通过前面三篇文章的思路整理,我也逐步理清楚了网络安全防护的两种手段,一个是访问控制,一个是监控审计。
访问控制就是强制性的规定哪些合法使用信息资产的途径、时间和用户特征。通过访问控制,可以解决非法访问问题。
然而,在访问控制设计之初,是没有人能说清楚到底哪些地方需要加强访问控制的。例如,最初的就知道通过路由划分可以规定网络通信路径,这种粗粒度的ACL是一种访问控制方法,可是逐步发展之后,又发现ACL所规定的访问路径的确是个问题,因为不只是网络路径,服务提供端口也暴露出不少漏洞,因此,又多出了防火墙设备,加强了对端口和访问原目的地址的规范。又多了在主机层面进行控制的iptables或者主机安全策略。
由于网络攻击者的最大特征就是将自己伪装成为合法用户,进行非法活动。这些所谓的合法和非法都是在访问控制策略层面的,都是由计算机来控制的,这就比较傻,人总能骗过计算机,获取计算机的信任。所以出现了监控审计的需要。需要信息安全工作人员分析网络中出现的各种活动,通过分析,确认这些活动是否合法,从而采取增强访问控制策略的手段来加强本安全域内的网络安全保护级别。
监控就类传统安保中的摄像头,这些摄像头并不能起到拦截入侵者的作用,但是他们可以知道哪里出现的入侵,入侵者侵入的路线是什么。这很重要,因为我们需要根据这些信息进行响应。
为了使监控工作变得简单易用,我们就需要中控室,用一个值班人员就可以知道各个监控点发生的事情。
由于屏幕越来越多,就需要带动态识别的摄像头,将动态信息提示出来,然而,由于风吹树叶也算动态,FQ入园也算动态,这就给安保人员带来了极大的困惑,所以需要人脸识别的摄像头,将各个监控屏幕的人脸框出来,方便安保人员识别真正的威胁。
这种监控审计思路的逐步演进,同样也在信息安全领域逐步发展起来,IDS类攻击检测设备,由于部署的点越来越多,就需要一个集中监控的平台来集中看和分析这些事件,另外,由于监控类设备的误报率越来越高,这就要求集中监控平台具有关联分析功能,可以识别安全监控设备中产生的误报,并从中发现真正的威胁。
这样,通过类比,我们SOC的基本功能就出来了。
1、收集各监控设备的日志
2、可以关联分析这些日志
3、可以自定义规则分析这些日志
4、需实时展示这些日志的动态情况
5、需要存储这些日志并随时调用分析