關(guān)于建設(shè)企業(yè)安全運營中心的研究.pdf

1、安全運營中心(SOC)是近幾年企業(yè)信息安全研究領(lǐng)域的熱點之一。安全運營中心在理論上主要由五部分組成：事件發(fā)生器，事件收集器，消息數(shù)據(jù)庫，分析引擎和響應(yīng)模塊。在建設(shè)安全運營中心的主要問題是如何將五個不同的模塊結(jié)合成一個有機整體，而且傳輸?shù)臄?shù)據(jù)都應(yīng)該滿足信息安全的三個要素：機密性、完整性、可用性。 安全運營中心在技術(shù)上的核心模塊是告警分析模塊。此模塊主要作用是對海量報警信息進行過濾、合并、關(guān)聯(lián)分析，報告到統(tǒng)一管理界面并觸發(fā)告警響應(yīng)模

2、塊進行相應(yīng)的處理。本文在深入分析兩類事件關(guān)聯(lián)算法的基礎(chǔ)上，建設(shè)性的提出了一種在SOC架構(gòu)下的關(guān)聯(lián)分析器模型，在SOC核心模塊的設(shè)計構(gòu)造上作了有益的探索。 本文在關(guān)于建設(shè)企業(yè)安全運營中心的研究方面主要做了以下工作： 1、企業(yè)安全運營中心相關(guān)理論的整理和分析 文章首先從企業(yè)安全運營中心相關(guān)理論的分析入手，由整體到局部闡述企業(yè)安全運營中心的整體體系結(jié)構(gòu)，對企業(yè)安全運營中心的工作模式和流程進行了描述。描述了企業(yè)安全運營中

3、心與其它安全子系統(tǒng)、網(wǎng)管中心和運維系統(tǒng)的關(guān)系，并對企業(yè)安全運營中心所涉及到的負載均衡、相關(guān)性分析、脆弱性分析、快速響應(yīng)等方面關(guān)鍵技術(shù)進行了概述。 2、企業(yè)安全運營中心事件關(guān)聯(lián)分析 介紹了事件關(guān)聯(lián)分析的相關(guān)概念，闡述了事件關(guān)聯(lián)分析模塊的結(jié)構(gòu)和事件建模，然后對基于知識庫的關(guān)聯(lián)算法和非基于知識庫的關(guān)聯(lián)算法分別進行深入的理論分析，在基于各類關(guān)聯(lián)算法的特點和企業(yè)安全運營中心的特點上，提出了一種全新的SOC事件關(guān)聯(lián)分析器結(jié)構(gòu)，并從設(shè)

4、計思路、應(yīng)用算法、分析器架構(gòu)等方面對此事件關(guān)聯(lián)分析器進行講解，最后分析了關(guān)聯(lián)分析方面有待研究的方向。 3、企業(yè)安全運營中心部署思路和建設(shè)實例 筆者根據(jù)實際工作中的經(jīng)驗和切身體會，分析了企業(yè)信息安全建設(shè)的思路和方法。根據(jù)項目建設(shè)經(jīng)驗對企業(yè)如何部署SOC進行了探討，最后列舉了參與過的SOC建設(shè)案例?？傊?，本文通過對SOC相關(guān)的理論分析，以及關(guān)聯(lián)分析算法的研究，在事件關(guān)聯(lián)分析器的設(shè)計上提出了一些新的想法，并通過探討在企業(yè)部署S