SOC 資安監控中心系統資管四 B 492522304 葉佳俊資管四 C 493520331 盧柏霖資管四 C 493520216 郭益銘資管四 C 493521263 楊兆群資管四 C 493522253 吳泓慕資管四 C 493522345 張明展

淡江大學 96 學年第一學期資訊安全期末報告

指導老師：陳勇君

前言 透過資訊安全監控中心管理平台進行 7X24

（ 7 天 x 24 小時）之監控服務及事件通報與處理，以提升公司之資通安全及確保資訊資產安全。

背景 網路安全的威脅與日俱增，根據美國聯邦調查局 (FBI) 所公布的

2005 年的最新網路犯罪和電腦系統遭受攻擊調查，對包括：金融、高科技、政府、製造業、醫療、 ISP 、教育等類別共約 700 個受訪單位，有幾項重要顯示如下：一、病毒攻擊事件是造成最大之金錢損失的原因，其次是非授權存取

，再來才是癱瘓式網路攻擊二、非授權存取資訊與資料被竊所造成之損失有增加之趨勢三、網站事件升高許多 四、資安委外比例仍然很低五、資安事件發生大多不願意報案，以免影響聲譽 六、超過 87% 受訪單位有執行資安稽核 七、沙賓法案 (Sarbanes-Oxley Act) 開始對業界產生資安需求之影

響 八、大部分受訪單位認為資安宣導很重要，但所投入之資源仍欠缺

SOC (Security Operation Center) 簡介

Security Information/Event Management是「安全資訊管理工具，可以提供 SOC 收集資訊與事件關聯的功能」，可視為資安設備資訊集中監控分析之軟體工具統稱，通常 SOC會使用 SIM 或 SEM ， SIM/SEM 的功能不同價位也有極大的差異。

環境需求模擬 單位環境

這次的報告希望將主題環境模擬在政府的單位 — 台灣電力公司，而政府各機構單位在面對資訊安全產品與政策問題，缺少關鍵性的集中管理機制。

單位需求 政府各機構單位在面對資訊安全產品與政策問題

，缺少關鍵性的集中管理機制。憂慮潛在資安風險何時發生，因此，具備統合管理能力的資訊安全管理機制越來越重要

ArcSight 評估 - 功能 功能：

集中顯示企業網路安全方面的概觀 企業內部安全管理 支援 230 多種設備類型 具備 250種以上內置標準報告類型的報表

ArcSight 評估 - 架構

ArcSight 評估 – 價格 價格：

ArcSight ESM 資安事件管理系統 for 10 Devices 費用 2,768,000 (參考中央信託局共同供應契約設備採購表 -『政府版』第四組 )

Novell Sentinel 評估 - 功能 圖形化管理介面 視窗配置 即時報表 視覺化模組 企業營運衝擊分析 事件即時關聯性分析 資安事件追蹤及視覺化顯示入侵途徑分析 客戶登入權限和存取的資料，不會互相干擾並擁有保密性 簡單的介面可進行監看、查詢、產生報表 可支援超過 100種不同設備 超過 200種不同的報表可使用 資訊安全事件處理程序知識庫 危機處理模組 自動更新機制 資料庫管理

Novell Sentinel 評估 - 架構

Novell Sentinel 評估 - 價格 Sentinel 5 資安事件監控與管理平台 (含三套

SUSE Linux) SOC 管理平台必備NT$2,450,000

Sentinel 5 資安事件監控與管理平台進階擴充模組 (含一套 SUSE Linux) SOC 管理平台選配 NT$491,040

Sentinel 5 資安事件監控與管理平台基本模組 SOC 管理平台選配 NT$71,280

SIMCommander 評估 – 功能 中央集中控管資安導向資訊 個人化管理介面 即時企業安全狀態顯示 企業營運衝擊分析 混合式關聯分析 資安事件處理程序知識庫 攻擊路徑分析 即時數位儀錶板 三層式架構

SIMCommander 評估 – 架構

SIMCommander 評估 – 價格 資訊安全管理平台進階版擴充模組

NT$306,000

資訊安全管理平台 (防毒專業分析版 /防火牆專業分析版 / 入侵偵防專業分析版三選一NT$63,000

綜整比較 – Part 1

ArcSight 系統適合具有一定規模之用戶使用，可以服務許多個網段，需要相當之技術能力方能妥善發揮； ArcSight 系統是國際評比最佳之系統

SIMCommander 系統屬於小型 SOC 新近開發之平台，價格較低廉，適合資安設備單純的專案

綜整比較 – Part 2

台灣各大 SOC廠商所採用的平台系統： 宏碁公司 (MSS 服務 ; SOC建置 ) ：採用 ArcSight 平台。 精誠資訊 (MSS 服務 ) ：採用 ArcSight 平台。 亞太網匯 (SOC建置 ) ：採用 SIMCommander 平台。 台灣 IBM (SOC建置 ) ：採用 ArcSight 平台。 諮安科技 (SOC建置 ) ：採用 ArcSight 平台。且包括 Unisys 、 Verizon 、新加坡 NCS 、澳洲 EarthWave 等

MSSP ，亦已採用 ArcSight 事件管理平台技術做為 SOC營運之用。

故這次所評選出來選用的平台為 － ArcSight 平台

問題方案分析 處理內部威脅

檢測和回應惡意的內部威脅內部威脅最易發生，最難阻止。在所有威脅中，檢測和管理內部威脅最具挑戰性。

政府的網路安全 提供安全服務，美國最大的政府機構中的大部分都依賴於 ArcSight 來阻止外部和內部威脅，以及維護網路的機密性和完整性。

解決方案建議 Part 1

檢測和分析內部威脅 檢測內部攻擊活動需先從收集大量的日誌和事件開

始。 關聯分析：標識已知類型的可疑行為和惡意行為 異常檢測：識別背離常規和基準的行為 模式發現：發現貌似無關但具有可疑活動模式的事件

解決方案建議 Part 2

迅速回應網路事件 借助 ArcSight Threat Response Manager™ (TRM) ， 可精確查找網路中遭到破壞的位置，並立即按照特定的基於策略的措施進行回應。

簡化日誌的收集、存儲和分析 ArcSight Logger 可以高效地收集各 種來源的日誌，並存儲到高度壓縮但易於搜索和自管理的日誌存儲庫中。

合併物理和邏輯安全系統 ArcSight ESM 還可以根據大量的事件日誌來關聯資訊、檢測異常以及識別模式，然後提供即時和偵測分析。

整體架構規劃 - 環境架構

整體架構規劃 - 運作架構

台電SOC架構

專案組織與專案管理 利用資訊安全事件管理系統（ Security

Information and Event Management,SIEM ）來達成專案組織與管理的目標，其中 ArcSight SIEM 的核心機制 管理伺服器（ Arcsight Manager ） 資料庫（ Database ） 監控台（ Console ） 事件收集代理程式（ Agent ） 資訊安全入口網站（ Web ）。

導入計畫 導入系統目的 時程規劃 人員 資源 軟硬體 內外部配合

整體預算評估 ArcSight ESM 資安事件管理系統 for 10

Devices 費用 NT$2,768,000

保護公司機密不外漏：無價

教育訓練計畫 隨時將最新的功擊方法以及防護方法貼在公怖欄與公司網頁上，讓員工警惕。 資訊人員 高階主管 一般人員

資安認證以及與原廠技術配合和定期的教育訓練

作業心得報告

整合性的資安監控中心系統 (SOC)

將會隨著網路應用的迅速發展而日益重要