蓝盾SOC系统在网络安全管理中的应用
本文结合对信息安全发展的需求分析,总结出蓝盾安全综合管理平台系统(BD-SOC)的应用特征,有助于推动网络信息安全技术的发展。
摘要:SOC的定义多种多样,由于其内涵丰富、应用范围广,很难给出准确定义。一般说来, SoC称为系统级芯片,也有称片上系统,意指它是一个产品,是一个有专用目标的集成电路,其中包含完整系统并有嵌入软件的全部内容。同时它又是一种技术,用以实现从确定系统功能开始,到软/硬件划分,并完成设计的整个过程。
关键词:蓝盾 ;信息安全;SOC
1.前言
为了解决网络不断出现的安全问题,政府和企业先后部署了安全设备,甚至建立了自己的专业技术队伍,对信息系统进行安全维护和保障。但是由于IT环境中存在较多的安全设备和大量的日志信息,安全管理人员面对众多的控制台界面、告警窗口和日志信息,往往束手无策,导致工作效率低,难以发现真正的安全隐患。并且这些安全设备都仅仅防堵来自某个方面的安全威胁,形成了一个个的安全防御孤岛,无法产生协同效应。
2.需求分析
在越来越多安全设备使用的情况下,面对复杂的网络环境,信息安全事件变化多端,政府和企业的信息安全管理者责任也就越来越重,在日常管理工作中,出现了以下新的需求:
一.安全设备需要进行统一管理。在实际网络中,为了保障网络安全,政府或企业都部署了大量的安全设备(这些安全设备可能来自于不同的厂商),但这些安全设备相对孤立,各负其责,要管理起来非常不方便。设备运行状态、设备稳定性等都没法得到及时把控,严重时会影响整个网络的应用,甚至中断业务。
二.安全策略需要统一部署,维护人员在面对大量且不断变化的外部威胁时,需要在安全设备上配置安全策略以保障网络安全,但在大量的安全设备中进行逐台配置,给维护人员带来了极大的不便和大量的重复性作业。并且在面对网络突发事件时,可能会影响维护人员处理时间的响应速度,给政府或企业带来重大的损失。
三.安全事件需要集中分析管理。在实际网络中,各种应用和安全设备在运行过程中各自产生大量的日志,如果单靠专业人员手动去分析判断这些分散在各个设备中的日志信息是很困难的,因此需要一种把安全事件集中收集并自动分析的方法来迅速地在这些大量日志信息中准确地发现有害事件。
四.需要提高网络系统的风险管理和脆弱性评估能力。网络系统存在的脆弱性是网络攻击发生的前提,但是在实际网络中,很少有自动化的风险管理和脆弱性评估的方法,只能通过人工分析找出安全隐患和可能被不法人员利用的系统缺陷。这样一种被动的方式使维护人员很容易漏掉一些安全隐患,给政府或企业的网络带来很大的风险。
3.SOC系统建设意义
信息安全的发展随着网络建设经历了三个阶段:一是防病毒、防火墙+IDS(入侵检测系统)部署的初级阶段。二是随着信息系统速度发展,各种业务信息化推进,对信息安全产生巨大的需求(包括网关防护、安全审计管理、终端安全和应用安全),并大量的使用区域边界防护与脆弱性扫描与用户接入控制技术等,此时的安全技术分为防护、监控、审计、认证、扫描等多种体系,纷繁复杂,称为安全建设阶段。三是随着业务高度信息化,信息安全管理成为信息建设的必要组成部分,把分散的安全设备、安全策略、安全事件统一管理与统一运营,成为安全管理阶段,最典型的就是综合性的安全管理中心(Security Operation Center)SOC的建设。
蓝盾公司开发的安全综合管理平台系统(BD-SOC),由“四个中心、六个功能模块”组成,实现了信息采集、分析处理、响应管理、风险评估、流程规范、综合展示等网络安全管理需具备的所有功能。
“四个中心”:网络管理中心、风险评估中心、安全事件监控中心和预警与响应中心。
“六个功能模块”:资产管理、日志管理、配置策略管理、报表管理、安全知识管理和报修管理。
4.BD-SOC系统应用特征
蓝盾的SOC系统根据用户切实的需求,以方便用户对安全设备和安全事件进行集中管理,保障用户网络安全可靠为前提,在应用上体现了以下四方面的特色:
一.协助用户对安全设备进行集中管理
1 统一的资源监控,提供一个全方位监控的统一管理平台,确保资源的可用性以及业务的特殊性。
2 拓扑图形显示,能自动识别和发现新加入的安全产品。
3 安全设备的实时性能分析,能够实时查看设备的CPU利用率,内存利用率等情况。
4 网络故障的直观图形显示,当设备发生故障时,可以通过图标颜色的变化在网络拓扑中显示出来,可以一目了然地发现网络和设备的故障所在。
5 提供多种安全信息查询、报表分析及网络安全报告,并以表格和图形的形式呈现出来。
6提供灵活查询功能和分析规则,能够根据用户的需求生成日报表,周报表,月报表和年报表等,报表可以另存为HTML、Excel、文本、PDF等多种格式。
二.方便用户统一配置安全策略
BD-SOC系统采用安全策略的集中编辑及下发来统一对安全设备进行配置。以前在配置安全策略时,需要登录网络中的每台设备,对其进行安全策略的配置,这是一种“登录—配置”的过程。BD-SOC系统能够对全网安全设备的安全规则进行统一的集中编辑,并进行策略下发,把配置安全策略的过程转变为“编辑——下发”的过程,极大的降低了维护人员的`工作量、减少了安全策略的冲突和漏洞、增强了全网的整体安全性。
三.帮助用户集中管理安全事件
1统一日志监控。BD—SOC把网络安全设备、安全系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警全部汇集起来,使得用户通过单一的管理控制台对IT计算环境的安全信息(日志)进行统一监控。
2 日志归一化与实时关联分析。收集并归一化所有安全日志和告警信息,然后通过智能事件关联分析,帮助安全管理员实时进行日志分析,迅速识别安全事件,从而及时做出相应。
3可视化日志分析。BD—SOC具备强大的事件可视化能力,事件可视化可以是柱图、饼图、曲线图等统计趋势图表的展示。