泰州数据产业园安全运营中心SOC建设可行性分析报告.doc

1、泰州市数据产业园安全运营中心（SOC）建设可行性分析报告第一章 总论随着计算机技术的飞速发展，信息网络已经成为社会发展的重要保证。信息网络涉及到国家的政府、军事、文教等诸多领域，存储、传输和处理的许多信息是政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要的信息。其中有很多是敏感信息，甚至是国家机密，所以难免会吸引来自世界各地的各种人为攻击（例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等）。通常利用计算机犯罪很难留下犯罪证据，这也大大刺激了计算机高技术犯罪案件的发生。计算机犯罪率的迅速增加，使各国的计算机系统特别是网络系统面临着很大的威胁，并成为严重

2、的社会问题之一。第二章 项目必要性及可行性分析目前在我国，信息网络的安全现状不容乐观，根据公安部网络安全信息中心的统计，我国95%的与因特网相联的网络管理中心都遭到过国境内外黑客的攻击或侵入，计算机病毒感染率为85.5，其中多次发生网络安全事件的比例为50，多次感染病毒的比例为66.8。在发生安全事件的类型中，感染计算机病毒、蠕虫和木马程序依然十分突出，占72，其次是网络攻击和端口扫描（27）、网页篡改（23）和垃圾邮件（22）。另据统计，遭受攻击或病毒传播最大的来源是内部人员，其比例约为79，而涉及外部人员的攻击或病毒传播，约为21。因此，无论是针对IDC机房的托管服务，或者是云计算实验室以

3、及SaaS平台的交付应用中，对于安全的需求都是实时存在的，安全是一个无处不在的管理行为。尤其是针对云计算的用户，在一个充满弥散性的、不可见的环境中搭建自己的应用，系统安全、数据安全本来就是用户所最关心的问题。园区通过与专业的安全服务厂商合作，建设产业园区内的、基于IDC机房的安全运营中心，为园区内IDC机房的托管用户、园区内的企业、园区自身的网络服务平台、政府网站等提供专业的安全监控、安全防护及安全培训与指导，为园区内的网络创造一个安全、稳定的运行环境。第三章 项目建设目标SOC安全监控体系的设计主要包括两个方面：防止外部用户对园区内的企业用户、IDC托管用户、IDC网络系统可能的攻击，以及防

4、止园区内的企业用户、专线用户、IDC托管用户内部各子系统之间可能的攻击。这两个方面所采用的技术和思路是一致的。系统安全架构将从三个层次来考虑：网络层、主机/服务器系统及应用层。网络层的安全主要是防范对于整个网络的非法访问，一般通过防火墙来实现。通过配置多级防火墙，以隔离园区内各企业、园区内的专线用户、IDC网络各个组成部分相互之间的非法访问（合法访问可以通过）；对于Internet用户来讲，如果想非法入侵，必须突破防火墙的防范。另外，各级防火墙可采用不同的产品，以提高网络整体的安全性。 主机/服务器系统的安全是针对个别机器的。除了主机/服务器的操作系统自身的安全性之外，目前有多种产品可供选择，

5、包括SUN公司的Security Manager和CA公司的Unicenter TNG等产品。 应用层的安全将从三个方面来考虑：增强应用服务器系统的安全；采用身份认证机制，以保证应用的可靠性；采用数据加密技术和防病毒软件，以保证应用的安全性。1、操作系统的安全规划操作系统的安全性建设应是整个系统安全性建设的基础。操作系统的安全性建设主要包括用户的管理、超级用户的管理、文件系统安全管理、远程对系统的访问等。 用户管理：对用户的管理主要有用户的账号口令管理，设置用户账号的有效期，用户账号口令的存活期限等。如果需要可以规定用户只能在指定的时间内才能登录系统，并对登录系统的用户进行审核（audit）。

6、 超级用户的管理：严格限制有普通用户变成超级用户（如使用su、rlogin等命令），如果需要可以使用如CA Unicenter TNG这样的软件来控制系统超级用户的权限。 文件系统的安全管理：控制用户对系统内特殊文件的访问权限，特别是删除、移动等权限，对使用NFS系统可以采用kerberos方式认证。 远程对系统的访问：封闭系统的telnet、ftp、r-访问（rsh、rlogin、rcp）等功能；但可以对系统管理员开放相应的telnet、ftp功能，以便利于对系统的管理和维护。2、防病毒(Anti-Virus)目前病毒在网络和Internet上主要以电子邮件和Web浏览的方式传播，以及内部网

7、络中员工的共享文件的传播。防病毒可以分为集中防病毒和分散防病毒两种方法。集中防病毒的方法是在主要的服务器上安装防病毒软件，此软件先对进出此服务器的数据进行检查，然后再把通过检查的数据发送给客户；分散防病毒是只在客户端安装防病毒软件，它只检查进出客户端的数据是否有病毒感染。 由于IDC主要为客户服务，数据主要集中在服务器上，所以在IDC系统的防病毒体系中主要采用集中防病毒方法，但同时对一些与服务器相交互的内部客户段（如管理客户段）也采用分散的防病毒方法。集中防病毒主要是对进出的邮件和HTTP流数据进行防病毒；分散是保护内部网的单个终端用户。3、防火墙(Firewall)防火墙(Firewall)

8、是保证网络安全的重要手段之一，在建设IDC基础网络系统安全性时，首先是要考虑防火墙的建设。在Internet/Intranet上，通过防火墙来在两个或多个网络间加强访问控制，其目的是保护一个网络不受来自另一个网络的攻击，隔离风险区域与安全区域的连接，但不妨碍人们对风险区域的访问。防火墙要完成如下主要功能： 通过对IP包的检查，过滤对网络安全有潜在威胁的IP数据包。 屏蔽对于网络不必要且有安全漏洞的服务，如Telnet、FTP等。 控制从Internet上过来的IP数据的流向，如数据包其目的地址只能是某个区域的DNS、WWW等服务器。 屏蔽对于某些Internet站点的访问。 完成系统内部IP地

9、址到Internet合法IP地址的转换，保证能够从系统内部访问Internet，并隐藏内部网络和主机的结构。 访问日记，即Access Log。 IDC不仅要建设自己的防火墙系统，同时也要考虑特定的用户需要建立起自己的防火墙系统，即用户需要在自己的应用前增设相应的防火墙系统来保护其应用的安全（这可根据用户的实际需求再进行建设）。4、网络和系统入侵监控网络和系统的入侵检测是在网络上增加一台扫描仪器和在主要服务器上增加相应的防入侵软件来实现的。此类防入侵软件有两个主要功能，一个功能是扫描网络和系统上的安全漏洞，以便在网络和系统建立初期，就解决好安全问题，此功能也属于安全保护范围；另一个功能是在网络

10、和系统运行时，监控数据流，及时发现黑客入侵，从而做到防止黑客的入侵。 在IDC系统中，在每个重要的服务取得网络的入口处安放一个探测器，对每个进出此段网络的数据流进行检查探测，当其发现某一个数据流不是正常的数据流时，探测器把此数据流截获住，并向位于管理区的管理服务器发送入侵信息和警告，然后由管理服务器做相应的防御对策。同时在每个服务器上安装有类似的探测器，所以当黑客入侵服务器系统时，也是采取上述动作。第四章 安全运营中心（SOC）的概念SOC(Security Operations Center)是安全运维中心的简称，是一个集中管理各种安全设备、统一监控、统一处理各种安全事件的固定办公集合。为了

11、不断应对新的安全挑战，企业和组织先后部署了防火墙、UTM、入侵检测和防护系统、漏洞扫描系统、防病毒系统、终端管理系统等等，构建起了一道道安全防线。然而，这些安全防线都仅仅抵御来自某个方面的安全威胁，形成了一个个“安全防御孤岛”，无法产生协同效应。更为严重 地，这些复杂的IT资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件，形成了大量“信息孤岛”，有限的安全管理人员面对这些数量巨大、彼此 割裂的安全信息，操作着各种产品自身的控制台界面和告警窗口，显得束手无策，工作效率极低，难以发现真正的安全隐患。另一方面，企业和组织日益迫切的信息 系统审计和内控要求、等级保护要求，以及不断增强的业务

12、持续性需求，也对客户提出了严峻的挑战。针对上述不断突出的客户需求，从2000年开 始，国内外陆续推出了SOC(Security Operations Center)产品。SOC是以资产为核心，以安全事件管理为关键流程，采用安全域划分的思想，建立一套实时的资产风险模型，协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。本质上，SOC不是一款单纯的产品，而是一个复杂的系统，他既有产品，又有服务，还有运维(运营)，SOC是技术、流程和人的有机结合。SOC产品是SOC系统的技术支撑平台，这是SOC产品的价值所在，我们既不能夸大SOC产品的作用，也不能低估他的意义。这就好比一把

13、好的扫帚并不意味着你就天然拥有干净的屋子，还需要有人用它去打扫房间。第五章 总体建设方案1、SOC建设组织架构图组织结构详细作用备注中心负责人 对安全管理中心总负责企划部门 各项服务措施的制定 客户服务与管理 对外业务的管理 安全管理服务品质保证管理运营威胁响应 安全事件监控 安全事件发生时的初步分析 通过安全系统策略的初步响应 Help Desk724入侵分析 入侵事件分析 被破坏系统的修复 构筑安全策略及应用部署 提供安全漏洞应对指南入侵预防 漏洞检测 模拟攻击 收集及共享漏洞信息技术支持部门 安全设备技术的远程/现场支持2、SOC的硬件与网络拓扑图3、SOC的装修与施工平面图4、SOC的

14、软件架构5、SOC软件操作流程6、SOC所需资源列表IT设备类类别设备名称生产商型 号数量硬件Transaction ServerDELLPowerEdge R7101事件分析服务器DELLPowerEdge R7101事件收集服务器DELLPowerEdge R7101eTrinity ServerDELLPowerEdge R7101Log 存储数据库DELLPowerEdge R9002统计/设置数据库DELLPowerEdge R9002报表服务器DELLPowerEdge R7101Syslog ServerDELLPowerEdge R7102MRTG ServerDELLPowe

15、rEdge R7101漏洞扫描服务器DELLPowerEdge R7101网站漏洞扫描服务器DELLPowerEdge R7101邮件服务器DELLPowerEdge R7101磁带库IBML5B1交换机CiscoCisco-3750G-48TS2光纤交换机IBMIBM-B162监控服务器DELLPowerEdge R7104软件Sefinity ESMAhnLabTransaction Server 2.0Event Analysis Server 2.01事件收集服务器AhnLabSefinity Event Collect Server 2.01eTrinity 2.1AhnLabeTr

16、inity Inside 2.1eTrinity Portal 2.11Sefinity ConsoleAhnaLabSefinity Console 2.11管制系统用 OSRedHatRedhat ES 5.210MicrosoftWindows 20031管制系统用 DBMSOracleOracle 11g Std2管制系统报表ForcsOZ Report Server 5.01漏洞扫描TenableNessus Vulnerabilit Scanner(Freeware Version)1邮件服务器操作系统MicrosoftWindows2003 Std1邮件服务器MicrosoftE

17、xchange Server 2007 Ent1网站漏洞扫描IBMAppscan SE1网站漏洞扫描数据库MicrosoftMS-SQL 2005 Std1装修项目类种类详细内容数量装修SOC平台区域装修1套屏幕控制系统100”DLP控制大屏3套环境控制设备空调、温湿度控制、消防设备1套安全控制系统监控设备、门禁系统1套弱电设备综合布线、配线架、机柜1套投影仪吊顶式1台LCD TV42寸2台办公家具桌子、椅子等必要数量控制台电脑双核以上PC，双屏显卡，双显示器20套配置人力资源部门职能说明人数SOC部门负责人- 泰州SOC运营总监1企划部门- SOC运营客服与企划总监- 客户管理和新服务规划-

18、 服务质量管理2威胁响应部门- 事件监控，早期入侵响应- 白天值勤 4人- 夜间值勤 4人(2各组,每组2人)8入侵分析部门- 入侵事件分析和复发预防指南3入侵预防部门- 入侵分析- 入侵信息收集和共享3技术支持部门- 安全系统安装和运维支持- 安全系统技术支持3合计人数：20人第六章 投资估算类别明细数量总价服务器Dell PowerEdge R71015450,000存储Dell PowerEdge R9004200,000磁带库IBM L5B1250,000交换机Cisco-3750G-48TS280,000光纤交换机IBM B162200,000软件SOC支撑系统2,000,000装修

19、类含装修、布线、大屏、控制台电脑2,000,000总 计：5,180,000第七章 项目实施规划实施内容整体执行日程W1W2W3W4W5W6W7W8W9W10W11W12实施阶段分析/设计建立测试/稳定化项目管理 需求分析/计划 项目推进管理 测试/验收SOC Implementation 环境分析 SOC 软件安装和优化 安全设备联动 测试/系统稳定化SOC 操作咨询 现状分析/需求事项 建立运营流程 制作运营手册培训和技术转移基础培训技术转移和模拟训练第八章 结论与建议在泰州数据产业园，依托IDC机房的建设，建立SOC安全运营中心，一方面能够为园区内的用户提供安全运营、安全监控及安全体系的架构提供帮助，同时也具备了以下意义：1、建立网络入侵威胁的紧急应对体系和提供各种机构之间的入侵事件共享环境；2、在泰州数据产业园内为用户提供24X365安全管理/监控服务；3、通过SOC中心的运作，在早期预防入侵和攻击；4、在泰州数据产业园发生入侵及黑客攻击事件时实现危害最小化；5、开发了与其他运营商差别化的、有竞争力的服务模式；6、加强泰州数据产业园入驻企业或使用IDC服务的客户的网络安全；7、通过提供稳定的服务确保园区的竞争力。