Security Operations Center: A Framework for Automated Triage, Containment and Escalation

There have been a lot of research exertions and studies to improve the safety of critical infrastructures using the Security Operations Center (SOC). As part of efforts, the purpose of this research is to propose a framework to automate the SOC’s performance of triage, containment and escalation. The research leveraged on qualitative desk review to collect data for analysis, deduced strengths and weaknesses for the current SOC implementations and used that as a basis for proposing the framework. In view of the constant evolution of SOC operations and capabilities coupled with the huge volumes of data collected for analysis, an efficient framework for SOC operations is proposed. The qualitative analysis is used to deduce strengths and weaknesses for the current SOC implementations as a premise for proposing the framework. It consists of eight interactive stages that further leverage on a proposed algorithm for baselining, remediation and escalation. The result of this research is a proposed framework that serves as a unique contribution to enhancing the SOC’s ability to automatically perform triage, containment and escalation. Supplementary to similar and earlier work reviewed, the framework is proposed as the way forward to automatically enable SOC setups with the capacity to efficiently perform triage of security threats, vulnerabilities and incidents, effectively contain identified breaches and appropriately escalate for prompt and accurate solutions.

基于安全态势感知平台的高校网络SOC研究——以第四军医大学为例

在日益严峻的网络安全形势下,为了改进高校网络安全管理工作,建立了统一的SOC和安全管理机制。调查了陕西省高校网络安全管理工作的新特点与存在的问题,借鉴企业SOC的机制和WPDRRC模型,以第四军医大学为研究个案,对其SOC机制进行重新设计实践。在WPDRRC模型的基础上提出了由预警、保护、检测、响应、恢复和改进六个环节,组织架构、技术体系和管理流程三个要素组成的WPDRRI模型。以第四军医大学校园网SOC为例,构建了决策、管理、运营和应用4个层次的SOC组织体系,按照划分安全域的思想设计了校园网整体的安全防护架构,探索了校园网安全态势感知平台的日常和异常网络安全运维流程。结果表明,WPDRRI模型符合高校网络安全管理实际,可以用于指导高校网络SOC建设。

基于多Agent的SOC模型

传统的网络安全技术都是静态的,如IDS,不但响应不够及时,而且错检和漏检的概率也大.论文提出了一个基于多Agent的安全运维中心(SOC)模型,定义了感知Agent、消息Agent、分析Agent、警告Agent、管理Agent,在此基础上,设计了一个基于这些Agent的SOC.实验表明,该SOC具有实时性好、错检和漏检率低的特点.

新一代安全运营中心(SOC)平台

随着我国信息化建设的推进和网络安全意识的提高,防火墙、防病毒与IDS(入侵检测系统)、审计产品等已在很多企业得到应用,但网络安全是一个复杂的、综合性工程,大量安全设备使得维护变得日渐庞杂,同时安全设备往往都是各自为政,"信息孤岛"现象严重,设备之间难以联动,误报率和漏报率较高,用户面对每天产生的海量的安全日志,很难得出具有价值的系统整体安全形势分析报告,难以面对当前更加复杂多变的安全威胁,为此,能够把分散的安全设备、安全策略、安全日志进行统一管理的综合性安全运营中心(Security Operation Center,SOC)产品应运而生。笔者主要从SOC市场应用及技术发展阐述其系统架构与优势。

SOC分析研究

阐述了SOC的定义,探讨了SOC与NOC之间的关系,详细分析了SOC应该具备的功能,对SOC的核心—安全事件关联进行了深入的研究,在此基础上给出了一个安全事件关联分析示例。

浅析SOC与数字图书馆的安全建设

分析SOC(安全管理平台)可提供的安全技术,根据数字图书馆现在存在的安全建设问题(安全技术角度),提出数字图书馆结合SOC理念和技术,构架一个完善的数字图书馆安全技术体系和安全反应机制。

欧盟网络防御政策研究

欧盟于2013年提出制定网络防御政策,于2022年底发布《欧盟网络防御政策》联合公报,持续深化并实施其网络防御政策.首先从联合开展网络防御的必要性、态势感知在网络防御中的作用、多层面推动网络防御合作等方面总结了欧盟联合公报的主要观点;然后从深化网络防御政策、落实网络防御政策、协同合作保护关键基础设施安全等方面深入分析了欧盟网络防御政策的特点;最后给出了加强我国关键基础设施安全的3点启示和建议.

运营商数据治理体系和数据安全探究

互联网的兴起和发展,通信运营商积累了海量的数据资源,这些资源带来机遇的同时,也对数据治理体系带来巨大挑战。通过对数据中台架构、数据治理全流程和数据安全分级分类管理进行详细阐述,对运营商的数据治理体系和数据安全管理体系两方面开展研究,为运营商数据治理和数字化转型提供参考。

云南区域山地新能源场站网络安全运管模式探索

随着网络攻击频率持续上升,网络安全设备的部署逐渐增多,给企业网络安全运营管理带来更多挑战。通过研究,建立规范的网络安全防护体系流程,建设完善的接入场站的网络安全模式,设计详细的安全管理流程,制定细分场景的应急预案,并结合新能源场站区域广、控制复杂、物理威胁风险高等特点,探索适用于山地新能源的网络安全运营模式。

数据中台关键技术在港口行业的应用研究

该文深入探讨数据中台技术在港口智慧安防领域的应用,从研究背景、关键能力、软件框架及应用分析等方面进行详尽阐述,着重阐述多港口智慧安防数据的采集、清洗、存储、转发的实用框架。基于此数据中台的相关技术方法,已在智慧安防总控平台、智慧照明及安全生产分析等领域得到初步应用和实际落地,为港口安防领域的多级平台架构模式提供有益的工程实践参考。数据中台为系统间的数据融合、能力融合及分析融合提供优质的前端计算服务和数据中心的信息共享与存储服务。

电力市场运营系统中的安全访问控制

电力市场覆盖范围广,市场成员分散,交易中心与市场成员之间需要交换大量市场私有信息。市场中用户类型众多,访问权限各不相同,并且受市场规则变动的影响。电力市场的信息保密性、用户多样性和访问权限多变性,要求支持市场运行的电力市场运营系统必须具备严格而且灵活的安全访问控制机制。为此,文中描述了硬件层、系统软件层和应用软件层相协调的安全访问控制的整体结构,设计了基于Java 2平台企业版(J2EE)架构的内嵌访问控制、动态代理和控制中心 3种应用层用户访问控制方案。对各方案的对比分析表明,控制中心方式安全性高,配置灵活,能够将权限管理与应用开发彻底分离,使应用开发人员专注于业务逻辑实现,以快速响应市场交易模式和访问逻辑的变化。基于该控制方式的区域电力市场运营系统已经投入现场运行。

省级中医药数据中心建设指南研究

从省级中医药数据中心建设实际出发,阐述了开展省级中医药数据中心建设指南研究的意义、目标和原则,论述了数据中心建设基本原则及其基础设施、应用部署、信息安全、技术服务与运行维护体系等方面相关要求,建立了系统、全面、科学的规范体系,弥补了规范的缺失,为省级中医药数据中心的建设提供了技术支持和指导。

基于安全管理中心的关联引擎技术的研究

安全管理中心作为安全信息抽取平台、风险管理平台和安全决策平台,通过安全策略的集中部署、安全事件的深度感知、安全部件的协同响应提高网络系统整体应对安全威胁的能力。为了解决海量安全数据管理和安全事件高误报率问题,依托安全管理中心环境,对关联引擎技术进行了研究。通过对基于规则关联的关联引擎原型设计、实现和测试,结果表明统一安全数据格式、关联安全消息使关联引擎技术成为解决海量安全数据管理和安全事件高误报率问题的有效技术手段。

安全通信协议设计及其芯片化实现

数据采集终端通过无线互联网与主站系统进行数据传输时会遇到安全问题,文章提出了一种安全解决方案,该方案设计了一套轻量级安全通信协议,采用可集成安全通信协议硬件安全芯片并将该安全通信协议集成到硬件安全芯片中。数据采集终端在使用了该硬件安全芯片后,只需要进行少量的软件改造即可实现与主站系统的安全数据传输;同时,硬件集成的方式能够有效防止安全通信协议扩散。实验结果表明,该方案完全满足安全通信的功能要求,而且性能更好。

程序代码相似度检测方法的设计与实现

程序代码的相似度是剽窃检测的关键技术。通过对现有程序代码相似度度量技术进行研究后,基于属性技术法、结构度量法提出了一种属性计数和结构度量相结合的方法。通过统计程序源代码的操作符和操作数个数以及程序逻辑结构从而产生出一个特征向量,利用向量夹角的余弦计算属性相似度。实验结果表明,该方法能够有效检测出作业中相似的程序代码。

浅谈血液净化中心设备管理

本文阐述我院根据卫生部《血液净化标准操作规程》的要求,通过加强对血液净化中心设备的维护、运行记录、质量检测的管理,规范了血液净化中心的设备管理,提高临床使用的安全性。

2010年国际大电网会议系列报道电力系统运行与控制

介绍了国际大电网会议(CIGRE)电力系统运行与控制专业委员会(C2)在2010年CIGRE上对近年来电网大扰动分析讨论的概况;综述了CIGREC2讨论的动态安全评估、广域测量系统(WAMS)、安全准则及关键指标、输电系统运营机构(TSO)控制中心之间的协调等重点议题;最后介绍了将在2012年会议上优先讨论的重点议题。

面向攻击者的入侵告警分析系统设计与实现

现有攻击行为分析技术大致可以分为"面向网络"和"面向攻击者"两类。与传统的"面向网络"的分析方法相比,"面向攻击者"的分析方法更多地考虑了主体相关性等因素,因此分析结果更为准确、可靠。基于以往在攻击行为分析技术领域的相关研究成果,设计并实现了一种面向攻击者的入侵告警分析原型系统CABAS。基于Darpa2000数据集的离线测试结果表明,该系统能够实现对多方合作的复杂攻击进行准确分析,大大提高安全管理工作的有效性。

美军航天测控企业级地面体系的发展

美国军事航天地面测控系统采用为每种军事卫星系统配套专用测控系统的方式构建,形成"烟囱"式割裂的格局,造成资源和人力的极大浪费。空间威胁的日益严峻迫使美军进行地面系统的转型。美军提出构建"企业地面体系"(EGA),用通用的测控系统完成所有军事卫星的测控,通过云技术提高网络安全性,通过自动化和商业化减少操作人员,提高系统效率,降低运维成本,腾出更多人力完成有效载荷的部署与操控,以应对日益迫近的太空作战。虽然美军EGA的具体方案还未出台,但通过对其发展背景、总体设想、拟采用的关键技术及发展现状进行跟踪分析,总结了美军构建通用军事测控系统的总体设计思路及设计原则,对我国航天测控系统的发展提出了建议。

立体化治安防控背景下公安机关合成警务运行探析——基于大连市公安局金州分局联合指挥作战中心的实证调研

大连市公安局金州区分局积极探索联合指挥作战中心合成警务新模式,由合成指挥部、情报作战部、运维管理部共三个部门和勤务指挥体系、情报工作体系两个支撑体系构成,警务效能初步显现。但部分民警合成意识和情报意识淡薄,需理顺情报作战部与办案部门的关系,强化基层情报工作,深化合成程度,将情报作战部建设成全局情报工作的核心部门,实现常态化合成与非常态化合成的有效结合。