【正文】 ? 安全事件預(yù)警VRV CSOC 是集中、實(shí)時(shí)的安全信息處理中心，可及時(shí)發(fā)現(xiàn)、處理安全問題；及時(shí)通知常見的網(wǎng)絡(luò)威脅，收集整理常見的網(wǎng)絡(luò)安全故障原因，幫助客戶制定并實(shí)施安全策略，防患于未然。云安全管理平臺位于網(wǎng)絡(luò)安全體系的統(tǒng)一管理層，對于現(xiàn)有安全系統(tǒng)而言，云安全管理平臺的地位是管理者，匯總所有的安全問題，實(shí)現(xiàn)集中管理和監(jiān)控；對于單位的安全管理組織及人員而言，云安全管理平臺是一個(gè)技術(shù)實(shí)現(xiàn)平臺，管理者可以利用云安全管理平臺開展日常的安全工作，使得安全工作規(guī)范化、制度化。 面向用戶服務(wù)的透明化無論云安全管理平臺采用多么復(fù)雜的系統(tǒng)架構(gòu)以及云計(jì)算云安全管理平臺解決方案36與分析技術(shù)，對于用戶而言，需要看到的只是其所關(guān)心的結(jié)果展示，以及基于相關(guān)分析結(jié)果所能實(shí)現(xiàn)的安全策略，所以 VRV CSOC 在實(shí)現(xiàn)對終端和網(wǎng)關(guān)系統(tǒng)的同一化處理的基礎(chǔ)上，提供分布化、虛擬化、位置和服務(wù)透明化的云計(jì)算安全管理。 深入事件關(guān)聯(lián)分析對于一個(gè)典型的用戶而言，經(jīng)過較為系統(tǒng)的安全建設(shè)后，都會部署較多的安全產(chǎn)品。同時(shí)，采集分析網(wǎng)關(guān)的安全系統(tǒng)和設(shè)備（防火墻、入侵檢測、防病毒、漏洞掃描、系統(tǒng)審計(jì)等)產(chǎn)生的數(shù)據(jù)。云安全管理平臺解決方案28尤其針對專用網(wǎng)絡(luò)終端數(shù)目龐大、規(guī)模復(fù)雜、各地網(wǎng)絡(luò)管理員工作繁重等原因，提供的管理報(bào)表和報(bào)警功能有效地提升了管理效能，使得網(wǎng)絡(luò)管理人員掌握網(wǎng)絡(luò)情況，對網(wǎng)絡(luò)運(yùn)維情況和違規(guī)行為等做到了有據(jù)可查，及時(shí)處理出現(xiàn)的問題。許多隱性知識集中在崗位工作人員的腦子里，一些 IT 應(yīng)用的操作或故障解決方法可能起初只有開發(fā)人員知道，知識庫管理可以有效避免由人員流失造成的知識流失。 知識庫管理為了保證全網(wǎng)信息通暢和管理信息的高效、安全的傳遞，也為了實(shí)現(xiàn)安全信息的共享和利用，VRV CSOC 提供一個(gè)集中存放、管理、查詢安全知識的管理平臺。系統(tǒng)之間聯(lián)動是指通過集合防火墻、入侵監(jiān)測、防病毒系統(tǒng)、掃描器的綜合信息，通過自動調(diào)整安全管理中心內(nèi)各安全產(chǎn)品的安全策略，以減弱或者消除安全事件的影響的響應(yīng)機(jī)制，同時(shí)對產(chǎn)生事件的相應(yīng)設(shè)備進(jìn)行策略的反向控制。? 安全預(yù)警信息在第一時(shí)間自動通過網(wǎng)頁、短信、郵件等方式發(fā)送給相關(guān)人員。風(fēng)險(xiǎn)定量化應(yīng)支持根據(jù)風(fēng)險(xiǎn)評估過程結(jié)果獲取的風(fēng)險(xiǎn)定量取值，依據(jù)風(fēng)險(xiǎn)的機(jī)密性、完整性、可靠性等屬性取值并自動計(jì)算風(fēng)險(xiǎn)結(jié)果值，同時(shí)能夠支持用戶自定義風(fēng)險(xiǎn)計(jì)算公式。對其進(jìn)行脆弱性掃描和評估，對高風(fēng)險(xiǎn)問題盡早的進(jìn)行補(bǔ)救可以減少網(wǎng)絡(luò)安全的威脅。 事件過濾與歸并在事件收集的過程中，事件管理功能還將完成事件的整合工作，包括聚并、過濾、范式化，從而實(shí)現(xiàn)了全網(wǎng)的安全事件的高效集中處理。它將其所轄 IP 設(shè)備資產(chǎn)與風(fēng)險(xiǎn)的重要程度關(guān)系，依據(jù)風(fēng)險(xiǎn)評估的結(jié)果、定期的漏洞掃描結(jié)果和本模塊的信息資產(chǎn)相結(jié)合，基于資產(chǎn) CIA 屬性，按照資產(chǎn)信息、漏洞、補(bǔ)丁與備件分類導(dǎo)入或登記入庫，并為其他安全運(yùn)行管理模塊提供信息接口,比如響應(yīng)管理中心、綜合分析與預(yù)警平臺等。該方案在系統(tǒng)架構(gòu)上分為如下幾個(gè)部分： 計(jì)算云層在計(jì)算云層，VRV CSOC 云平臺計(jì)算引擎采用云計(jì)算技術(shù)對采集的海量數(shù)據(jù)進(jìn)行分布式計(jì)算、分析、識別、響應(yīng)和控制。這樣，不同的 SOC 廠家對 SOC 系統(tǒng)的理解不同，對同樣的功能模塊理解也不相同，導(dǎo)致 SOC 系統(tǒng)的功能多樣化。在大型網(wǎng)絡(luò)中，不同類型的設(shè)備之間可以實(shí)現(xiàn)互聯(lián)互通，共同完成一定的功能，但是在安全設(shè)備共同組成的管理系統(tǒng)中，因?yàn)闆]有統(tǒng)一的管理信息模型，導(dǎo)致各種安全設(shè)備不能互操作共同完成一定的安全管理功能，各種安全設(shè)備只能獨(dú)立地進(jìn)行基于一個(gè)視點(diǎn)的安全管理功能。SOC 強(qiáng)調(diào)各個(gè)分離的安全體系統(tǒng)一管理、統(tǒng)一審計(jì)、統(tǒng)一運(yùn)營，形成一個(gè)完整的安全保障體系，從而實(shí)現(xiàn)了高效、全面的網(wǎng)絡(luò)安全防護(hù)、檢測和響應(yīng)。云安全管理平臺解決方案42 安全現(xiàn)狀 問題和需求分析 在歷經(jīng)了網(wǎng)絡(luò)基礎(chǔ)建設(shè)、數(shù)據(jù)大集中、網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)等階段后，浙江高法逐步建立起了大量不同的安全子系統(tǒng)，如防病毒系統(tǒng)、防火墻系統(tǒng)、入侵檢測系統(tǒng)等，國家主管部門和各行業(yè)也出臺了一系列的安全標(biāo)準(zhǔn)和相關(guān)管理制度。更為嚴(yán)重地，這些復(fù)雜的 IT 資源及其安全防御設(shè)施在運(yùn)行過程中不斷產(chǎn)生大量的安全日志和事件，形成了大量“信息孤島” ，有限的安全管理人員面對這些數(shù)量巨大、彼此割裂的安全信息，操作著各種產(chǎn)品自身的控制臺界面和告警窗口，顯得束手無策，工作效率極低，難以發(fā)現(xiàn)真正的安全隱患。上述問題和需求，決定了安全管理運(yùn)營中心（SOC：Security Operation Center）已成為網(wǎng)絡(luò)安全建設(shè)的新重點(diǎn)。為了更好地保障安全，部署的各種設(shè)備之間應(yīng)該實(shí)現(xiàn)互操作，共同解決企業(yè)中的安全問題。（2）SOC 系統(tǒng)管理功能不統(tǒng)一目前 SOC 系統(tǒng)應(yīng)該包括哪些功能模塊在業(yè)界內(nèi)沒有形成統(tǒng)一的認(rèn)識，也沒有相關(guān)的標(biāo)準(zhǔn)組織對此制定相應(yīng)的規(guī)范。（4）對海量數(shù)據(jù)分析存在瓶頸 傳統(tǒng) SOC 限于自身系統(tǒng)架構(gòu)的原因，面對海量數(shù)據(jù)的分析仍然存在著響應(yīng)不及時(shí)的問題，尤其是在事件關(guān)聯(lián)分析方面，計(jì)算處理模式仍然比較單一，缺乏對大量安全事件進(jìn)行統(tǒng)一處理、歸并、過濾的能力，隨之而來呈現(xiàn)給用戶的自然存在著無法找到用戶關(guān)注點(diǎn)、呈現(xiàn)不直觀、關(guān)聯(lián)失效等大量問題，隨著安全數(shù)據(jù)的與日俱增，傳統(tǒng) SOC 在數(shù)據(jù)分析處理能力方面自然存在著較大瓶頸。該方案除了通過某終端安全管理平臺實(shí)現(xiàn)對終端的有效管理，同時(shí)還采集分析網(wǎng)關(guān)的安全系統(tǒng)和設(shè)備（防火墻、入侵檢測、防病毒、漏洞掃描、系統(tǒng)審計(jì)等)產(chǎn)生的數(shù)據(jù)，最后統(tǒng)計(jì)進(jìn)行資產(chǎn)管理、事件關(guān)聯(lián)分析、綜合風(fēng)險(xiǎn)監(jiān)控、實(shí)時(shí)預(yù)警和反制，并形成專業(yè)的安全知識庫。云安全管理平臺解決方案14 資產(chǎn)域分布 事件行為關(guān)聯(lián)分析事件關(guān)聯(lián)分析至少具有以下三個(gè)關(guān)鍵特性：1) 海量事件處理能力：是指關(guān)聯(lián)分析能夠高效地采集海量的異構(gòu)安全事件，并能夠進(jìn)行關(guān)聯(lián)匹配和輸出，還能夠?qū)踩录M(jìn)行可視化展示，以及將海量安全事件和告警信息進(jìn)行及時(shí)地存儲；2) 實(shí)時(shí)性：是指關(guān)聯(lián)分析的整個(gè)處理過程必須保持實(shí)時(shí)、不間斷的工作；3) 基于規(guī)則的：是指關(guān)聯(lián)分析的核心引擎至少應(yīng)該包括一套實(shí)時(shí)高速的規(guī)則引擎，實(shí)現(xiàn)模式匹配，這也是“關(guān)聯(lián)分析中的事件質(zhì)變”的要求。行為關(guān)聯(lián)分析系統(tǒng)的分析框架模型如下圖所示。云安全管理平臺解決方案19 風(fēng)險(xiǎn)綜合監(jiān)控風(fēng)險(xiǎn)是指資產(chǎn)遭受到安全威脅后，產(chǎn)生損失的大小及可能性。域風(fēng)險(xiǎn)管理 風(fēng)險(xiǎn)監(jiān)控綜合安全風(fēng)險(xiǎn)分析是分析整個(gè)組織面臨的威脅和確保這些威脅所帶來的挑戰(zhàn)處于可以接受的范圍內(nèi)的連續(xù)流程，通過風(fēng)險(xiǎn)綜合分析監(jiān)控，用戶可一目了然的了解到當(dāng)前網(wǎng)絡(luò)中各種安全資產(chǎn)所面臨的安全風(fēng)險(xiǎn)，同時(shí)，VRV CSOC 還對收到的信息進(jìn)行關(guān)聯(lián)分析，對分析后的結(jié)果產(chǎn)生預(yù)警和響應(yīng)工單，為用戶了解安全風(fēng)險(xiǎn)提供了數(shù)據(jù)和圖形化的依據(jù)，并幫助用戶及時(shí)作出管理決策。云安全管理平臺解決方案24預(yù)警發(fā)布 實(shí)時(shí)響應(yīng)與反控事件監(jiān)控和發(fā)現(xiàn)并不是最終目的，解決問題和消除影響才是安全管理的關(guān)鍵。并能關(guān)聯(lián)到安全知識中的相關(guān)內(nèi)容，為事件處理人員提供幫助和指導(dǎo)信息。如果多數(shù)問題及其解決方案都可以從知識庫中簡單、方便獲取，從而將 IT 支持人員從重復(fù)性的工作中解放出來，著手解決其他新的問題，從而達(dá)到提升工作效率，降低 IT 維護(hù)成本的目的。從 FAQ、知識點(diǎn)擊率、解決的用戶請求數(shù)量，知識的生命周期等等統(tǒng)計(jì)數(shù)據(jù)中，不難挖掘出許多有用的信息。它位于網(wǎng)絡(luò)安全體系的統(tǒng)一管理層，對于現(xiàn)有安全系統(tǒng)而言，VRV CSOC 的地位是管理者，匯總所有的安全問題，實(shí)現(xiàn)集中管理和監(jiān)控；對于企業(yè)的安全管理組織及人員而言，VRV CSOC 是一個(gè)技術(shù)實(shí)現(xiàn)平臺，管理者可以利用 VRV CSOC 開展日常的安全工作，使得安全工作規(guī)范化、制度化。云安全管理平臺解決方案33 海量數(shù)據(jù)的標(biāo)準(zhǔn)化采集和處理VRV CSOC 利用 SNMP、SYSLOG、ODBC 等技術(shù)對終端設(shè)備、網(wǎng)絡(luò)設(shè)備以及安全設(shè)備的日志信息、運(yùn)行狀況、安全事件等大量數(shù)據(jù)信息進(jìn)行標(biāo)準(zhǔn)化采集。1. 事件關(guān)聯(lián)分析含義：1) 將大量的安全事件過濾、壓縮、歸并，提取出少量的、云安全管理平臺解決方案35或者是概括性的重要安全事件，相當(dāng)于“關(guān)聯(lián)分析中的事件量變”；2) 從大量的安全事件之中發(fā)掘隱藏的相關(guān)性，產(chǎn)生新的不在之前事件之中的安全事件，相當(dāng)于“關(guān)聯(lián)分析中的事件質(zhì)變 ”。云安全管理平臺解決方案386 某云安全管理平臺部署標(biāo)準(zhǔn)架構(gòu)：一般網(wǎng)絡(luò)（例如 1 個(gè) C 類地址或若干個(gè) C 類地址的局域網(wǎng)范圍）可使用一套本系統(tǒng)平臺，集中管理所屬區(qū)域內(nèi)的所有設(shè)備。通過這種綜合關(guān)聯(lián)，最后的結(jié)論是準(zhǔn)確的，明確指向需要響應(yīng)的級別。同時(shí)客戶可以不必再單獨(dú)購買多家網(wǎng)絡(luò)安全設(shè)備、配備 IT 維護(hù)人員，簡化安全管理結(jié)構(gòu)，可節(jié)省大量的設(shè)備購置成本；眾多云安全管理平臺解決方案41客戶共享一個(gè)專業(yè)化的團(tuán)隊(duì)服務(wù)，分擔(dān)實(shí)施和維護(hù)成本。同時(shí)作為信息保障能力的安全管理，把分散的技術(shù)因素、人的因素，通過政策規(guī)則、運(yùn)作流程協(xié)調(diào)整合成為一體，充分體現(xiàn)了“三分技術(shù)，七分管理” 的重要性。此外，大量的安全事件匯聚到一起，根據(jù)其安全屬性的相關(guān)性，可能隱含了新