【IT168厂商动态】企业和公司为了安全的需要、保障IT 系统正常的运行， 一般都在IT 网络中部署了各种安全防护系统，如防火墙、防病毒、入侵检测、终端管理、漏洞扫描、行为审计、VPN、主机防御等专业的安全系统和设备，这些专业的安全系统在各自关注领域对企业的IT 系统进行了强有力的安全防护，使企业的安全得到了一定的提升。但是，这些安全设备之间缺少信息层互通能力，各自为政，不能从全局去把控安全问题，各安全设备、系统之间形成了信息安全孤岛，虽然在IT 网络中部署了众多的安全系统，但是整网的安全情况到底怎么样，是没有任何一个系统能回答的。况且安全管理员要面对众多厂商、众多安全产品的众多管理界面，也是一个非常大的挑战。

　　IT 系统在运行的过程中，每天都会产生大量的日志事件，例如一台网络入侵监测系统采用缺省的策略，在一个百兆的链接上每天可能产生超过上百万的事件，但是在这些海量事件中，与安全相关的事件约几百条，而真正需要用户关注和处理的严重威胁只有几个;海量的数据给安全管理带来严重的困扰;即使经过调整和优化的策略，也充斥着大量的误报。有些无效数据是由安全产品的机制自身导致的，他本身无法彻底解决该问题。

　　越来越多的政策法规对信息安全提出了具体明确的要求，如信息安全等级保护法、银监会指引、萨班斯法案、ISO27001 等都对统一安全管理、安全审计有专门的条款进行说明。

　　因此基于传统网络领域NOC 的运维方式已不能满足实际应用的需求，基于信息安全领域的管控和运维的SOC 平台运营而生。

　　HUAWEI iSOC统一安全管控中心(简称iSOC)通过对IT设备和业务系统的日志集中采集、分类存储、关联分析，从海量安全事件中产生精确告警、定位安全问题，提升安全运维管理效率，并满足相关安全合规性要求。

　　iSOC功能特点：

　　iSOC缺省支持160多类设备的日志采集和识别，包括主流的主机系统、数据库、网络设备、安全设备和存储设备等;对于非主流设备的日志提供快速定制接入，实现日志集中管理。

　　iSOC平台对日志采用专用的日志加密技术进行加密存储，通过内部时间戳防篡改标志，确保数据一旦写入，即不可篡改，满足日志合规性要求。

　　iSOC采用领先的日志处理技术对日志进行同步采集和分析;在相同的系统性能下，效率优于同类产品，实现海量数据的即时高效采集和分析。

　　强大的关联分析引擎，能够跨设备、跨类型，对多类、海量事件进行关联分析。内置230多条缺省关联规则模板，可对常见安全威胁进行识别和告警。还可根据用户实际环境，现场定制关联规则，满足客户特定业务场景的安全需求。

　　iSOC整体架构：

　　iSOC从源设备中收集日志数据，并以它原来的格式储存这些日志。这提供了一个不可抵赖的数据仓库，这里面储存了压缩，加密和验证的事件日志数据。最重要的是，它将允许你以一种初始的未作修改的方式找到任何事件。

　　iSOC允许对实时和历史数据作分析，并能以各种不同的格式来展现数据，以满足企业中各种不同的人群--从IT部门到管理部门等等。

　　iSOC后台事件查看器可以非常灵活地查看收集的日志信息，可以选择不同的分支站点，选择不同的设备种类，可以选择全部或者选择具体某个或某些设备进行日志分析。事件的类型也可以任意选定，如全部或部分或单个。时间的范围可以是：实时、前十分钟、前30分钟、前60分钟、前四小时…当年、前一年等等，同时可以定制任意的时间范围。高级过滤选项还可以帮助用户定位日志，可以利用事件的严重级别和字符串通配符的过滤来定位相应的日志，并可以通过颜色来区分事件的严重级别。

　　iSOC提供端到端的专业安全服务，为用户提供从安全监控、应急响应，到运维流程梳理、制度制定、可管理运营等全方面服务。有了这个大总管，安全等关联事件不再杂乱无章、企业IT系统更加安全牢靠、运维人员更加轻松自如。