《物联网安全》第10章 网络安全管理

📚 《物联网安全》第10章 网络安全管理简介 复习指南

🌟 本章逻辑框架

本章主要围绕网络安全的**“集中管理”与“审计核查”**展开，核心分为四大板块：

1. SOC（安全管理中心）：统筹全局的“大脑”
2. UTM（统一威胁管理）：多效合一的“盾牌”
3. SNMP（简单网络管理协议）：设备监控的“神经”
4. 安全审计：事后追查与隐患发现的“账本”

📍 核心知识点详解

1️⃣ SOC（Security Operations Center，安全管理中心）

📌 概念理解：
SOC不是一个单纯的软件，而是一个安全解决方案。它采用集中管理的方式，把原本孤立的安全产品统管起来，收集信息并进行深度分析。

📌 管理对象（信息资源）：
任何有价值需纳入管理的软硬件，包括：服务器、工作站、网络设备、数据库、应用系统等。

📌 核心能力（中国SOC主要功能）：

• 看全局：及时掌握企业现有网络的安全状况
• 管设备：集中监控和管理所有安全产品
• 管补丁：集中的补丁下载、分发、升级和审计
• 抓异常：及时发现网络突发的异常流量

🔔 复习提示：SOC的精髓在于“集中”与“关联分析”，解决安全信息孤岛问题。

2️⃣ UTM（Unified Threat Management，统一威胁管理）

📌 概念理解：
由IDC提出，将多种安全特性集成在一个硬件设备中，形成标准统一管理平台。

📌 功能划分：

• 三大基本功能：
  1. 网络防火墙
  2. 网络入侵检测/防御 (IDS/IPS)
  3. 网关防病毒
• 扩展功能：安全管理、日志、策略管理、QoS(服务质量)、负载均衡、高可用性(HA)、带宽管理、报告等。

📌 UTM的特色/优势（简答题重点）：

• 降复杂：降低了安全产品的复杂性
• 免安装：避免了软件安装工作和服务器的增加
• 减维护：减少了维护量
• 易协同：可以和高端软件解决方案协同工作
• 简操作：更少的操作过程，更容易的排错

🔔 复习提示：UTM的核心理念是“All in One（多效合一）”，主打降低部署和运维成本。

3️⃣ SNMP（Simple Network Management Protocol，简单网络管理协议）

• 作用：用于在网络中管理系统和设备（如路由器、交换机），收集设备运行状态。
• 组成：管理站（NMS）、代理、管理信息库（MIB）。
• 版本：v1/v2c安全性较弱（明文传输），v3增加了认证和加密功能。

4️⃣ 安全审计

📌 概念理解：
对系统安全的审核、稽查与计算。简单来说就是“记录一切（或部分）活动 -> 分析处理 -> 评价审查 -> 发现隐患/追查原因 -> 进一步处理”。

📌 审计过程两大部分（选择/判断重点）：

1. 物证收集：获取原始日志和记录
2. 物证评价：分析并得出结论

📌 审计类型（3类）：

1. 资产安全审计
2. 应用程序和数据审计
3. 系统操作及侵害审计

📌 体系结构（ISO/IEC 15408标准，6大功能，背诵口诀：响生析览选存）：

1. 安全审计自动响应（遇险自动反应）
2. 安全审计数据生成（产生日志记录）
3. 安全审计分析（寻找异常模式）
4. 安全审计浏览（方便人查看）
5. 安全审计事件选择（过滤重点事件）
6. 安全审计事件存储（日志保存防篡改）

根据你提供的PPT内容，我为你精心编写了15道选择题和判断题，覆盖了SOC、UTM、安全审计以及考试介绍等所有考点，方便你进行自测。

模拟复习题

📝 单项选择题

1. 安全管理中心（SOC）采用的核心管理方式是（ ）
A. 分布式管理
B. 集中管理
C. 人工管理
D. 被动管理

1. B（SOC的核心是“集中管理”，统一管理相关安全产品。）

2. 在SOC的范畴中，以下哪项不被泛指为“信息资源”？（ ）
A. 重要的服务器和工作站
B. 网络设备与数据库
C. 办公桌椅与打印纸
D. 各种应用系统

2. C（信息资源泛指有价值的硬件设备和软件系统，办公桌椅属于物理资产，不属于此处定义的信息资源。）

3. 根据IDC的定义，UTM（统一威胁管理）设备必须具备的基本功能不包括（ ）
A. 网络防火墙
B. 网络入侵检测/防御
C. 网关防病毒
D. 办公软件自动化

3. D（UTM三大基本功能：防火墙、入侵检测/防御、网关防病毒。办公自动化不属于。）

4. 以下关于UTM设备特色的描述，错误的是（ ）
A. 降低了安全产品的复杂性
B. 增加了软件安装工作和服务器的数量
C. 减少了维护量
D. 具有更容易的排错过程

4. B（UTM的特色是“避免了软件安装工作和服务器的增加”，所以B选项描述错误。）

5. 安全审计过程主要分为两大部分，分别是（ ）
A. 风险评估与漏洞扫描
B. 物证收集与物证评价
C. 入侵检测与入侵防御
D. 日志存储与日志清理

5. B（PPT原话：安全审计过程主要分为物证收集和物证评价两大部分。）

6. 下列哪项不属于安全审计的审计类型？（ ）
A. 资产安全审计
B. 应用程序和数据审计
C. 系统操作及侵害审计
D. 网络流量营销审计

6. D（PPT明确列出三类：资产安全审计、应用程序和数据审计、系统操作及侵害审计。）

7. 根据ISO/IEC 15408标准，安全审计体系结构中负责对收集到的安全事件进行异常模式查找的功能是（ ）
A. 安全审计数据生成
B. 安全审计分析
C. 安全审计事件选择
D. 安全审计自动响应

7. B（“分析”功能负责对数据进行分析处理、查找异常；“数据生成”负责记录；“事件选择”负责过滤；“自动响应”负责反击/报警。）

✅ 判断题

9. SOC（安全管理中心）不仅能搜集所有安全信息，还能通过对安全事件的深层分析、统计和关联，来定位安全风险并提供解决建议。（ ）

9. √（这是PPT中对SOC概念的完整表述。）

10. UTM（统一威胁管理）是一种纯软件解决方案，必须安装在通用服务器上才能运行。（ ）

10. ×（PPT定义UTM是由硬件、软件和网络技术组成的具有专门用途的“设备”，不是纯软件。）

11. 安全审计就是对系统安全的审核、稽查与计算，其目的仅仅是记录一切与系统安全有关的活动，不包含对活动的分析处理。（ ）

11. ×（安全审计不仅记录，还要“对其进行分析处理、评价审查，发现系统中的安全隐患，或追查造成安全事故的原因”。）

12. 根据ISO/IEC 15408安全审计体系结构，“安全审计事件存储”是确保审计记录得以保存、防止数据丢失或被篡改的重要功能。（ ）

12. √（事件存储的功能就是保存审计记录，防篡改防丢失。）

13. 中国SOC的主要功能包括集中的补丁下载、分发、升级和审计。（ ）

13. √（中国SOC的主要功能之一。）

14. UTM设备除了提供防火墙、入侵检测和防病毒基本功能外，还可以包含服务质量（QoS）、负载均衡和带宽管理等特性。（ ）

14. √（PPT明确提到UTM也可包括QoS、负载均衡、带宽管理等特性。）