信息安全管理中心设计研究

1系统架构

该系统包括安全事件管理模块、安全业务模块、控制中心、安全策略库、日志数据库、网间协作模块。

1.1安全事件管理模块

1.1.1安全事件收集子模块

能够通过多种方式收集各类信息安全设备发送的安全事件信息，收集方式包含几种：(1)基于SNMPTrap和Syslog方式收集事件；(2)通过0DBC数据库接口获取设备在各种数据库中的安全相关信息；(3)通过OPSec接口接收事件。在收集安全事件后，还需要安全事件预处理模块的处理后，才能送到安全事件分析子模块进行分析。

1.1.2安全事件预处理模块

通过几个步骤进行安全事件的预处理：（1）标准化：将外部设备的日志统一格式；（2）过滤：在标准化步骤后，自定义具有特别属性(包括事件名称、内容、产生事件设备IP/MAC等)的不关心的安全事件进行丢弃或特别关注的安全事件进行特别标记；（3）归并：针对大量相同属性事件进行合并整理。

1.1.3安全事件分析子模块

关联分析：通过内置的安全规则库，将原本孤立的实时事件进行纵向时间轴与历史事件比对和横向属性轴与其他安全事件比对，识别威胁事件。事件分析子模块是SOC系统中最复杂的部分，涉及各种分析技术，包括相关性分析、结构化分析、入侵路径分析、行为分析。事件告警：通过上述过程产生的告警信息通过XML格式进行安全信息标准化、规范化，告警信息集中存储于日志数据库，能够满足容纳长时间信息存储的需求。

1.2安全策略库及日志库

安全策略库主要功能是传递各类安全管理信息，同时将处理过的安全事件方法和方案收集起来，形成安全共享知识库，为培养高素质网络安全技术人员提供培训资源。信息内容包括安全管理信息、风险评估信息、网络安全预警信息、网络安全策略以及安全案例库等安全信息。安全日志库主要功能是存储事件管理模块中收集的安全日志，可采用主流的关系性数据库实现，例如Oracle、DB2、SQLServer等。

1.3安全业务模块

安全业务模块包括拓扑管理子模块和安全风险评估子模块。拓扑管理子模块具备的功能：(1)通过网络嗅探自动发现加入网络中的设备及其连接，获取最初的资产信息；(2)对网络拓扑进行监控，监控节点运行状态；(3)识别新加入和退出节点；(4)改变网络拓扑结构，其过程与现有同类SOC产品类似，在此不再赘述。目前按照国标（GB/T20984-2007信息安全风险评估规范），将信息系统安全风险分为五个等级，从低到高分别为微风险、一般风险、中等风险、高风险和极高风险。系统将通过接收安全事件管理模块的分析结果，完成资产的信息安全风险计算工作，进行定损分析，并自动触发任务单和响应来降低资产风险，达到管理和控制风险的效果。

1.4控制中心模块

该模块负责管理全网的安全策略，进行配置管理，对全网资产进行统一配置和策略统一下发，改变当前需要对每个设备分别下方策略所带来的管理负担，并不断进行优化调整。控制中心提供全网安全威胁和事故的集中处理服务，事件的响应可通过各系统的联动、向第三方提供事件信息传递接口、输出任务工单等方式实现。该模块对于确认的安全事件可以通过自动响应机制，一方面给出多种告警方式（如控制台显示、邮件、短信等），另一方面通过安全联动机制阻止攻击（如路由器远程控制、交换机远程控制等）。各系统之间联动通过集合防火墙、入侵监测、防病毒系统、扫描器的综合信息，通过自动调整安全管理中心内各安全产品的安全策略，以减弱或者消除安全事件的影响。

1.5网间协作模块

该模块的主要功能是根据结合自身的工作任务，判定是否需要其它SOC的协同。若需要进行协同，则与其它SOC之间进行通信，传输相关数据，请求它们协助自己完成安全威胁确认等任务。

2结束语

本文提出了一种协同式安全管理中心的实现方法。充分利用了各SOC的协同处理能力，在某个SOC发现疑似信息安全威胁但又不能准确判定时，结合其它SOC的处理能力和已掌握的疑似信息安全威胁，进行更加全面的判定，提高了发现威胁的准确率，同时在信息安全威胁转变为信息安全风险并造成更大危害之前能够更早地发现威胁，为后续安全事故的响应处理赢得更多时间。

作者：王伟 谢学富 杜志良 单位：广东电子工业研究院 中国科学院云计算产业技术创新与育成中心