24
SIM的2005统计
25
SIM的2007统计
26
3
安全运营中心（SOC）的发展
海量事件＆安全噪音
• 每日多达上千万的事件量 • 技术人力的局限 • 较高的安全误报率
（重复、无用及错误！）
• 真正安全风险的无法可视 • 缺乏业务优先级的安全保障
4
安全运营中心（SOC）的发展
安全保障是闭环的吗？
在过去的安全事故里，资源滥用是企业信息安全中最为头疼的问题之 一；如蠕虫病毒的安全防护。
10
SOC管理模型2－资产管理
SOC的资产管理主要是通过风险评估进行资产初始化的，然后在SOC运维
过程中通过其相关流程（如：配置管理等流程）进行不断地持续性改进。
SOC的资产管理不仅仅涉及传统资产管理中基本特征的统计，如：资产名
称、IP地址等，由于SOC最终帮助用户实现的是业务管理，所以我们需要资产
Firewall
Switch
CRM Server
12
SOC的平台架构
业 务 应 应用 1 应用 2 应用 3 应用 4 用
应用 N
反制 恢复 响应 安全业务系统 预警 检测 防护
需 求
业务需求
管理模块
业务安全建模
S
运营策略
O
SOC平台 管理模块
基于服务的交换核心
C 平
安全资源
台
管理模块
安全中间件组件
21
SOC平台－流程规划
22
SOC平台－流程建议
基于 ITIL 服务 支持 模型
流程 梳理 实施 计划
23
SIM的发展简介
全球SIEM市场份额大概18亿美金，其 中SEM部分大致3亿美金左右；
SIEM一般分为三大类： .事件异常管理，如：BI等应用 .事件策略管理，如：法规遵从性 .事件风险管理，如：安全管理
关联业务资产的 整个IT设备
以运营为核心的 IT系统（人、流程等）
较高 IT成熟度
8
SOC的管理模型
形成
业务损失
安全风险
发生
SOC管理模型
事
安全目标
件
事
检
安件全事件 准A 备
安全事件 测 B
资产管理
事 件
业务
事安全事件管理
造成抑业务损失
制
安全事故
件 跟 踪
事
件 信息事件
事
恢
件
复
不发生安全事故 少发生安全事故
资产管理
病毒管理
补丁管理
补丁自动检测 补丁自动测试 补丁自动更新 补丁自动分发 补丁自动通知 补丁策略制定
16
SOC平台－组织规划
安 全 技 术 团 队
17
SOC平台－组织建议
高层领导的有效参与和支持！
.“充分的授权 ” <－> “企业加强安全的决心”
安全文化的融入与推广！
. “文化的融入 ” <－> “信息的传递 ” . “效果的评估 ” <－> “KPI的稽核”
根
发生事故减少损失
除
威弱影 胁点响
信息资产
信息管理系统
信息存储系统
信息
信息处理系统
信息传输系统
9
SOC管理模型1－事件管理
首先我们先来了解作为SOC管理模型的底层纽带 －“事件管理”。
“事件管理”在对安全事件进行管理时，主要涉 及到四个核心的处理过程：
统一化（Normalization） 整合化（Aggregation） 关联化（Correlation） 可视化（Visualization）
人才外聘和组织合作！
. “人员的外聘 ” <－> “规避了内部人力的限制” . “顾问的善用 ” <－> “专业经验的分享” . “组织的合作 ” <－> “业务、市场的互补”
18
SOC平台－人员规划
人员这部份需要相当时间来筛选或培训其合适的人才，有些组织则外聘适 合的安全顾问与安全分析师，分阶段的进行内部技术转移，不论是内部或外部 资源，良好的管理是不二法门。
企业的安全状况，例如：
1.从业务底层的数据角度;
2.从业务周期的时间角度；
3.从业务运行的流程角度；
4.从业务相关的商务角度等多个方面。
业
商务特性
务
流程特性
管
理
时间特性
数据特性
工作时间：9:00 --- 17:30
User : Allen
Internet
IP : 192.168.8.12
Router
管理标准：选择ISO27001/27002、ITIL、COBIT等
Plan
技术标准：选择符合ISO15408 标准的产品
工程标准：选择SSE -CMM规定的过程控制
设计思路：可信网络架构
设计模型：PDCA { Plan--Do--Check--Action }
组织
技术
流程Leabharlann SOC 所 选 的 控 制 措 施 SOC安全稽核 风 险 评 价
SOC安全认证
ISO27002 描述了11个方面 ，根据业务需要去选择.
Do
Check
对SOC运营进行全面的稽 核，从而优化和保障SOC.
认证机构对SOC的安全保 障能力进行认证.
SOC运营（运行、维护和管理）
Action
14
SOC体系规划
基
业务持续运营
降低安全风险
于
“
2
SOC的管理范围
-
4
预警管理 威胁管理 弱点管理 资产管理
复杂性 易只变需关性注业务应用 一技术致支性撑的高效管理 不开可放见架构性与开放参与
安全总成本
设计
部署
运行
安全
导向 保障
用户
电信业务应用
隔离了底层技术复杂性、异构性 实现了一致性、灵活性、可视性
SOC平台
安全资源
安全技术 安全策略
相关人员 安全设施
6
什么是安全运营中心（SOC）？
安全运营中心（SOC: Security Operation Center ）是以风 险管理为核心，由人、技术 和流程三个元素构成的安 全管理组织形式。
具备相关的业务属性：
1.区域特征；
2.资产交互特征；
3.脆弱性特征等；
天融信 部分资产列表
你有哪些资产？ 资产的价值？ 资产价值
资产属性 资产类别
资产目前的安全状况？
资产的相关属性？
资产管理
Internet
风险评估
11
SOC管理模型3－业务管理
SOC的“业务管理”是帮助用户从业务的角度去审视和管理整个
可信的网络安全支撑平台
－SOC解决方案
1
安全运营中心（SOC）的发展
我们现在的网 络安全吗？
设计
部署
运行
安全
我们下一步应 该怎样做？
导向 保障
企业 业务需求
我们的安全投 资有价值吗？
安 全 资 源
安全策略
安全产品
相关人员 IT设施
2
安全运营中心（SOC）的发展
分散的专业解决方案
• 防火墙、入侵检测系统、防病毒系统、异常流量防御系统； • 每个系统都有独立的管理监控系统； • 非安全产品也有安全相关的事件；
7
第1 阶段
安全运营中心（SOC）的发展
第2 阶段
第3 阶段
第4 阶段
数据管理
日志审计统计
单一的 安全设备
信息管理
知识管理
运营管理
事件关联分析 （事件威胁特征）
资产关联分析、 业务角度进行展现
（风险3要素）
安全管理对象
确定IT治理目标、 整合IT服务流程、 贯彻IT风险管理、 实现IT安全运营。
传统的IT 网络安全设备
19
SOC平台－人员培训一
安全支持团队培训计划 :
安全运维工程师：
高 S阶OC管安理全人事员件培收集训配计置划管：理
ITSSSS./OOOO.OCCCC.p.e控安安安.r.a制全全全ti台事应运on管件用维经理收实策理集施略:配管管置理理管理 安SSSSSSSSSSSS全OOOOOOOOOOOOCCCCCCCCCCCC分安安安基控安安安安IIB析TTC全全全于制全全全全P设设师和事应运业台事事应运备备:D故用维务管件故用维策性CP处实策应理收处实策略能的理施略用集理施略管管管管管管的配管管管理理理理理理安置理理理全管策理略管理 .S.O.C.基..于业务应用的安全策略管理
可信网络架构
技术规封范 装
安 全 资 源 安全策略 安全技术 安全设施 安全专家
其他资源
13
SOC定级
持
SOC建设
续 改 进
SOC运营
SOC平台的生命周期
确 定 SOC安全业务等级 风 险 评 估
建立 SOC的安全策略
风险管理
主要目的：构建以等级保护为核心的支撑平台
政策标准：中办17号文件、27号文件和66号文件
报表管理 响应管理
策略配置
授权管理
监控管理
Process
风险管理
终端管理
鉴别管理
用户管理
用户名称 单位部门 联系mail 联系电话 帐户信息
事件管理
People
安全运营中心
事件收集 事件格式化 事件分类 事件关联分析 事件可视化 自动响应 报表输出 事件定位
资产添加 资产属性修改
资产删除 资产分配 资产价值评估 资产分类 资产精确定位 资产入网统计
. 如何调整安全防护 策略应对蠕虫病毒？
防护