一个高效、智能的运营商IP网安全管理平台SOC,对于提高运营商 IP网络的安全性、可靠性和运营效率具有重要意义。
研究现状与问题
现状
目前,国内外对于安全管理平台的研究主要集中在安全监控、事件预警、应急响应等方面,提出了许多不同的解 决方案和技术路线。
问题
然而,现有的解决方案普遍存在以下问题:缺乏对整个IP网络全局的统一监控管理,无法实现跨专业、跨域的安 全管理;缺乏对海量安全数据的深度分析和挖掘,无法准确识别安全威胁;缺乏自动化和智能化处置能力,无法 快速响应和处置安全事件等。
soc安全运营中心的能力域
SOC安全运营中心(SOC)具备多个能力域,包括但不限于以下几点:
1. 纵深防御能力:SOC可实现网络阻断系统和其他安全系统的联动阻断机制,如与网络入侵检测系统、主机检测系统、W AF安全检测系统等实时联动,实现7*24小时针对互联网的IP阻断机制,以解放最基本的应急处置工作量。
2. 日志信息采集与分析能力:SOC可以通过收集操作系统日志、web应用日志和防火墙网络设备日志等,以及安全告警、流量回溯等信息,进行攻击研判。
3. 自动化应急处置能力:SOC可以实现自定义自动化应急处置功能,例如在SOC(网络安全管理平台)里实现SOP(标准作业程序)功能。
当一个主机被失陷时,可以通过SOP功能实现网卡阻断的功能点,从而提高应急处置效率。
4. 分层分工的监控团队:SOC可以进行分析研判,将监控团队分为一线和二线,这样的分层分工可以让应急响应更加有效率地进行。
请注意,SOC的能力域可能会因具体设置和用途而有所不同,以上信息仅供参考。
OSSIM企业级开源SOC
OSSIM企业级开源SOCOSSIM即开源安全信息管理系统(OPEN SOURCE SECURITY INFORMATION MANAGEMENT)是目前一个非常流行和完整的开源安全架构体系。
OSSIM通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台。
它的目的是提供一种集中式、有组织的,能够更好地进行监测和显示的框架式系统。
OSSIM明确定位为一个集成解决方案,其目标并不是要开发一个新的功能,而是利用丰富的、强大的各种程序(包括Snort、Rrd、Nmap、 Nessus以及Ntop等开源系统安全软件)。
在一个保留他们原有功能和作用的开放式架构体系环境下,将他们集成起来。
而OSSIM项目的核心工作在于负责集成和关联各种产品提供的信息,同时进行相关功能的整合。
由于开源项目的优点,这些工具已经是久经考验,同时也经过全方位测试、可靠的工具。
OSSIM结构体系实际上,从过程上考虑,安全可以分为评估、防护、检测、响应这四个步骤,现在已经有了不少优秀的开源软件与这四个步骤相对应。
但是问题在于这四个步骤属于一个动态、无缝过程,而所有的开源工具只是针对单一安全问题,如何将现有的安全工具进行综合利用并将他们无缝综合,OSSIM给出了很好的答案,那就是——集成。
OSSIM由数据收集、监视、检测、审计以及控制台这五个模块构成。
这5个模块包含了目前安全领域从事件预防到事件处理一个完整的过程,在目前的安全架构中,OSSIM是最为完备的。
这五个功能模块又被划分为三个层次,分别是高层的安全信息显示控制面板、中层的风险和活动监控以及底层的证据控制台和网络监控,各个层次提供不同功能,共同保证系统的安全运转。
在OSSIM中,整个过程处理被划分为两个阶段,这两个阶段反映的是一个事件从发生到处理的不同的历史时期,这两个阶段分别为预处理阶段,这一阶段的处理主要有监视器和探测器来共同完成,它们主要是为系统提供初步的安全控制;另一个事后处理阶段,这一阶段的处理更加集中,更多的是反映在事件发生之后系统安全策略的调整和整个系统的安全配置的改进。
soc指标
soc指标
SOC指标(Security Operations Center),也称为安全运营中心,是一个用于监控、检测和响应安全事件的中心化团队或部门。
以下是关于SOC指标的具体说明:
平均响应时间(Average Response Time):指SOC对安全事件的响应所需的平均时间。
较短的响应时间通常意味着SOC能够更快地检测和应对潜在的威胁。
平均解决时间(Average Resolution Time):指SOC解决安全事件所需的平均时间。
较短的解决时间通常表明SOC具有高效的工作流程和技术手段。
检测率(Detection Rate):指SOC能够准确检测到的安全事件比例。
高的检测率意味着SOC能够更好地识别潜在的威胁,并采取适当的措施。
此外,除了上述关键性能指标外,SOC指标还包括可用性、可靠性、可维护性等,这些指标共同用于评估和改进SOC的运营能力。
SOC安全运营中心产品介绍
SOC、MSS、MSSP及User间关系
ISP
应用商
MSSP 专业服务商
安全厂商
咨询商
解决方案
远程监控 入侵监测
MSS
漏洞评估 事件管理
合规检测 运维报告
提供服 务产品
Firewall
IDS
路漫漫其悠远
建设
支撑 利用
大屏监控 漏扫系统
SOC
事件工具 日志工具
病毒系统 运维人员
管理系统 及服务
User
与此同时SOC的概念登陆中国,国情不同SOC 概念逐渐逐渐被源SOC概念中的工具替代
2004年安氏推出了安全运营中心解决方案 同年启明推出了泰合安全运营中心系统 同年天融信推出企业安全平台(Enterprise
Security Platform)2.0系统,2006年推出 TSM3.0 近几年以SOC命名技术平台的用法逐渐被安全管 理平台命名方式替代
路漫漫其悠远
全球SIEMS主流厂商
SIEMS功能定义:
标准化 整合化 关联化 分析化
挑战者
领导
路漫漫其悠远
参与者
研究者
SOC市场划分(国际)
MSSSOC MSS SIEM IT
建立安全运营中心 提供安全托管服务
服务工具 用户IT系统
MSSP
路漫漫其悠远
SOC市场划分(中国特色)
监控中心,以此实现MSS服务 2001年WatchGuard推出防火墙/VPN状态监测和日志分析报表系统 2001年Symantec改造了圣安东尼奥的SOC中心,超过140名安全专家提
供24*7*365的安全管理服务,并且陆续在全球建有5个SOC中心 2000年ArcSight开发了SIEMS系统,2004年发布了ESM3.0,Gartner
网络安全管理平台SOC
网络安全管理平台S O C 公司内部编号:(GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-
网络安全管理平台SOC
产品背景
产品简介
安全管理控制平台在应用、核心、边界、汇集等各个层次上安全控制功能,基于业务工作流,面向身份、权限、流量、域名和数据报文,开展一致性请求检测,实现完整性保护;基于信息资产登记,开展响应服务的一致性检测,支持机密性保护,突破未知网络攻击发现与威胁识别分析能力的提升。
产品特点
多元异构数据汇聚融合,具备PB量级数据的接入、存储、共享能力。
多类型网络安全威胁数据统计分析,支持拒绝服务攻击、木马僵尸网络、恶意代码、网站后门、网页篡改、域名劫持、蠕虫利用、漏洞利用等公告及数据类型的统计和关联分析,具备对未知攻击的感知发现能力。
提供态势要素信息提取功能,具备威胁识别、安全事件交互式分析和关联展示能力。
具有网络安全预警及持续诊断功能,支持多操作哦系统平台,具备网络化、自动化交付能力,支持安全事件全生命周期的持续监控、处置、跟踪等。
技术参数
平台架构产品介绍。
soc是什么意思
SoC的定义多种多样,由于其内涵丰富、应用范围广,很难给出准确定义。
一般说来,SoC称为系统级芯片,也有称片上系统,意指它是一个产品,是一个有专用目标的集成电路,其中包含完整系统并有嵌入软件的全部内容。
同时它又是一种技术,用以实现从确定系统功能开始,到软/硬件划分,并完成设计的整个过程。
折叠基本概念SOC,或者SoC,是一个缩写,包括的意思有:1)SoC:System on Chip的缩写,称为系统级芯片,也有称片上系统,意指它是一个产品,是一个有专用目标的集成电路,其中包含完整系统并有嵌入软件的全部内容。
2)SOC:Security Operations Center的缩写,称为安全运行中心,或者安全管理平台,属于信息安全领域的词汇。
一般指以资产为核心,以安全事件管理为关键流程,采用安全域划分的思想,建立一套实时的资产风险模型,协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。
3)民航SOC:System Operations Center的缩写,指民航领域的指挥控制系统。
4)SOC:state of charge的缩写,指荷电状态。
当蓄电池使用一段时间或长期搁置不用后的剩余容量与其完全充电状态的容量的比值,常用百分数表示。
SOC=1即表示为电池充满状态。
控制蓄电池运行时必须考虑其荷电状态。
5)一个是Service-Oriented Computing,“面向服务的计算”6)SOC(Signal Operation Control) 中文名为信号操作控制器,它不是创造概念的发明,而是针对工业自动化现状提出的一种融合性产品。
它采用的技术是正在工业现场大量使用的成熟技术,但又不是对现有技术的简单堆砌,是对众多实用技术进行封装、接口、集成,形成全新的一体化的控制器。
以前需要一个集成商来做的工作,现在由一个控制器就可以完成,这就是SOC。
7)SOC(state of charge)在电池行业,SOC指的是充电状态,又称剩余容量,表示电池继续工作的能力。
安全运营中心(SOC)的建设方式
安全运营中心(SOC)的建设方式对于最终用户而言,如果已经决定要引入SOC,那么要如何建设SOC安全运营中心?注意,这里的SOC 包括技术、流程和组织三个部分,不单指SOC技术平台。
目前,业界通行的做法有三种:1)自建SOC,自己搭建平台,建立自己的组织和流程,并进行运维。
其中平台部分,用户可以自己设计并开发平台,也可以外购一个技术平台;2)购买MSS服务,租用MSSP的SOC,或者叫做安全服务外包,包括租用安全基础设施;3)共建SOC——目前比较多见的方式,自己搭建SOC技术平台,建立核心的组织结构和流程,处理核心的安全问题,然后利用外脑(外包服务)来进行协维、咨询。
其中,第三种方式可以看成是前两种方式的综合。
对于自建型SOC(或者称作自运维型SOC),首先要处理的问题是如何构建SOC实体,也就是要有一个场地的问题,这篇文章《如何创建自己的SOC》可以参考。
如果SOC中心建立起来,怎么运维使用起来呢?回答这个问题之前,应该先对SOC运维有一个正确的理解,树立正确的认知,这篇文章《如何用好SOC》可以帮助我们厘清一些问题。
然后,可以看看业界的一些最佳实践,看看其他人是怎么去运维自己的SOC的,例如这个Intel的SOC运维实践,或者微软的SOC设计实践。
对于外包型SOC(也就是购买MSS的方式),顾名思义,就是要让专业的人去做专业的事。
与所有其他IT运维服务一样,对于用户而言,选择外包型SOC首先要考虑的就是ROI (投资回报)的问题,SLA的问题(风险合理转嫁的问题)。
用户应该知道国内外MSS发展的现状以及国内目前现状,要对MSSP有个理性、正确的认识和预期。
正如这篇文章中提到的,MSS不是交钥匙工程!客户不可能因为将安全外包给了MSSP就不用承担安全的责任了。
实际上,客户的安全责任最终还是客户自己承担。
就算MSSP赔偿你损失,很多东西也无法挽回了。
选择MSS,就是在选择一个重要的、长期的合作伙伴,是一种特别的信任。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
提纲
安全管理平台概述 安全管理平台发展现状 安全管理平台的几个趋势 天融信安全管理系统(TSM) 天融信安全管理系统(TSM) 安全信息管理平台 成功案例
安全管理平台发展现状
安全管理平台在信息安全产业中的地位? 安全管理平台在信息安全产业中的地位? 信息安全产业是一个急速发展变化的产 业,安管平台的内涵和外延也会不断的更新 但是安全管理平台理念在整个信息安全产品 结构中的顶层地位始终不会改变。
Thanks for you time
感谢聆听!
天融信安全管理平台
工单管理 • TopAnalyzer提供工单管理的功能。 • 用户可以手工创建/派发工单,也可以设定规则由 系统在一定条件下自动创建/派发工单。
天融信安全管理平台
知识库管理
• 知识库是TopAnalyzer的重要部分。 • 它由典型安全事件处理经验、安全问题分 析报告、安全脆弱性数据库和补丁库、以 及各种技术和管理专题资料组成。
安全管理平台发展现状
两类客户: 两类客户: 高度信息化的单位(电信、移动、民航、金融、科研)
较早的建立了网管平台,对安管平台的认识过程与国外基本保持一致,追求 标准化。
其他企业和组织(政府、教育、企事业单位)
对安全管理平台的认识模糊,甚至连网管平台都没有。从而更加讲求实效性。
安全管理平台发展现状
– – – – – – – – – – 事件采集 事件标准化 事件过滤 事件归并 事件展示 事件浏览 事件监视 事件响应 辅助决策 动态黑名单
天融信安全管理平台
网络管理
• TopAnalyzer能够通过直观、友好的网络管 理界面,可以实现对网络中的设备、主机、 应用系统等方面的综合管理与监控。 • 主要包括网络设备自动发现、拓扑管理、 视图管理、性能管理、资产管理等功能。
天融信安全管理平台
通过关联分析加速问题定位
系统不可用
Firewall? HOST? DB? Web Server ?
主机应用异常导致服务问题! 主机应用异常导致服务问题!
天融信安全管理平台
安全告警与响应
• TopAnalyzer在监视到特定事件发生时,可 以根据预先制定的规则予以及时响应,做 出报警、处理等操作,及时有效的应对复 杂的网络安全情况。
天融信安全信息管理平台
从体系结构设计上,TopAnalyzer共包括五个子系统: 资产管理子系统 用户管理子系统 报表管理子系统 网络管理子系统 以及安全管理子系统。
天融信安全信息管理平台
TopAnalyzer处理流程
资产管理 脆弱性管理 风险管理 事件管理 网络管理 关联分析 安全预警 安全响应 工单派发 报表输出 ……
提纲
安全管理平台概述 安全管理平台在信息产业中的地位 安全管理平台的几个趋势 天融信安全管理系统(TSM) 天融信安全管理系统(TSM) 安全信息管理平台 天融信安全管理平台部署案例
天融信安全管理平台部署案例
• 部署方式
天融信安全管理平台部署案例
• 部分项目案例
– – – – – – – – – – – 国家发改委内外网改扩建工程 北京农村商业银行安全集成项目 贵州烟草工业公司安全集成项目 贵州烟草商业公司安全集成项目 宁波卷烟厂安全集成项目 上海电力安全管理平台建设项目 浙江省委安全建设项目 新郑烟草集团安全集成项目 宁夏烟草安全集成项目 中国电信安全建设项目 ……
安全管理平台发展的几个趋势
趋势一:加强基础信息采集
基础信息采集平台
接口
报警
操作 日志
安全事件
状态信息
资产变更
环境信息
安全管理平台发展的几个趋势
趋势二:求同存异,各司其责
与各种第三方系统的配合程度逐步提高 与网管 与资产管理 与工作流程 与物理安全等等.. 与物理安全等等..
安全管理平台发展的几个趋势
趋势三:结合服务与运营
通过安全服务的结合,进一步加强安全管理平台对安全管 理的支撑 – 构建监控服务中心 – 自评估服务系统 – 企业自服务系统 – 知识管理系统 – 。。。
安全管理平台发展的几个趋势
趋势四:面向业务安全
基于业务的SOC – 从资产价值走向业务价值 – 从信息安全走向业务安全 – SOC与业务流程的整合(配置管理、工作流…..)
天融信安全管理平台
用户管理
• TopAnalyzer是一个多用户系统,允许多个 用户同时登录、查看或者处理用户本身权 限范围内可浏览到的信息。 • 用户管理将实现如何配置角色和用户,以 及如何实现对资源的授权管理。
天融信安全管理平台
安全策略管理
• TopAnalyzer所提供的安全策略管理功能可 协助用户制定各种级别,针对不同对象 (人员、设备、应用)的安全策略。 • 安全策略管理能够实现安全策略的数据导 出、安全策略的数据统计、安全策略的定 时发布、安全策略评估等功能 。
天融信安全管理平台
数据库管理
• 通过TopAnalyzer界面,可以直接查看 TopAnalyzer所用数据库的详细信息,包括 数据库版本号、数据库分区信息,并进行 导出、导入管理。
天融信安全管理平台
辅助决策管理
• TopAnalyzer提供辅助决策功能,在处理事 件时能够采用标准的安全专家知识。 • 每当管理员查看事件并调用辅助决策时, 系统会根据事件的信息自动匹配辅助决策, 由用户决定是否对事件进行处理及如何处 理。
天融信安全管理平台
动态黑名单管理
• TopAnalyzer可以通过关联分析动态维护动 态黑名单,也支持手工添加。通过动态黑 名单,可以清楚明了地知晓企业网络中存 在的威胁。
天融信安全管理平台
报表输出管理
• TopAnalyzer能够对系统中已经生成的报表 进行管理,通过手工生成报表和计划生成 报表,提供各类统计信息的直观综合的视 图。
网络卫士安全管理系统TSM 网络卫士安全管理系统TSM ——安全信息管理平台 ——安全信息管理平台
2011年5月 年 月
天融信安徽办 肖庆斌
提纲
安全管理平台概述 安全管理平台在信息产业中的地位 安全管理平台的几个趋势 天融信安全管理系统(TSM) 天融信安全管理系统(TSM) 安全信息管理平台介绍 成功案例
安全管理平台概述
安全管理平台(SOC)背景
– 传统的NOC缺乏技术支撑。 随着信息安全问题的日益突出,安全管理 理论与技术的不断发展,需要从安全的角度去 管理整个网络和系统,而传统的NOC在这方面 缺少技术支撑,于是,出现了SOC的概念。 – SOC产生的动因 安全产品在企业防护系统中形成一个个独 立的孤岛,信息系统审计和内控要求和等级保 护要求,以及不断增强的业务持续性需求,
安全管理平台概述
SOC本质: 本质: 本质 不是一款单纯的产品,而是一个复杂的系统,他既 有产品,又有服务,还有运维(运营),SOC是技术、流 程和人的有机结合。
SOC定义 定义: 定义 以资产为核心,以安全事件管理为关键流程,采用 安全域划分的思想,统一事件处理和策略管理;安全 监视控制和及时安全预警和响应。
天融信安全管理平台
实时关联分析
• TopAnalyzer采用基于状态机的实时关联检测技术,通过 有效的关联全网的安全事件,可更加精确的判断引发事件 的真正原因和隐藏的威胁,并帮助分析攻击的有效性,保 护用户关键的资产或关键的应用。 • 通过使用已定义的关联分析,可实现对攻击场景和过程的 还原。 • 有助于降低入侵检测系统(IDS)的信噪比,并且可以帮 助用户定位潜在的业务信息系统问题,提高和保证客户业 务信息系统的服务质量(QoS)。 • 与传统的基于事后数据及数据库的事件关联分析技术相比, 系统更据有实时性,这样就为快速响应及动态网络攻击防 御提供了基础。
天融信安全管理平台
风险管理
• 通过风险管理,TopAnalyzer可以动态、实 时地对网络所面临的风险进行评估分析, 根据分析的结果提供各类风险视图,并对 到达一定级别的风险自动地做出响应。 主 要包括:
– 风险评估 – 风险查看 – 风险报警
天融信安全管理平台
事件管理ቤተ መጻሕፍቲ ባይዱ
• TopAnalyzer对采集的各类安全事件执行标准化、过滤、 分类、归并、响应等事件处理过程,同时存储到数据库中。 主要包括:
产品与服务) 两个维度 (产品与服务 产品与服务 产品: 产品:
1、狭义上 ——安全设备的集中管理,包括集中的运行 状态监控、事 件采集分析、安全策略下发。 2、广义上——所有IT资源,甚至是业务系统进行集中 的安全管理,包括对IT资源的运行监控、事件采集分析, 还包括风险管理与运维等内容
安全管理发展现状
提纲
安全管理平台概述 安全管理平台发展现状 安全管理平台的几个趋势 天融信安全管理系统(TSM) 天融信安全管理系统(TSM) 安全信息管理平台介绍
天融信安全信息管理平台
TopAnalyzer结构体系 • 天融信安全管理平台(简称TopAnalyzer)网络卫士安全管 理系统(TSM)的核心组件。 • 从系统组件上,TopAnalyzer可以分为三大组件:服务器 (TopAnalyzer Server)、代理(Agent)和数据库 (TopAnalyzer DataBase)。 – 代理(Agent)负责在网络中采集全网安全事件,预处 理(对原始安全事件进行收集、过滤、归并等操作) 后发送给服务器(TopAnalyzer Server); – 服务器负责对预处理后的安全事件进行集中分析、响 应、可视化输出以及做出专家建议; – 数据库则负责集中存储预处理后的安全事件。
天融信安全管理平台
资产管理 • TopAnalyzer通过对关键资产的实时监控,分析和 评估资产的风险和价值。主要包括:
– – – – – – – 资产类型管理 物理位置管理 行政信息管理 漏洞查看和关联 补丁查看和关联 综合查询 变更历史管理