第六届中国信息安全大会CSO安全服务分论坛（第一组）

　　第六届中国信息安全大会CSO安全服务分论坛（第一组）
　　时间：2005年4月22日下午
　　地点：友谊宾馆专家俱乐部第一会议室
　　主持人：（国家信息计算机网络应急技术处理协调中心张冰博士）：
　　大家下午好，第六届中国信息安全大会CSO安全服务分论坛现在开始，我是国家计算机网络应急技术处理协调中心的张冰，很高兴今天能有机会应这次大会主办方邀请到这边来主持这个CSO安全服务论坛，和业界朋友一起来分享近几年在安全服务领域取得一些工作的经验，可能我们后面还有一个一起畅想一下我们的未来。今天下午一共有来自安氏互联网安全系统（中国）有限公司安全管理开发中心总经理李宝华；
　　中联绿盟专业服务部总监王红阳；
　　英国标准协会BSI中国区运营总监、中国区TL9000产品经理李晴昊；
　　网新易尚安全顾问专业安全服务技术支持组负责人徐杰；
　　亿阳信通的师锁松；
　　北京敏讯科技有限公司总裁郑海明等。
　　下面有请安氏互联网安全系统（中国）有限公司安全管理开发中心总经理李宝华先生做关于“利用SOC实现安全应急响应管理”的报告，大家欢迎。
　　李宝华：
　　大家下午好，我是安氏公司高级安全顾问李宝华，我来安氏之前，曾经在电信做过多年的网络管理员，有处理过很多安全应急响应的事件，我希望在一些技术层面跟大家 做一些沟通和交流，安氏以及我个人在安全应急的经验和想法跟大家做一个沟通。
　　今天我演讲的题目是“利用SOC实现安全应急响应管理”。SOC这个概念很多人已经不陌生，从2002年在国内开始已经被广泛地宣传，在今天在国内很多运营商，包括大客户也都建设了安全管理应用中心，那么我今天议程主要分两个部分，第一个部分简单介绍什么叫安全管理中心？第二如何利用SOC安全管理中心应对安全应急响应。首先简单说安氏对SOC的理解，它的英文拼写是Security Operation Center这个概念从我个人的理解，在安全应急这块的作用，也就是安全管理中心在协助用户实现安全策略管理、安全组织管理、安全运作管理和安全技术框架的作用，我个人理解相当于网络管理中心在网络平台上的作用，当我们发生一些比较严重安全问题的时候，或者说需要我们做一些应急响应的时候，那么我不知道在座的诸位是不是发生过这种事情，或者参与这些应急响应，当你到了这种环境下，你第一件事你要去到什么地方，找什么样的信息，来辅助你去处理相关的安全问题，那么我们碰到一些情况，当我们第一次到发生问题客户那边，可能我们现在更多从网管平台找这些数据，比如说很重大的事情发生了，过去先看看网管那边告诉大家的流量是不是过窄，CPU内存使用情况，这些东西在安全上有一些辅助帮助，但是这些东西不足以定位一些安全问题，比如你可以排除一些，发现从网管的数据流量来讲，你可以判断是不是基于流量多DOS攻击，但是你很难定位，如果不是流量DOS攻击，我们在安全上有一个平台，我们在应急的时候，能够尽早做出有效的判断，实际上安全管理中心它所处的位置应该就像在这个图里面所画的，整个它应该处在一个中间的位置，它上面安全组织结构，安全策略管理，以及安全运作管理，下面是很多技术层面的内容，实际上它相当说处在技术层、管理层，管理层面的技术层，管理层面它具体的技术平台来实现安全上的管理。
　　后面我也会跟大家提到，其实现在从网络管理来讲，基本上很多大型企业都已经具备了网络管理的组织结构，但实际安全管理组织结构并没有完善起来，也就是安全管理中心建设这么多管理，现在也遇到这样的问题，随着安全架构的完善，我们认为安全组织会在企业里得到更好的应用。
　　下面简单谈一下为什么需要安全管理运行中心？应该有三方面的需求，第一个方面就是现在的安全运行缺乏统一的事件管理平台，就像我前面提到的网管一样，比如我们现在有3台网络设备，我们肯定不需要有网管，但是我们有一百台网络设备，可能需要建立网管系统，这个网管系统不一定配置网络设备，很可能用来抽取网络基本因素，安全管理中心其实也是类似的东西，你可以购买防病毒的产品，当你部署各种各样的安全产品，你的安全已经在产品层面达到一定高度，这个时候你可能需要一个统一的在安全上做一个控管，能够抽取有效数据，像网管抽取网管数据，安全管理中心就是在安全上抽取管理平台，能够统一控管所有的安全产品，这种控管不代表一定配置。我们很多产品，用户平时的环境缺乏一些审计系统，或者缺乏必要的相关的安全，一旦发生一些安全问题，他能做出判断的这样一些系统。当去做应急的时候，我们就会意识到，比如一些文件被挡掉，或者我们平时根本没有开放审计功能，当遇到安全问题，我们会把相关管理属性统一起来，发生问题，我们在管理属性抽取需要的信息，并且定位出相关的安全问题。
　　第二个层面，为什么需要安全管理应用中心？就是海量的事件和应急的东西，当我部署防火墙的产品，确实解决用户对攻击的问题，但是当时用户问了我一个问题，也把我问得有些尴尬，因为当时部署防火墙之后，他问我，虽然不受攻击，但是你防火墙也没有挡住多少攻击，其实我认为这种问题，在很多安全产品上，企业都会面临这样一件事，就是我已有的安全措施，或者我已经上到这种安全平台，那么为我解决了多少安全问题，还有上流的，没有解决的安全问题还存在多少。这个时候有人讲说防火墙有那种，比如像有的公司专门制造防火墙的软件，但是不代表任何产品都有这种分析软件，当你跨越很多平台很难分析，你在非常大的网络环境，比如每分分秒它的数据上G，你很难通过人工方式，或者通过简单的系统方式抽取出有用的信息，所以处理大量安全事件的时候，安全管理运行中心平台，可以做足够的关联分析处理，以及设定相关的，做海量事件的智能工具。
　　第三个层面我们需要安全管理运行中心，我们缺乏安全的服务管理。所谓安全服务管理，我现在接触很多大的电信运营商，很多运营商考虑为一些比较大的大客户提供SLA服务，因为这个服务，我原来也在电信做管理，原来电信不大敢提这个问题，SLA很多指标，一些参数你必须满足这个参数，当你能够提供这些参数，或者能够满足这些参数，你才敢向用户提供你的SLA，向用户保障你的质量，当你来抽取基本参数条件都不具备，你凭什么说，你能够为用户提供这种质量保证。所以从网络平台我们可以通过网管来抽取这样一些数据来证明你提供的服务质量，在安全层面缺少这样，SOC，为我们解决安全问题提供足够的支持管理，为我们在解决问题的时候，提供一定的支持帮助。
　　我今天不想讲很高深的模型，或者理论，指出这个来，为了说明SOC使用性的问题，因为ITIL是国际上非常标准的IT事件，它定义的流程性东西，跟我们SOC，在我们做很多安全应急，或者遇到一些安全问题，可能我们需要遵循一定的流程，原因你正常处理事件你会很冷静，比如很清晰你做什么，但是遇到