随着互联网的发展以及信息化程度的逐步提高,信息安全威胁也呈现出多元化、复杂化的趋势。依靠单一的安全技术已经很难解决现有的信息安全问题,信息安全要靠一个包括防火墙、防病毒、VPN、入侵检测、漏洞扫描器等多项技术和安全产品组成的安全体系来实现。 但是根据专业机构的调查显示~【CNCERT05】,在使用了多种安全产品和技术的企业或机构中,安全事件仍然居高不下。这引起了信息安全界的反思,人们开始意识到在保障信息安全的三个支柱中,对“信息安全管理”的忽视是造成现有问题的原因,信息安全的重心也已经转移到信息安全管理上来。 九十年代中期,BS7799作为第一个信息安全管理体系标准被引入信息安全领域,从此人们有了实施信息安全管理的标准和参考实践。但是由于标准的覆盖面广内容多,因此在实施过程中的效果往往不能令人满意。因此,作为信息安全管理标准的技术保障,信息安全管理系统出现了。它能够对信息安全管理的各个环节实施自动化,从而确保信息安全管理标准的有效实施。安全管理系统一般至少包括以下子系统:事件管理、策略管理、资产管理、身份管理、应急响应。 安全事件管理系统是信息安全管理系统的核心子系统,它行使事件采集、事件分析处理、风险评估、事件审计和统计等功能。它既可以与其他子系统协作构成完整的信息安全管理系统,也可以作为独立的信息安全管理产品单独运行。遗憾的是目前的主流安全事件管理系统大都是针对某种特定安全产品的事件管理,不能对不同类型、不同品牌安全产品的安全事件进行集中管理。并且,目前被使用的事件关联分析方法仍停留在传统的如基于统计的关联上。新的关联方法虽不断涌现,但仍停留在理论和原型阶段,而且较为零散,没有文章对其进行系统的分类汇总。 本文的研究目标就是设计一个安全事件管理系统并实现其原型。该系统能够支持对各种类型、各种品牌的安全产品的事件管理;能够对各种安全事件进行采集,并进行统一格式、过滤和归并操作;能够使用“状态迁移”、“资产关联”、“补丁关联”等多种方法进行事件关联分析处理;能够使安全管理员对安全事件进行审计和态势分析;具备任务系统来处理安全事件。 在论文的成稿过程中,本人搜集了对信息安全现状的权威调查报告,借此对安全事件管理系统进行需求分析。查阅了业界知名的相关产品和研究成果,并进行分类比较。在需求分析和产品调研的基础上导出关键技术,并对关键技术提出相应的解决方案。在关键技术调研过程中,还尝试对当今主要的事件关联分析方法及算法进行归纳整理,还对使用标准事件格式IDMEF表示异构事件的可行性进