信息安全体系建设的新思路：“花瓶模型”

信息安全体系是企业业务持续性发展的保障，在一定程度上安全管理平台(SOC)的建设方式就体现了信息安全体系的搭建的思路，因为用户直接操作的、见到的就是安全管理平台。

一、SOC的建设思路：“花瓶”模型

从SOC的功能发展上可分为三个维度：防护、监控与审计，包含了安全事件管理的事前、事中、事后整个过程。但信息安全包含的内容非常多，SOC究竟应该管理那些内容，各部分功能如何协调一致是SOC建设者不可回避的问题。根据SOC功能扩展的三维模型，我们提出了适合SOC建设规划的“花瓶”模型。

SOC既不是单纯的事件分析器，也不是安全设备的管理集成，是整个网络的安全管理核心。按照SOC功能发展的方向，功能平台设计为三个平台，数据采集源于同一个数据采集平台，好比是一个插满花的花瓶，因此称作“花瓶”模型。

498)this.style.width=498;">  
安全保障平台建设的“花瓶”模型

花瓶中的水：水指的是模型中的信息流，为SOC平台提供分析所需的数据，同时又把策略修改的配置送给设备。数据采集平台就比如是花瓶中花的根系。信息来源有不同的方式：

网络设备、安全设备、服务器、终端等设备有关安全的系统日志与设备本身的状态数据，可以由系统本身提供，也可由安装的代理程序进行收集。

安全设备上报的安全事件。对不同安全设备的安全预警信息进行关联分析，有助于对威胁的定位。

网络链路的原始数据。实际上原始数据不仅是行为审计信息的来源，也是安全监控系统的重要数据来源，但该数据量较大，入侵检测、病毒检测、审计都有自己的数据采集分析方法，在花瓶模型中，数据采集统一起来，避免了一个链路因多种系统需求的多个镜像，把一次镜像的原始数据，经过初步的规范整理，再分别给不同的安全系统分析使用。

数据的采集量一般很大，可以在一定的网络区域布置专用的数据采集设备，收集本区域的有关信息，并转发中心下发的安全策略。所以SOC系统对网络的管理一般采用分级分域管理，方便了管理人员的管理，也降低了对SOC中心的带宽压力。

花瓶中的花枝：SOC功能发展的三个维度防护、监控、审计，既分离又相互依赖，建立在一个信息收集平台上，就是花瓶中的三束花，同时也形成了信息安全体系的事前防护、事中监控与应急调度、事后审计的三个阶段的全方位安全管理。

花瓶中的花朵：花瓶中赏心悦目的自然是花瓶中绽开的花朵，也就是模型中功能平台的用户界面。三个功能平台可以单独使用，分别有自己的用户管理界面。

花瓶模型形象地把SOC的建设展示出来，不仅给SOC的开发提供体系架构，而且可以给企业信息安全保障体系的建设提供思路，把SOC的建设过程与安全保障的建设联系起来，更好地保障业务的安全。花瓶模型的一个思路是把安全体系的信息收集平台统一建设，不仅可以把各个孤立的安全体系根本上联系起来，而且可以方便扩展未来的安全需求，真正地体现“平台”的效能。

二、从功能出发，回归到功能需求

网络的用途不同，对安全的需求也不相同，所以在SOC的建设中也有所侧重，就好象花瓶中的每支花各吐芬芳，各有不同。

对内部网络，有完全的管理权限，可以采用监控与审计的管理方式，否则监控中发现了问题，不能去落实处理，不能消灭危害源；审计中发现了是某个方向来的攻击踪迹，但对网络的具体设备与人员不能识别，审计就无法 终取证。如政府专网中，网络接入的终端与服务器都是可管理的，可以识别每个人员与设备，甚至为了安全需要，可以用行政命令做出一些安全管理规定，比如不允许安装某些非业务需求的软件。

对外部网络，是不可控制的网络， 好的方式就是增加防护。对于企业网络来说，互联网是自己无法控制的，防护是首要的安全需求。防护不仅是“大门”的防护，对自己内部重要的服务区域、数据资源都要进行防护。利用安全区域的概念可以有效地区分某些重要区域，并提供相应安全级别的保护。如提供互联网服务的商务网站，主要是对网络出口上的攻击防护，以及内部对自己数据库的完整性保护。

对于运营商，互联网就是他们管理的网络，但网络承载的业务是客户自己决定的，所以运营商更关注对网络设备的攻击，而不是对服务的攻击，所以防护主要是对网络设备的防护。