云安全管理平台解决方案

云安全管理平台解决方案

目录

1 2

前言 ...................................................................... 4 安全现状 .................................................................. 5 2.1 2.2 3 4

问题和需求分析 .......................................................... 5 传统SOC面临的问题 ...................................................... 6

应对方案 .................................................................. 8 某云安全管理平台解决方案 .................................................. 10 4.1

资产分布式管理 ......................................................... 11

4.1.1 资产流程化管理 ..................................................... 11 4.1.2 资产域分布 ......................................................... 12 4.2 事件行为关联分析 ....................................................... 13 4.2.1 事件采集与处理 ..................................................... 13 4.2.2 事件过滤与归并 ..................................................... 14 4.2.3 事件行为关联分析 ................................................... 14 4.3 资产脆弱性分析 ......................................................... 15 4.4 风险综合监控 ........................................................... 16 4.4.1 风险管理 ........................................................... 17 4.4.2 风险监控 ........................................................... 18 4.5 预警管理与发布 ......................................................... 18 4.5.1 预警管理 ........................................................... 18 4.5.2 预警发布 ........................................................... 20 4.6 实时响应与反控 ......................................................... 21 4.7 知识库管理 ............................................................. 22 4.7.1 知识共享和转化 ..................................................... 22 4.7.2 响应速度和质量 ..................................................... 23 4.7.3 信息挖掘与分析 ..................................................... 23 4.8 综合报表管理 ........................................................... 23

5

某云安全管理平台方案特性 .................................................. 25

5.1 5.2 5.3 5.4 5.5 6 7

终端安全管理与传统SOC的有机结合 ........................................ 25 基于云计算技术的分层化处理 .............................................. 26 海量数据的标准化采集和处理 .............................................. 27 深入事件关联分析 ....................................................... 28 面向用户服务的透明化.................................................... 29

某云安全管理平台部署 ...................................................... 31 方案总结 ................................................................. 32

1 前言

为了不断应对新的安全挑战，越来越多的行业单位和企业先后部署了防火墙、UTM、入侵检测和防护系统、漏洞扫描系统、防病毒系统、终端管理系统等等，构建起了一道道安全防线。然而，这些安全防线都仅仅抵御来自某个方面的安全威胁，形成了一个个“安全防御孤岛”，无法产生协同效应。更为严重地，这些复杂的IT资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件，形成了大量“信息孤岛”，有限的安全管理人员面对这些数量巨大、彼此割裂的安全信息，操作着各种产品自身的控制台界面和告警窗口，显得束手无策，工作效率极低，难以发现真正的安全隐患。另一方面，企业和组织日益迫切的信息系统审计和控要求、等级保护要求，以及不断增强的业务持续性需求，也对客户提出了严峻的挑战。

对于一个完善的网络安全体系而言，需要有一个统一的网络安全管理平台来支撑，将整个网络中的各种设备、用户、资源进行合理有效的整合，纳入一个统一的监管体系，来进行统一的监控、调度、协调，以达到资源合理利用、网络安全可靠、业务稳定运行的目的。

2 安全现状

2.1 问题和需求分析

在历经了网络基础建设、数据大集中、网络安全基础设施建设等阶段后，高法逐步建立起了大量不同的安全子系统，如防病毒系统、防火墙系统、入侵检测系统等，国家主管部门和各行业也出台了一系列的安全标准和相关管理制度。但随着安全系统越来越庞大，安全防技术越来越复杂，相关标准和制度越来越细化，相应的问题也随之出现：

1、安全产品部署越来越多，相对的部署方式使各个设备配置、管理，各产品的运行状态如何？安全策略是否得到了准确落实？安全管理员难以准确掌握，无法形成全局的安全策略统一部署和监控。

2、分散在各个安全子系统中的安全相关数据量越来越大，一方面海量数据的集中储存和分析处理成为问题；另一方面，大量的重复信息、错误信息充斥其中，海量的无效数据淹没了真正有价值的安全信息；同时，从大量的、孤立的单条事件中无法准确地发现全局性、整体性的安全威胁行为。

3、传统安全产品仅仅面向安全人员提供信息，但管理者、安全管理员、系统管理员等不同的角色都需要从不同的角度了解

安全的状况，包括整体的安全态势和全局的安全信息等。

4、安全管理员每天面对复杂的网络环境和形形色色的安全事件，通过一个系统帮助他们正确理解安全事件，并自动化的调整安全策略，或将其分配到不同的系统管理员去人工处理并跟踪处理结果，是安全运维的切实需求。

上述问题和需求，决定了安全管理运营中心（SOC：Security Operation Center）已成为网络安全建设的新重点。安全管理运营中心，也称为安全管理平台，之所以称为SOC，是与NOC（Network Operation Center，即网络运行中心）相对应而言。NOC强调对客户网络进行集中化、全方位的监控、分析与响应，实现体系化的网络运行维护。SOC强调各个分离的安全体系统一管理、统一审计、统一运营，形成一个完整的安全保障体系，从而实现了高效、全面的网络安全防护、检测和响应。从这个阶段开始，网络安全开始走上统一安全的新台阶。

2.2 传统SOC面临的问题

传统SOC保证信息资产的安全，采用集中管理方式统一管理相关安全产品，搜集所有安全信息，并通过对收集到的各种安全事件进行深层的分析，统计和关联，及时反映被管理资产的安全基线，定位安全风险，对各类安全事件及时提供处理方法和建议的安全解决方案。

但总体而言，传统SOC系统在建设的过程中通常也存在一些问题，主要表现在如下方面。

（1）管理信息模型缺乏

在典型的网络中，SOC系统需要管理多种安全设备，并与这些安全设备之间实现互操作来阻断或者消除安全攻击或者安全事件。为了更好地保障安全，部署的各种设备之间应该实现互操作，共同解决企业中的安全问题。

目前的安全设备或安全系统缺乏统一的管理信息模型，SOC系统在管理不同厂家生产的同一类安全设备时，只能分别根据不同厂家产品提供的管理接口进行相应的管理以及信息获取，这样就难以在SOC系统中形成统一的对安全设备的管理功能。

同类设备之间缺乏统一的管理信息模型导致不同的安全设备之间难以实现互操作，如防火墙和IDS之间。在大型网络中，不同类型的设备之间可以实现互联互通，共同完成一定的功能，但是在安全设备共同组成的管理系统中，因为没有统一的管理信息模型，导致各种安全设备不能互操作共同完成一定的安全管理功能，各种安全设备只能地进行基于一个视点的安全管理功能。

部分安全管理功能只能依赖SOC系统等这样的上级管理系统。因为统一管理信息模型的缺乏，安全设备之间不能进行互操作，所以只能由上级的SOC系统对所有的安全事件进行关联分析，然后做出相应的判断并通过人工调整安全设备的方式进行相

应配置处理。因为没有统一的管理信息模型，SOC系统定位问题后，也难以自动地向安全设备发出相应配置改变指令。

缺乏统一的管理信息模型致使SOC系统对安全设备的管理功能不明确，SOC管理应该有哪些功能，管理到什么粒度等都比较模糊。

（2）SOC系统管理功能不统一

目前SOC系统应该包括哪些功能模块在业界没有形成统一的认识，也没有相关的标准组织对此制定相应的规。运营商中的网管系统、BOSS支撑系统等都有一些标准组织制定的规可以作为厂家实现时的参考，如ITU的TMN相关标准，TMF的NGOSS相关规等。但是目前为止，国际相关组织对安全管理相关的规大多还仅仅面向具体的安全技术，对安全管理系统还没有相关的标准或者规。这样，不同的SOC厂家对SOC系统的理解不同，对同样的功能模块理解也不相同，导致SOC系统的功能多样化。因此，针对SOC系统需要类似运营支撑系统中的eTOM这样的通用过程框架来指导SOC系统的建设。

（3）SOC系统与其他系统关系的定位不明确

在大型网络中，部署着各种运营支撑系统、网络管理系统、企业管理系统等，为了实现企业中的过程自动化，这些系统各自功能定位非常明确，系统之间的关系也比较明确，系统之间的接口也相对明确。SOC系统应该要为这些系统提供安全支撑，但是其与这些系统之间的关系并不很明确，与这些系统之间的数据交

互目前也没有确定。因此，目前来讲，SOC系统还是一个“安全信息孤岛”。

（4）对海量数据分析存在瓶颈

传统SOC限于自身系统架构的原因，面对海量数据的分析仍然存在着响应不及时的问题，尤其是在事件关联分析方面，计算处理模式仍然比较单一，缺乏对大量安全事件进行统一处理、归并、过滤的能力，随之而来呈现给用户的自然存在着无法找到用户关注点、呈现不直观、关联失效等大量问题，随着安全数据的与日俱增，传统SOC在数据分析处理能力方面自然存在着较大瓶颈。

而随着云计算技术的不断发展，基于“云计算”技术的云安全管理平台的搭建就很好的解决了当前传统SOC系统在运行中面临的诸多问题。

3 应对方案

为了应对上述安全风险和传统SOC面临的各种问题，某公司基于十余年的终端安全管理产品研发经验，特提出了某云安全管理平台（VRV C-SOC： Cloud- Security Operation Center）解决方案。该方案在系统架构上分为如下几个部分： 1、

计算云层

在计算云层，VRV C-SOC云平台计算引擎采用云计算技术对采集的海量数据进行分布式计算、分析、识别、响应和控制。 2、

服务云层

在服务云层，VRV C-SOC对被管对象实现业务数据的“接入（采集）”，包括采集终端层和网关层设备的数据。 3、

网关层

网关层，包括传统SOC平台和VRV终端云管理平台两部分，传统SOC平台面向的主要安全对象，包括防火墙、入侵检测、病毒防护系统、漏洞扫描系统等相关安全设备，而VRV终端云管理平台所涉及的终端系统管理、终端策略配置、终端互动管理在网关层上与终端层进行终端数据的信息交互。 4、

终端层

终端层所管理的对象主要指最终用户所使用的终端计算机，如终端计算机信息的收集、控制策略的执行、集中管控和审

计等。

某云安全管理平台系统架构图如下图：

系统架构图

4 某云安全管理平台解决方案

某云安全管理平台解决方案采用云计算技术将终端安全管理和传统SOC系统纳入到一个统一的云安全管理平台。该方案除了通过某终端安全管理平台实现对终端的有效管理，同时还采集分析网关的安全系统和设备（防火墙、入侵检测、防病毒、漏洞扫描、系统审计等)产生的数据，最后统计进行资产管理、事件关联分析、综合风险监控、实时预警和反制，并形成专业的安全知识库。其实现架构图如下图：

云安全管理平台框架显示报表系统管理用户管理策略管理资产管理事件管理用户管理脆弱性管理风险管理预警管理响应管理知识管理报表管理资产关联分析 风险评估风险 威胁关联分析 漏洞关联分析 安全信息处理数据处理系统事件监控接口数据采集系统DB/KBSOCKET SYSLOG SNMP ODBC…主机、网络设备、安全产品、应用系统、数据库，防火墙等某云安全管理平台架构图

4.1 资产分布式管理

资产管理主要是管理云安全管理平台监控围的各个系统和设备，主要包括：网络设备（如：路由器，交换机等）、主机设备（如：计算机，服务器等）、安全设备（如IDS，防火墙等），资产管理是风险管理、事件监控协同工作和分析的基础。实现对网络综合安全运行管理系统所管辖的设备和系统对象的管理。它将其所辖IP设备资产与风险的重要程度关系，依据风险评估的结果、定期的漏洞扫描结果和本模块的信息资产相结合，基于资产CIA属性，按照资产信息、漏洞、补丁与备件分类导入或登记入库，并为其他安全运行管理模块提供信息接口,比如响应管理中心、综合分析与预警平台等。具体功能实现详述如下： 4.1.1 资产流程化管理

VRV C-SOC对资产的管理不仅仅是对资产信息的简单收集和分类，而是将资产的管理与实际的用户业务管理流程统一结合起来，对资产进行流程化的管理。从资产的入库到资产的运行状态跟踪、资产的变更，一直到资产的注销、报废，整个资产的生命周期，VRV C-SOC都对其进行跟踪和监控，且用户可随时对资产状态进行更新，可随时根据资产的最新情况对资产进行核对、调

用。

VRV C-SOC还根据资产的各种安全属性，进行资产的分类统计，并提供相应的统计图形和报表。

资产流程化管理 4.1.2 资产域分布

根据资产所处的地理位置、逻辑位置，自定义对资产进行域分布管理，将资产进行分布式统计分类后，呈现给用户的是一目了然的资产分布信息，这无论对于用户进行资产的综合统计，还是有针对性的对资产进行分区域管理都提供了基础的资产管理平台信息。

资产域分布 4.2 事件行为关联分析

事件关联分析至少具有以下三个关键特性：

1) 海量事件处理能力：是指关联分析能够高效地采集海量的异构安全事件，并能够进行关联匹配和输出，还能够将安全事件进行可视化展示，以及将海量安全事件和告警信息进行及时地存储；

2) 实时性：是指关联分析的整个处理过程必须保持实时、不间断的工作；

3) 基于规则的：是指关联分析的核心引擎至少应该包括一套实时高速的规则引擎，实现模式匹配，这也是“关联分析中的事件质变”的要求。

4.2.1 事件采集与处理

VRV C-SOC事件管理功能首先要完成对事件的采集与处理。它通过代理（Agent）和事件采集器的部署，在所管理的骨干网络、不同的承载业务网及其相关支撑网络和系统上的不同安全信息采集点(防病毒控制台、入侵检测系统控制台、漏洞扫描管理控制台、身份认证服务器和防火墙等)获取事件日志信息，并通过安全通讯方式上传到云安全管理平台中的安全管理服务器进行处理。

4.2.2 事件过滤与归并

在事件收集的过程中，事件管理功能还将完成事件的整合工作，包括聚并、过滤、式化，从而实现了全网的安全事件的高效集中处理。事件管理功能支持大多数被管理设备的日志采集，对于一些尚未支持的设备，可通过通用代理技术（UA）支持，确保事件的广泛采集。 4.2.3 事件行为关联分析

在事件统一采集与整合的基础上，安全管理中心提供多种形式的事件分析与展示，将事件可视化，包括实时事件列表、统计图表、事件仪表盘等。此外，还能够基于各种条件进行事件的关联分析、查询、备份、维护，并生成报表。

事件管理

行为关联分析系统主要的任务是记录和分析用户当前的行为，并将该用户当前的行为与其正常的历史行为进行分析比较，从而发现其异常的行为，并根据异常行为的级别，给出异常警报。

行为关联分析系统的分析框架模型如下图所示。

行为关联分析框架模型模式库历史行为模式特定行为模式其他当前用户行为用户异常行为检测分析引擎否数据提取异常是记录证据响应处理

行为关联分析系统框架

从该分析模型可以看出基本分析思路是：在系统启动前，首先要建立一个初始的用户行为模式库，作为用户行为的参考，该模式库在系统运行的过程中不断自我学习和更新；系统运行过程中，通过系统日志监控模块，不断监视并获取用户的当前行为；然后将用户的当前行为与行为模式库中的正常行为进行模式匹配，并计算其相似度，做出入侵判断，同时记录保存相应的入侵数据，为系统的响应提供依据。 4.3 资产脆弱性分析

终端系统和网络设备的脆弱性是影响网络安全的重要潜在风险。对其进行脆弱性扫描和评估，对高风险问题尽早的进行补救可以减少网络安全的威胁。 脆弱性管理主要包括两方面的容，

即漏洞管理和配置管理。

资产脆弱性分析

VRV C-SOC以资产为核心，驱动漏洞的定期扫描、评估。用户可以在C-SOC界面中针对资产定制定期扫描或者发起一次单独的扫描，通过C-SOC界面驱动扫描系统，通过相应的脆弱性采集脚本采集脆弱性信息，扫描的结果会返回到C-SOC系统中，所有信息经过标准化后存放在统一的数据库中，漏洞信息和资产信息可以方便地关联使用，扫描结果还可以自动触发安全响应流程，保证一发现漏洞就进行解决。

通过以资产为核心的漏洞管理，系统可以提供比传统的漏洞扫描器更加详尽的信息、更快的响应以及更强的信息交互和关联，并且可以实现统一的控制管理。

4.4 风险综合监控

风险是指资产遭受到安全威胁后，产生损失的大小及可能性。构建在事件管理基础上，与安全管理更加密切的一方面就是风险管理和控制，也是符合安全管理标准体系ISO27000系列标准的要求和规。容包含风险的定量化、跟踪和定位。

风险定量化应支持根据风险评估过程结果获取的风险定量取值，依据风险的性、完整性、可靠性等属性取值并自动计算风险结果值，同时能够支持用户自定义风险计算公式。

风险跟踪是指系统自动监控和跟踪资产风险状况，风险状况可以随时间推进而变化。

风险定位是指对特定阶段和周期，提供对业务风险状况显示，并实现对高、中、低风险区域的查询、显示。

风险管理是企业安全的关键，我们在进行安全的监控和管理的时候，不应该割裂地看待企业的安全事件、脆弱性和资产风险，而是应该把他们综合在一起，以风险作为唯一的指标来检查和管理企业安全。 4.4.1 风险管理

VRV C-SOC风险管理是从事件监控模块获得安全事件信息、从资产管理模块获得资产和业务单元的安全需求信息、从脆弱性管理模块获得资产的脆弱性信息，将上述的信息加以综合分析计算，将计算后的结果提交给用户界面和用户报表进行风险显示，

并对风险进行相应的预警和响应处理。

域风险管理

4.4.2 风险监控

综合安全风险分析是分析整个组织面临的威胁和确保这些威胁所带来的挑战处于可以接受的围的连续流程，通过风险综合分析监控，用户可一目了然的了解到当前网络中各种安全资产所面临的安全风险，同时，VRV C-SOC还对收到的信息进行关联分析，对分析后的结果产生预警和响应工单，为用户了解安全风险提供了数据和图形化的依据，并帮助用户及时作出管理决策。

风险综合监控

4.5 预警管理与发布 4.5.1 预警管理

安全预警平台体系建设原则采用适应性、可管理性、安全及可靠性、开放性、便利性、标准化，实现了安全预警功能模块可根据获取的各种信息，对信息数据制定策略和阈值配置，进行自动化、智能化分析，提取可能影响网络安全可靠运行的各种异常情况，自动生成预警提示。

其处理流程图如下图：

主机监控防病毒入侵检测漏洞扫描数据接口……数据库采样和分析策略策略调整数据分析数据入库自动处置人工处置分析结果预警发布和通告安全事件预警处理流程图

➢ 生成安全预警信息的目的是为了提高安全快速反应，安全应急处置。

➢ 安全预警信息在第一时间自动通过网页、短信、等方式发送给相关人员。

➢ 各级安全管理人员能够迅速发现网络运行的各种异常情况，及时准确定位并进行处置，第一时间做好安全整改，减少安全事故的发生。

➢ 安全预警模块所产生的安全预警提示信息需各级安全管理人员对事件及问题进行及时整改，对于未在规定时间进行整

改的事件将自动转为通报。

➢ 安全预警的种类和阈值可由系统管理人员进行设置。

预警查看

4.5.2 预警发布

VRV C-SOC预警管理对信息安全预警系统的预警目标、预警模式、监测容、管理元素等做出创新发展，对动态的攻击提供主动式的早期发布与通报，让安全管理人员能够提前预测和判定风险，及早防，从被动的“事中”防护走向“事前”预警，做到防患于未然。

预警发布

4.6 实时响应与反控

事件监控和发现并不是最终目的，解决问题和消除影响才是安全管理的关键。应急响应管理作为云安全管理平台的重要组成部分之一为响应服务实现工具化、程序化、规化提供了管理平台。安全事件响应系统提供全网安全事故的集中处理服务，事件的响应可通过各系统的联动、向第三方提供事件信息传递接口、输出任务工单等方式实现。

系统之间联动是指通过集合防火墙、入侵监测、防病毒系统、扫描器的综合信息，通过自动调整安全管理中心各安全产品的安全策略，以减弱或者消除安全事件的影响的响应机制，同时对产生事件的相应设备进行策略的反向控制。

系统反向控制

提供第三方接口的目的是指通过SNMP Trap、API等输出告警信息到其它网管系统或从其他网管系统接收SNMP Trap、API等信息、实现各网管系统的联合响应。

工单处理即对于人工干预的事件，通过定制的流程，反馈给特定的管理员。该模块包括工单生成、下发、返回／消单、关闭、状态查询等功能。在处理工单时能方便地关联查询相关资产的漏洞列表、风险列表、历史事件。并能关联到安全知识中的相关容，为事件处理人员提供帮助和指导信息。

通过调用本程序，接收网络与安全事件监控模块、脆弱性管理模块、综合分析与预警模块等模块的预警信息。实现与网络与安全事件监控模块、脆弱性管理模块、综合分析与预警模块等模块的接口，接收这些模块产生的预警信息，启动预警处理流程处

理预警。 4.7 知识库管理

为了保证全息通畅和管理信息的高效、安全的传递，也为了实现安全信息的共享和利用，VRV C-SOC提供一个集中存放、管理、查询安全知识的管理平台。其主要功能是传递各类安全管理信息，同时将处理过的安全事件方法和方案收集起来，形成安全共享知识库，为培养高素质网络安全技术人员提供培训资源。信息容包括SOC事件库、设备原始事件库、案例库、安全策略管理、安全公告、处置预案库、漏洞库和安全等栏目的信息发布管理和浏览等安全信息。同时，知识管理还支持知识库的定期自动更新，手动更新。具体功能实现如下： 4.7.1 知识共享和转化

典型案例是许多企业的IT支持人员常常重复解决用户的相同问题。如果多数问题及其解决方案都可以从知识库中简单、方便获取，从而将IT支持人员从重复性的工作中出来，着手解决其他新的问题，从而达到提升工作效率，降低IT维护成本的目的。

知识库的建立极大地促进了知识转化，有利于提高IT服务部门的整体水平。知识共享同时也意味着避免信息孤岛和知识流失。许多隐性知识集中在岗位工作人员的脑子里，一些IT应用

的操作或故障解决方法可能起初只有开发人员知道，知识库管理可以有效避免由人员流失造成的知识流失。 4.7.2 响应速度和质量

质量、数量及知识结构都达到一定标准的知识库，作为IT运维的强大储备库，加之运维知识库工具应具备方便、高效的搜索功能，无疑是快速响应IT服务需求的捷径。而能够进入知识库的解决方法一般来说是最正确、标准和高效的。

快速、高质量的解决故障意味着提升客户满意度，而这无疑是IT运维的最终目的。 4.7.3 信息挖掘与分析

运维知识库不仅作为一种信息收集、整理工具，同时还是一种数据分析、统计工具。从FAQ、知识点击率、解决的用户请求数量，知识的生命周期等等统计数据中，不难挖掘出许多有用的信息。便于IT服务提供者发现潜在问题、进行趋势分析，帮助拟定未来的工作重点、计划及预算等。 4.8 综合报表管理

报表管理根据不同部门、不同操作系统提供软硬件资产、报警、状态及其他情况汇总报表，提供多种报表功能，以对客户端资产情况、网络流量进行统计，并形成不同的报表形式。尤其针对专用网络终端数目庞大、规模复杂、各地网络管理员工作繁重

等原因，提供的管理报表和报警功能有效地提升了管理效能，使得网络管理人员掌握网络情况，对网络运维情况和违规行为等做到了有据可查，及时处理出现的问题。

资产报表管理

综合报表显示

VRV C-SOC支持按计划调度生成报表；可以针对单台或多台

网关进行统计，也可以针对整个网络信息进行统计；统计的信息包括监控信息和报警信息等。报表格式支持HTML格式，并可以通过WEB方式进行浏览。模板方式定义报表统计容，支持多种报表模板，管理员可根据需要选择模板生成报表。

5 某云安全管理平台方案特性

某云安全管理平台（VRV C-SOC： Cloud- Security Operation Center）解决方案以“云计算”技术为基础，以终端安全管理为优势，集监控管理、分析管理、响应管理于一体，将网络中的安全产品、服务器、网络设备、用户终端等功能部件通过资源整合形成一个完整的协同防御体系，实现统一安全管理。它位于网络安全体系的统一管理层，对于现有安全系统而言，VRV C-SOC的地位是管理者，汇总所有的安全问题，实现集中管理和监控；对于企业的安全管理组织及人员而言，VRV C-SOC是一个技术实现平台，管理者可以利用VRV C-SOC开展日常的安全工作，使得安全工作规化、制度化。

某云安全管理平台VRV C-SOC的特性包括： 5.1 终端安全管理与传统SOC的有机结合

某云安全管理平台VRV C-SOC采用云计算技术将终端安全管理和传统SOC系统纳入到一个统一的云安全管理平台。

终端是直接面向使用者的，终端安全在整个网络安全体系中占有至关重要的地位，终端是否安全直接影响着用户业务的正常进行，某VRV C-SOC由于具备终端安全管理的独特优势，通过某特有的终端安全管理系统实现对终端的信息数据采集，可实现对

终端实时响应和系统反向控制。同时，采集分析网关的安全系统和设备（防火墙、入侵检测、防病毒、漏洞扫描、系统审计等)产生的数据。

终端安全管理与传统SOC的结合 通过终端安全管理与传统SOC系统的完美结合，既实现了对安全管理的最终目标——终端的重点有效安全管理，又将各自的安全系统和设备纳入到了一个统一的监管体系，形成一个完整的安全服务体系，对大量分散的各类安全事件进行汇总、过滤、管理分析、响应和处理，形成统一的安全决策综合系统，为不同安全需求的用户，提供个性化的、专业全面的信息安全服务。 5.2 基于云计算技术的分层化处理

VRV C-SOC采用云计算技术实现分层化业务处理。对被管对

象通过“服务云”实现业务数据的“接入（采集）”，而通过“计算云”对核心业务进行“分析、识别、响应和控制”。

云安全管理平台网络架构服务器资源调度中心管理和业务支撑虚拟化计算云计算云云服务系统管理用户管理策略管理资产管理事件管理用户管理脆弱性管理风险管理预警管理响应管理知识管理报表管理服务云服务云终端网络设备数据库防火墙应用系统入侵检测系统服务器安全产品 分层化业务处理架构

采用基于云计算技术的分层化业务处理模式，既保证了“服务云”数据采集的及时和可控性，同时又不会对“计算云”进行数据的分析处理进行干扰，使整体数据采集分析的结构合理化，层次清晰。

5.3 海量数据的标准化采集和处理

VRV C-SOC利用SNMP、SYSLOG、ODBC等技术对终端设备、

网络设备以及安全设备的日志信息、运行状况、安全事件等大量数据信息进行标准化采集。

VRV C-SOC将采集到的海量数据进行降噪处理，将离散的数据整合成规则的安全事件信息，对安全事件进行深度查询、审计分析及安全威胁风险评估，并在分析掌握全网安全状态的基础上，将危害严重的安全事件与设备资源、用户资源相结合，进行准确的安全定位。

在对海量数据进行分析处理的过程中，根据系统当前负载、资源实现本系统动态负载均衡和容错，避免造成数据分析过程中造成的负载和资源占用瓶颈，同时通过计算云将任务分布在大量的分布式服务器进行处理，大幅加快数据处理、分析的速度，从而提高海量数据的处理效率。 5.4 深入事件关联分析

对于一个典型的用户而言，经过较为系统的安全建设后，都会部署较多的安全产品。这些安全产品每天产生的事件量是巨大的，如下表所示：

安全目标 安全产品 每天产生的日志量 网络安全 防火墙 400万条 网络设备（交换机、路由器） >1000条 网络入侵检测 >100万条 防病毒/桌面管理 网安全 防病毒服务器、防病毒网关 8万条 桌面终端管理系统 >1000条 保护关键业务主机审计系统、数据库服务10万条 系统 器审计系统、应用程序审计系统 典型用户的日志每日产生量分析 显然，对于安全管理平台而言，收集和分析上述海量的安全事件是一个巨大的挑战，而能否做到这点将直接决定一个安全管理平台的成败。同时，安全管理平台决不能简单地将这些海量的信息直接展示给客户，否则，用户面对这些海量的安全事件将束手无策，管理运维效率将不升反降。此外，大量的安全事件汇聚到一起，根据其安全属性的相关性，可能隐含了新的更严重的安全事件，这种相关性是管理人员难以用肉眼观察出来的。安全管理平台的目标就是要收集这些海量事件，并通过有效的分析手段输出很少量的、真正值得管理员关注的安全事件。

1. 事件关联分析含义：

1) 将大量的安全事件过滤、压缩、归并，提取出少量的、或者是概括性的重要安全事件，相当于“关联分析中的事件量变”；

2) 从大量的安全事件之中发掘隐藏的相关性，产生新的不在之前事件之中的安全事件，相当于“关联分析中的事件质

变”。我们知道，外部入侵和部违规行为从来都不是单一的行为，都是有时序或者逻辑上的联系的，黑客的攻击和部的违规操作往往是分为若干步骤的，每个步骤都会在不同的设备和系统上留下蛛丝马迹，单看某个设备的日志可能无法发现问题，但是将所有这些信息合到一起，就可能发现其中的隐患，而这正是关联分析的目的所在。

2. VRV C-SOC的核心技术点：

1) 事件关联分析实现海量安全事件的抽取、降噪，剥离无用信息，提升后续安全管理工作的效率，降低安全管理工作的复杂性；

2) 事件关联分析是风险分析的基础，关联分析的结果导出的关联事件可以提升为威胁，从而参与风险计算，并且实现风险计算自动化、定量化；

3) 事件关联分析是计算机安全事故应急响应处理流程的关键步骤。

5.5 面向用户服务的透明化

无论云安全管理平台采用多么复杂的系统架构以及云计算与分析技术，对于用户而言，需要看到的只是其所关心的结果展示，以及基于相关分析结果所能实现的安全策略，所以VRV C-SOC在实现对终端和网关系统的同一化处理的基础上，提供分布化、虚拟化、位置和服务透明化的云计算安全管理。

对于在任何客户端及其它安全设备发现的异常情况，客户端和其它安全设备都会及时汇报给云端，进行分析处理，反馈给用户，同时云端会把不同用户得来的最新安全分析结果分享给所有用户，让用户能够最快的发现不安全因素，极大的减少安全威胁，实现双赢，这也正是云安全管理平台的核心理念之一。

同时，VRV C-SOC体现了当前安全需求以 “信息保障”为中心的理念，对信息和信息系统的安全属性及功能、效率进行保障的动态行为过程进行跟踪和调整，它运用源于人、管理、技术等因素所形成的预警能力、保护能力、检测能力、反应能力、恢复能力和反击能力，在信息和系统生命周期全过程的各个状态下，保证信息容、计算环境、边界与连接、网络基础设施的真实性、可用性、完整性、性、可控性、不可否认性等安全属性，从而保障应用服务的效率和效益，提高信息系统的保障能力。同时作为信息保障能力的安全管理，把分散的技术因素、人的因素，通过规则、运作流程协调整合成为一体，充分体现了“三分技术，七分管理”的重要性。

同样，VRV C-SOC系统的体系架构，包括了对各种安全解决方案所产出的数据进行收集，在此基础上通过分析、关联进行过滤和简化，转化为用户真正可管理的信息或知识，并帮助用户在安全知识的指导下可对此及时采取有效的行动，提高系统的安全度。

6 某云安全管理平台部署

标准架构：一般网络（例如1个C类地址或若干个C类地址的局域网围）可使用一套本系统平台，集中管理所属区域的所有设备。

级联架构（大型网络）：大规模的多个局域网或者跨地域广域网（包括基于国家、省、市、县等多级管理模式的网络结构），可使用本系统提供的多区域级联集中管理架构，即一个或多个网段各拥有一套云平台管理引擎，上级中心参数设定、策略控制等可层层执行下发，而下级区域的运维信息、日志操作等数据可逐级上报，使得上一级管理人员对整个级联区域网络的设备状况能够完全掌握，实现全网的分布式统一管理。

其部署架构如下图所示：

漏洞扫描系统数据库入侵检测邮件服务器系统防火墙管理服务器安全信息采集器安全信息采邮件服务器集器入侵检测系统交换机服务器防病毒系统防火墙管理服务器Web服务器交换机交换机被管网络路由器路由器路由器公共网络路由器DMZ服务器安全管理平台Web服务器交换机交换机交换机数据库服务器PC机服务器交换机身份验证风险评估服务器防病毒管理审计服务器服务器服务器中心网络服务器区网管中心安全信息采防火墙日志采集集器管理服务器IDS管理服务器安全管理平台安全管理平台数据服务器服务器安全管理平台 VRV C-SOC部署架构

7 方案总结

通过云安全管理平台解决方案是有效管理数量众多的终端计算机、安全设备、网络设备以及主机设备等，处理海量的安全信息和安全事件的必由之路。云安全管理平台位于网络安全体系的统一管理层，对于现有安全系统而言，云安全管理平台的地位是管理者，汇总所有的安全问题，实现集中管理和监控；对于单位的安全管理组织及人员而言，云安全管理平台是一个技术实现平台，管理者可以利用云安全管理平台开展日常的安全工作，使得安全工作规化、制度化。

通过建设云安全管理平台，将能够实现如下安全建设效果： ➢ 降低成本提高效率

VRV C-SOC解决方案提供了将事件、日志、安全信息集中监控和管理的技术保障，通过专门的安全人员对安全持续建设、跟踪和响应，最大程度降低各地市相关维护人员的工作负担，并且能够有效提供高水平的安全管理。比如，没有安全运行中心时，一个合格的管理员最多只能管理15个IDS，如果使用C-SOC进行安全管理，这时每个管理员最多可以管理150个IDS。同时客户可以不必再单独购买多家网络安全设备、配备IT维护人员，简化安全管理结构，可节省大量的设备购置成本；众多客户共享一个专业化的团队服务，分担实施和维护成本。

➢ 提高处理和响应能力

在安全管理过程中，VRV C-SOC解决方案首先将不同种类的产品统一到一个平台来管理，例如VRV C-SOC会比较攻击者和被攻击者途经的二个入侵检测系统的报警差别鉴别攻击是否被拦截，同时还会检查被攻击目标上的信息，检查被攻击目标是否受到攻击的影响。通过这种综合关联，最后的结论是准确的，明确指向需要响应的级别。同时系统支持强大的工单功能，对整个事故的响应处理过程提供跟踪和反馈。另外，VRV C-SOC除了关注及时的响应，还关注主动的响应：系统可以自动和各种安全系统互动，主动调整他们策略和配置，从而提供实时的响应，通过技术和自动化手段，降低检测时间，降低响应时间，从而降低风险。

➢ 安全事件预警

VRV C-SOC是集中、实时的安全信息处理中心，可及时发现、处理安全问题；及时通知常见的网络威胁，收集整理常见的网络安全故障原因，帮助客户制定并实施安全策略，防患于未然。

➢ 为各级人员提供安全窗口

VRV C-SOC解决方案首先将分布在不同产品上的各种安全信息集中起来，然后根据单位需求，将这些信息又分配到不同人员那里。

➢ 实现安全管理和安全技术结合

VRV C-SOC解决方案致力于将安全管理和安全技术紧密结合起来，让技术层面策略的审计由系统自动进行，和人工审计结合

起来，最高程度提高审计效率，这种设计使单位部自行进行审计在现有情况下成为可能，最大程度降低审计需要的人力和专业知识。