大數(shù)據(jù)安全運(yùn)營(yíng)中心建設(shè)方案數(shù)據(jù)驅(qū)動(dòng)安全目錄

TableofContents3.人員流程制度建設(shè)方案

－人員建設(shè)規(guī)劃

－流程建設(shè)規(guī)劃

－制度建設(shè)規(guī)劃

2.技術(shù)平臺(tái)建設(shè)方案監(jiān)控范圍平臺(tái)架構(gòu)安全模型部署示意圖詳細(xì)方案1.項(xiàng)目簡(jiǎn)介項(xiàng)目背景項(xiàng)目建設(shè)思路項(xiàng)目建設(shè)內(nèi)容項(xiàng)目建設(shè)目標(biāo)4.產(chǎn)品選型及投入產(chǎn)品調(diào)研產(chǎn)品選型建議產(chǎn)品優(yōu)勢(shì)項(xiàng)目投入項(xiàng)目簡(jiǎn)介項(xiàng)目建設(shè)背景面對(duì)龐大復(fù)雜的網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)，企業(yè)無(wú)從知曉自身的安全狀態(tài)、安全建設(shè)效果、安全風(fēng)險(xiǎn)的變化情況，無(wú)法為領(lǐng)導(dǎo)層、管理層和運(yùn)維人員提供“可見(jiàn)”的報(bào)告來(lái)說(shuō)明企業(yè)的安全問(wèn)題和現(xiàn)狀。安全管理面對(duì)越來(lái)越多的挑戰(zhàn)！安全事件處置低效安全現(xiàn)狀不可見(jiàn)大量無(wú)效告警，分析能力弱信息架構(gòu)多樣化，管理分散安全設(shè)備每天都會(huì)產(chǎn)生大量的日志，實(shí)際上安全運(yùn)維人員每日處理的日志數(shù)量有限，可能導(dǎo)致關(guān)鍵的安全信息和告警被大量的無(wú)效告警淹沒(méi)；目前已部署的安全設(shè)備防護(hù)核心是基于特征碼匹配，黑名單的方式，缺少對(duì)于未知威脅和異常行為檢測(cè)手段。經(jīng)過(guò)多年的信息化建設(shè)，不但有傳統(tǒng)物理服務(wù)器、網(wǎng)絡(luò)設(shè)備和安全設(shè)備，也有虛擬化和云平臺(tái)。由于人力資源的有限，對(duì)這些服務(wù)器及設(shè)備的日常維護(hù)管理壓力較大。安全故障的解決過(guò)程無(wú)法掌控，往往發(fā)現(xiàn)的問(wèn)題很長(zhǎng)時(shí)間沒(méi)有人去處理，已解決的問(wèn)題不知道被解決，并且往往缺乏一種高效的機(jī)制來(lái)有效貫徹各類(lèi)安全策略。項(xiàng)目建設(shè)思路整合傳統(tǒng)安全架構(gòu)和私有云，構(gòu)建統(tǒng)一的安全管理運(yùn)營(yíng)平臺(tái)。實(shí)現(xiàn)全網(wǎng)統(tǒng)一的安全基礎(chǔ)信息采集和存儲(chǔ)。實(shí)現(xiàn)全網(wǎng)安全態(tài)勢(shì)的統(tǒng)一監(jiān)控。實(shí)現(xiàn)安全事件追蹤溯源和風(fēng)險(xiǎn)預(yù)警等分析能力。物理機(jī)和設(shè)備傳統(tǒng)設(shè)備數(shù)據(jù)大集中云數(shù)據(jù)云基礎(chǔ)設(shè)施虛擬化項(xiàng)目建設(shè)內(nèi)容安全報(bào)告安全報(bào)告設(shè)計(jì)安全報(bào)告展現(xiàn)維度按時(shí)間順序按業(yè)務(wù)部門(mén)按合規(guī)要求安全事件處置流程安全數(shù)據(jù)收集和分析數(shù)據(jù)收集清單監(jiān)控內(nèi)容及其分類(lèi)安全數(shù)據(jù)資源整合告警生成事件規(guī)則制度建立安全事件分類(lèi)安全事件處置流程大數(shù)據(jù)安全管理平臺(tái)安全事件事后分析安全運(yùn)營(yíng)中心平臺(tái)建設(shè)工作分為4個(gè)方面，包括安全數(shù)據(jù)收集、分析、安全事件處置、安全報(bào)告。安全管理工作分為3個(gè)方面，包括：人員、流程、制度。人員流程制度項(xiàng)目建設(shè)目標(biāo)管理目標(biāo)——從制度、流程和人員三方面建設(shè)一套安全管理體系，提升安全運(yùn)營(yíng)水平。1采用信息安全管理體系PDCA模型，策劃﹙Plan﹚、實(shí)施﹙Do﹚、驗(yàn)證﹙Check﹚和改進(jìn)﹙Action﹚四個(gè)步驟成為一個(gè)閉環(huán)，通過(guò)這個(gè)環(huán)的不斷運(yùn)轉(zhuǎn)，使信息安全管理體系得到持續(xù)改進(jìn)，使信息安全績(jī)效（performance）螺旋上升。技術(shù)目標(biāo)——建立一個(gè)全網(wǎng)統(tǒng)一的安全運(yùn)營(yíng)技術(shù)平臺(tái)，為安全運(yùn)營(yíng)提供有力支撐。2以IT資產(chǎn)為基礎(chǔ)，以業(yè)務(wù)信息系統(tǒng)為核心，以用戶(hù)體驗(yàn)為指引，從監(jiān)控、審計(jì)、度量、運(yùn)維四個(gè)維度建立一個(gè)全網(wǎng)統(tǒng)一的安全運(yùn)營(yíng)支撐平臺(tái)，使得各種用戶(hù)能夠?qū)I(yè)務(wù)信息系統(tǒng)進(jìn)行安全事件分析、審計(jì)、預(yù)警與響應(yīng)，風(fēng)險(xiǎn)及態(tài)勢(shì)的度量、評(píng)估、考核與評(píng)價(jià)，標(biāo)準(zhǔn)化、例行化、常態(tài)化的安全流程管控，通過(guò)面向業(yè)務(wù)的主動(dòng)化、智能化安全管理實(shí)現(xiàn)業(yè)務(wù)信息系統(tǒng)的持續(xù)安全運(yùn)營(yíng)。技術(shù)平臺(tái)建設(shè)方案

大數(shù)據(jù)安全管理平臺(tái)監(jiān)控范圍包括：互聯(lián)網(wǎng)區(qū)和辦公內(nèi)網(wǎng)兩部分；互聯(lián)網(wǎng)區(qū)包括：安全設(shè)備和對(duì)外服務(wù)的應(yīng)用系統(tǒng)日志。辦公內(nèi)網(wǎng)包括：安全設(shè)備和私有云平臺(tái)相關(guān)系統(tǒng)日志?；ヂ?lián)網(wǎng)區(qū)辦公內(nèi)網(wǎng)監(jiān)控范圍平臺(tái)架構(gòu)基礎(chǔ)架構(gòu)：Elasticsearch＋Spark大數(shù)據(jù)分布式存儲(chǔ)計(jì)算架構(gòu)；平臺(tái)功能：數(shù)據(jù)采集模塊、數(shù)據(jù)存儲(chǔ)計(jì)算模塊、資產(chǎn)管理模塊、安全事件管理模塊、安全事件響應(yīng)模塊、安全分析模塊、檢索溯源模塊、風(fēng)險(xiǎn)管理模塊、異常行為檢測(cè)模塊、拓?fù)涔芾砟K、知識(shí)庫(kù)管理模塊、安全情報(bào)管理模塊、平臺(tái)應(yīng)用、系統(tǒng)管理模塊；系統(tǒng)參考標(biāo)準(zhǔn)：

GB/T22239（信息系統(tǒng)安全等級(jí)保護(hù)基本要求）、ISO27001（信息安全管理體系標(biāo)準(zhǔn))、GB/Z20986（信息安全技術(shù)信息安全事件分類(lèi)分級(jí)指南）；安全模型—MPDRR安全管理防護(hù)檢測(cè)響應(yīng)恢復(fù)安全防御設(shè)備防火墻、入侵防御、防病毒、終端管理、上網(wǎng)行為管理、數(shù)據(jù)防泄漏等。安全運(yùn)營(yíng)中心平臺(tái)數(shù)據(jù)采集解析、事件識(shí)別、關(guān)聯(lián)分析、產(chǎn)生告警、事件溯源、可視化、統(tǒng)計(jì)報(bào)表、觸發(fā)工單、處理結(jié)果跟蹤反饋。安全運(yùn)維人員事件處理、系統(tǒng)加固、安全策略調(diào)整。安全日志安全事件&處理建議策略調(diào)整信息資產(chǎn)系統(tǒng)加固工單系統(tǒng)產(chǎn)生工單安全防護(hù)部署示意圖內(nèi)網(wǎng)區(qū)數(shù)據(jù)采集器：部署在內(nèi)網(wǎng)，負(fù)責(zé)對(duì)安全設(shè)備、應(yīng)用系統(tǒng)、私有云平臺(tái)日志進(jìn)行采集，統(tǒng)一發(fā)送給大數(shù)據(jù)安全管理平臺(tái)。互聯(lián)網(wǎng)區(qū)數(shù)據(jù)采集器：部署在互聯(lián)網(wǎng)區(qū)，負(fù)責(zé)對(duì)安全設(shè)備、互聯(lián)網(wǎng)應(yīng)用、上網(wǎng)人員日志進(jìn)行采集，通過(guò)網(wǎng)閘定期將數(shù)據(jù)擺渡到內(nèi)網(wǎng)大數(shù)據(jù)安全管理平臺(tái)。大數(shù)據(jù)安全管理平臺(tái)：部署在內(nèi)網(wǎng)，負(fù)責(zé)統(tǒng)一的系統(tǒng)的配置管理、可視化展現(xiàn)、工單對(duì)接、產(chǎn)生報(bào)告報(bào)表等。實(shí)施步驟一：基礎(chǔ)資源整合根據(jù)信息資產(chǎn)管理范圍、安全日志管理情況及外部安全提示，對(duì)現(xiàn)有資源進(jìn)行整合，梳理并確認(rèn)現(xiàn)有系統(tǒng)的功能。外部安全提示-CERT烏云安全廠商其它組織安全日志網(wǎng)絡(luò)設(shè)備主機(jī)中間件虛擬化安全設(shè)備應(yīng)用系統(tǒng)數(shù)據(jù)庫(kù)私有云平臺(tái)資產(chǎn)信息人員信息設(shè)備信息系統(tǒng)信息應(yīng)用信息大數(shù)據(jù)安全管理平臺(tái)實(shí)施步驟二：安全事件分析軟件清單軟件安裝記錄資產(chǎn)清單操作系統(tǒng)安全日志辦公軟件安裝日志防病毒軟件安裝記錄補(bǔ)丁安裝記錄域控帳號(hào)登錄記錄密碼策略記錄系統(tǒng)維護(hù)情況記錄防病毒軟件更新記錄終端網(wǎng)絡(luò)流量記錄用戶(hù)操作行為日志上網(wǎng)行為記錄終端系統(tǒng)運(yùn)行狀態(tài)記錄DLP系統(tǒng)記錄設(shè)備送修記錄設(shè)備報(bào)廢記錄根據(jù)監(jiān)控內(nèi)容，對(duì)不同設(shè)備和系統(tǒng)的異常情況進(jìn)行告警，并對(duì)告警進(jìn)行分類(lèi)。例如高級(jí)告警、中級(jí)告警等制定監(jiān)控告警生成事件的規(guī)則。如主要告警可以生成安全事件進(jìn)行跟蹤和處理。違規(guī)安全軟件告警規(guī)則安全事

件分類(lèi)分級(jí)違規(guī)登錄系統(tǒng)終端數(shù)據(jù)泄漏違規(guī)上網(wǎng)訪問(wèn)安全事件記錄密碼未

定期更新終端病毒感染終端惡意掃描終端漏洞利用補(bǔ)丁未

及時(shí)更新惡意卸載軟件事件發(fā)生時(shí)間事件責(zé)任人事件發(fā)生

終端情況事件嚴(yán)重程度事件影響范圍事件處置建議監(jiān)控各應(yīng)用系統(tǒng)平臺(tái)及安全工具運(yùn)行情況，針對(duì)數(shù)據(jù)中的異常內(nèi)容進(jìn)行跟蹤，觀察和發(fā)現(xiàn)安全事件，并對(duì)事件進(jìn)行初步分析，評(píng)估安全事件影響，實(shí)現(xiàn)安全事件的早發(fā)現(xiàn)、早處置。安全監(jiān)控內(nèi)容高級(jí)中級(jí)低級(jí)高級(jí)高級(jí)中級(jí)中級(jí)中級(jí)中級(jí)低級(jí)實(shí)施步驟二：一些安全場(chǎng)景安全場(chǎng)景說(shuō)明PE病毒與蠕蟲(chóng)交叉感染當(dāng)PE病毒與蠕蟲(chóng)交叉感染一個(gè)文件，這個(gè)病毒不但具有破壞能力，且具有快速的擴(kuò)散能力，可能讓企業(yè)短時(shí)間大面積感染病毒。來(lái)自外網(wǎng)的遠(yuǎn)程桌面連接成功來(lái)自外網(wǎng)的RDP協(xié)議的遠(yuǎn)程桌面連接成功事件，可能為黑客入侵或違規(guī)操作。嘗試暴力破解用戶(hù)終端準(zhǔn)入認(rèn)證失敗短時(shí)間超過(guò)多次。暴力破解成功短時(shí)間內(nèi)同一IP登陸連續(xù)登錄失敗超過(guò)N次觸發(fā)，同時(shí)其中有一次登錄成功地址嘗試訪問(wèn)惡意域名服務(wù)器非DNS服務(wù)器向外發(fā)起的DNS請(qǐng)求觸發(fā)告警WEB服務(wù)器主動(dòng)向外訪問(wèn)WEB服務(wù)器地址向外主動(dòng)訪問(wèn)的請(qǐng)求有針對(duì)性的漏洞利用應(yīng)用系統(tǒng)遭受了某種漏洞利用，同時(shí)掃描器同樣發(fā)現(xiàn)應(yīng)用系統(tǒng)有此漏洞密碼更改頻繁一個(gè)用戶(hù)一天內(nèi)更改密碼N次以上短時(shí)間內(nèi)用戶(hù)創(chuàng)建刪除一個(gè)用戶(hù)在創(chuàng)建后N分鐘內(nèi)刪除多賬號(hào)異常登錄一個(gè)IP在N分鐘內(nèi)登錄了超過(guò)N個(gè)賬號(hào)僵尸網(wǎng)絡(luò)加密通道、C&C通信、訪問(wèn)動(dòng)態(tài)域名…..…………實(shí)施步驟三：安全事件處置違規(guī)安全軟件安全事件違規(guī)登錄系統(tǒng)終端數(shù)據(jù)泄漏違規(guī)上網(wǎng)訪問(wèn)密碼未

定期更新終端病毒感染終端惡意掃描終端漏洞利用補(bǔ)丁未

及時(shí)更新惡意卸載軟件安全事件處置流程啟動(dòng)安全事件響應(yīng)流程通知相關(guān)系統(tǒng)管理員/協(xié)調(diào)員對(duì)安全事件進(jìn)行進(jìn)一步確認(rèn)與當(dāng)事人確認(rèn)違規(guī)行為/系統(tǒng)被破壞情況根據(jù)不同安全事件的嚴(yán)重程度，修復(fù)安全事件所引發(fā)的問(wèn)題對(duì)修復(fù)結(jié)果進(jìn)行驗(yàn)證關(guān)閉安全事件協(xié)助信息安全管理團(tuán)隊(duì)進(jìn)行安全事件處置，利用豐富的信息安全專(zhuān)業(yè)經(jīng)驗(yàn)，提出安全事件處置建議，并協(xié)助開(kāi)展和推動(dòng)處置工作，確保安全事件得到及時(shí)、有效的處理，避免處置不及時(shí)、不恰當(dāng)導(dǎo)致的影響擴(kuò)大和升級(jí)。響應(yīng)受理解決驗(yàn)證關(guān)閉實(shí)施步驟四：安全事件事后溯源分析分析安全事件基本情況分析以往事件發(fā)生情況分析各責(zé)任部門(mén)重視程度分析現(xiàn)有安全技術(shù)實(shí)現(xiàn)情況對(duì)安全事件原因分析進(jìn)行判定，確認(rèn)原因分析是否到位制定安全事件整改方案對(duì)整改方案進(jìn)行評(píng)審技術(shù)類(lèi)安全事件整改措施執(zhí)行管理類(lèi)安全事件整改措施執(zhí)行安全事件原因分析改進(jìn)措施落地執(zhí)行改進(jìn)措施制定與評(píng)審總結(jié)安全事件并輸出安全事件報(bào)告內(nèi)容包括：事故原因分析、已造成的影響、處理辦法、處理結(jié)果、預(yù)防以及改進(jìn)措施和計(jì)劃等定期跟蹤改進(jìn)措施進(jìn)度安全事件處置總結(jié)協(xié)助對(duì)安全事件進(jìn)行事后處置和整改，提出專(zhuān)家建議，并協(xié)助推進(jìn)改進(jìn)工作，保證事件整改措施的有效和可落地，及時(shí)總結(jié)和記錄安全事件，不斷完善和積累安全事件處置經(jīng)驗(yàn)，提高安全運(yùn)營(yíng)能力。實(shí)施步驟五：完善安全事件管理機(jī)制結(jié)合現(xiàn)有的組織架構(gòu)及職責(zé)分工，修訂完善信息安全事件管理規(guī)范，明確相關(guān)方的職責(zé)分工情況。完善《信息安全事件管理規(guī)范》機(jī)制，明確職責(zé)分工，并細(xì)化具體的管控要求完善安全事件模板信息安全事件記錄單信息安全事件分類(lèi)信息安全事件分級(jí)信息安全事件流程報(bào)告（從流程持續(xù)改進(jìn)的角度要求定期對(duì)信息安全事件進(jìn)行歸納總結(jié)）信息安全事件分析報(bào)告（事件級(jí)別較高的安全事件要求進(jìn)行根源分析）實(shí)施步驟五：安全報(bào)告設(shè)計(jì)按時(shí)間順序違規(guī)上網(wǎng)和下載終端設(shè)備健康狀態(tài)……軟件

安全使用病毒感染漏洞和補(bǔ)丁更新專(zhuān)項(xiàng)領(lǐng)域報(bào)告報(bào)告設(shè)計(jì)與展現(xiàn)按業(yè)務(wù)部門(mén)按合規(guī)要求基于當(dāng)前安全運(yùn)營(yíng)的開(kāi)展情況和管理需求，以及可采集數(shù)據(jù)的情況，制定各領(lǐng)域的SOC報(bào)告模板，充分反映當(dāng)前安全運(yùn)營(yíng)工作的情況、取得的成效和面臨的問(wèn)題。安全事件解決情況……安全運(yùn)行總體情況由告警生成安全事件數(shù)量安全事件報(bào)告訪問(wèn)控制管控情況……客戶(hù)端防護(hù)

情況網(wǎng)絡(luò)防護(hù)

情況綜合分析報(bào)告實(shí)施步驟五：專(zhuān)項(xiàng)報(bào)告設(shè)計(jì)告警記錄疑似違規(guī)終端病毒感染終端違規(guī)訪問(wèn)終端違規(guī)下載軟件安裝違規(guī)終端數(shù)據(jù)泄漏總數(shù)終端病毒感染終端違規(guī)訪問(wèn)終端違規(guī)下載軟件安裝違規(guī)終端數(shù)據(jù)泄漏總數(shù)702081751213122078825113331120481024102339301982110012410557181010131052816100113107731810110301376170110131044615100102011661400020218239567018512310131452安全專(zhuān)項(xiàng)領(lǐng)域報(bào)告示例實(shí)施步驟五：綜合報(bào)告設(shè)計(jì)人員流程制度建設(shè)方案人員建設(shè)規(guī)劃總體規(guī)劃階段一階段二

……安全運(yùn)營(yíng)團(tuán)隊(duì)建設(shè)安全運(yùn)維人員安全管理人員人員能力培養(yǎng)考核體系建設(shè)安全運(yùn)營(yíng)團(tuán)隊(duì)提升安全專(zhuān)家安全檢查人員知識(shí)庫(kù)／情報(bào)管理人員安全運(yùn)營(yíng)團(tuán)隊(duì)建設(shè)人員能力培養(yǎng)考核體系建設(shè)人員角色分工序號(hào)角色職責(zé)考核標(biāo)準(zhǔn)人員數(shù)量1安全管理安全運(yùn)營(yíng)中心負(fù)責(zé)人，全面負(fù)責(zé)信息安全運(yùn)行中心的具體管理工作，包括政策制定、事件審核、工作考核等根據(jù)實(shí)際情況制定根據(jù)實(shí)際情況設(shè)置2安全運(yùn)維負(fù)責(zé)對(duì)安全運(yùn)營(yíng)平臺(tái)及其他途徑（電話、郵件等）發(fā)生的安全事件進(jìn)行實(shí)時(shí)監(jiān)控和通報(bào)。對(duì)信息安全事件進(jìn)行分析、外部組織（如烏云等）針對(duì)的安全警示及相關(guān)漏洞進(jìn)行分析。對(duì)產(chǎn)生并確認(rèn)的的安全事件、外部組織針對(duì)安全警示進(jìn)行全生命周期處理。

安全運(yùn)營(yíng)中心技術(shù)平臺(tái)的日常管理運(yùn)維工作。根據(jù)實(shí)際情況制定根據(jù)實(shí)際情況設(shè)置人員能力培養(yǎng)序號(hào)培訓(xùn)時(shí)間培訓(xùn)對(duì)象崗位所需能力培訓(xùn)內(nèi)容1項(xiàng)目建設(shè)前期安全管理人員安全運(yùn)營(yíng)中心日常管理能力安全制度流程制定能力CISP培訓(xùn)ISO27001培訓(xùn)信息安全風(fēng)險(xiǎn)管理課程信息安全等級(jí)保護(hù)工作業(yè)務(wù)認(rèn)證課程2項(xiàng)目上線前安全運(yùn)維人員安全事件監(jiān)控及響應(yīng)能力安全事件分析能力應(yīng)急響應(yīng)處理能力平臺(tái)管理運(yùn)維能力ISO27001培訓(xùn)CISP培訓(xùn)瀚思產(chǎn)品培訓(xùn)黑客攻防培訓(xùn)等級(jí)保護(hù)工作業(yè)務(wù)認(rèn)證課程信息安全風(fēng)險(xiǎn)管理課程安全管理制度與流程建設(shè)規(guī)劃總體規(guī)劃階段一階段二

……安全事件分類(lèi)分級(jí)安全事件處理流程外部安全警示處理流程應(yīng)急響應(yīng)流程安全檢查流程專(zhuān)家支持流程安全情報(bào)分析流程安全事件分類(lèi)分級(jí)安全事件處理流程外部安全警示處理流程應(yīng)急響應(yīng)流程安全檢查流程專(zhuān)家支持流程安全情報(bào)分析流程……..安全管理制度與流程體系架構(gòu)細(xì)則、指南和手冊(cè)要求、標(biāo)準(zhǔn)和管理規(guī)范記錄、表單和報(bào)告管理辦法管理辦法：是信息安全各領(lǐng)域的總體方針，解決的是“為什么”的問(wèn)題。包括信息安全方針、組織架構(gòu)、信息安全目標(biāo)、信息安全管理范圍和邊界、信息安全管理委員會(huì)成員和職責(zé)等；要求、標(biāo)準(zhǔn)和管理規(guī)范：是信息安全各領(lǐng)域中的具體要求，解決的是“做什么”的問(wèn)題；細(xì)則、指南和手冊(cè)：是信息安全各領(lǐng)域的詳細(xì)做法，解決“做到怎樣和怎么做”的問(wèn)題。如信息系統(tǒng)安全運(yùn)維操作的各種規(guī)程、技術(shù)標(biāo)準(zhǔn)。是上一級(jí)規(guī)章制度中各項(xiàng)控制措施在運(yùn)維流程中的具體落實(shí)；記錄、表單和報(bào)告：信息安全運(yùn)行過(guò)程中的各項(xiàng)記錄，如系統(tǒng)操作記錄，制度執(zhí)行記錄等，是信息安全政策和標(biāo)準(zhǔn)的實(shí)際執(zhí)行結(jié)果，其解決的是“做的結(jié)果”的問(wèn)題。安全事件分類(lèi)分級(jí)參考標(biāo)準(zhǔn)：GB/Z20986（信息安全技術(shù)信息安全事件分類(lèi)分級(jí)指南）；安全事件分類(lèi)：操作記錄事件、狀態(tài)信息事件、有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、異常行為事件六大類(lèi)。安全事件分類(lèi)描述說(shuō)明操作記錄事件記錄各種操作事件，包括訪問(wèn)、配置變更、軟件安裝、申請(qǐng)、設(shè)備操作命令等；狀態(tài)信息事件系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)等日常運(yùn)行、自身維護(hù)、管理資源產(chǎn)生的事件。如進(jìn)程變化、服務(wù)啟停、普通流量、CPU內(nèi)存、硬件狀態(tài)等。有害程序事件計(jì)算機(jī)病毒事件、蠕蟲(chóng)事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、混合攻擊程序事件、網(wǎng)頁(yè)內(nèi)嵌惡意代碼事件和其它有害程序事件等7個(gè)子類(lèi)。網(wǎng)絡(luò)攻擊事件拒絕服務(wù)攻擊事件、后門(mén)攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽(tīng)事件、網(wǎng)絡(luò)釣魚(yú)事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件等7個(gè)子類(lèi)。信息破壞事件信息篡改事件、信息假冒事件、信息泄漏事件、信息竊取事件、信息丟失事件和其它信息破壞事件等6個(gè)子類(lèi)。異常行為事件包括人、應(yīng)用、網(wǎng)絡(luò)發(fā)生的操作、訪問(wèn)等異常行為事件。安全事件分類(lèi)分級(jí)事件分級(jí)要素：信息系統(tǒng)的重要程度、系統(tǒng)損失和社會(huì)影響。信息系統(tǒng)重要程度：信息系統(tǒng)的重要程度主要考慮信息系統(tǒng)所承載的業(yè)務(wù)對(duì)國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活的重要性以及業(yè)務(wù)對(duì)信息系統(tǒng)的依賴(lài)程度，劃分為特別重要信息系統(tǒng)、重要信息系統(tǒng)和一般信息系統(tǒng)。損失等級(jí)系統(tǒng)損失特別嚴(yán)重的系統(tǒng)損失造成系統(tǒng)大面積癱瘓，使其喪失業(yè)務(wù)處理能力，或系統(tǒng)關(guān)鍵數(shù)據(jù)的性、完整性、可用性遭到嚴(yán)重破壞，恢復(fù)系統(tǒng)正常運(yùn)行和消除安全事件負(fù)面影響所需付出的代價(jià)十分巨大，對(duì)于事發(fā)組織是不可承受的；嚴(yán)重的系統(tǒng)損失造成系統(tǒng)長(zhǎng)時(shí)間中斷或局部癱瘓，使其業(yè)務(wù)處理能力受到極大影響，或系統(tǒng)關(guān)鍵數(shù)據(jù)的性、完整性、可用性遭到破壞，恢復(fù)系統(tǒng)正常運(yùn)行和消除安全事件負(fù)面影響所需付出的代價(jià)巨大，但對(duì)于事發(fā)組織是可承受的；較大的系統(tǒng)損失造成系統(tǒng)中斷，明顯影響系統(tǒng)效率，使重要信息系統(tǒng)或一般信息系統(tǒng)業(yè)務(wù)處理能力受到影響，或系統(tǒng)重要數(shù)據(jù)的性、完整性、可用性遭到破壞，恢復(fù)系統(tǒng)正常運(yùn)行和消除安全事件負(fù)面影響所需付出的代價(jià)較大，但對(duì)于事發(fā)組織是完全可以承受的；較小的系統(tǒng)損失造成系統(tǒng)短暫中斷，影響系統(tǒng)效率，使系統(tǒng)業(yè)務(wù)處理能力受到影響，或系統(tǒng)重要數(shù)據(jù)的性、完整性、可用性遭到影響，恢復(fù)系統(tǒng)正常運(yùn)行和消除安全事件負(fù)面影響所需付出的代價(jià)較小。安全事件分類(lèi)分級(jí)事件分級(jí)系統(tǒng)損失社會(huì)影響特別重大事件（Ⅰ級(jí)）會(huì)使特別重要信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失波及到一個(gè)某省市市的大部分地區(qū)，極大威脅國(guó)家安全，引起社會(huì)動(dòng)蕩，對(duì)經(jīng)濟(jì)建設(shè)有極其惡劣的負(fù)面影響，或者嚴(yán)重?fù)p害公眾利益。重大事件（Ⅱ級(jí)）會(huì)使特別重要信息系統(tǒng)遭受?chē)?yán)重的系統(tǒng)損失、或使重要信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失；

波及到一個(gè)或某省市的大部分地區(qū)，威脅到國(guó)家安全，引起社會(huì)恐慌，對(duì)經(jīng)濟(jì)建設(shè)有重大的負(fù)面影響，或者損害到公眾利益。較大事件（Ⅲ級(jí)）會(huì)使特別重要信息系統(tǒng)遭受較大的系統(tǒng)損失、或使重要信息系統(tǒng)遭受?chē)?yán)重的系統(tǒng)損失、一般信息信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失；波及到一個(gè)或某省市的部分地區(qū)，可能影響到國(guó)家安全，擾亂社會(huì)秩序，對(duì)經(jīng)濟(jì)建設(shè)有一定的負(fù)面影響，或者影響到公眾利益。一般事件（Ⅳ級(jí)）會(huì)使特別重要信息系統(tǒng)遭受較小的系統(tǒng)損失、或使重要信息系統(tǒng)遭受較大的系統(tǒng)損失，一般信息系統(tǒng)遭受?chē)?yán)重或嚴(yán)重以下級(jí)別的系統(tǒng)損失；波及到某省市的部分地區(qū)，對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公眾利益基本沒(méi)有影響，但對(duì)個(gè)別公民、法人或其他組織的利益會(huì)造成損害。安全事件處理流程接收驗(yàn)證隔離整改審核通報(bào)安全運(yùn)維人員安全管理人員安全事件驗(yàn)證事件級(jí)別誤報(bào)記錄應(yīng)急預(yù)案隔離審核整改結(jié)果通報(bào)整改重大事件通知整改一般事件上報(bào)整改結(jié)果未整改記錄｜結(jié)束已整改工單外部安全警示通報(bào)處理流程接收驗(yàn)證隔離整改審核通報(bào)安全運(yùn)維人員安全管理人員安全警示驗(yàn)證警示級(jí)別誤報(bào)記錄應(yīng)急預(yù)案隔離審核整改結(jié)果通報(bào)整改重大安全警示通知整改一般安全警示上報(bào)整改結(jié)果未整改記錄｜結(jié)束已整改工單安全運(yùn)營(yíng)能力提升知識(shí)管理安全運(yùn)營(yíng)目標(biāo)確定(安全策略)人員流程技術(shù)資產(chǎn)管理規(guī)則制定/安全告警處理安全狀態(tài)及報(bào)告定期審核改進(jìn)資產(chǎn)風(fēng)險(xiǎn)監(jiān)控安全需求分

析風(fēng)險(xiǎn)分析與評(píng)估安全運(yùn)營(yíng)中心建設(shè)流程將參考ISO27001信息安全管理體系中PDCA模型，即：計(jì)劃、實(shí)施、檢查、改進(jìn)。PDCA模型將會(huì)應(yīng)用在安全運(yùn)營(yíng)中心建設(shè)過(guò)程中：安全需求分析、安全運(yùn)維目標(biāo)確定、人員／流程／技術(shù)管理、資產(chǎn)管理、規(guī)則制定、安全告警處理、安全狀態(tài)及報(bào)告、知識(shí)管理。通過(guò)積累的安全知識(shí)對(duì)安全需求進(jìn)行定期改進(jìn)，使安全運(yùn)營(yíng)中心成為一個(gè)完整的閉環(huán)。項(xiàng)目達(dá)成的目標(biāo)和收益建立集中的安全運(yùn)營(yíng)平臺(tái)，消除數(shù)據(jù)孤島，提升安全保護(hù)能力；建立完善的安全事件、外部安全警示的響應(yīng)機(jī)制和處理流程；建設(shè)安全運(yùn)營(yíng)技術(shù)團(tuán)隊(duì)，為運(yùn)營(yíng)提供有力支撐；監(jiān)管合規(guī)，日志全量留存，安全事件實(shí)時(shí)分析與溯源；實(shí)時(shí)掌握企業(yè)整體安全狀況并為領(lǐng)導(dǎo)決策提供安全分析報(bào)告；產(chǎn)品選型及項(xiàng)目預(yù)算安全運(yùn)營(yíng)中某省市場(chǎng)調(diào)研2000年以前SIM/SEM/LM2000年SOC1.02009年SOC2.02014年SOC3.0……以資產(chǎn)為核心；安全事件管理為關(guān)鍵流程；用安全域劃分的思想，建立一套實(shí)時(shí)的資產(chǎn)風(fēng)險(xiǎn)模型；協(xié)助管理員進(jìn)行事件分析、風(fēng)險(xiǎn)分析、預(yù)警管理和應(yīng)急響應(yīng)處理的集中安全管理系統(tǒng)。以業(yè)務(wù)為核心的、一體化的安全管理系統(tǒng)；體系設(shè)計(jì)方面圍繞業(yè)務(wù)的功能設(shè)計(jì);技術(shù)支撐方面面向業(yè)務(wù)鏈的信息收集;實(shí)施過(guò)程中面向業(yè)務(wù)的實(shí)施和運(yùn)維過(guò)程。以大數(shù)據(jù)為技術(shù)支撐；以業(yè)務(wù)為核心；實(shí)時(shí)的異常檢測(cè)；安全分析智能化；威脅可視化；風(fēng)險(xiǎn)預(yù)警；威脅情報(bào)共享；安全態(tài)勢(shì)感知；SIM關(guān)注于內(nèi)控，包括特權(quán)用戶(hù)和資源訪問(wèn)控制的行為監(jiān)控，合規(guī)性需求更多些；SEM則關(guān)注于內(nèi)外部的威脅行為監(jiān)控，安全事故應(yīng)急處理，更偏重于安全本身；LM則注重日志管理，合規(guī)要求。SOC2.0面臨的問(wèn)題SOC2.0代表產(chǎn)品SIEM、SOC（HP、啟明、天融信、網(wǎng)神、神州泰岳等）產(chǎn)品架構(gòu)基于傳統(tǒng)關(guān)系型數(shù)據(jù)庫(kù)（Oracle、SQLServer等）處理架構(gòu)問(wèn)題點(diǎn)支持?jǐn)?shù)據(jù)源（少）不支持半結(jié)構(gòu)化（如Linux、tomcat日志）、非結(jié)構(gòu)化（如數(shù)據(jù)庫(kù)錯(cuò)誤日志）—業(yè)務(wù)為核心的時(shí)代，數(shù)據(jù)分析怎能少了應(yīng)用系統(tǒng)產(chǎn)生的半結(jié)構(gòu)化和非結(jié)構(gòu)化日志？數(shù)據(jù)采集情況（丟）數(shù)據(jù)有選擇的采集存儲(chǔ)，處理不了的數(shù)據(jù)會(huì)丟掉—發(fā)生事件時(shí)相關(guān)日志沒(méi)有存，如何溯源取證？數(shù)據(jù)處理能力（弱）可處理1TB左右數(shù)據(jù)—每天產(chǎn)生2T的數(shù)據(jù)怎么辦？查詢(xún)效率（慢）1TB數(shù)據(jù)查詢(xún)返回結(jié)果時(shí)間＞30分鐘—管理員緊急解決問(wèn)題能否等得了？擴(kuò)展能力（難）需要考慮數(shù)據(jù)遷移、備份、表空間等—隨著數(shù)據(jù)量的不斷增長(zhǎng)，復(fù)雜的擴(kuò)容工作成為常態(tài)？成本投入（高）需要采用高性能服務(wù)器，10幾人的專(zhuān)業(yè)團(tuán)隊(duì)運(yùn)維—能否接受高昂的硬件及人力成本的投入？分析能力（差）基于規(guī)則，缺少對(duì)異常行為和未知威脅分析的手段（如基線、數(shù)據(jù)建模、機(jī)器學(xué)習(xí)、圖分析等）—檢測(cè)不出來(lái)的，怎么辦？網(wǎng)絡(luò)是否已經(jīng)被攻破？是否存在威脅？分析告警時(shí)效（慢）分析告警的時(shí)效較慢—如果對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行安全檢測(cè)時(shí)，是否滿(mǎn)足業(yè)務(wù)系統(tǒng)大數(shù)據(jù)量實(shí)時(shí)異常檢測(cè)的要求？風(fēng)險(xiǎn)預(yù)警能力（無(wú)）被動(dòng)響應(yīng)安全事件為主—如何對(duì)風(fēng)險(xiǎn)進(jìn)行提前評(píng)估與預(yù)警？為什么出現(xiàn)SOC3.0的概念數(shù)據(jù)種類(lèi)越來(lái)越多；體量越來(lái)越大；價(jià)值越來(lái)越高；威脅高級(jí)持續(xù)性定向攻擊；用戶(hù)／應(yīng)用的異常行為；預(yù)警關(guān)鍵業(yè)務(wù)系統(tǒng)提前的風(fēng)險(xiǎn)預(yù)警的需求；安全威脅情報(bào)的興起；時(shí)效業(yè)務(wù)系統(tǒng)日志實(shí)時(shí)異常分析的需求；SOC3.0—從安全運(yùn)營(yíng)中心到安全智能中心從少量單一數(shù)據(jù)向海量豐富大數(shù)據(jù)的轉(zhuǎn)變；從基于規(guī)則匹配向數(shù)據(jù)建模，機(jī)器學(xué)習(xí)智能化的轉(zhuǎn)變；從事后歷史數(shù)據(jù)分析向?qū)崟r(shí)異常檢測(cè)的轉(zhuǎn)變；從短時(shí)間狀態(tài)監(jiān)控向長(zhǎng)周期趨勢(shì)變化及基線分析轉(zhuǎn)變；從單一安全事件監(jiān)控向整體安全態(tài)勢(shì)感知的轉(zhuǎn)變；從依靠自身安全能力向威脅情報(bào)共享的轉(zhuǎn)變；洛克希德?馬丁公司，2015.9SOC2.0對(duì)比SOC3.0對(duì)比項(xiàng)SOC2.0SOC3.0產(chǎn)品架構(gòu)基于傳統(tǒng)關(guān)系型數(shù)據(jù)庫(kù)（Oracle）處理架構(gòu)基于大數(shù)據(jù)分布式存儲(chǔ)計(jì)算（Hadoop、Spark）處理架構(gòu)支持?jǐn)?shù)據(jù)源結(jié)構(gòu)化日志結(jié)構(gòu)化、半結(jié)構(gòu)化（如Linux、Tomcat日志）、非結(jié)構(gòu)化日志（如數(shù)據(jù)庫(kù)錯(cuò)誤日志）數(shù)據(jù)采集情況數(shù)據(jù)有選擇的采集存儲(chǔ)，處理不了的數(shù)據(jù)會(huì)丟掉原始數(shù)據(jù)全量?jī)?chǔ)存處理能力可處理1TB左右數(shù)據(jù)可處理1PB以上數(shù)據(jù)查詢(xún)效率1TB數(shù)據(jù)查詢(xún)返回結(jié)果時(shí)間＞30分鐘1TB數(shù)據(jù)查詢(xún)返回結(jié)果時(shí)間＜3秒擴(kuò)展能力需要考慮數(shù)據(jù)遷移、備份、表空間等水平擴(kuò)展非常靈活，服務(wù)器即插即用成本投入需要采用高性能服務(wù)器，10幾人的專(zhuān)業(yè)團(tuán)隊(duì)運(yùn)維只需普通服務(wù)器，通過(guò)機(jī)器學(xué)習(xí)、數(shù)據(jù)建模、可視化、強(qiáng)大的平臺(tái)工具等大大減少安全運(yùn)維人員工作量分析能力基于規(guī)則除規(guī)則外，基于場(chǎng)景數(shù)據(jù)建模、算法、機(jī)器學(xué)習(xí)等分析告警時(shí)效數(shù)據(jù)庫(kù)批處理機(jī)制，數(shù)據(jù)量大時(shí)，處理速度較慢大數(shù)據(jù)流式處理，可滿(mǎn)足業(yè)務(wù)系統(tǒng)準(zhǔn)實(shí)時(shí)分析告警要求風(fēng)險(xiǎn)預(yù)警能力無(wú)基于威脅情報(bào)可對(duì)一些可能發(fā)生的風(fēng)險(xiǎn)進(jìn)行提前預(yù)警國(guó)內(nèi)外主流產(chǎn)品對(duì)比產(chǎn)品發(fā)布時(shí)間定位數(shù)據(jù)源大數(shù)據(jù)處理能力基礎(chǔ)SOC功能機(jī)器學(xué)習(xí)能力異常行為分析安全態(tài)勢(shì)可視化威脅情報(bào)啟明泰合2015年12月大數(shù)據(jù)SOC安全設(shè)備日志＋應(yīng)用日志500TB強(qiáng)弱一般一般有網(wǎng)神SecFox2006年傳統(tǒng)SOC安全設(shè)備日志1TB強(qiáng)無(wú)弱弱無(wú)天融信TopAnalyzer2009年傳統(tǒng)SOC安全設(shè)備日志1TB強(qiáng)無(wú)弱弱無(wú)360天眼2015年