本发明专利技术涉及信息安全技术领域,尤其是一种能够进行协同分析的安全管理中心。本发明专利技术的安全管理中心由安全事件管理模块、安全业务模块、控制中心、安全策略库、日志数据库、网间协作模块构成;通过网间协作模块结合自身的工作任务,判定是否需要其它安全管理中心的协同;若需要进行协同,则与其它安全管理中心之间进行通信,传输相关数据,请求它们协助自己完成安全威胁确认等任务。本发明专利技术解决了安全管理中心的协同分析问题;可以用于信息安全管理的安全管理中心。
【技术实现步骤摘要】
—种能够进行协同分析的安全管理中心
本专利技术涉及信息安全
,尤其是一种能够进行协同分析的安全管理中心。
技术介绍
安全管理中心(Security Operat1n Center)是描述能够对多种信息安全事件提供收集、分析和响应的管理平台的术语,S0C的核心功能是检测和响应功能,其基于从各类信息安全设备收集的海量安全事件,进行分析,判断其管理的信息系统的安全状态和安全趋势,对危害严重的安全事件及时做出反应。 信息安全事件:各类信息安全设备产生的日志信息、告警信息等 随着我国信息化建设的推进和社会各界对信息安全重视程度的提高,防火墙、防病毒与IDS(入侵检测系统)、VPN、安全审计产品等已经在很多单位得到部署。但信息安全是一个复杂的、综合性、全局性的工程,部署大量安全设备使得对它们的管理变得日渐复杂,加重了网管人员的负担;同时,由于历史原因,现有部署的安全设备往往都是各自为政,“信息孤岛”现象严重,设备之间难以联动,误报率和漏报率较高,用户面对每天产生的海量的安全日志望洋兴叹,很难得出具有价值的系统整体安全形势分析报告,难以应对当前日益复杂多变的安全威胁。为此,能够把分散的安全设备、安全策略、安全日志进行统一管理和运营的综合性安全管理中心(Security Operat1n Center, S0C)产品应运而生。也有称之为安全运营中心。以下都采用S0C简称。 建设和运行S0C的主要目的是为了扭转当前的信息安全防护产品和手段“各自为政,联动不足”的不利局面,其依据IS0/IEC 27000系列信息安全标准,结合安全服务的最佳实践,以资产管理为基础,以风险管理为核心,以事件管理为主线,通过深度数据挖掘、事件关联等技术,辅以有效的网络管理与监视,安全报警响应,工单处理等功能,对企业内部各类安全事件进行集中管理和智能分析,最终实现对企业安全风险态势的统一监控分析和预警处理。对于业务集中的单位而言,总体而言,S0C已经发挥了较大的作用,减轻了管理人员的负担,减少了不同安全设备报警信息相互冲突的次数。 应该认识到S0C在信息安全防御方面并不是万能的,用户不能期待建设了 S0C就能从此就高枕无忧。在实践中,很多较大的单位已经认识到面对日益增多的设备和海量日志,只建设一个S0C显得力不从心。在实际建设过程中,根据业务系统的规模,各单位可根据地理位置建设多个S0C。以一个省级电信公司为例,常采取的方式是在每个地级市建设各自的S0C来管理每个区域内设备。各S0C采集和分析其管理地理区域内信息设备收集的安全日志,分析本地的信息安全态势,并根据态势向所管理的设备下发统一的信息安全策略。 现实中的业务对S0C的分析能力和智能化水平也提出了更高的要求,面对各类设备每天产生的海量日志、报警、流量信息,S0C需要以各种海量数据实时分析技术为基础,对日志、报警、流量等各种不同的数据进行智能分析和智能处理,将用户从海量的分析中解脱出来,提升安全工作的效率。面对这样的现实需求,如果只依靠单一 S0C的处理,则难以发现更为隐秘的攻击信息。 经检索, 申请人:发现以下关于SOC的公开文献: 1、一种计算机网络的网络安全系统及其控制方法(申请号:CN03128526.0)提出如下方案:包括网络安全管理中心、网络安全设备和适配器,适配器位于网络安全管理中心与网络安全设备之间,网络安全管理中心与适配器之间采用网络协议通信,适配器与网络安全设备之间采用网络安全设备的网络协议和对应端口进行通信;由适配器实现与网络安全设备通信的网络协议,并转换数据格式,对网络安全设备的配置管理信息和安全信息进行初步处理,而网络安全管理中心则集中管理适配器,对来自网络安全设备的安全信息进行进一步的处理和存储。 2、通用网管安全管理系统及其方法(申请号:CN200510036123.1)提出如下方案:将不同设备厂商提供的网络设备即功能实体划分到不同安全域,在每个安全域内设至少一个安全管理网关,用于将该安全域内的安全管理接口适配到通用安全管理接口,而通过通用安全管理接口即可实现由安全管理中心对全网功能实体的集中安全管理,另外还对安全管理员提供安全管理操作接口 ;通过用户管理、用户授权、用户认证和用户鉴权四个工作流程实现通用安全管理系统运作;上述安全管理网关和功能实体都是逻辑实体。 3、多访问控制机制结合的系统保护架构及方法(申请号:CN200910082000.X)公开了一种多访问控制机制结合的系统保护架构,包括基于多层次访问控制机制的主系统及实现多层访问控制机制联动的三权分立的安全管理中心,其中,主系统包括终端资源层、应用服务层和边界层;安全管理中心对分布于终端资源层、应用服务层及边界层的访问请求进行统一裁决并下发控制策略,且包括安全管理子系统、系统管理子系统和审计子系统;所述安全管理子系统主要实施标记管理、授权管理及策略管理;所述系统管理子系统则是负责身份管理和资源管理;所述审计子系统对系统中各用户操作行为进行审计,对安全事件及时做出响应。本专利技术优点在于系统拥有对恶意代码的免疫能力,非授权用户无法对敏感信息实施操作以及为访问控制的实施起监督作用。 4、通用网络安全管理系统及其管理方法(申请号:CN200910023082.0)公开了一种通用网络安全管理系统及其管理方法,主要解决现有网络安全管理系统开放性差、扩展性差和功能完备性弱的缺点。该系统主要由外围设备、安全代理终端、安全管理中心和终端管理设备组成,安全管理中心通过接口组件、数据库模块和用户接口组件将网络访问控制、入侵检测、病毒检测和漏洞管理安全技术应用到安全代理终端上,在统一的管理和控制下,使各种安全技术彼此补充、相互配合,对网络行为进行检测和控制,形成一个安全策略集中管理、安全检测分散布置的分布式安全防护体系结构。 5、多级安全互联平台的多级互联安全管理中心子系统(申请号:CN201110250369.4),多级安全互联平台的多级互联安全管理中心子系统,该多级互联安全管理中心子系统包括Bowser模块、MySQL模块、WebAgent模块,其中:I) Bowser模块模块用于向管理员用户提供Π交互界面;2)MySQL模块模块用于提供管理中心后台数据支持;3)WebAgent用于与节点、L端和H端数据交换前置子系统、三系统安全互联部件子系统的管理数据交互。该专利技术主要应用于工业企业管理网和工业控制网之间的数据交换访问控制,保障用户在授权情况下才能访问。 综上所述,现有公开的技术方案已提出了各种SOC设计方案,但都只是论述如何建设一个单独的S0C。在设计理念上,只强调了各SOC处理本地信息安全日志,分析本地安全态势,没有考虑已运行的多个SOC之间如何进行通信和协同分析。对于一个已有多个SOC运营的单位,各SOC的工作负载往往是不一样的,例如某个SOC在某段时间内需要分析的日志数据非常多,而另外的SOC的任务却相对空闲,因此现有技术手段的缺陷在于:1)未能充分调动各SOC进行协同式分析,造成了信息资源浪费。2)由于网络越来越复杂,信息安全攻击越来越隐蔽,不同SOC往往陷入“只见树木,不见森林”的局面,容易出现误报或者漏报。
技术实现思路
本专利技术解决本文档来自技高网...
【技术保护点】
一种能够进行协同分析的安全管理中心,其特征在于:所述的安全管理中心包括安全事件管理模块、安全业务模块、控制中心、安全策略库、日志数据库、网间协作模块;所述的安全事件管理模块包括安全事件收集子模块、安全事件预处理子模块和安全事件分析子模块;安全事件收集子模块能够通过多种方式收集各类信息安全设备发送的安全事件信息,收集方式包含以下几种:(1)基于SNMP Trap和Syslog方式收集事件;(2)通过ODBC数据库接口获取设备在各种数据库中的安全相关信息;(4)通过OPSec接口接收事件;收集安全事件信息,发送到安全事件预处理模块进行处理;所述的安全事件预处理模块对信息进行标准化、过滤、归并处理;所述的安全事件分析子模块对安全事件预处理模块发送过来的信息进行关联分析、事件告警处理;所述的安全策略库,主要功能是传递各类安全管理信息,同时将处理过的安全事件方法和方案收集起来,形成安全共享知识库,为培养高素质网络安全技术人员提供培训资源;信息内容包括安全管理信息、风险评估信息、网络安全预警信息、网络安全策略以及安全案例库等安全信息;所述的安全日志库主要功能是存储事件管理模块中收集的安全日志。可采用Oracle、DB2、SQLServer等主流的关系性数据库实现;所述的安全业务模块包括拓扑管理子模块、安全风险评估子模块,所述的拓扑管理子模块可以:1)通过网络嗅探自动发现加入网络中的设备及其连接,获取最初的资产信息;(2)对网络拓扑进行监控,监控节点运行状态;(3)识别新加入和退出节点;(4)改变网络拓扑结构;所述的安全风险评估子模块将信息系统安全风险分为五个等级,从低到高分别为:微风险、一般风险、中等风险、高风险和极高风险;所述的控制中心模块负责管理全网的安全策略,进行配置管理,对全网资产进行统一配置和策略统一下发,并不断进行优化调整;提供全网安全威胁和事故的集中处理服务,事件的响应可通过各系统的联动、向第三方提供事件信息传递接口、输出任务工单等方式实现;对于确认的安全事件可以通过自动响应机制,一方面给出如控制台显示、邮件、短信等多种告警方式,另一方面通过安全联动机制如路由器远程控制、交换机远程控制等阻止攻击;各系统之间联动通过集合防火墙、入侵监测、防病毒系统、扫描器的综合信息,通过自动调整安全管理中心内各安全产品的安全策略,以减弱或者消除安全事件的影响;所述的网间协作模块主要功能是:根据结合自身的工作任务,判定是否需要其它安全管理中心的协同;若需要进行协同,则与其它安全管理中心之间进行通信,传输相关数据,请求它们协助自己完成安全威胁确认等任务;安全管理中心利用安全事件管理模块的分析结果,完成资产的信息安全风险计算工作,进行定损分析,并自动触发任务单和响应来降低资产风险,达到管理和控制风险的效果。...
【技术特征摘要】
1.一种能够进行协同分析的安全管理中心,其特征在于:所述的安全管理中心包括安全事件管理模块、安全业务模块、控制中心、安全策略库、日志数据库、网间协作模块; 所述的安全事件管理模块包括安全事件收集子模块、安全事件预处理子模块和安全事件分析子模块;安全事件收集子模块能够通过多种方式收集各类信息安全设备发送的安全事件信息,收集方式包含以下几种:(1)基于SNMP Trap和Syslog方式收集事件;(2)通过ODBC数据库接口获取设备在各种数据库中的安全相关信息;(4)通过OPSec接口接收事件;收集安全事件信息,发送到安全事件预处理模块进行处理;所述的安全事件预处理模块对信息进行标准化、过滤、归并处理;所述的安全事件分析子模块对安全事件预处理模块发送过来的信息进行关联分析、事件告警处理; 所述的安全策略库,主要功能是传递各类安全管理信息,同时将处理过的安全事件方法和方案收集起来,形成安全共享知识库,为培养高素质网络安全技术人员提供培训资源;信息内容包括安全管理信息、风险评估信息、网络安全预警信息、网络安全策略以及安全案例库等安全信息; 所述的安全日志库主要功能是存储事件管理模块中收集的安全日志。可采用Oracle、DB2、SQLServer等主流的关系性数据库实现; 所述的安全业务模块包括拓扑管理子模块、安全风险评估子模块,所述的拓扑管理子模块可以:1)通过网络嗅探自动发现加入网络中的设备及其连接,获取最初的资产信息;(2)对网络拓扑进行监控,监控节点运行状态;(3)识别新加入和退出节点;(4)改变网络拓扑结构;所述的安全风险评估子模块将信息系统安全风险分为五个等级,从低到高分别为:微风险、一般风险、中等风险、高风险和极高风险; 所述的控制中心模块负责管理全网的安全策略,进行配置管理,对全网资产进行统...
【专利技术属性】
技术研发人员:王伟,岳强,
申请(专利权)人:广东电子工业研究院有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。