天融信可信的安全支撐平臺-SOC解決方案

可信的網(wǎng)絡(luò)安全支撐平臺

－SOC解決方案安全運(yùn)營中心（SOC）的發(fā)展相關(guān)人員安全策略IT設(shè)施安全產(chǎn)品安全資源我們現(xiàn)在的網(wǎng)絡(luò)安全嗎？我們的安全投資有價(jià)值嗎？我們下一步應(yīng)該怎樣做？業(yè)務(wù)需求安全導(dǎo)向設(shè)計(jì)部署運(yùn)行保障企業(yè)安全運(yùn)營中心（SOC）的發(fā)展分散的專業(yè)解決方案防火墻、入侵檢測系統(tǒng)、防病毒系統(tǒng)、異常流量防御系統(tǒng)；每個(gè)系統(tǒng)都有獨(dú)立的管理監(jiān)控系統(tǒng)；非安全產(chǎn)品也有安全相關(guān)的事件；安全運(yùn)營中心（SOC）的發(fā)展海量事件＆安全噪音每日多達(dá)上千萬的事件量技術(shù)人力的局限較高的安全誤報(bào)率

（重復(fù)、無用及錯(cuò)誤！）真正安全風(fēng)險(xiǎn)的無法可視缺乏業(yè)務(wù)優(yōu)先級的安全保障安全運(yùn)營中心（SOC）的發(fā)展心預(yù)警防護(hù)檢測響應(yīng)恢復(fù)反制.

如何事先了解安全問題和安全趨勢；.

如何調(diào)整安全防護(hù)策略應(yīng)對蠕蟲病毒？.

病毒感染源在哪里？業(yè)務(wù)系統(tǒng)影響情況？.

要清除和防止蠕蟲病毒我們應(yīng)該怎么做？.

如何恢復(fù)被蠕蟲攻擊的信息系統(tǒng)？.

如何取證、定位來規(guī)范相關(guān)人員和流程？安全蠕蟲攻擊安全保障是閉環(huán)的嗎？在過去的安全事故里，資源濫用是企業(yè)信息安全中最為頭疼的問題之一；如蠕蟲病毒的安全防護(hù)。

以業(yè)務(wù)去導(dǎo)向和驅(qū)動(dòng)安全體系結(jié)構(gòu)的設(shè)計(jì)、部署與運(yùn)行，并能有效降低安全體系結(jié)構(gòu)的總擁有成本為目標(biāo)的安全基礎(chǔ)性支撐設(shè)施，就是SOC(SecurityOperationCenter)SOC的定義電信業(yè)務(wù)應(yīng)用相關(guān)人員安全技術(shù)安全策略安全設(shè)施實(shí)現(xiàn)了一致性、靈活性、可視性隔離了底層技術(shù)復(fù)雜性、異構(gòu)性安全資源復(fù)雜性易變性一致性不可見性安全總成本SOC平臺安全導(dǎo)向設(shè)計(jì)部署運(yùn)行保障只需關(guān)注業(yè)務(wù)應(yīng)用技術(shù)支撐的高效管理開放架構(gòu)與開放參與用戶什么是安全運(yùn)營中心（SOC）？安全運(yùn)營中心（SOC:SecurityOperationCenter

）是以風(fēng)險(xiǎn)管理為核心，由人、技術(shù)和流程三個(gè)元素構(gòu)成的安全管理組織形式。安全運(yùn)營中心（SOC）的發(fā)展日志審計(jì)統(tǒng)計(jì)事件關(guān)聯(lián)分析（事件威脅特征）資產(chǎn)關(guān)聯(lián)分析、業(yè)務(wù)角度進(jìn)行展現(xiàn)（風(fēng)險(xiǎn)3要素）第1階段第3階段第2階段第4階段確定IT治理目標(biāo)、整合IT服務(wù)流程、貫徹IT風(fēng)險(xiǎn)管理、實(shí)現(xiàn)IT安全運(yùn)營。數(shù)據(jù)管理信息管理知識管理運(yùn)營管理單一的安全設(shè)備傳統(tǒng)的IT網(wǎng)絡(luò)安全設(shè)備關(guān)聯(lián)業(yè)務(wù)資產(chǎn)的整個(gè)IT設(shè)備以運(yùn)營為核心的IT系統(tǒng)（人、流程等）安全管理對象較高IT成熟度安全風(fēng)險(xiǎn)信息資產(chǎn)信息管理系統(tǒng)信息存儲系統(tǒng)信息傳輸系統(tǒng)信息處理系統(tǒng)信息威脅弱點(diǎn)影響安全事件形成發(fā)生不發(fā)生安全事故少發(fā)生安全事故發(fā)生事故減少損失安全事故安全目標(biāo)SOC的管理模型事件跟蹤事件根除事件準(zhǔn)備事件檢測事件抑制事件恢復(fù)SOC管理模型業(yè)務(wù)管理資產(chǎn)管理統(tǒng)一化（Normalization）整合化（Aggregation）關(guān)聯(lián)化（Correlation）可視化（Visualization）SOC管理模型1－事件管理

首先我們先來了解作為SOC管理模型的底層紐帶－“事件管理”?！笆录芾怼痹趯Π踩录M(jìn)行管理時(shí)，主要涉及到四個(gè)核心的處理過程：InternetSOC管理模型2－資產(chǎn)管理你有哪些資產(chǎn)？資產(chǎn)的價(jià)值？資產(chǎn)的相關(guān)屬性？風(fēng)險(xiǎn)評估資產(chǎn)目前的安全狀況？資產(chǎn)管理資產(chǎn)屬性資產(chǎn)價(jià)值資產(chǎn)類別SOC的資產(chǎn)管理主要是通過風(fēng)險(xiǎn)評估進(jìn)行資產(chǎn)初始化的，然后在SOC運(yùn)維過程中通過其相關(guān)流程（如：配置管理等流程）進(jìn)行不斷地持續(xù)性改進(jìn)。

SOC的資產(chǎn)管理不僅僅涉及傳統(tǒng)資產(chǎn)管理中基本特征的統(tǒng)計(jì)，如：資產(chǎn)名稱、IP地址等，由于SOC最終幫助用戶實(shí)現(xiàn)的是業(yè)務(wù)管理，所以我們需要資產(chǎn)具備相關(guān)的業(yè)務(wù)屬性：

1.區(qū)域特征；

2.資產(chǎn)交互特征；

3.脆弱性特征等；天融信部分資產(chǎn)列表SOC管理模型3－業(yè)務(wù)管理InternetCRMServer工作時(shí)間：9:00---17:30IP:192.168.8.12RouterFirewallSwitchUser:AllenSOC的“業(yè)務(wù)管理”是幫助用戶從業(yè)務(wù)的角度去審視和管理整個(gè)企業(yè)的安全狀況，例如：

1.從業(yè)務(wù)底層的數(shù)據(jù)角度;2.從業(yè)務(wù)周期的時(shí)間角度；

3.從業(yè)務(wù)運(yùn)行的流程角度；

4.從業(yè)務(wù)相關(guān)的商務(wù)角度等多個(gè)方面。時(shí)間特性數(shù)據(jù)特性流程特性商務(wù)特性業(yè)務(wù)管理封裝可信網(wǎng)絡(luò)架構(gòu)技術(shù)規(guī)范SOC平臺應(yīng)用NSOC平臺安全中間件組件業(yè)務(wù)安全建模SOC的平臺架構(gòu)業(yè)務(wù)應(yīng)用應(yīng)用1應(yīng)用2應(yīng)用3應(yīng)用4基于服務(wù)的交換核心安全業(yè)務(wù)系統(tǒng)響應(yīng)恢復(fù)反制防護(hù)預(yù)警檢測安全資源安全策略安全技術(shù)安全設(shè)施安全專家其他資源安全資源管理模塊運(yùn)營策略管理模塊業(yè)務(wù)需求管理模塊需求SOC平臺的生命周期主要目的：構(gòu)建以等級保護(hù)為核心的支撐平臺政策標(biāo)準(zhǔn)：中辦17號文件、27號文件和66號文件管理標(biāo)準(zhǔn)：選擇ISO27001/27002、ITIL、COBIT等技術(shù)標(biāo)準(zhǔn)：選擇符合ISO15408標(biāo)準(zhǔn)的產(chǎn)品工程標(biāo)準(zhǔn)：選擇SSE-CMM規(guī)定的過程控制設(shè)計(jì)思路：可信網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)模型：PDCA{Plan--Do--Check--Action}對SOC運(yùn)營進(jìn)行全面的稽核，從而優(yōu)化和保障SOC.認(rèn)證機(jī)構(gòu)對SOC的安全保障能力進(jìn)行認(rèn)證.ISO27002描述了11個(gè)方面，根據(jù)業(yè)務(wù)需要去選擇.DoCheckActionSOC運(yùn)營（運(yùn)行、維護(hù)和管理）建立SOC的安全策略組織技術(shù)流程SOC所選的控制措施SOC安全稽核SOC安全認(rèn)證風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)評價(jià)SOC建設(shè)SOC運(yùn)營SOC定級持續(xù)改進(jìn)確定SOC安全業(yè)務(wù)等級風(fēng)險(xiǎn)評估PlanSOC體系規(guī)劃預(yù)警管理威脅管理弱點(diǎn)管理資產(chǎn)管理SOC的管理范圍SOC的運(yùn)維流程外部合作類流程安全稽核類流程響應(yīng)處理類流程監(jiān)控運(yùn)行類流程組織管理類流程SOC的功能結(jié)構(gòu)外部系統(tǒng)整合接口安全知識系統(tǒng)SOC運(yùn)營管理系統(tǒng)事件收集管理系統(tǒng)主控臺界面業(yè)務(wù)持續(xù)運(yùn)營降低安全風(fēng)險(xiǎn)基于“2-4-5-5”設(shè)計(jì)架構(gòu)防護(hù)管理安全信息管理4A管理SOC平臺－技術(shù)規(guī)劃終端管理病毒管理策略配置補(bǔ)丁管理報(bào)表管理用戶管理授權(quán)管理鑒別管理預(yù)警管理知識管理事件管理監(jiān)控管理安全運(yùn)營中心響應(yīng)管理資產(chǎn)管理風(fēng)險(xiǎn)管理審計(jì)管理ProcessPeoplePeople補(bǔ)丁自動(dòng)檢測補(bǔ)丁自動(dòng)測試補(bǔ)丁自動(dòng)更新補(bǔ)丁自動(dòng)分發(fā)補(bǔ)丁自動(dòng)通知補(bǔ)丁策略制定事件收集事件格式化事件分類事件關(guān)聯(lián)分析事件可視化自動(dòng)響應(yīng)報(bào)表輸出事件定位資產(chǎn)添加資產(chǎn)屬性修改資產(chǎn)刪除資產(chǎn)分配資產(chǎn)價(jià)值評估資產(chǎn)分類資產(chǎn)入網(wǎng)統(tǒng)計(jì)資產(chǎn)精確定位單位部門聯(lián)系電話聯(lián)系mail用戶名稱帳戶信息SOC平臺－組織規(guī)劃安全技術(shù)團(tuán)隊(duì)SOC平臺－組織建議

高層領(lǐng)導(dǎo)的有效參與和支持！

安全文化的融入與推廣！

人才外聘和組織合作！.“充分的授權(quán)”

<－>“企業(yè)加強(qiáng)安全的決心”.“文化的融入”

<－>“信息的傳遞”.“效果的評估”

<－>“KPI的稽核”.“人員的外聘”

<－>“規(guī)避了內(nèi)部人力的限制”.“顧問的善用”

<－>“專業(yè)經(jīng)驗(yàn)的分享”.“組織的合作”

<－>“業(yè)務(wù)、市場的互補(bǔ)”SOC平臺－人員規(guī)劃

人員這部份需要相當(dāng)時(shí)間來篩選或培訓(xùn)其合適的人才，有些組織則外聘適合的安全顧問與安全分析師，分階段的進(jìn)行內(nèi)部技術(shù)轉(zhuǎn)移，不論是內(nèi)部或外部資源，良好的管理是不二法門。

同時(shí)人員組織架構(gòu)圖，人員的編制可依各組織的特別要求而異，例如：7x24服務(wù)等級的人員編制也許是5x8服務(wù)等級的2~4倍；另外，編制人員的數(shù)量也與被監(jiān)控的安全設(shè)備成正比成長。背景調(diào)查:包含了學(xué)經(jīng)歷，資歷,專業(yè)技能，專業(yè)證照，語言等項(xiàng)目。人員外部聘用合約。

員工保密合約的簽定職位鑒定，任用，升遷與績效評估。教育訓(xùn)練計(jì)劃。人員輪調(diào)計(jì)劃。忠誠查核:包含其過往經(jīng)歷的道德評價(jià)，警政機(jī)關(guān)的良好紀(jì)錄證明，周邊誘因評估等項(xiàng)目。SOC平臺－人員培訓(xùn)一高階管理人員培訓(xùn)計(jì)劃：IT/Operation經(jīng)理:SOC控制臺管理SOC安全事件收集配置管理SOC安全事故處理管理SOC安全應(yīng)用實(shí)施管理SOC安全運(yùn)維策略管理SOC基于業(yè)務(wù)應(yīng)用的安全策略管理SOCIT設(shè)備策略管理SOCIT設(shè)備性能管理SOCBCP和DCP的管理......安全分析師:SOC控制臺管理SOC安全事件收集配置管理SOC安全事故處理管理SOC安全應(yīng)用實(shí)施管理SOC安全運(yùn)維策略管理SOC基于業(yè)務(wù)應(yīng)用的安全策略管理

安全支持團(tuán)隊(duì)培訓(xùn)計(jì)劃:安全運(yùn)維工程師：SOC安全事件收集配置管理SOC安全應(yīng)用實(shí)施管理SOC安全運(yùn)維策略管理......SOC平臺－人員培訓(xùn)二安全運(yùn)營中心（SOC）ISMSPDCA教育訓(xùn)練:Module-1：信息安全與信息安全管理簡介信息安全的現(xiàn)實(shí)面與應(yīng)用面RiskAssessment介紹與實(shí)務(wù)Module-2：ISO17799/BS7799標(biāo)準(zhǔn)的歷史與發(fā)展信息安全的范圍界定、環(huán)境與其它相關(guān)標(biāo)準(zhǔn)ISMS標(biāo)準(zhǔn):ISO17799/BS7799/CNS17800ISO17799/BS7799/CNS17800標(biāo)準(zhǔn)的條文架構(gòu)ISO17799/BS7799Part1-信息安全標(biāo)準(zhǔn)實(shí)踐信息安全十大要項(xiàng)CNS17800/BS7799Part2-信息安全認(rèn)證規(guī)范Module-3：ISMS相關(guān)工具(ToolKits)ISMS維運(yùn)(OperationandMaint