安全系統(tǒng)運營中心發(fā)展現(xiàn)狀與應用探討

1、實用標準文檔安全運營中心（SOC）發(fā)展現(xiàn)狀與應用探討隨著電信企業(yè)信息化建設步伐的加快，如何有效化解安全風險，有效應對各種突發(fā)性安全事件已成為不容忽視的問題。與普通企業(yè)相比，電信運營商的信息安全系統(tǒng)不僅部署地域分散，規(guī)模龐大，而且與業(yè)務系統(tǒng)耦合性較高；如何將現(xiàn)有安全系統(tǒng)納入統(tǒng)一的管理平臺，實現(xiàn)安全形勢全局分析和動態(tài)監(jiān)控已成為各級信息系統(tǒng)維護部門面臨的主要問題。SOC(SecurityOperationCenter)安全運營中心應運而生，是目前流行的電信級安全解決方案。SOC的出現(xiàn)對應數(shù)據(jù)的集中管理趨勢，通過集中收集、過濾、關(guān)聯(lián)分析安全事件，提供安全趨勢報告，及時作出反應，實現(xiàn)對風險的有效控制。目

2、前主要安全廠商陸續(xù)推出了SOC解決方案，中國移動、中國電信也相繼拿出若干省市開展SOC建設試點工作。由于國內(nèi)沒有成熟的運維經(jīng)驗，SOC發(fā)展過程遇到一些問題，導致人們對SOC產(chǎn)生不少認識誤區(qū)，直接影響了SOC的大規(guī)模推廣。本文全面分析了SOC的定位、主要功能、技術(shù)難點以及發(fā)展趨勢，并探討了SOC存在的主要問題，希望幫助人們?nèi)胬斫釹OC，更好地推動這一新生事務的發(fā)展。1. SOC概述信息系統(tǒng)發(fā)展的一個顯著特點是：資源平臺化、數(shù)據(jù)集中化。信息安全保障系統(tǒng)作為信息系統(tǒng)的重要組成部分，其發(fā)展也必須符合信息系統(tǒng)發(fā)展趨勢。安全運行中心是描述“對安全事件(SecurityIncident)提供檢測和響應服務

3、的所有平臺”通用術(shù)語。SOC的核心是檢測和響應功能，通俗一點講，就是基于獲取的海量安全事件，分析整個系統(tǒng)的安全狀態(tài)和安全趨勢，對危害嚴重的安全事件及時做出反應。1.1. SOC的安全子系統(tǒng)組成依據(jù)信息系統(tǒng)生命周期理論，與信息的產(chǎn)生、傳輸、存儲、分析、處理五個環(huán)節(jié)相對應，SOC系統(tǒng)包括下列功能模塊：事件發(fā)生器（E）模塊事件發(fā)生器負責生成安全事件，可分為基于數(shù)據(jù)的事件發(fā)生器和基于狀態(tài)的事件發(fā)生器。前者指傳感器，如網(wǎng)絡入侵檢測系統(tǒng)、主機檢測系統(tǒng)、防火墻等，主要產(chǎn)生由操作系統(tǒng)、應用、網(wǎng)絡操作引發(fā)的事件；后者指輪詢器（Poller），產(chǎn)生響應外部激勵（如Ping、SNMP命令）的事件，外部激勵主要用來檢

4、查服務狀態(tài)、數(shù)據(jù)完整性。這類事件的典型例子是網(wǎng)管系統(tǒng)中輪詢工作站向管理工作站發(fā)送的告警信息。收集模塊（C）收集模塊負責從不同傳感器收集信息并轉(zhuǎn)換為標準格式，從而形成統(tǒng)一信息方便后續(xù)處理。存儲模塊（D）和其他模塊相比，存儲模塊標準化程度很高，可以簡單理解為數(shù)據(jù)庫，惟一特殊的是需要進行相關(guān)性處理，識別來自同一源或不同源的重復事件。分析模塊（A+K）該模塊負責分析存儲在數(shù)據(jù)庫中的事件，為響應模塊提供響應的充分依據(jù)（告警信息）。分析過程又離不開知識庫（K模塊）的支持，知識庫存儲入侵路徑、系統(tǒng)安全模型、安全策略等知識。分析模塊是SOC系統(tǒng)最復雜的部分，包括相關(guān)性分析、結(jié)構(gòu)化分析、入侵路徑分析、行為分析。

5、響應模塊（R）響應模塊功能負責對安全事件做出及時有效響應，涵蓋反擊正在發(fā)生安全事件的所有響應（Reaction）和報告工具。由于牽扯到人的因素，響應行為具有相當?shù)闹饔^性，很多時候需要根據(jù)長期積累的基于經(jīng)驗的最佳實踐或建議。但其重要性不能低估。響應模塊不僅需要對外提供自動化的控制臺接口、事件快速響應接口、實時監(jiān)控接口、統(tǒng)計分析接口；還需向用戶提供永久性風險評估報告、中長期安全行為報告、系統(tǒng)狀態(tài)報告。1.2. SOC vs NOC目前電信運營商都已建立網(wǎng)管中心（NOC）。根據(jù)ITU提出的FCAPS模型，網(wǎng)管系統(tǒng)的主要功能是故障管理(Fault)、配置管理(Configuration)、計費管理(A

6、ccounting)、性能管理(Performance)、安全管理(Security)。表面上NOC有安全管理功能，似乎SOC與NOC功能重疊；實際上由于二者定位不同，功能、作用差別很大。概括起來，網(wǎng)管中心與安全運營中心主要區(qū)別如下：NOC的安全管理功能側(cè)重訪問控制，強調(diào)控制對計算機網(wǎng)絡中信息的訪問，保護系統(tǒng)、服務、數(shù)據(jù)免受非法入侵、破壞；SOC注重對安全攻擊的檢測和響應。NOC的安全功能著眼于“事前預防”，即先采取措施預防非法攻擊；而SOC的安全功能屬于“事后處理”，換句話說，出現(xiàn)安全事件怎樣阻斷攻擊，怎么反擊。網(wǎng)管中心強調(diào)對網(wǎng)絡的全面管理，在五大功能中安全管理只占很少一部分；而SOC完全面

7、向安全管理，安全功能更專業(yè)、全面。SOC在收集安全事件時，有時采用輪詢方式，利用某些網(wǎng)管系統(tǒng)的監(jiān)控功能。長期以來，人們在NOC的建設、管理、維護方面積累了豐富的經(jīng)驗，SOC的建設和運行可以合理借鑒這些經(jīng)驗。例如，在組織架構(gòu)和管理模式方面SOC可以參照NOC的做法；但在工作流程設計上SOC最好采用與NOC平行的模式。出于簡化管理考慮，國外也有將SOC和NOC放在一起的成功案例。2. SOC涉及的關(guān)鍵技術(shù)在安全事件的一體化處理流程中，SOC采用一系列新技術(shù)，在有效提高應用系統(tǒng)安全性的同時，盡量減輕安全事件相關(guān)操作對業(yè)務系統(tǒng)性能的影響。SOC建設中涉及的關(guān)鍵技術(shù)有負載均衡技術(shù)、模式分析技術(shù)、結(jié)構(gòu)化分

8、析技術(shù)、快速響應技術(shù)。2.1. 負載均衡在SOC的設計和建設過程，必須優(yōu)先考慮性能因素。雖然原始信息越多、越詳細，越有助于SOC分析和檢測正在發(fā)生的攻擊企圖，但采集、處理過多的信息對SOC處理能力提出挑戰(zhàn)，嚴重影響性能。一方面，每個傳感器每秒鐘可能產(chǎn)生成百上千條消息，全部類型各異的傳感器實時上報消息對SOC收集模塊的處理能力提出很高要求。另一方面，收集模塊也輪詢獲取系統(tǒng)狀態(tài)，過于頻繁的輪詢會占用被管理系統(tǒng)寶貴的CPU資源，直接影響其業(yè)務的運行。與保證服務器端服務類似，提高SOC的伸縮性、可用性可以采用：負載均衡技術(shù)，如高可用性（HA）、集群（Cluster）、雙機熱備。源過濾技術(shù)，傳感器預先過

9、濾掉不重要的信息，減輕SOC的處理壓力。2.2. 模式分析（相關(guān)性）安全事件分析處理的好壞直接關(guān)系著SOC系統(tǒng)的后續(xù)處理，分析模塊綜合分析來自不同設備、數(shù)量龐大的事件序列，通過模式匹配找出安全事件之間的內(nèi)在聯(lián)系（相關(guān)性），最終產(chǎn)生高度合成的準確分析結(jié)果。模式分析的基本內(nèi)容包括：1)識別重復信息，對于收到的多條重復信息進行篩選或過濾，以減輕存儲負擔。2)序列模式匹配，判別一系列消息是否由同一入侵企圖觸發(fā)。3)事件模式匹配，通過基于時間的上下文分析，識別緩慢分布式入侵過程。4)安全策略匹配，基于行為匹配識別符合安全策略規(guī)則的某些事件，如管理員登陸、認證。5)系統(tǒng)威脅分析，判斷目標系統(tǒng)是否受已檢測到

10、攻擊企圖的威脅，并分析此類攻擊對系統(tǒng)安全的整體影響。2.3. 脆弱性分析脆弱性（Vulnerability）是指系統(tǒng)存在的安全漏洞或不安全的行為，這些信息可能損害整體安全級別，也可能被“黑客”加以利用發(fā)動入侵攻擊。作為知識庫的一個組件，弱點數(shù)據(jù)庫存儲三類脆弱性：結(jié)構(gòu)化脆弱性這種脆弱性通常指軟件的內(nèi)部缺陷，例如緩沖區(qū)溢出Bug、字符串格式化缺陷等。功能化脆弱性通常指與配置、操作行為、用戶等運行環(huán)境有關(guān)的弱點，這種脆弱性的一個顯著特點是只要一個所需條件不具備，它就在系統(tǒng)中以“非激活”狀態(tài)存在。顯然定義、格式化、整理這類脆弱性，需要操作系統(tǒng)、網(wǎng)絡、應用各方面專家的參與。拓撲相關(guān)脆弱性這類脆弱性主要基

11、于網(wǎng)絡（如監(jiān)聽、IP欺騙），還包含可能的入侵路徑的脆弱性。拓撲相關(guān)脆弱性導入弱點數(shù)據(jù)庫一般需要拓撲建模的支持。2.4. 4.快速響應快速響應是SOC根本目標，所有模塊均服務于該功能。緊急響應的內(nèi)容根據(jù)環(huán)境不同而有所差異，從監(jiān)控事件的進一步發(fā)展到攻擊的追蹤。當大規(guī)模攻擊爆發(fā)時，及時隔離攻擊源是防止攻擊影響擴大化的有效措施。當SOC檢測到WWW服務器被入侵、頁面遭到非法篡改，快速響應則意味著盡快恢復服務器的正常運行，把事件的負面影響降到最小。在攻擊發(fā)生之前，必須確定響應流程；該流程需要經(jīng)過提前演練并備案。為了保證快速、有效的響應，應急響應流程至少應包括特定級別的事件升級制度（Escalation）

12、。在事件升級制度中，根據(jù)攻擊的嚴重程度，采取不同的響應流程，由不同級別人員處理。以三級處理模式為例，現(xiàn)場值守人員處理已知類型攻擊，第二級安全專業(yè)小組處理不明類型攻擊，第三級實驗室研究小組（如CERT）對復雜攻擊進行重放、原理分析并找出適當?shù)慕鉀Q辦法。3. SOC的發(fā)展趨勢3.1. 1.認識誤區(qū)由于SOC出現(xiàn)時間不長，無論是用戶還是安全廠商都缺乏足夠的建設、維護經(jīng)驗，目前對SOC存在下列認識誤區(qū)：1)對SOC的作用認識不足，片面夸大或貶低SOC。計算機網(wǎng)絡技術(shù)的迅猛發(fā)展給電信運營商帶來了沉重的安全壓力，SOC的誕生為信息安全問題解決提供一縷曙光，于是人們認為SOC可以解決一切安全問題。另一方面，

13、目前已經(jīng)運行的SOC由于缺乏必要的支撐，管理體制沒有理順；效果不盡如人意，對SOC的懷疑聲又不斷。對SOC作用的片面認識很大程度上由于安全廠商宣傳誤導，導致人們對SOC期望過高；因為SOC是一種蓬勃發(fā)展的新生事物，出現(xiàn)問題也在所難免，需要在發(fā)展中不斷完善。2)將SOC僅僅理解為軟件系統(tǒng)，忽略其平臺特性。與以往單一的安全系統(tǒng)相比，SOC最大的優(yōu)勢是為統(tǒng)一安全管理提供了完整平臺，提高了對于安全威脅的精確檢測能力和一體化響應能力。要使SOC真正發(fā)揮作用，后期的維護、二次開發(fā)工作必不可少，其重要性甚至不亞于前期建設工作。后期維護工作一方面是整合資源，將所有安全子系統(tǒng)盡可能納入SOC管理范圍；另一方面要

14、加強子系統(tǒng)建設，根據(jù)業(yè)務需要開發(fā)相應接口。3)技術(shù)層面考慮多，管理層面考慮少。根據(jù)信息風險管理最佳實踐BS7799/ISO7799，信息安全工作是“七分技術(shù)，三分管理”。SOC也不例外，它的建設不僅僅是技術(shù)問題，與管理制度也密切相關(guān)。SOC一般適用于信息系統(tǒng)規(guī)模龐大、應用復雜的情況，在這種環(huán)境下，管理工作顯得尤其重要。如果無法與現(xiàn)有安全管理制度、流程有機銜接，SOC建設很可能流于形式，無法發(fā)揮預期效果。電信運營商在建設安全運營中心的同時，必須理順安全管理體系，制定詳細、可操作的規(guī)章流程，抓好組織體系、人員培訓等方面建設。3.2. 急需解決的問題不可否認，新興的SOC技術(shù)有待完善?？偨Y(jié)起來，SO

15、C的發(fā)展需要重點解決以下問題：1)標準化問題標準是制約SOC發(fā)展的最大障礙，雖然主要安全廠商都推出了SOC解決方案，但大都采用私有技術(shù)、基于特定操作系統(tǒng)（平臺）或特定型號安全產(chǎn)品（防火墻、入侵檢測系統(tǒng)、路由器），SOC之間無法互通。SOC標準化涉及采集數(shù)據(jù)的格式、傳輸協(xié)議、安全知識庫信息存儲、輸出告警的格式（響應）等。目前一些國際組織已開始這方面標準的制定工作，例如IETF入侵檢測工作組開始制定消息格式與傳輸協(xié)議標準。2)自動化響應目前對于發(fā)現(xiàn)的入侵企圖，通常做法是人工干預、手工清除；這樣雖然能夠保證效果，但效率無法保證，尤其是面臨拒絕服務攻擊（DOS/DDOS）。對入侵或攻擊行為進行自動化響

16、應引起人們濃厚興趣，一些企業(yè)也在開發(fā)一些自動工具；例如某些入侵檢測系統(tǒng)檢測到攻擊后自動阻塞來自攻擊源的所有數(shù)據(jù)，有些工具將黑客攻擊重定向到一個可觀測的受控環(huán)境，記錄攻擊行為，甚至嘗試反擊。鑒于安全問題的復雜性，一般情況下慎用自動工具，這類工具更適宜處理大量并發(fā)攻擊，同時應加強使用審計。3)與業(yè)務系統(tǒng)的無縫集成SOC需要提供外部接口，更好地與特定行業(yè)用戶現(xiàn)有業(yè)務系統(tǒng)銜接起來。對于電信業(yè)而言，目前廣泛使用了工單（EMOS）、業(yè)務運營支撐系統(tǒng)（BOSS）、資源管理系統(tǒng)等。只有與用戶業(yè)務/支撐系統(tǒng)有機結(jié)合在一起，才能充分發(fā)揮SOC作為中央監(jiān)控中心的價值所在，幫助企業(yè)構(gòu)建可控、一體化安全管理體系，保障業(yè)

17、務持續(xù)、穩(wěn)定發(fā)展。4. 如何建設一個安全監(jiān)控中心（SOC）？雖然信息安全管理問題主要是個從上而下的問題，不能指望通過某一種工具來解決，但良好的安全技術(shù)基礎(chǔ)架構(gòu)能有效的推動和保障信息安全管理。隨著國內(nèi)行業(yè)IT應用度和信息安全管理水平的不斷提高，企業(yè)對于安全管理的配套設施如安全監(jiān)控中心（SOC）的要求也將有大幅度需求，這將會是一個較明顯的發(fā)展趨勢。推行SOC的另外一個明顯的好處是考慮到在國內(nèi)企業(yè)目前的信息化程度下直接實施信息管理變革的困難性，如果嘗試先從技術(shù)角度入手建立SOC相對來說阻力更小，然后通過SOC再推動相應的管理流程制定和實施，這也未嘗不是值得推薦的并且符合國情的建設方式，而且目前已經(jīng)有

18、些IT應用成熟度較高的大型企業(yè)開始進行這方面工作的試點和探索了，因為這些組織已經(jīng)認識到僅依賴于某些安全產(chǎn)品，不可能有效地保護自己的整體網(wǎng)絡安全，信息安全作為一個整體，需要把安全過程中的有關(guān)各方如各層次的安全產(chǎn)品、分支機構(gòu)、運營網(wǎng)絡、客戶等納入一個緊密的統(tǒng)一安全管理平臺中，才能有效地保障企業(yè)的網(wǎng)絡安全和保護原有投資，信息安全管理水平的高低不是單一的安全產(chǎn)品的比較，也不是應用安全產(chǎn)品的多少和時間的比較，而是組織的整體的安全管理平臺效率間的比較。下面我們就來談談建立一個SOC應該從那些方面考慮。首先，一個較完善的SOC應該具有以下功能模塊：安全設備的集中管理n 統(tǒng)一日志管理（集中監(jiān)控）：包括各安全設

19、備的安全日志的統(tǒng)一監(jiān)控；安全日志的統(tǒng)一存儲、查詢、分析、過濾和報表生成等功能、安全日志的統(tǒng)一告警平臺和統(tǒng)一的自動通知等；模塊分析：大型網(wǎng)絡中的不同節(jié)點處往往都部署了許多安全產(chǎn)品，起到不同的作用。首先要達到的目標是全面獲取網(wǎng)絡安全實時狀態(tài)信息，解決網(wǎng)絡安全管理中的透明性問題。解決網(wǎng)絡安全的可管理控制性問題。從安全管理員的角度來說，最直接的需求就是在一個統(tǒng)一的界面中可以監(jiān)視到網(wǎng)絡中每個安全產(chǎn)品的運行情況，并對他們產(chǎn)生的日志和報警信息進行統(tǒng)一分析和匯總。n 統(tǒng)一配置管理（集中管理）：包括各安全設備的安全配置文件的集中管理，提高各管理工具的維護管理水平，提高安全管理工作效率；有條件的情況下實現(xiàn)各安全產(chǎn)

20、品的配置文件（安全策略）的統(tǒng)一分發(fā)，修正和更新；配置文件的統(tǒng)一在（離）線管理，定期進行采集和審核，對安全產(chǎn)品的各種屬性和安全策略進行集中的存儲、查詢。模塊分析：目前企業(yè)中主要的安全產(chǎn)品如防火墻、入侵檢測和病毒防護等往往是各自為政，有自己獨立的體系和控制端。通常管理員需要同時運行多個控制端，這就直接導致了對安全設備統(tǒng)一管理的要求。不過從目前國內(nèi)的情況來說，各不同廠商的安全產(chǎn)品統(tǒng)一管理的難度較大，統(tǒng)一監(jiān)控更容易實現(xiàn)，在目前現(xiàn)狀中也更為重要。目前國內(nèi)現(xiàn)狀是各個安全公司都從開發(fā)管理自己設備的管理軟件入手，先做到以自己設備為中心，把自己設備先管理起來，同時提出自己的協(xié)議接口，使產(chǎn)品能夠有開放性和兼容性。

21、這些安全設備管理軟件和網(wǎng)絡管理軟件類似，對安全設備的發(fā)現(xiàn)和信息讀取主要建立在SNMP協(xié)議基礎(chǔ)上，對特定的信息輔助其他網(wǎng)絡協(xié)議。獲取得內(nèi)容大部分也和網(wǎng)絡設備管理相同，如CPU使用情況，內(nèi)存使用情況，系統(tǒng)狀態(tài)，網(wǎng)絡流量等。n 各安全產(chǎn)品和系統(tǒng)的統(tǒng)一協(xié)調(diào)和處理（協(xié)同處理）：協(xié)調(diào)處理是安全技術(shù)的目標，同時也符合我國對信息安全保障的要求即實現(xiàn)多層次的防御體系。整體安全技術(shù)體系也應該有多層次的控制體系。不僅僅包含各種安全產(chǎn)品，而且涉及到各主機操作系統(tǒng)、應用軟件、路由交換設備等等。模塊分析：目前國內(nèi)有部分提法是IDS和防火墻的聯(lián)動就是基于這種思路的，但是實際的使用情況中基本上沒有客戶認同這點，原因當然有很多

22、，但實際上要實現(xiàn)這點還需要較長的技術(shù)積累。n 設備的自動發(fā)現(xiàn)：網(wǎng)絡拓撲變化后能自動發(fā)現(xiàn)設備的調(diào)整并進行基本的探測和給出信息。模塊分析：大部分企業(yè)內(nèi)部的網(wǎng)絡的拓撲都是在變化的，如果不支持設備的自動發(fā)現(xiàn)，就需要人工方式解決，給管理員造成較大的工作壓力，也不能掌握網(wǎng)絡的實際拓撲，這樣不便于排錯和發(fā)現(xiàn)安全故障?？梢圆捎米詣铀褜ね負涞臋C制。如IBM Tivoli Netview可以自動發(fā)現(xiàn)大多數(shù)網(wǎng)絡設備的類型，或通過更改MIB庫，來隨時添加系統(tǒng)能識別的新的設備。安全服務的集中管理n 實現(xiàn)安全相關(guān)軟件/補丁安裝情況的管理功能，建立安全相關(guān)軟件/補丁信息庫，提供查詢、統(tǒng)計、分析功能，提供初步的分發(fā)功能。模塊

23、分析：微軟在對自己的操作系統(tǒng)的全網(wǎng)補丁分發(fā)上走的比較前，成功的產(chǎn)品有SUS和SNS等，國際上也有部分的單一產(chǎn)品是作這個工作的，但目前還沒有看到那個SOC集成了這個模塊。n 安全培訓管理：建立安全情報中心和知識庫（側(cè)重安全預警平臺），包括：最新安全知識的收集和共享；最新的漏洞信息和安全技術(shù),；實現(xiàn)安全技術(shù)的交流和培訓。持續(xù)更新發(fā)展的知識和信息是維持高水平安全運行的保證。模塊分析：雖然這個模塊的技術(shù)含量較低，但要為安全管理體系提供有效的支持，這個模塊是非常重要的，有效的安全培訓和知識共享是提示企業(yè)的整體安全管理執(zhí)行能力的基礎(chǔ)工作，也有助于形成組織內(nèi)部統(tǒng)一有效的安全信息傳輸通道，建立安全問題上報、安

24、全公告下發(fā)、處理和解決反饋的溝通平臺。n 風險分析自動化：自動的搜集系統(tǒng)漏洞信息、對信息系統(tǒng)進行入侵檢測和預警，分析安全風險，并通過系統(tǒng)安全軟件統(tǒng)一完成信息系統(tǒng)的補丁加載，病毒代碼更新等工作，有效的提高安全工作效率，減小網(wǎng)絡安全的"時間窗口"，大大提高系統(tǒng)的防護能力。模塊分析：安全管理軟件實施的前提是已經(jīng)部署了較完善的安全產(chǎn)品，如防火墻，防病毒，入侵檢測等。有了安全產(chǎn)品才能夠管理和監(jiān)視，安全管理平臺的作用在于在現(xiàn)有各種產(chǎn)品的基礎(chǔ)上進行一定的數(shù)據(jù)分析和部分事件關(guān)聯(lián)工作，例如設置掃描器定期對網(wǎng)絡進行掃描，配合該時間段的入侵檢測系統(tǒng)監(jiān)控日志和補丁更新日志，就可以對整網(wǎng)的技術(shù)脆弱性

25、有個初步的了解。業(yè)務流程的安全管理n 初步的資產(chǎn)管理（資產(chǎn)、人員）：統(tǒng)一管理信息資產(chǎn)，匯總安全評估結(jié)果，建立風險管理模型。提供重要資產(chǎn)所面臨的風險值、相應的威脅、脆弱性的查詢、統(tǒng)計、分析功能。模塊分析：國內(nèi)外安全廠商中資產(chǎn)管理功能都很簡單，和現(xiàn)有的財務、運營軟件相差非常大，基本上是照般了BS7799中的對資產(chǎn)的分析和管理模塊。n 安全管理系統(tǒng)與網(wǎng)管系統(tǒng)的聯(lián)動（協(xié)調(diào)處理）：安全管理系統(tǒng)和網(wǎng)絡管理平臺已經(jīng)組織常用的運營支持系統(tǒng)結(jié)合起來，更有效的利用系統(tǒng)和人力資源，提高整體的運營和管理水平。模塊分析：如果可能的話，由于各產(chǎn)品的作用體現(xiàn)在網(wǎng)絡中的不同方面，統(tǒng)一的安全管理平臺必然要求對網(wǎng)絡中部署的安全設

26、備和部分運營設備的安全模塊進行協(xié)同管理，這也是安全管理平臺追求的最高目標。但這并非是一個單純的技術(shù)問題，還涉及到行業(yè)內(nèi)的標準和聯(lián)盟。目前在這方面作的一些工作如 Check Point公司提出的opsec開放平臺標準，即入侵檢測產(chǎn)品發(fā)現(xiàn)攻擊和check point防火墻之間的協(xié)調(diào)，現(xiàn)在流行的IPS概念，自動封鎖攻擊來源等，都在這方面作了較好的嘗試，在和整體的網(wǎng)絡管理平臺的結(jié)合方面，目前國內(nèi)外作的工作都較少，相對來說一些大型的IT廠商如IBM/CISCO/CA由于本身就具備多條產(chǎn)品線（網(wǎng)絡、安全、應用產(chǎn)品），其自身產(chǎn)品的融合工作可能已經(jīng)作了一些，但總體來說成熟度不高。與其它信息系統(tǒng)的高度融合：實現(xiàn)與OA、ERP等其他信息系統(tǒng)的有機融合，有效的利用維護、管理、財務等各方面信息提高安全管理水平。安全管理的決策分析和知識經(jīng)驗將成為公司管理的重要