第一章 安全管理面临的所有问题

随着安全越来越被企业重视，企业部署了大量的安全产品，但是大量的安全产品带来了巨大的可管理性问题，领信密切关注相关的管理性问题，并开发了安全管理中心产品来解决这些管理性问题。安全管理存在的主要的问题如下：

安全产品的零散性

安全领域有一个很大的特点，即他和现有的所有层面的IT 技术和产品都有关联，他和网络技术、主机操作系统、应用软件、人为管理、个人PC、服务器、内容安全、电话网等所有领域都有关系，因此几乎没有一个厂商能够将自己的安全产品覆盖到所有领域，安全有无数的细分领域：防火墙、入侵检测、扫描器、SSO、审计、补丁管理、集中认证、一次性口令、LDAP、加密存储、链路层加密、防毒、内容安全、sniffer、forensics、PKI、安全服务、策略管理等等，每个领域都有一个最强大的厂商，在这样一个零散的环境中，你必须面对每个厂商不同的管理界面和终端，这是一个非常大的挑战。

海量数据带来的效率低下和可管理性缺失安全产品部署的过程中，最为严重和突出的现象是会出现大量的安全事件，一个标准的网络入侵监测系统采用缺省的策略，在一个百兆的链接上每天可能产生超过千万数量的事件，海量的数据常常让我们的安全产品变得没有任何意义，即使经过调整和优化的策略，也充斥着无意义数据和误报。入侵监测等安全产品也正是因为这种原因被人诟病。有些无效数据是由安全产品的机制自身导致的，他本身无法彻底解决该问题，下面的图说明了各种安全产品产生的噪音。

企业面临的难题是，必须减少但不丢失安全事件，这样才能让我们对安全产品的管理变得可能和有效率。

缺乏统一的基于资产和风险的视图

大部分安全系统纯粹是基于事件的系统，即不能关联到资产，也不能体现资产价值、业务系统价值，换句话说，系统报出来的信息不是按照企业需要的方式展现出来，企业需要看到的视图是按照业务系统和资产查看安全信息，报警要按照资产价值统一计算风险，并提供合适的视图。

来自公司内部和外部的法规要求对于大型公司而言，越来越多的政策法规对安全提出了具体明确的要求，例如萨班斯法案（SOX）404 条款，对信息内控提出明确要求，其中安全占据重要地位，特别是对安全日志、帐号口令的流程管理和审计管理，给用户带来大量管理工作，需要自动化系统能够有效对这些控制和管理进行支撑。

第二章 以SOC 为核心的安全框架

建立以风险为核心的安全管理体系

信息安全（Information security）安全的主要目标是保护信息和信息资产的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持。 保密性定义为保障信息仅仅为那些被授权使用的人获取。 完整性定义为保护信息及其处理方法的准确性和完整性。 可用性定义为保障授权使用人在需要时可以获取信息和使用相关的资产。

如何保证信息资产的保密性、完整性和可用性呢？必须用风险管理的手段来实现，风险管理是企业安全管理的核心，正确的风险管理方法是不断评估和监控企业信息资产中存在的风险，并采取一定的防护措施和响应管理流程，保证对风险的抑制。

我们可以看出，风险控制是一个动态的模型，我们在风险控制的过程中最主要需要考量的因素是：资产及其价值、威胁、漏洞和防护措施。通过他们，我们计算出需要关注的风险值：
资产及资产价值：资产是只对某个组织有价值的东西，信息资产分别具有不同的安全属性，机密性、完整性和可用性分别反映了资产在三个不同方面的特性。安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察三种不同安全属性，可以得出一个能够基本反映资产价值的数值。

威胁：威胁是对系统和企业网的资产引起不期望事件而造成的损害的潜在可能性。威胁可能源于对企业信息直接或间接的攻击，例如非授权的泄露、篡改、删除等，在机密性、完整性或可用性等方面造成损害。威胁也可能源于偶发的、或蓄意的事件。一般来说，威胁总是要利用企业网络中的系统、应用或服务的弱点（弱点的定义参见弱点一章）才可能成功地对资产造成伤害。
漏洞：弱点和资产紧密相连，它可能被威胁利用、引起资产损失或伤害。值得注意的是，弱点本身不会造成损失，它只是一种条件或环境、可能导致被威胁利用而造成资产损失。

防护措施：防护措施可以是安全产品部署、策略执行、人工加固等，防护措施通过改变资产价值、威胁、漏洞来改变风险。所有的安全产品和安全技术都是通过改变风险的某一属性从而达到降低风险的目标，最终保护了我们宝贵的信息资产。

建立以BS7799 和ITIL 为核心的安全运维保障体系

仅仅有风险的监控和预警以及部署防范措施还是不够的，比较关键的核心环节是如何建立起一套有效的安全保障体系，通过安全组织、安全策略和安全管理流程来有效保证各种安全设施正常运作，最大程度保证企业风险在可控范围内。领信安全管理中心解决方案充分参考了业界主要标准BS7799 和ITIL，通过帮助用户建设安全管理中心，建立一套完整的监控和运维管理体系。

BS7799/ISO17799：由英国标准协会（BSI）在1999 年首次提出的BS7799安全管理标准，2000 年正式成为ISO/IEC 17799，并于2005 年发展为最新版本ISO/IEC 27001。 该标准通过11 个大类的安全目标和安全控制，构建了信息安全管理系统的框架，为各机构进行信息安全管理工作提供基础的依据。该标准为我们提供安全组织、安全策略、安全管理方面的最佳实践指引，领信将自己SOC 维护体系与其紧密有效结合起来，形成完整的安全管理解决方案，为用户提供的不仅仅是一套技术产品，而且包括管理和资讯的全面经验。

安全策略

安全组织

资产分类及控制

人员安全

物理和环境安全

信息安全管理纲要

Code of practice for information security management的用于信息安全管理实践代码

通信和操作管理

系统访问控制

系统开发与维护

业务连续性规划

符合性

ITIL：IT 基础架构库(Information Technology Infrastructure Library, ITIL)由英国政府部门CCTA(Central Computing and Telecommunications Agency)在20 世纪80 年代末制订，现由英国商务部OGC(Office of Government Commerce)负责管理，主要适用于IT 服务管理（ITSM）。领信将SOC 和ITIL 紧密结合，实现ITIL 要求核心流程，并且专门针对安全，实现专门安全管理流程，并和现有各种IT 流程管理软件紧密结合在一起，为用户提供无缝解决方案。

建立以BS7799 和ITIL 为核心的安全运维保障体系仅仅有风险的监控和预警以及部署防范措施还是不够的，比较关键的核心环节是如何建立起一套有效的安全保障体系，通过安全组织、安全策略和安全管理流程来有效保证各种安全设施正常运作，最大程度保证企业风险在可控范围内。领信安全管理中心解决方案充分参考了业界主要标准BS7799 和ITIL，通过帮助用户建设安全管理中心，建立一套完整的监控和运维管理体系。

BS7799/ISO17799：由英国标准协会（BSI）在1999 年首次提出的BS7799安全管理标准，2000 年正式成为ISO/IEC 17799，并于2005 年发展为最新版本ISO/IEC 27001。 该标准通过11 个大类的安全目标和安全控制，构建了信息安全管理系统的框架，为各机构进行信息安全管理工作提供基础的依据。该标准为我们提供安全组织、安全策略、安全管理方面的最佳实践指引，领信将自己SOC 维护体系与其紧密有效结合起来，形成完整的安全管理解决方案，为用户提供的不仅仅是一套技术产品，而且包括管理和资讯的全面经验。

安全策略

安全组织

资产分类及控制

人员安全

物理和环境安全

信息安全管理纲要

Code of practice for information security management

通信和操作管理

系统访问控制

系统开发与维护

业务连续性规划

符合性

ITIL：IT 基础架构库(Information Technology Infrastructure Library, ITIL)由

英国政府部门CCTA(Central Computing and Telecommunications Agency)在

20 世纪80 年代末制订，现由英国商务部OGC(Office of Government

Commerce)负责管理，主要适用于IT 服务管理（ITSM）。领信将SOC 和

ITIL 紧密结合，实现ITIL 要求核心流程，并且专门针对安全，实现专门安

全管理流程，并和现有各种IT 流程管理软件紧密结合在一起，为用户提供

无缝解决方案。

安全管理中心的定义

安全管理中心（SOC：Security Operation Center）是协助用户实现安全策略管理、安全组织管理、安全运作管理和安全技术框架的中心枢纽。安全管理中心是一种安全管理的形式，他的职能分成管理层面的职能和技术层面的职能，他的存在有效地将企业的策略管理、安全组织管理、安全运作管理和安全技术框架结合在一起，保持一致性。

安全管理中心的主要职能包括：

风险管理中心：全面收集信息资产的漏洞和相关事件，通过关联分析去除各种误报，发现有用信息，给出级别度量。系统能够自动完成以往专家完成的风险计算工作，并自动触发任务单和响应来降低风险，达到管理和控制风险的效果。

服务管理中心：该中心提供日常运维工作的服务保障体系；包括各种资产配置库、安全知识管理、流程管理实现等；例如工单管理用于追踪风险和事故的处理情况；例如预警管理可以实现主动的预警，通过企业安全管理中心和各个安全服务供应商共同合作，形成一条完成的预警－处理链，可以保证在漏洞出现还未被利用前就送达各个管理员并保证被采取了应对的措施；还有通过对日常工作的进行评价来促使我们找到如何提高安全水平的方法。

专业安全系统：安全管理中心还提供各种专项的安全集中管理功能来保证用户对某些专门安全问题的管理，例如帐号口令管理、安全终端管理（包括防毒、桌面管理扽）、垃圾邮件投诉处理等；

接口管理：安全管理中心不会独立于整个企业的IT 管理系统独立运载，整个维护运作组织也是整个企业维护运作组织的一部分，因此要求SOC 充分考虑企业内部IT 系统融合的需求，提供各类灵活接口。

安全管理中心在整个管理框架中的地位如下图所示：

安全管理中心是整个安全框架的核心和枢纽，作为一个技术系统，他向上为安全策略管理、安全组织管理、安全运作管理提供自动化协助，同时，更为重要的是，安全管理中心向下贯彻到整个技术层面，他能够收集来自所有安全产品和非安全产品的信息，进行统一的自动化风险评估，评价是否符合安全管理的策略和基线，并报告给决策者，还可以提供必要的响应。安全管理中心将安全管理和安全技术连接起来，保证安全产品部署符合安全管理的要求。

第三章 领信安全管理中心功能概述

总体实现概述

SOC 系统由统一的Web Portal、风险管理平台和服务管理平台、对外接口、其他专业安全系统的集成等部分组成，如下图：

领信SOC 系统中，由安全门户、风险管理、事件管理三大系统组成，

下面的章节我们会详细介绍每个部分的功能简介。

安全门户(Portal)功能

安全门户主要实现了如下功能：

1．展现个人管理范围内风险状况

2．统一安全管理子系统入口

3．集中待办事宜面板

4．用户集中管理

以下是安全portal 的界面：

风险管理系统

风险管理子系统是SOC 系统中核心管理系统，主要分为风险管理平台和服务管理平台。

风险管理平台

风险管理平台是基于ISO13335 和BS7799 为 核心的风险计算分析和展现。

包括风险管理、IP 事件管理、脆弱性管理等模块。以下是风险管理的界面

一个界面示例：

服务管理平台

服务管理平台中内置了符合ITIL 规范的工单、预警管理、考评管理，他们与系统的风险、安全事件、漏洞、KPI 等进行了无缝衔接。以下是预设的

工单流程图：

安全事件管理

安全事件管理主要完成对事件的集中收集、管理和分析。主要的功能包括事件收集、事件集中处理和实时关联分析。

事件收集体系

事件收集主要是对事件采集和格式化的过程。

能够支持以下事件源：

在企业中广泛使用的不同型号，不同厂家的防火墙、入侵检测系统等安全设备；

操作系统记录的重要安全相关的日志和事件告警，支持Windows 2000/NT，各种版本的UNIX 系统；

各种类型的数据库日志，例如ORACLE，MS SQL SERVER；

防病毒系统、访问控制系统、用户集中管理和认证系统；

基于SNMP trap 和syslog 事件；

能够通过多种方式收集事件源发送的安全事件：

文件方式，可以通过读取事件源的日志文件，来获取其中与安全有关的信息；

SNMP trap，接收来自设备的SNMP Trap 的事件；

Syslog 方式，以Syslog 方式接收安全事件；

ODBC 可以通过ODBC 数据库接口获取事件源存放在各种数据库中的安全相关信息；

网络SOCKET 接口 可以通过TCP/IP 网络，以Socket 通信的方式获得安全事件；

OPSEC 接口 可以接收来自本类型的安全事件服务器发送来的事件；

第三方agent 或者应用程序，第三方的应用程序或者agent 可以通过以上方式或者标准输出直接将安全事件转发给安全事件采集系统。

事件处理和关联分析

事件处理和关联分析主要负责对事件进行标准化、集中存储、合并、关联分析和统计。

对于事件的过滤、归并、关联分析， SOC 提供了丰富的脚本定义语言，能定义任何符合用户需求的规则。

其他功能

事件管理内置响应中心，用户可以定义各种响应条件，支持对满足用户条件的事件触发相应的响应，目前支持的相应方式有：SNMP Trap、Syslog、短信、Email、图形化显示、工单、预警等。

可以根据用户选择开发相应的其他响应接口。

第四章 SOC 解决方案优势概述

领信提供了业界领先的安全管理中心（SOC）解决方案，领信及其解决方案的主要优势体现在：

国内最全面安全管理中心建设和服务经验

在2002 年即签订了中国第一个安全管理中心的项目，在2003 年又签订了多个安全管理中心的项目，并在2004 年实现多级SOC 建设，目前已经取得了电信、金融、企业等多个行业的实施经验，在行业内产生了巨大的影响。通过这些经验，领信不断完善自身的SOC 产品，并且建立起一支强大的服务队伍。管理类的项目，实施经验和不断的服务尤其重要，领信公司的经验和服务会带给客户更加高效可信的安全管理体系。

专门的SOC 研发中心

领信在南京建立了专门的SOC 支持研发中心，建立了专门产品研发队伍及客户支持队伍。领信通过防火墙和入侵检测产品的研发过程中积累了大量经验，保证南京研发中心从建立开始就在规范的研发流程基础上进行开发。

以资产为核心的全新安全视角

以往的安全管理系统往往是建立在安全产品和事件的基础上，为安全管理员提供协助，而领信的安全颠覆了这种视角，建立全面的安全管理系统，让每个管理员都可以查看自己需要的安全信息，以资产为核心，实现全面安全。

灵活的指标管理(KPI)

系统内置丰富的安全指标管理，并支持扩展和自定义指标，这些指标从不同层面上反映当前的安全管理状况，所有的指标都可以根据定义的条件触发相应的告警。

强大的关联分析能力

支持事件关联和定损关联，能够基于资产进行综合风险分析和计算。

企业级的分布能力

支持多级SOC 的数据交互或者同步。

极高的处理性能

支持大量资产以及每日数千万事件的处理能力。

强大的智能处理引擎

不但支持基于事件的关联分析，而且支持基于资产的关联分析，分析的结果可以关联到知识库和解决方案。特别是定损关联，是领信多年对攻击事件和扫描漏洞的深入研究保证了知识的积累和应用。

全面的安全产品支持

支持大量现有安全产品的集中监控，保证即插即用。

经过实践检验的持续性风险计算模型

领信在安全理念方面再次迈进一步，实现了SOC 需要的持续性风险计算模型，从而保证从风险角度综合评价安全。

完整的安全管理架构

支持知识管理、响应管理、威胁管理、漏洞管理等安全的方方面面，保证信息被完整地记录、收集和整合。

内置scanner 的解决方案

通过内置scanner，将传统的扫描工具上升到基于资产的漏洞管理的高度，

通过SOC 解决方案的强大功能获得了企业级的漏洞管理、维护和关联功能

配置的自动收集和审计

支持定期的配置收集和审计，实现了人工评估的自动化。