回复“河南等保0727”获取英国“IT基础设施的网络要点要求”PDF版

---

《网络安全知识体系》

安全运营和事件管理（三）：

架构原则

---

1.2 架构原则

网络安全不是在真空中运作。安全操作和事件管理 领域假定有一个ICT系统需要保护。因此，一个SOIM的部署 假设有几个一般的架构原则，可以在此基础上部署工具和流程。这些概念在图2中描述。

图2：SOIM技术在ICT基础设施中的模拟部署

一个信息系统，无论是否连接到互联网，都会受到攻击。并非所有这些攻击都能被防火墙等保护机制所阻挡。最佳实践建议定义不同敏感度的区域，以控制数据交换。这经常采取位于内部专用网络和外部互联网之间的非军事区（DMZ）的形式，作为通信终止、交换和通过监控加强审查。为了检测没有被保护机制阻止的威胁，运营商部署了入侵预防系统（IDPS）。IDPS传感器可以使用系统（第2.5节）或应用程序日志文件（第2.4节），在图2中描述为页面。它们也可以部署在网络层面（第2.1节），被描述为两个带放大镜的大件设备。

SOIM的基础设施显示在图2的底部。传感器通常至少有两个网络附件，一个是在被监控的信息系统网络中的隐形附件用于收集和分析数据，还有一个在受保护的特定SOIM网络基础设施中的常规附件，SIEM安装在这里并接收警报。分析师监控控制台以接收警报，评估其影响并部署适当的缓解行动。传感器管理可能使用这个二级网络附件作为软件和签名更新的维护渠道，或者使用另一种机制，如虚拟私人网络来进行传感器维护。

SOIM领域也意味着流程，这些流程由首席信息安全官定义，并由分析员遵循。第一个过程与警报处理有关，操作者在SIEM提供的决策支持技术的帮助下，将决定忽略警报，按照程序作出反应，或将警报升级到熟练的分析员，以进一步分析、诊断和决定。第二个过程是传感器的部署和维护，决定将它们放在哪里，捕捉什么，以及如何保持持续监测。第三个过程是报告，对管理服务来说尤其关键，在这个过程中，对SIEM和SOC的运作进行分析，以便改进。

安全协调、自动化和响应组件通过网络威胁情报（CTI，红色）和信息共享和分析中心（ISAC，绿色）磁盘包含在内，代表了管理平台从外部相关来源获取信息的额外好处，并利用这些信息提高其检测效率（第3节）和影响评估（第5节）。虽然这两个接口都向SOC提供信息，但这些信息的性质是根本不同的。CERT和ISAC实体是值得信赖的组织，有时能实现部门的信息交流，通常由法规建立和管理。CTI是一个更加模糊的领域，包括开放源码的情报以及由商业公司提供的专门的信息反馈。

原文始发于微信公众号（河南等级保护测评）：安全运营和事件管理（三）：架构原则