關(guān)于建設(shè)企業(yè)安全運(yùn)營中心的研究.pdf

1、安全運(yùn)營中心(SOC)是近幾年企業(yè)信息安全研究領(lǐng)域的熱點(diǎn)之一。安全運(yùn)營中心在理論上主要由五部分組成：事件發(fā)生器，事件收集器，消息數(shù)據(jù)庫，分析引擎和響應(yīng)模塊。在建設(shè)安全運(yùn)營中心的主要問題是如何將五個(gè)不同的模塊結(jié)合成一個(gè)有機(jī)整體，而且傳輸?shù)臄?shù)據(jù)都應(yīng)該滿足信息安全的三個(gè)要素：機(jī)密性、完整性、可用性。 安全運(yùn)營中心在技術(shù)上的核心模塊是告警分析模塊。此模塊主要作用是對海量報(bào)警信息進(jìn)行過濾、合并、關(guān)聯(lián)分析，報(bào)告到統(tǒng)一管理界面并觸發(fā)告警響應(yīng)模

2、塊進(jìn)行相應(yīng)的處理。本文在深入分析兩類事件關(guān)聯(lián)算法的基礎(chǔ)上，建設(shè)性的提出了一種在SOC架構(gòu)下的關(guān)聯(lián)分析器模型，在SOC核心模塊的設(shè)計(jì)構(gòu)造上作了有益的探索。 本文在關(guān)于建設(shè)企業(yè)安全運(yùn)營中心的研究方面主要做了以下工作： 1、企業(yè)安全運(yùn)營中心相關(guān)理論的整理和分析 文章首先從企業(yè)安全運(yùn)營中心相關(guān)理論的分析入手，由整體到局部闡述企業(yè)安全運(yùn)營中心的整體體系結(jié)構(gòu)，對企業(yè)安全運(yùn)營中心的工作模式和流程進(jìn)行了描述。描述了企業(yè)安全運(yùn)營中

3、心與其它安全子系統(tǒng)、網(wǎng)管中心和運(yùn)維系統(tǒng)的關(guān)系，并對企業(yè)安全運(yùn)營中心所涉及到的負(fù)載均衡、相關(guān)性分析、脆弱性分析、快速響應(yīng)等方面關(guān)鍵技術(shù)進(jìn)行了概述。 2、企業(yè)安全運(yùn)營中心事件關(guān)聯(lián)分析 介紹了事件關(guān)聯(lián)分析的相關(guān)概念，闡述了事件關(guān)聯(lián)分析模塊的結(jié)構(gòu)和事件建模，然后對基于知識庫的關(guān)聯(lián)算法和非基于知識庫的關(guān)聯(lián)算法分別進(jìn)行深入的理論分析，在基于各類關(guān)聯(lián)算法的特點(diǎn)和企業(yè)安全運(yùn)營中心的特點(diǎn)上，提出了一種全新的SOC事件關(guān)聯(lián)分析器結(jié)構(gòu)，并從設(shè)

4、計(jì)思路、應(yīng)用算法、分析器架構(gòu)等方面對此事件關(guān)聯(lián)分析器進(jìn)行講解，最后分析了關(guān)聯(lián)分析方面有待研究的方向。 3、企業(yè)安全運(yùn)營中心部署思路和建設(shè)實(shí)例 筆者根據(jù)實(shí)際工作中的經(jīng)驗(yàn)和切身體會，分析了企業(yè)信息安全建設(shè)的思路和方法。根據(jù)項(xiàng)目建設(shè)經(jīng)驗(yàn)對企業(yè)如何部署SOC進(jìn)行了探討，最后列舉了參與過的SOC建設(shè)案例?？傊?，本文通過對SOC相關(guān)的理論分析，以及關(guān)聯(lián)分析算法的研究，在事件關(guān)聯(lián)分析器的設(shè)計(jì)上提出了一些新的想法，并通過探討在企業(yè)部署S