大數據安全運營中心建設方案3.

人員流程制度建設方案

4.

產品選型及投入-人員建設規劃

-產品調研-流程建設規劃

-產品選型建議-制度建設規劃

-產品優勢

項目投入2.

技術平臺建設方案-監控范圍-

平臺架構-

安全模型-部署示意圖-詳細方案1.

項目簡介-項目背景-項目建設思路

項目建設內容-項目建設目標目

錄TableofContents2·

安全設備每天都會產生大量的日志，

實際上安全運維人員每日處理的日志數

量有限，可能導致關鍵的安全信息和告

警被大量的無效告警淹沒；·

目前已部署的安全設備防護核心是基

于特征碼匹配，黑名單的方式，缺少對

于未知威脅和異常行為檢測手段。·

面對龐大復雜的網絡和業務系統，企業無從知曉自身的安全狀態、安全建

設效果、安全風險的變化情況，無法

為領導層、管理層和運維人員提供“可見”的報告來說明企業的安全問

題和現狀。·

安全故障的解決過程無法掌控，往往發

現的問題很長時間沒有人去處理，已解

決的問題不知道被解決，并且往往缺乏

一種高效的機制來有效貫徹各類安全策

略

。·

經過多年的信息化建設，不但有傳統

物理服務器、網絡設備和安全設備，也

有虛擬化和云平臺。·

由于人力資源的有限，對這些服務器

及設備的日常維護管理壓力較大。大量無效告警，信息架構多樣化，

分析能力弱

管理分散安

全

管

理

面

對

越的

挑

戰!安全現狀不可見來

越

多安全事件處置低效項目建設背景項目建設思路●

整合傳統安全架構和私有云，

構建統一的安全管理運營平臺。●

實現全網統一的安全基礎信息

采集和存儲。●

實現全網安全態勢的統一監控。●

實現安全事件追蹤溯源和風險

預警等分析能力。數據大集中mas

CoogkGog*云數據傳統設備物理機和設備虛擬化云基礎設施5安全事件處置流程告警生成事件規則月度絡端安全管理整體運行狀況一最佳運行

安膠情一當前運行情況安全事件分類監控內容及其分類安全事件處置流程安全報告展現維度安全事件事后分析系統配置管理號其錄記錄碼策曉記錄城護情況記量制度建立練城不孤行狀點記里pU

系統記錄終端維護管理大數據安全管理平臺人員

流程

制度3個方面，包括：人員、流程、制度。安全數據收集和分析安全數據資源整合安全運營中心平臺建設工作分為4個方面，包括安全數據收集、分析、安全事件處置、安全報告。安全管理工作分為安全報告安全報告設計項目建設內容違規下我

J

工

更斷

規動間數據收集清單這住家記量產清單住系航文全日辦公蚊件家采日志

防國串軟件安裝記錄

工文候記按業務部門按時間順序按合規要求設備健康程度病毒染情況哪防

麻

致

性

更

勤

記

錄網級

我

記

錄A戶操作行為日志

EH

為

記

錄監控類別終端軟件安裝將端安全管理將端操作管理軟住清單M7況100以IT資產為基礎，以業務信息系統為核心，以用戶體驗為指引，從監控、審計、度量、運維四個維度建立一個全網統一的安全運營支撐平臺，使得各種用戶能夠對業務信息系統進行安全事件分析、審計、預警與響應，風險及態勢的度量、評估、考核與評價，標準化、例行化、常態化的安全流程管控，通過面向業務的主動化、智能化安全管理實現業務信息系統的持續安

全運營。采用信息安全管理體系PDCA

模型，策劃(Plan)

、

實施(Do)

、驗

證

(Check)和改進(Action)四個步驟成為一個閉環，通過這個環的不斷運轉，使信息安全管理體系得到持續改

進，使信息安全績效(performance)螺旋上升。管理目標——從制度、流程和人員三方面建設一套安全管理體系，提升安全運營水平。技術目標——建立一個全網統一的安全運營技術平臺，為安全運營提供有力支撐。項目建設目標128技術平臺建設方案大數據安全管理平臺監控范圍包括：互聯網區和辦公內網兩部分；互聯網區包括：安全設備和對外服務的應用系統日志。辦公內網包括：安全設備和私有云平臺相關系統日志。監控范圍10安全運營中心系統架構平臺應用層安全分析

事件處理可視化狀態拓撲管理

知識庫管

模塊理模塊資產管理模塊elastic

日志分布式存儲計算引擎數據采集模塊數據解析

數據增強數據規整日志采集安全設備日志(HDLP/NDLP/IPS/IDS/防病毒/上網管理/TMS/補丁管理/防火墻/WAF等)平臺架構·基礎架構：

Elasticsearch+Spark

大數據分

布式存儲計算架構；·平臺功能：

數據采集模塊、數據存儲計算

模塊、資產管理模塊、安全事件管理模塊、

安全事件響應模塊、安全分析模塊、檢索

溯源模塊、風險管理模塊、異常行為檢測

模塊、拓撲管理模塊、知識庫管理模塊、安全情報管理模塊、平臺應用、系統管理

模

塊

；·系統參考標準：

GB/T

22239

(信息系統安全等級保護基本要求)、ISO27001

(

信

息安全管理體系標準)、

GB/Z20986

(信息

安全技術信息安全事件分類分級指南);應用系統日志第三方安全情報安全情報

管理模塊檢索溯源

模塊系統監控系統配置安全事件

響應模塊安全事件

管理模塊安全分析

模塊異常行為

檢測模塊風險管理模塊分析報告安全態勢安全預警系統管理馨理11安全運營中心平臺數據采集解析、事件識別、關聯分析、產生告警、事

件溯源、可視化、統計報

表、觸發工單、處理結果

跟蹤反饋。產生工單工單系統安全防御設備防火墻、入侵防御、防病毒、

終端管理、上網行為管理、數據防泄漏等。策略調整安全運維人員事件處理、系統加固、安全

策略調整。安全日志防護

檢測安全管理恢

復

響應安全事件&處理建議安全防護系統加固安全模型

—MPDRR信息

資產12·內網區數據采集器：部署在內網，

負責對安全設備、應用系統、私有

云平臺日志進行采集，統一發送給

大數據安全管理平臺。·互聯網區數據采集器：部署在互聯

網區，負責對安全設備、互聯網應

用、上網人員日志進行采集，通過

網閘定期將數據擺渡到內網大數據

安全管理平臺。·

大數據安全管理平臺：部署在內網，

負責統一的系統的配置管理、可視

化展現、工單對接、產生報告報表電科院內網數據采集集群網閘應用服務器集群

大數據安全管理平臺Internet互聯網

DMZ部署示意圖等。數據采集集群13資產信息

安全日志

外部安全提示人員信息

網絡設備安全設備CN-CERT設備信息

主機

應用系統

烏云系統信息中間件

數據庫安全廠商應用信息虛擬化私有云平臺其它組織實施步驟一：基礎資源整合根據信息資產管理范圍、安全日志管理情況及外部安全提示，對現有資源進行整合，梳理并確認現有系統的功能。大數據安全管理平臺14安全事件分類分級安全事件記錄事件發生時間事件責任人事件發生

終端情況事件嚴重程度事件影響范圍事件處置建議高級高級高級中級中級中級中級中級低級低級違規安全軟件違規登錄系統終端數據泄漏違規上網訪問密碼未定期更新終端病毒感染終端惡意掃描終端漏洞利用補丁未及時更新惡意卸載軟件安全監控內容軟件清單軟件安裝記錄資產清單操作系統安全日志辦公軟件安裝日志防病毒軟件安裝記錄補丁安裝記錄域控帳號登錄記錄密碼策略記錄系統維護情況記錄防病毒軟件更新記錄終端網絡流量記錄用戶操作行為日志上網行為記錄終端系統運行狀態記錄DLP系統記錄設備送修記錄設備報廢記錄根據監控內容，對不同設備和系統的異常情況進行告警，并對

告警進行分類。例如高級告警、中級告警等制定監控告警生成事件的規則。如主要告警可以生成安全事件進行跟蹤和處理。監控各應用系統平臺及安全工具運行情況，針對數據中的異常內容進行跟蹤，觀察和發現安全事件，并對事件進行初

步分析，評估安全事件影響，實現安全事件的早發現、早處置。實施步驟二：安全事件分析告警規則15安全場景說明PE病毒與蠕蟲交叉感染當PE病毒與蠕蟲交叉感染一個文件，這個病毒不但具有破壞能力，且具有快速的擴散能力，可能讓企業內部短時間大面積感染病毒。來自外網的遠程桌面連接成功來自外網的RDP協議的遠程桌面連接成功事件，可能為黑客入侵或違規操作。嘗試暴力破解用戶終端準入認證失敗短時間超過多次。暴力破解成功短時間內同一IP登陸連續登錄失敗超過N次觸發，同時其中有一次登錄成功內部地址嘗試訪問惡意域名服務器非內部DNS服務器向外發起的DNS請求觸發告警WEB服務器主動向外訪問WEB服務器地址向外主動訪問的請求有針對性的漏洞利用應用系統遭受了某種漏洞利用，同時掃描器同樣發現應用系統有此漏洞密碼更改頻繁一個用戶一天內更改密碼N次以上短時間內用戶創建刪除一個用戶在創建后N分鐘內刪除多賬號異常登錄一個IP在N分鐘內登錄了超過N個賬號僵尸網絡加密通道、C&C通信、訪問動態域名

….…………實施步驟二：一些安全場景16安全事件違規安全軟件違規登錄系統終端數據泄漏違規上網訪問密碼未定期更新?通知相關終端病毒感染系統管理終端惡意掃描終端漏洞利用補丁未及時更新惡意卸載軟件協助信息安全管理團隊進行安全事件處置，利用豐富的信息安全專業經驗，提出安全事件處置建議，并協助開展和

推動處置工作，確保安全事件得到及時、有效的處理，避免處置不及時、不恰當導致的影響擴大和升級。?根據不同安全事件的嚴重程度，修復安全事件所引發的問

題實施步驟三：安全事件處置?與當事人確認違規

行為/系統

被破壞情況受

理?對安全事件進行進

一步確認驗

證?對修復結果進行驗

證響

應啟動安全事件響應流

程安全事件處置流程解

決關

閉?關閉安全事

件員/協調員17安全事件原因分析?

總結安全事件并輸出安全事件報告?

內容包括：事故原

因分析、已造成的影響、處理辦法、

處理結果、預防以

及改進措施和計劃

等定期跟蹤改進措施進度?

分析安全事件基本

情況?

分析以往事件發生

情況?

分析各責任部門重

視程度?

分析現有安全技術

實現情況?

對安全事件原因分

析進行判定，確認

原因分析是否到位?

制定安全事件整改

方案?

對整改方案進行評

審協助對安全事件進行事后處置和整改，提出專家建議，并協助推進改進工作，保證事件整改措施的有效和可落地，及時總結和記錄安全事件，不斷完善和積累安全事件處置經驗，提高安全運營能力。實施步驟四：安全事件事后溯源分析?

技術類安全事件整改措施執行?

管理類安全事件整改措施執行改進措施制定與評審

改進措施落地執行

安全事件處置總結18導航

X搜索文檔品

冒

1.

目的Objective

2.適用范圍Scope

3.術語Terminology

4.職責Responsibility

5.程序Program

6.相關文件RelevantDocument

7.記錄 8.更改服務Revision9.分發Distribution

10.附錄Appendix ?

完善《信息安全事件管理規范》機制，明確職責分工，并細化具體的管控要求?

完善安全事件模板√

信息安全事件記錄單√

信息安全事件分類√

信息安全事件分級√

信息安全事件流程報告(從流程持續改進

的角度要求定期對信息安全事件進行歸納

總結)√

信息安全事件分析報告(事件級別較高的安全事件要求進行根源分析)實施步驟五：完善安全事件管理機制結合現有的組織架構及職責分工，修訂完善信息安全事件管理規范，明確相關方的職責分工情況。19軟件安全使用違規上網

和下載病毒感染終端設備

健康狀態漏洞和補

丁更新……訪問控制管控情況按合規要求基于當前安全運營的開展情況和管理需求，以及可采集數據的情況，制定各領域的SOC報告模板，充分反映當前安全運營工作的情況、取得的成效和面臨的問題。安全運行總

體情況安全事件解

決情況由告警生成安全事件數量……實施步驟五：安全報告設計報告設計與展現按業務部門客戶端防護

情況網絡防護

情況綜合分析報告專項領域報告安全事件報告按時間順序……20告警記錄疑似違規終端病毒感染終端違規訪問終端違規下載軟件安裝違規終端數據泄漏總數終端病毒感染終端違規訪問終端違規下載軟件安裝違規終端數據泄漏總數702081751213122078825113331120481024102339301982110012410557181010131052816100113107731810110301376170110131044615100102011661400020218239567018512310131452安全專項領域報告示例實施步驟五：專項報告設計■終端病毒感染■終端違規訪問■終端違規下載■軟件安裝違規■終端數據泄漏終端安全事件統計19%27%25%23%6%21月

度

終

端

安

全

管

理

整

體

運

行

狀

況—一最佳運行狀態—當前運行情況軟件安裝情況10080設備健康程度40200違規下載人力資源部年度終端違規事件統計141210864201月2月

3月

4月

5月

6月

7月

8月

9月

10月

11月

12月軟件安裝—

補丁更新—

違規訪問—

違規下載

—

—

病毒感染

—

—

數據泄漏30工25-20-15-告警記錄總數■疑似違規總數■違規事件總數實施步驟五：綜合報告設計各部門終端安全風險與違規事件數量統計10-50+病毒感染情況補丁更新2260人員流程制度建設方案人員建設規劃總體規劃·

安全運營團隊建設·

人員能力培養·

考核體系建設階段二·

考核體系建設·

安全運營團隊提升

>安全專家>安全檢查人員>

知識庫/情報管理人員階段

一·

安全運營團隊建設安全運維人員>

安全管理人員·

人員能力培養24序號角色職責考核標準人員數量1安全管理安全運營中心負責人，全面負責信息安全運行中心的具體管理工作包括政策制定、事件審核、工作考核等根據實際情況制定根據實際情況設置2安全運維負責對安全運營平臺及其他途徑(電話、郵件等)發生的安全

事件進行實時監控和通報。對內部信息安全事件進行分析、外部組織(如烏云等)針對的

安全警示及相關漏洞進行分析。對內部產生并確認的的安全事件、外部組織針對安全警示進行

全生命周期處理。安全運營中心技術平臺的日常管理運維工作。根據實際情況制定根據實際情況設置人員角色分工25序號培訓時間培訓對象崗位所需能力培訓內容1項目建設前期安全管理人員安全運營中心日常管理能力安全制度流程制定能力CISP培訓ISO27001培訓信息安全風險管理課程信息安全等級保護工作業務認證課程2項目上線前安全運維人員安全事件監控及響應能力安全事件分析能力應急響應處理能力平臺管理運維能力ISO27001培訓CISP培訓瀚思產品培訓黑客攻防培訓等級保護工作業務認證課程信息安全風險管理課程人員能力培養26總體規劃階段一階段二·

安全事件分類分級·

內部安全事件處理流程·

外部安全警示處理流程·

應急響應流程·

安全檢查流程·

專家支持流程·

安全情報分析流程…

…·

安全事件分類分級·

內部安全事件處理流程·

外部安全警示處理流程·

應急響應流程·

安全檢查流程·

專家支持流程·

安全情報分析流程安全管理制度與流程建設規劃27安全管理制度與流程體系架構·

管理辦法：是信息安全各領域的總體方針，解決

的是“為什么”的問題。包括信息安全方針、組

織架構、信息安全目標、信息安全管理范圍和邊

界、信息安全管理委員會成員和職責等；·

要求、標準和管理規范：是信息安全各領域中的

具體要求，解決的是“做什么”的問題；·

細則、指南和手冊：是信息安全各領域的詳細做

法，解決“做到怎樣和怎么做”的問題。如信息

系統安全運維操作的各種規程、技術標準。是上

一級規章制度中各項控制措施在運維流程中的具

體

落實

；·

記錄、表單和報告：信息安全運行過程中的各項

記錄，如系統操作記錄，制度執行記錄等，是信

息安全政策和標準的實際執行結果，其解決的是“做的結果”的問題。管理辦法要求、標準和管理規范細則、指南和手冊記錄、表單和報告28安全事件分類描述說明操作記錄事件記錄各種操作事件，包括訪問、配置變更、軟件安裝、申請、設備操作命令等；狀態信息事件系統、應用、網絡等日常運行、自身維護、管理資源產生的事件。如進程變化、服務啟停、普通流量、CPU內

存、硬件狀態等。有害程序事件計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網絡事件、混合攻擊程序事件、網頁內嵌惡意代碼事件和

其它有害程序事件等7個子類。網絡攻擊事件拒絕服務攻擊事件、后門攻擊事件、漏洞攻擊事件、網絡掃描竊聽事件、網絡釣魚事件、干擾事件和其他網絡攻擊事件等7個子類。信息破壞事件信息篡改事件、信息假冒事件、信息泄漏事件、信息竊取事件、信息丟失事件和其它信息破壞事件等6個子類。異常行為事件包括人、應用、網絡發生的操作、訪問等異常行為事件。安全事件分類分級·參考標準：

GB/Z20986

(信息安全技術信息安全事件分類分級指南);·安全事件分類：操作記錄事件、狀態信息事件、有害程序事件、網絡攻擊事件、信息破

壞事件、異常行為事件六大類。29損失等級系統損失特別嚴重的系統損失造成系統大面積癱瘓，使其喪失業務處理能力，或系統關鍵數據的保密性、完整性、可用性遭到嚴重破壞，恢復系統正常運行和消除安全事件負面影響所需付出的代價十分巨大，對于事發

組織是不可承受的；嚴

重

的

系

統

損

失造成系統長時間中斷或局部癱瘓，使其業務處理能力受到極大影響，或系統關鍵數據的保密性、

完整性、可用性遭到破壞，恢復系統正常運行和消除安全事件負面影響所需付出的代價巨大，但對于事發組織是可承受的；較大的系統損失造成系統中斷，明顯影響系統效率，使重要信息系統或一般信息系統業務處理能力受到影響，或系統重要數據的保密性、完整性、可用性遭到破壞，恢復系統正常運行和消除安全事件負面影響所需付出的代價較大，但對于事發組織是完全可以承受的；較小的系統損失造成系統短暫中斷，影響系統效率，使系統業務處理能力受到影響，或系統重要數據的保密性、完整性、可用性遭到影響，恢復系統正常運行和消除安全事件負面影響所需付出的代價較小。·事件分級要素：信息系統的重要程度、系統損失和社會影響。信息系統重要程度：信息系統的重要程度主要考慮信息系統所承載的業務對國家安

全、經濟建設、社會生活的重要性以及業務對信息系統的依賴程度，劃分為特別重

要信息系統、重要信息系統和一般信息系統。安全事件分類分級30事件分級系統損失社會影響特別重大事件(

I

級

)會使特別重要信息系統遭受特別嚴重的

系統損失波及到一個或多個省市的大部分地區，極大威

脅國家安全，引起社會動蕩，對經濟建設有極

其惡劣的負面影響，或者嚴重損害公眾利益。重大事件(

Ⅱ

級

)會使特別重要信息系統遭受嚴重的系統

損失、或使重要信息系統遭受特別嚴重

的系統損失；波及到一個或多個地市的大部分地區，威脅到

國家安全，引起社會恐慌，對經濟建設有重大

的負面影響，或者損害到公眾利益。較大事件(Ⅲ

級

)會使特別重要信息系統遭受較大的系統

損失、或使重要信息系統遭受嚴重的系

統損失、一般信息信息系統遭受特別嚴

重的系統損失；波及到一個或多個地市的部分地區，可能影響

到國家安全，擾亂社會秩序，對經濟建設有一

定的負面影響，或者影響到公眾利益。一般事件(I

V

級

)會使特別重要信息系統遭受較小的系統

損失、或使重要信息系統遭受較大的系

統損失，一般信息系統遭受嚴重或嚴重

以下級別的系統損失；波及到一個地市的部分地區，對國家安全、社

會秩序、經濟建設和公眾利益基本沒有影響，

但對個別公民、法人或其他組織的利益會造成

損害。安全事件分類分級31內部安全事件處理流程接收

驗證

隔離一般事件安全管理人員整改

審核未整改

審核整改

結果安

全

事

件工單安

全

運維人員報記錄重大事件應急預室隔

離通報已整改通

服己錄結

束事件級

別上報整改結果通知整改32一般安全警示安全管理人員整改

審核未整改

審核整改

結果安

全

警

示工單安

全

運維人員誤報記錄重大安全警示應急預室隔

離外部安全警示通報處理流程通報已整改接收

驗證

隔離通

服己錄結

束警

示級別上報整改結果通知整改33定期審核改進安

全

需

求

分

析風險分析與評估安全運營目標確定(安全策略)人員

流

程技

術資產管理

資產風險監控規則制定/安全告警處理安全狀態及報告知識管理·安全運營中心建設流程將參考ISO27001

信息安全管理體系中PDCA

模型，即：計

劃、實施、檢查、改進。·

PDCA

模型將會應用在安全運營中心建設

過程中：安全需求分析、安全運維目標確

定、人員/流程/技術管理、資產管理、

規則制定、安全告警處理、安全狀態及報

告、知識管理。·

通過積累的安全知識對安全需求進行定期

改進，使安全運營中心成為一個完整的閉

環。安全運營能力提升34建立集中的安全運營平臺，消除數據孤島，提升安全保護能力；建立完善的內部安全事件、外部安全警示的響應機制和處理流程；建設安全運營技術團隊，為運營提供有力支撐；監管合規，日志全量留存，安全事件實時分析與溯源；實時掌握企業整體安全狀況并為領導決策提供安全分析報告；項目達成的目標和收益35產品選型及項目預算·

以資產為核心；·

以業務為核心的、

一·以大數據為技術支撐；

體化的安全管理系統；·

用安全域劃分的思想，

務的功能設計；建立一套實時的資產·

技術支撐方面面向業風險模型；務鏈的信息收集；·

威脅可視化；·

協助管理員進行事件

·實施過程中面向業務·

風險預警；分析、風險分析、預

的實施和運維過程。

·

威脅情報共享；

警管理和應急響應處理的集中安全管理系

·

安全態勢感知；統。·

SIM

關注于內控，

包括特權用戶和內

部資源訪問控制的

行為監控，合規性

需求更多些；·

SEM

則關注于內外

部的威脅行為監控，

安全事故應急處理，

更偏重于安全本身；·

LM則注重日志管理，

合規要求。·

安全事件管理為關鍵以業務為核心；

流

程

；

·

體系設計方面圍繞業安全運營中心產品市場調研·

實時的異常檢測；·

安全分析智能化；2000年以前SIM/SEM/LM2000年SOC1.02009年SOC2.02014年SOC3.038SOC2.0代表產品SIEM、SOC(HP、啟明、天融信、網神、神州泰岳等)產品架構基于傳統關系型數據庫(Oracle、SQLServer等)處理架構問題點支持數據源(少)不支持半結構化(如Linux、tomcat日志)、非結構化(如數據庫錯誤日志)一業務為核心的時代，數據分析怎能少了應用系統產生的半結構化和非結構化日志?數據采集情況(丟)數據有選擇的采集存儲，處理不了的數據會丟掉一發生事件時相關日志沒有存，如何溯源取證?數據處理能力(弱)可處理1TB左右數據—每天產生2T的數據怎么辦?查

詢

效

率(

慢

)1TB數據查詢返回結果時間>30分鐘—管理員緊急解決問題能否等得了?擴

展

能

力(

難

)需要考慮數據遷移、備份、表空間等—隨著數據量的不斷增長，復雜的擴容工作成為常態?成

本

投

入(

高

)需要采用高性能服務器，10幾人的專業團隊運維一能否接受高昂的硬件及人力成本的投入?分

析

能

力(

差

)基于規則，缺少對異常行為和未知威脅分析的手段(如基線、數據建模、機器學習、圖分析等)一檢測不出來的，怎么辦?網絡是否已經被攻破?內部是否存在威脅?分析告警時效(慢)分析告警的時效較慢—如果對業務系統進行安全檢測時，是否滿足業務系統大數據量實時異常檢測的要求?風險預警能力(無)被動響應安全事件為主一如何對風險進行提前評估與預警?SOC2.0面臨的問題39·

種

類

越

來

越

多

；·

體

量

越

來

越

大

；·

價

值

越

來

越

高

；數據時效·

業務系統日志實時異常

分

析

的

需

求

；威脅預警為什么出現SOC3.0

的概念·

關鍵業務系統提前的

風

險

預

警

的

需

求

；·

安

全

威

脅

情

報

的

興

起

；·

高

級

持

續

性

定

向

攻

擊

；·

用

戶

/

應

用

的

異

常

行

為

；40·

從

少量單一數據向

海量豐富大數據的

轉變

；·

從基于規則匹配向數據建模，機器學

習智能化的轉變；·

從事后歷史數據分析向

實時異常檢測

的轉變；·

從短時間狀態監控向長周期趨勢變化

及基線分析轉變；·

從單一安全事件監控向整體安全態勢

感知的轉變；·

從依靠自身安全能力向威脅情報共享

的轉變；Meaningtul

Metricscte

kchh'sountonWTP/MwwLDOOHEDMARTINCOM/CYBER

m?洛克希德

·

馬丁公司，2015.9TRANSFORMINGSOCTO

SICUses

Intelligence

Driven

Defense*solutions

to

focus

on

thethreat

landscape

beyondindividual

incidentsSOC3.0—

從安全運營中心到安全智能中心nowledeReprtingInddentResponseReportingLeveragesintelligenceanalysts

versus

vendorand

alert

reactionFocuses

on

peopleandcollaborationrather

than

toolsSICSECURITYINTELLIGENCECENTEREnables

24x7

security

Communicates

pattemscoveragewithout

and

trends

rather

thanrequiring

ful-timestaffingevent-by

eventanalysisSecondAnalyshGathertngnddentAnalysbSOChncidentMontorleSI

C

BEN

E

FITSSOC41SIC對比項SOC2.0SOC3.0產品架構基于傳統關系型數據庫(Oracle)處理架構基于大數據分布式存儲計算(Hadoop、Spark)處理架

構支持數據源結構化日志結構化、半結構化(如Linux、Tomcat日志)、非結構化

日志(如數據庫錯誤日志)數據采集情況數據有選擇的采集存儲，處理不了的數據會丟掉原始數據全量儲存處理能力可處理1TB左右數據可處理1PB以上數據查詢效率1TB數據查詢返回結果時間>30分鐘1TB數據查詢返回結果時間<3秒擴展能力需要考慮數據遷移、備份、表空間等水平擴展非常靈活，服務器即插即用成本投入需要采用高性能服務器，10幾人的專業團隊運維只需普通服務器，通過機器學習、數據建模、可視化、

強大的平臺工具等大大減少安全運維人員工作量分析能力基于規則除規則外，基于場景數據建模、算法、機器學習等分析告警時效數據庫批處理機制，數據量大時，處理速度較慢大數據流式處理，可滿足業務系統準實時分析告警要求風險預警能力無基于威脅情報可對一些可能發生的風險進行提前預警SOC2.0對比SOC3.042產品發布時間定位數據源大數據處理能力基

礎

S

O

C

功能機器學

習能力異常行為分析安全態勢可

視化威脅情報啟明泰合2015年12月大數據SOC安全設備日志+應用

日

志500TB強弱一般一般有網神SecFox2006年傳統SOC安全設備日志1TB強無弱弱無天融信TopAnalyzer2009年傳統SOC安全設備日志1TB強無弱弱無360天眼2015年5月大數據安

全分析安全設備日志+應用

日志+網絡流1PB弱強強強有HPArcSight2000年SIEM安全設備日志+應用

日

志1TB一般無強一般無IBM

Qradar2010年傳統SOC安全設備日志+應用

日志+網絡流100TB強一般強一般有Splunk

Security2013年大數據安

全分析安全設備日志+應用

日志+網絡流1PB弱一般強強無瀚思Enterprise2014年3月大數據SOC安全設備日志+應用

日志+網絡流1PB強強強強有國內外主流產品對比43細分領域第一名第二名第三名第四名第五名第六名數據交易數據堂(北京)科技股份

有限公司九次方財富

資訊(北京)