信息安全管理中心設計研究論文

　　1系統架構

　　該系統包括安全事件管理模塊、安全業(yè)務(wù)模塊、控制中心、安全策略庫、日志數據庫、網(wǎng)間協(xié)作模塊。

　　1.1安全事件管理模塊

　　1.1.1安全事件收集子模塊

　　能夠通過(guò)多種方式收集各類(lèi)信息安全設備發(fā)送的安全事件信息，收集方式包含幾種：(1)基于SNMPTrap和Syslog方式收集事件；(2)通過(guò)0DBC數據庫接口獲取設備在各種數據庫中的安全相關(guān)信息；(3)通過(guò)OPSec接口接收事件。在收集安全事件后，還需要安全事件預處理模塊的處理后，才能送到安全事件分析子模塊進(jìn)行分析。

　　1.1.2安全事件預處理模塊

　　通過(guò)幾個(gè)步驟進(jìn)行安全事件的預處理：（1）標準化：將外部設備的日志統一格式；（2）過(guò)濾：在標準化步驟后，自定義具有特別屬性(包括事件名稱(chēng)、內容、產(chǎn)生事件設備IP/MAC等)的不關(guān)心的安全事件進(jìn)行丟棄或特別關(guān)注的安全事件進(jìn)行特別標記；（3）歸并：針對大量相同屬性事件進(jìn)行合并整理。

　　1.1.3安全事件分析子模塊

　　關(guān)聯(lián)分析：通過(guò)內置的安全規則庫，將原本孤立的實(shí)時(shí)事件進(jìn)行縱向時(shí)間軸與歷史事件比對和橫向屬性軸與其他安全事件比對，識別威脅事件。事件分析子模塊是SOC系統中最復雜的部分，涉及各種分析技術(shù)，包括相關(guān)性分析、結構化分析、入侵路徑分析、行為分析。事件告警：通過(guò)上述過(guò)程產(chǎn)生的告警信息通過(guò)XML格式進(jìn)行安全信息標準化、規范化，告警信息集中存儲于日志數據庫，能夠滿(mǎn)足容納長(cháng)時(shí)間信息存儲的需求。

　　1.2安全策略庫及日志庫

　　安全策略庫主要功能是傳遞各類(lèi)安全管理信息，同時(shí)將處理過(guò)的安全事件方法和方案收集起來(lái)，形成安全共享知識庫，為培養高素質(zhì)網(wǎng)絡(luò )安全技術(shù)人員提供培訓資源。信息內容包括安全管理信息、風(fēng)險評估信息、網(wǎng)絡(luò )安全預警信息、網(wǎng)絡(luò )安全策略以及安全案例庫等安全信息。安全日志庫主要功能是存儲事件管理模塊中收集的安全日志，可采用主流的關(guān)系性數據庫實(shí)現，例如Oracle、DB2、SQLServer等。

　　1.3安全業(yè)務(wù)模塊

　　安全業(yè)務(wù)模塊包括拓撲管理子模塊和安全風(fēng)險評估子模塊。拓撲管理子模塊具備的功能：(1)通過(guò)網(wǎng)絡(luò )嗅探自動(dòng)發(fā)現加入網(wǎng)絡(luò )中的設備及其連接，獲取最初的資產(chǎn)信息；(2)對網(wǎng)絡(luò )拓撲進(jìn)行監控，監控節點(diǎn)運行狀態(tài)；(3)識別新加入和退出節點(diǎn)；(4)改變網(wǎng)絡(luò )拓撲結構，其過(guò)程與現有同類(lèi)SOC產(chǎn)品類(lèi)似，在此不再贅述。目前按照國標（GB/T20984-2007信息安全風(fēng)險評估規范），將信息系統安全風(fēng)險分為五個(gè)等級，從低到高分別為微風(fēng)險、一般風(fēng)險、中等風(fēng)險、高風(fēng)險和極高風(fēng)險。系統將通過(guò)接收安全事件管理模塊的分析結果，完成資產(chǎn)的信息安全風(fēng)險計算工作，進(jìn)行定損分析，并自動(dòng)觸發(fā)任務(wù)單和響應來(lái)降低資產(chǎn)風(fēng)險，達到管理和控制風(fēng)險的效果。

　　1.4控制中心模塊

　　該模塊負責管理全網(wǎng)的安全策略，進(jìn)行配置管理，對全網(wǎng)資產(chǎn)進(jìn)行統一配置和策略統一下發(fā)，改變當前需要對每個(gè)設備分別下方策略所帶來(lái)的管理負擔，并不斷進(jìn)行優(yōu)化調整�？刂浦行奶峁┤�網(wǎng)安全威脅和事故的集中處理服務(wù)，事件的響應可通過(guò)各系統的聯(lián)動(dòng)、向第三方提供事件信息傳遞接口、輸出任務(wù)工單等方式實(shí)現。該模塊對于確認的安全事件可以通過(guò)自動(dòng)響應機制，一方面給出多種告警方式（如控制臺顯示、郵件、短信等），另一方面通過(guò)安全聯(lián)動(dòng)機制阻止攻擊（如路由器遠程控制、交換機遠程控制等）。各系統之間聯(lián)動(dòng)通過(guò)集合防火墻、入侵監測、防病毒系統、掃描器的綜合信息，通過(guò)自動(dòng)調整安全管理中心內各安全產(chǎn)品的安全策略，以減弱或者消除安全事件的影響。

　　1.5網(wǎng)間協(xié)作模塊

　　該模塊的主要功能是根據結合自身的工作任務(wù)，判定是否需要其它SOC的協(xié)同。若需要進(jìn)行協(xié)同，則與其它SOC之間進(jìn)行通信，傳輸相關(guān)數據，請求它們協(xié)助自己完成安全威脅確認等任務(wù)。

　　2結束語(yǔ)

　　本文提出了一種協(xié)同式安全管理中心的實(shí)現方法。充分利用了各SOC的協(xié)同處理能力，在某個(gè)SOC發(fā)現疑似信息安全威脅但又不能準確判定時(shí)，結合其它SOC的處理能力和已掌握的疑似信息安全威脅，進(jìn)行更加全面的判定，提高了發(fā)現威脅的準確率，同時(shí)在信息安全威脅轉變?yōu)樾畔�安全風(fēng)險并造成更大危害之前能夠更早地發(fā)現威脅，為后續安全事故的響應處理贏(yíng)得更多時(shí)間。

【信息安全管理中心設計研究論文】相關(guān)文章：

關(guān)于物聯(lián)網(wǎng)的信息安全技術(shù)研究論文09-29

網(wǎng)絡(luò )信息安全與防范論文05-23

網(wǎng)絡(luò )信息安全與防范論文11-05

計算機信息安全論文09-15

信息安全管理論文06-20

信息安全管理論文11-10

計算機信息安全論文05-21

網(wǎng)絡(luò )信息安全與防范論文[合集]05-25

信息安全管理論文(通用)06-14

計算機信息安全論文【精華】11-14