24、高级安全事件管理的安全与可靠性要求

高级安全事件管理的安全与可靠性要求

在当今复杂的应用场景中，安全信息和事件管理（SIEM）系统对于保障系统安全起着至关重要的作用。它能够收集和分析来自不同源头的数据，如传感器、防火墙、路由器或服务器等，并基于预期影响分析提供决策支持，从而及时响应或预防攻击，通过自适应配置对策来减轻影响。然而，当前的商业 SIEM 解决方案存在一些局限性，如无法考虑来自多个组织的事件，在事件收集环境中难以提供高度的可信度和弹性。

1. 四大工业领域的大规模场景

为了应对这些挑战，我们将目光投向四个不同的工业领域场景，通过分析这些场景，为下一代 SIEM 系统制定安全和可靠性要求。

1.1 奥运会场景

奥运会是全球规模最大、关注度最高的体育赛事之一，拥有庞大的技术基础设施来支持赛事的各个方面，包括异步和实时服务。SIEM 基础设施被应用于奥运会系统中，以保护赛事的 IT 基础设施免受任何可能影响结果链和相关服务的不良或失控现象的侵害。

以 2012 年伦敦奥运会为例，赛事持续 79 天，涵盖 26 个体育项目、94 个比赛场馆、17000 名运动员、20000 名记者、70000 名志愿者、4000 名 IT 团队成员、900 台服务器、1000 台网络和安全设备以及超过 10000 台计算机。结果系统产生的数据量比北京奥运会增加了 30%，以向全球的球迷、评论员和广播公司提供实时信息。

这种体育赛事的高强度和复杂性给 SIEM 基础设施带来了巨大挑战，主要体现在两个方面：一是安全事件类型众多，约有 20000 种；二是需要处理的事件数量庞大，每天约有 1100 万条警报。而最关键的是，SIEM 系统必须实时处理和响应这些安全事件。 <