咨询热线:400-000-3720 中文 | English
您现在的位置: 安腾软件 >> ITEN博客 >> 正文

信息安全体系建设的新思路:“花瓶模型”


信息安全体系是企业业务持续性发展的保障,在一定程度上安全管理平台(SOC)的建设方式就体现了信息安全体系的搭建的思路,因为用户直接操作的、见到的就是安全管理平台。

一、SOC的建设思路:“花瓶”模型

从SOC的功能发展上可分为三个维度:防护、监控与审计,包含了安全事件管理的事前、事中、事后整个过程。但信息安全包含的内容非常多,SOC究竟应该管理那些内容,各部分功能如何协调一致是SOC建设者不可回避的问题。根据SOC功能扩展的三维模型,我们提出了适合SOC建设规划的“花瓶”模型。

SOC既不是单纯的事件分析器,也不是安全设备的管理集成,是整个网络的安全管理核心。按照SOC功能发展的方向,功能平台设计为三个平台,数据采集源于同一个数据采集平台,好比是一个插满花的花瓶,因此称作“花瓶”模型。

498)this.style.width=498;">  
安全保障平台建设的“花瓶”模型

花瓶中的水:水指的是模型中的信息流,为SOC平台提供分析所需的数据,同时又把策略修改的配置送给设备。数据采集平台就比如是花瓶中花的根系。信息来源有不同的方式:

网络设备、安全设备、服务器、终端等设备有关安全的系统日志与设备本身的状态数据,可以由系统本身提供,也可由安装的代理程序进行收集。

安全设备上报的安全事件。对不同安全设备的安全预警信息进行关联分析,有助于对威胁的定位。

网络链路的原始数据。实际上原始数据不仅是行为审计信息的来源,也是安全监控系统的重要数据来源,但该数据量较大,入侵检测、病毒检测、审计都有自己的数据采集分析方法,在花瓶模型中,数据采集统一起来,避免了一个链路因多种系统需求的多个镜像,把一次镜像的原始数据,经过初步的规范整理,再分别给不同的安全系统分析使用。

数据的采集量一般很大,可以在一定的网络区域布置专用的数据采集设备,收集本区域的有关信息,并转发中心下发的安全策略。所以SOC系统对网络的管理一般采用分级分域管理,方便了管理人员的管理,也降低了对SOC中心的带宽压力。

花瓶中的花枝:SOC功能发展的三个维度防护、监控、审计,既分离又相互依赖,建立在一个信息收集平台上,就是花瓶中的三束花,同时也形成了信息安全体系的事前防护、事中监控与应急调度、事后审计的三个阶段的全方位安全管理。

花瓶中的花朵:花瓶中赏心悦目的自然是花瓶中绽开的花朵,也就是模型中功能平台的用户界面。三个功能平台可以单独使用,分别有自己的用户管理界面。

花瓶模型形象地把SOC的建设展示出来,不仅给SOC的开发提供体系架构,而且可以给企业信息安全保障体系的建设提供思路,把SOC的建设过程与安全保障的建设联系起来,更好地保障业务的安全。花瓶模型的一个思路是把安全体系的信息收集平台统一建设,不仅可以把各个孤立的安全体系根本上联系起来,而且可以方便扩展未来的安全需求,真正地体现“平台”的效能。

二、从功能出发,回归到功能需求

网络的用途不同,对安全的需求也不相同,所以在SOC的建设中也有所侧重,就好象花瓶中的每支花各吐芬芳,各有不同。

对内部网络,有完全的管理权限,可以采用监控与审计的管理方式,否则监控中发现了问题,不能去落实处理,不能消灭危害源;审计中发现了是某个方向来的攻击踪迹,但对网络的具体设备与人员不能识别,审计就无法 终取证。如政府专网中,网络接入的终端与服务器都是可管理的,可以识别每个人员与设备,甚至为了安全需要,可以用行政命令做出一些安全管理规定,比如不允许安装某些非业务需求的软件。

对外部网络,是不可控制的网络, 好的方式就是增加防护。对于企业网络来说,互联网是自己无法控制的,防护是首要的安全需求。防护不仅是“大门”的防护,对自己内部重要的服务区域、数据资源都要进行防护。利用安全区域的概念可以有效地区分某些重要区域,并提供相应安全级别的保护。如提供互联网服务的商务网站,主要是对网络出口上的攻击防护,以及内部对自己数据库的完整性保护。

对于运营商,互联网就是他们管理的网络,但网络承载的业务是客户自己决定的,所以运营商更关注对网络设备的攻击,而不是对服务的攻击,所以防护主要是对网络设备的防护。