Security Operations Center: A Framework for Automated Triage, Containment and Escalation

There have been a lot of research exertions and studies to improve the safety of critical infrastructures using the Security Operations Center (SOC). As part of efforts, the purpose of this research is to propose a framework to automate the SOC’s performance of triage, containment and escalation. The research leveraged on qualitative desk review to collect data for analysis, deduced strengths and weaknesses for the current SOC implementations and used that as a basis for proposing the framework. In view of the constant evolution of SOC operations and capabilities coupled with the huge volumes of data collected for analysis, an efficient framework for SOC operations is proposed. The qualitative analysis is used to deduce strengths and weaknesses for the current SOC implementations as a premise for proposing the framework. It consists of eight interactive stages that further leverage on a proposed algorithm for baselining, remediation and escalation. The result of this research is a proposed framework that serves as a unique contribution to enhancing the SOC’s ability to automatically perform triage, containment and escalation. Supplementary to similar and earlier work reviewed, the framework is proposed as the way forward to automatically enable SOC setups with the capacity to efficiently perform triage of security threats, vulnerabilities and incidents, effectively contain identified breaches and appropriately escalate for prompt and accurate solutions.

基于安全态势感知平台的高校网络SOC研究——以第四军医大学为例

在日益严峻的网络安全形势下,为了改进高校网络安全管理工作,建立了统一的SOC和安全管理机制。调查了陕西省高校网络安全管理工作的新特点与存在的问题,借鉴企业SOC的机制和WPDRRC模型,以第四军医大学为研究个案,对其SOC机制进行重新设计实践。在WPDRRC模型的基础上提出了由预警、保护、检测、响应、恢复和改进六个环节,组织架构、技术体系和管理流程三个要素组成的WPDRRI模型。以第四军医大学校园网SOC为例,构建了决策、管理、运营和应用4个层次的SOC组织体系,按照划分安全域的思想设计了校园网整体的安全防护架构,探索了校园网安全态势感知平台的日常和异常网络安全运维流程。结果表明,WPDRRI模型符合高校网络安全管理实际,可以用于指导高校网络SOC建设。

基于多Agent的SOC模型

传统的网络安全技术都是静态的,如IDS,不但响应不够及时,而且错检和漏检的概率也大.论文提出了一个基于多Agent的安全运维中心(SOC)模型,定义了感知Agent、消息Agent、分析Agent、警告Agent、管理Agent,在此基础上,设计了一个基于这些Agent的SOC.实验表明,该SOC具有实时性好、错检和漏检率低的特点.

新一代安全运营中心(SOC)平台

随着我国信息化建设的推进和网络安全意识的提高,防火墙、防病毒与IDS(入侵检测系统)、审计产品等已在很多企业得到应用,但网络安全是一个复杂的、综合性工程,大量安全设备使得维护变得日渐庞杂,同时安全设备往往都是各自为政,"信息孤岛"现象严重,设备之间难以联动,误报率和漏报率较高,用户面对每天产生的海量的安全日志,很难得出具有价值的系统整体安全形势分析报告,难以面对当前更加复杂多变的安全威胁,为此,能够把分散的安全设备、安全策略、安全日志进行统一管理的综合性安全运营中心(Security Operation Center,SOC)产品应运而生。笔者主要从SOC市场应用及技术发展阐述其系统架构与优势。

SOC分析研究

阐述了SOC的定义,探讨了SOC与NOC之间的关系,详细分析了SOC应该具备的功能,对SOC的核心—安全事件关联进行了深入的研究,在此基础上给出了一个安全事件关联分析示例。

浅析SOC与数字图书馆的安全建设

分析SOC(安全管理平台)可提供的安全技术,根据数字图书馆现在存在的安全建设问题(安全技术角度),提出数字图书馆结合SOC理念和技术,构架一个完善的数字图书馆安全技术体系和安全反应机制。

欧盟网络防御政策研究

欧盟于2013年提出制定网络防御政策,于2022年底发布《欧盟网络防御政策》联合公报,持续深化并实施其网络防御政策.首先从联合开展网络防御的必要性、态势感知在网络防御中的作用、多层面推动网络防御合作等方面总结了欧盟联合公报的主要观点;然后从深化网络防御政策、落实网络防御政策、协同合作保护关键基础设施安全等方面深入分析了欧盟网络防御政策的特点;最后给出了加强我国关键基础设施安全的3点启示和建议.

运营商数据治理体系和数据安全探究

互联网的兴起和发展,通信运营商积累了海量的数据资源,这些资源带来机遇的同时,也对数据治理体系带来巨大挑战。通过对数据中台架构、数据治理全流程和数据安全分级分类管理进行详细阐述,对运营商的数据治理体系和数据安全管理体系两方面开展研究,为运营商数据治理和数字化转型提供参考。

云南区域山地新能源场站网络安全运管模式探索

随着网络攻击频率持续上升,网络安全设备的部署逐渐增多,给企业网络安全运营管理带来更多挑战。通过研究,建立规范的网络安全防护体系流程,建设完善的接入场站的网络安全模式,设计详细的安全管理流程,制定细分场景的应急预案,并结合新能源场站区域广、控制复杂、物理威胁风险高等特点,探索适用于山地新能源的网络安全运营模式。

数据中台关键技术在港口行业的应用研究

该文深入探讨数据中台技术在港口智慧安防领域的应用,从研究背景、关键能力、软件框架及应用分析等方面进行详尽阐述,着重阐述多港口智慧安防数据的采集、清洗、存储、转发的实用框架。基于此数据中台的相关技术方法,已在智慧安防总控平台、智慧照明及安全生产分析等领域得到初步应用和实际落地,为港口安防领域的多级平台架构模式提供有益的工程实践参考。数据中台为系统间的数据融合、能力融合及分析融合提供优质的前端计算服务和数据中心的信息共享与存储服务。

安全运营平台在广电媒体安全治理中的设计与实践

[目的/意义]信息化建设的高速发展,导致网络安全问题日益凸显,安全设备的多样化也给日常运维带来了困难.在广播电视媒体行业中,安全运营平台的搭建解决了广电媒体在日常运营中所存在的瓶颈和面临的问题[方法/过程]安全运营平台采用大数据分析技术,汇聚安全设备相关数据,通过建模手段提取数据的关键字段,为安全事件的精准研判和分析起到了推动作用.[结果/结论]安全运营平台采用联动设备对风险进行及时处置,提高了安全运营平台整体的安全监测和保障能力.

基于LECD安全评价方法的磷酸铁锂储能电站的安全运维研究

随着新能源技术的不断发展,新能源电源大量投入生产运行,但其发电具有不稳定性与波动性,配套储能系统可以解决此问题,因此储能得到了快速发展,但目前如何保障储能电站安全稳定运行仍是亟待解决的问题。基于风电场配套磷酸铁锂储能电站的运行现状及存在的潜在风险,探讨了此类储能电站的标准化安全运维问题,设计了1套LECD(likelihood,exposure,consequence,danger)安全评价方法来系统性评价磷酸铁锂储能电站运维的安全性;根据LECD安全评价方法得到的分值进行风险等级划分后,基于风险等级较高的安全隐患发生的可能性、可探测性、危害程度3个方面制定了具有针对性的改进措施,从而可最大程度地提高磷酸铁锂储能电站运维的安全性。通过所提出的LECD安全评价方法及改进措施可以做到:1)在可探测性方面,根据所提出的储能安全预诊断系统,通过建立磷酸铁锂储能电站的电池热失控预诊断数据库,提高安全隐患预测的准确率。2)在可能性方面,根据提出的充放电5步法的操作指引,降低磷酸铁锂储能电站产生安全隐患的可能性;对电池能量管理系统(BMS)程序进行升级,改进荷电状态(SOC)参数,一旦SOC超出参数范围则自动停止充放电,并发出警告,从源头上避免风险的产生。3)在危害程度方面,提出了通过高硼硅有机玻璃检测磷酸铁锂电池中电解液泄漏的方法,并在储能单元区域加装了风向测定装置,减少了安全隐患发生时造成的危害,提高了储能电站运行的安全性,并保障了运维人员的人身安全与设备运行的可靠性。

电力市场运营系统中的安全访问控制

电力市场覆盖范围广,市场成员分散,交易中心与市场成员之间需要交换大量市场私有信息。市场中用户类型众多,访问权限各不相同,并且受市场规则变动的影响。电力市场的信息保密性、用户多样性和访问权限多变性,要求支持市场运行的电力市场运营系统必须具备严格而且灵活的安全访问控制机制。为此,文中描述了硬件层、系统软件层和应用软件层相协调的安全访问控制的整体结构,设计了基于Java 2平台企业版(J2EE)架构的内嵌访问控制、动态代理和控制中心 3种应用层用户访问控制方案。对各方案的对比分析表明,控制中心方式安全性高,配置灵活,能够将权限管理与应用开发彻底分离,使应用开发人员专注于业务逻辑实现,以快速响应市场交易模式和访问逻辑的变化。基于该控制方式的区域电力市场运营系统已经投入现场运行。

省级中医药数据中心建设指南研究

从省级中医药数据中心建设实际出发,阐述了开展省级中医药数据中心建设指南研究的意义、目标和原则,论述了数据中心建设基本原则及其基础设施、应用部署、信息安全、技术服务与运行维护体系等方面相关要求,建立了系统、全面、科学的规范体系,弥补了规范的缺失,为省级中医药数据中心的建设提供了技术支持和指导。

基于安全管理中心的关联引擎技术的研究

安全管理中心作为安全信息抽取平台、风险管理平台和安全决策平台,通过安全策略的集中部署、安全事件的深度感知、安全部件的协同响应提高网络系统整体应对安全威胁的能力。为了解决海量安全数据管理和安全事件高误报率问题,依托安全管理中心环境,对关联引擎技术进行了研究。通过对基于规则关联的关联引擎原型设计、实现和测试,结果表明统一安全数据格式、关联安全消息使关联引擎技术成为解决海量安全数据管理和安全事件高误报率问题的有效技术手段。

安全通信协议设计及其芯片化实现

数据采集终端通过无线互联网与主站系统进行数据传输时会遇到安全问题,文章提出了一种安全解决方案,该方案设计了一套轻量级安全通信协议,采用可集成安全通信协议硬件安全芯片并将该安全通信协议集成到硬件安全芯片中。数据采集终端在使用了该硬件安全芯片后,只需要进行少量的软件改造即可实现与主站系统的安全数据传输;同时,硬件集成的方式能够有效防止安全通信协议扩散。实验结果表明,该方案完全满足安全通信的功能要求,而且性能更好。

程序代码相似度检测方法的设计与实现

程序代码的相似度是剽窃检测的关键技术。通过对现有程序代码相似度度量技术进行研究后,基于属性技术法、结构度量法提出了一种属性计数和结构度量相结合的方法。通过统计程序源代码的操作符和操作数个数以及程序逻辑结构从而产生出一个特征向量,利用向量夹角的余弦计算属性相似度。实验结果表明,该方法能够有效检测出作业中相似的程序代码。

浅谈血液净化中心设备管理

本文阐述我院根据卫生部《血液净化标准操作规程》的要求,通过加强对血液净化中心设备的维护、运行记录、质量检测的管理,规范了血液净化中心的设备管理,提高临床使用的安全性。

2010年国际大电网会议系列报道电力系统运行与控制

介绍了国际大电网会议(CIGRE)电力系统运行与控制专业委员会(C2)在2010年CIGRE上对近年来电网大扰动分析讨论的概况;综述了CIGREC2讨论的动态安全评估、广域测量系统(WAMS)、安全准则及关键指标、输电系统运营机构(TSO)控制中心之间的协调等重点议题;最后介绍了将在2012年会议上优先讨论的重点议题。

面向攻击者的入侵告警分析系统设计与实现

现有攻击行为分析技术大致可以分为"面向网络"和"面向攻击者"两类。与传统的"面向网络"的分析方法相比,"面向攻击者"的分析方法更多地考虑了主体相关性等因素,因此分析结果更为准确、可靠。基于以往在攻击行为分析技术领域的相关研究成果,设计并实现了一种面向攻击者的入侵告警分析原型系统CABAS。基于Darpa2000数据集的离线测试结果表明,该系统能够实现对多方合作的复杂攻击进行准确分析,大大提高安全管理工作的有效性。