文档介绍:精选平安运营中心开展现状与应用探讨
3/33
平安运营中心〔SOC〕开展现状与应用探讨
随着电信企业信息化建设步伐的加快,如何有效化解平安风险,有效应对各种突发性平安事件已成为不容无视的问题。与普通企业相比,电信运营商的信鉴这些经验。例如,在组织架构和管理模式方面SOC可以参照NOC的做法;但在工作流程设计上SOC最好采用与NOC平行的模式。出于简化管理考虑,国外也有将SOC和NOC放在一起的成功案例。
SOC涉及的关键技术
在平安事件的一体化处理流程中,SOC采用一系列新技术,在有效提高应用系统平安性的同时,尽量减轻平安事件相关操作对业务系统性能的影响。SOC建设中涉及的关键技术有负载均衡技术、模式分析技术、结构化分析技术、快速响应技术。
负载均衡
在SOC的设计和建设过程,必须优先考虑性能因素。虽然原始信息越多、越详细,越有助于SOC分析和检测正在发生的攻击企图,但采集、处理过多的信息对SOC处理能力提出挑战,严重影响性能。一方面,每个传感器每秒钟可能产生成百上千条消息,全部类型各异的传感器实时上报消息对SOC收集模块的处理能力提出很高要求。另一方面,收集模块也轮询获取系统状态,过于频繁的轮询会占用被管理系统珍贵的CPU资源,直接影响其业务的运行。
7/33
与保证效劳器端效劳类似,提高SOC的伸缩性、可用性可以采用:
※负载均衡技术,如高可用性〔HA〕、集群〔Cluster〕、双机热备。
※源过滤技术,传感器预先过滤掉不重要的信息,减轻SOC的处理压力。
模式分析〔相关性〕
平安事件分析处理的好坏直接关系着SOC系统的后续处理,分析模块综合分析来自不同设备、数量庞大的事件序列,通过模式匹配找出平安事件之间的内在联系〔相关性〕,最终产生高度合成的准确分析结果。模式分析的根本内容包括:
1)识别重复信息,对于收到的多条重复信息进行筛选或过滤,以减轻存储负担。
9/33
2)序列模式匹配,判别一系列消息是否由同一入侵企图触发。
3)事件模式匹配,通过基于时间的上下文分析,识别缓慢分布式入侵过程。
4)平安策略匹配,基于行为匹配识别符合平安策略规那么的某些事件,如管理员登陆、认证。
5)系统威胁分析,判断目标系统是否受已检测到攻击企图的威胁,并分析此类攻击对系统平安的整体影响。
脆弱性分析
脆弱性〔Vulnerability〕是指系统存在的平安漏洞或不平安的行为,这些信息可能损害整体平安级别,也可能被“黑客〞加以利用发动入侵攻击。作为知识库的一个组件,弱点数据库存储三类脆弱性:
※结构化脆弱性
这种脆弱性通常指软件的内部缺陷,例如缓冲区溢出Bug、字符串格式化缺陷等。
※功能化脆弱性
通常指与配置、操作行为、用户等运行环境有关的弱点,这种脆弱性的一个显著特点是只要一个所需条件不具备,它就在系统中以“非激活〞状态存在。显然定义、格式化、整理这类脆弱性,需要操作系统、网络、应用各方面专家的参与。
10/33
※拓扑相关脆弱性
这类脆弱性主要基于网络〔如监听、IP欺骗〕,还包含可能的入侵路径的脆弱性。拓扑相关脆弱性导入弱点数据库一般需要拓扑建模的支持。
快速响应是SOC根本目标,所有模块均效劳于该功能。紧急响应的内容根据环境不同而有所差异,从监控事件的进一步开展到攻击的追踪。当大规模攻击爆发时,及时隔离攻击源是防止攻击影响扩大化的有效措施。当SOC检测到WWW效劳器被入侵、页面遭到非法篡改,快速响应那么意味着尽快恢复效劳器的正常运行,把事件的负面影响降到最小。
在攻击发生之前,必须确定响应流程;该流程需要经过提前演练并备案。为了保证快速、有效的响应,应急响应流程至少应包括特定级别的事件升级制度〔Escalation〕。在事件升级制度中,根据攻击的严重程度,采取不同的响应流程,由不同级别人员处理。以三级处理模式为例,现场值守人员处理类型攻击,第二级平安专业小组处理不明类型攻击,第三级实验室研究小组〔如CERT〕对复杂攻击进行重放、原理分析并找出适当的解决方法。
10/33
SOC的开展趋势
由于SOC出现时间不长,无论是用户还是平安厂商都缺乏足够的建设、维护经验,目前对SOC存在以下认识误区:
1)对SOC的作用认识缺乏,片面夸大或贬低SOC。
计算机网络技术的迅猛开展给电信运营商带来了沉重的平安压力,SOC的诞生为信息平安问题解决提供一缕曙光,于是人们认为SOC可以解决一切平安问题。另一方面,目前已经运行的SOC由于缺乏必要的支撑,管理体制没有理顺;效果不尽如人意,对SOC的疑心声又不断。对SOC作用的片面认识很大程度上由于平安厂商宣传误导,导致人们对SOC期望过高;因为SOC是一种蓬勃开展的新生事物,出现