● 摘要
随着网络应用的深入,对网络的非法访问、恶意攻击等安全事件频繁发生。防火墙、网闸、虚拟专用网、身份验证系统和入侵检测系统等网络安全设备在网络中得到了广泛应用。虽然这些安全设备能够在特定方面发挥一定的作用,但是它们彼此之间没有有效的统一管理调度机制,不能互相支撑、协同工作,从而使安全产品的应用效能无法得到充分的发挥。安全管理中心(Security Operation Center简称“SOC”)正是为了解决这些问题而产生的一种新型的安全管理解决方案。本文通过对安全管理中心系统的总体结构及各种相关技术的进一步探讨,提出了采用基于规则事件关联技术的安全审计解决方案。该方案在提出过程中,按照软件开发的流程,先研究了日志审计系统的需求,继而提出了系统的总体设计思路,并通过对相关各项技术的研究,确认了总体设计的可行性。紧接着,设计实现了系统的事件关联审计引擎、海量事件查询系统和安全威胁分析报表系统,从而完成了整个日志审计子系统的开发工作。最后,通过对在实际网络环境下的测试表明,整个系统基本完成了预期目标。日志审计子系统实现了在安全管理中心平台中,集中收集全局范围的安全事件,对安全事件进行相关性分析,产生出真正的有用的安全事件,利用有限的人力资源分析海量的安全事件的功能。目前,本系统已经成功运行的安全管理中心系统中,并形成产品化,在公安、军队等机构得到了应用。