信息安全保障体系建设的整体思路

推荐原创

zhaisj 2007-09-14 12:30:26 博主文章分类：安全技术 ©著作权

文章标签 网络信息安全 SOC 安全管理平台花瓶模型 文章分类 网络安全

©著作权归作者所有：来自51CTO博客作者zhaisj的原创作品，请联系作者获取转载授权，否则将追究法律责任

信息安全保障体系建设的整体思路

信息安全体系是企业业务持续性发展的保障，在一定程度上安全管理平台(SOC)的建设方式就体现了信息安全体系的搭建的思路，因为用户直接操作的、见到的就是安全管理平台。

一、SOC的建设思路：“花瓶”模型

从SOC的功能发展上可分为三个维度：防护、监控与审计，包含了安全事件管理的事前、事中、事后整个过程。但信息安全包含的内容非常多，SOC究竟应该管理那些内容，各部分功能如何协调一致是SOC建设者不可回避的问题。根据SOC功能扩展的三个维度，我们提出了适合SOC建设规划的“花瓶”模型。

SOC既不是单纯的事件分析器，也不是安全设备的管理集成，是整个网络的安全管理核心。按照SOC功能发展的方向，功能平台设计为三个平台，数据采集源于同一个数据采集平台，好比是一个插满花的花瓶，因此称作“花瓶”模型。

Ø 花瓶中的水：水指的是模型中的信息流，为SOC平台提供分析所需的数据，同时又把策略修改的配置送给设备。数据采集平台就比如是花瓶中花的根系。信息来源有不同的方式：

n 网络设备、安全设备、服务器、终端等设备有关安全的系统日志与设备本身的状态数据，可以由系统本身提供，也可由安装的代理程序进行收集。

n 安全设备上报的安全事件。对不同安全设备的安全预警信息进行关联分析，有助于对威胁的定位。

n 网络链路的原始数据。实际上原始数据不仅是行为审计信息的来源，也是安全监控系统的重要数据来源，但该数据量较大，入侵检测、病毒检测、审计都有自己的数据采集分析方法，在花瓶模型中，数据采集统一起来，避免了一个链路因多种系统需求的多个镜像，把一次镜像的原始数据，经过初步的规范整理，再分别给不同的安全系统分析使用。

数据的采集量一般很大，可以在一定的网络区域布置专用的数据采集设备，收集本区域的有关信息，并转发中心下发的安全策略。所以SOC系统对网络的管理一般采用分级分域管理，方便了管理人员的管理，也降低了对SOC中心的带宽压力。

Ø 花瓶中的花枝：SOC功能发展的三个维度防护、监控、审计，既分离又相互依赖，建立在一个信息收集平台上，就是花瓶中的三束花，同时也形成了信息安全体系的事前防护、事中监控与应急调度、事后审计的三个阶段的全方位安全管理。

Ø 花瓶中的花朵：花瓶中赏心悦目的自然是花瓶中绽开的花朵，也就是模型中功能平台的用户界面。三个功能平台可以单独使用，分别有自己的用户管理界面。

花瓶模型形象地把SOC的建设展示出来，不仅给SOC的开发提供体系架构，而且可以给企业信息安全保障体系的建设提供思路，把SOC的建设过程与安全保障的建设联系起来，更好地保障业务的安全。花瓶模型的一个思路是把安全体系的信息收集平台统一建设，不仅可以把各个孤立的安全体系根本上联系起来，而且可以方便扩展未来的安全需求，真正地体现“平台”的效能。

二、从功能出发，回归到功能需求

网络的用途不同，对安全的需求也不相同，所以在SOC的建设中也有所侧重，就好象花瓶中的每支花各吐芬芳，各有不同。

对内部网络，有完全的管理权限，可以采用监控与审计的管理方式，否则监控中发现了问题，不能去落实处理，不能消灭危害源；审计中发现了是某个方向来的攻击踪迹，但对网络的具体设备与人员不能识别，审计就无法最终取证。如政府专网中，网络接入的终端与服务器都是可管理的，可以识别每个人员与设备，甚至为了安全需要，可以用行政命令做出一些安全管理规定，比如不允许安装某些非业务需求的软件。

对外部网络，是不可控制的网络，最好的方式就是增加防护。对于企业网络来说，互联网是自己无法控制的，防护是首要的安全需求。防护不仅是“大门”的防护，对自己内部重要的服务区域、数据资源都要进行防护。利用安全区域的概念可以有效地区分某些重要区域，并提供相应安全级别的保护。如提供互联网服务的商务网站，主要是对网络出口上的攻击防护，以及内部对自己数据库的完整性保护。

对于运营商，互联网就是他们管理的网络，但网络承载的业务是客户自己决定的，所以运营商更关注对网络设备的攻击，而不是对服务的攻击，所以防护主要是对网络设备的防护。

我们总结了一些网络类型的安全需求，建议SOC建设的侧重点如下表：

客户	网络类型	侧重建设	重点保护对象
运营商	互联网	网络层防护	网络业务的连通性
	管理网络	接口要防护，内部重点是监控与审计	数据的安全与服务提供
ISP\ICP	为互联网服务	接口防护是重点，内部需要审计	数据的安全与服务提供
政府	外网	与互联网连接的服务主要是接口防护	服务提供
	内网	监控与审计，重要的服务区域接口地方也要防护	数据的安全与服务提供
大企业	一般是与互联网连接的内部工作网络	接口要防护，内部网络的监控是重点，重要服务区域要审计	数据的安全与服务提供
中小企业	利用互联网的服务，内部小局域网	安全防护一般就够用了，主要在接口上	数据的安全
金融	专用网络但与互联网有接口，提供基于互联网的金融服务	接口与重点区域都要重点防护，内部网络需要监控与审计	数据的安全与服务提供
军队	涉密专用网络，独立的网络	网络监控与审计，重点区域应加强防护	数据的安全