如何建設一個安全運營中心(SOC)?
雖然資訊保安管理問題主要是個從上而下的問題,不能指望透過某一種工具來解決,但良好的安全技術基礎架構能有效的推動和保障資訊保安管理。隨著國內行業IT應用度和資訊保安管理水平的不斷提高,企業對於安全管理的配套設施如安全運營中心(SOC)的要求也將有大幅度需求,這將會是一個較明顯的發展趨勢。
推行SOC的另外一個明顯的好處是考慮到在國內企業目前的資訊化程度下直接實施資訊管理變革的困難性,如果嘗試先從技術角度入手建立SOC相對來說阻力更小,然後透過SOC再推動相應的管理流程制定和實施,這也未嘗不是值得推薦的並且符合國情的建設方式.
而且目前已經有些IT應用成熟度較高的大型企業開始進行這方面工作的試點和探索了,因為這些組織已經認識到僅依賴於某些安全產品,不可能有效地保護自己的整體網路安全,資訊保安作為一個整體,需要把安全過程中的有關各方如各層次的安全產品、分支機構、運營網路、客戶等納入一個緊密的統一安全管理平臺中,才能有效地保障企業的網路安全和保護原有投資。
資訊保安管理水平的高低不是單一的安全產品的比較,也不是應用安全產品的多少和時間的比較,而是組織的整體的安全管理平臺效率間的比較。下面我們就來談談建立一個SOC應該從那些方面考慮。
最近FreeBuf好像要在深圳辦一場與SOC有關的會議,近期自己恰好整理了一些關於SOC建設、發展現狀的內容,藉此機會分享出來,以饗讀者。好了,下面開始正文。
首先,一個較完善的SOC應該具有以下功能模組:
安全裝置的集中管理
統一日誌管理(集中監控)
包括各安全裝置的安全日誌的統一監控;安全日誌的統一儲存、查詢、分析、過濾和報表生成等功能、安全日誌的統一告警平臺和統一的自動通知等;
模組分析:大型網路中的不同節點處往往都部署了許多安全產品,起到不同的作用。首先要達到的目標是全面獲取網路安全實時狀態資訊,解決網路安全管理中的透明性問題。解決網路安全的可管理控制性問題。從安全管理員的角度來說,最直接的需求就是在一個統一的介面中可以監視到網路中每個安全產品的執行情況,並對他們產生的日誌和報警資訊進行統一分析和彙總。
統一配置管理(集中管理)
包括各安全裝置的安全配置檔案的集中管理,提高各管理工具的維護管理水平,提高安全管理工作效率;有條件的情況下實現各安全產品的配置檔案(安全策略)的統一分發,修正和更新;配置檔案的統一在(離)線管理,定期進行採集和稽核,對安全產品的各種屬性和安全策略進行集中的儲存、查詢。
模組分析:目前企業中主要的安全產品如防火牆、入侵檢測和病毒防護等往往是各自為政,有自己獨立的體系和控制端。通常管理員需要同時執行多個控制端,這就直接導致了對安全裝置統一管理的要求。不過從目前國內的情況來說,各不同廠商的安全產品統一管理的難度較大,統一監控更容易實現,在目前現狀中也更為重要。
目前國內現狀是各個安全公司都從開發管理自己裝置的管理軟體入手,先做到以自己裝置為中心,把自己裝置先管理起來,同時提出自己的協議介面,使產品能夠有開放性和相容性。這些安全裝置管理軟體和網路管理軟體類似,對安全裝置的發現和資訊讀取主要建立在SNMP協議基礎上,對特定的資訊輔助其他網路協議。獲取得內容大部分也和網路裝置管理相同,如CPU使用情況,記憶體使用情況,系統狀態,網路流量等。
各安全產品和系統的統一協調和處理(協同處理)
協調處理是安全技術的目標,同時也符合我國對資訊保安保障的要求即實現多層次的防禦體系。整體安全技術體系也應該有多層次的控制體系。不僅僅包含各種安全產品,而且涉及到各主機作業系統、應用軟體、路由交換裝置等等。
模組分析:目前國內有部分提法是IDS和防火牆的聯動就是基於這種思路的,但是實際的使用情況中基本上沒有客戶認同這點,原因當然有很多,但實際上要實現這點還需要較長的技術積累。
裝置的自動發現
網路拓撲變化後能自動發現裝置的調整並進行基本的探測和給出資訊。
模組分析:大部分企業內部的網路的拓撲都是在變化的,如果不支援裝置的自動發現,就需要人工方式解決,給管理員造成較大的工作壓力,也不能掌握網路的實際拓撲,這樣不便於排錯和發現安全故障。可以採用自動搜尋拓撲的機制。如IBM TivoliNetview可以自動發現大多數網路裝置的型別,或透過更改MIB庫,來隨時新增系統能識別的新的裝置。
安全服務的集中管理
實現安全相關軟體/補丁安裝情況的管理功能,建立安全相關軟體/補丁資訊庫,提供查詢、統計、分析功能,提供初步的分發功能。
模組分析:微軟在對自己的作業系統的全網補丁分發上走的比較前,成功的產品有SUS和SNS等,國際上也有部分的單一產品是作這個工作的,但目前還沒有看到那個SOC整合了這個模組。
安全培訓管理
建立安全情報中心和知識庫(側重安全預警平臺),包括:最新安全知識的收集和共享;最新的漏洞資訊和安全技術,;實現安全技術的交流和培訓。持續更新發展的知識和資訊是維持高水平安全執行的保證。
模組分析:雖然這個模組的技術含量較低,但要為安全管理體系提供有效的支援,這個模組是非常重要的,有效的安全培訓和知識共享是提示企業的整體安全管理執行能力的基礎工作,也有助於形成組織內部統一有效的安全資訊傳輸通道,建立安全問題上報、安全公告下發、處理和解決反饋的溝通平臺。
風險分析自動化
自動的蒐集系統漏洞資訊、對資訊系統進行入侵檢測和預警,分析安全風險,並透過系統安全軟體統一完成資訊系統的補丁載入,病毒程式碼更新等工作,有效的提高安全工作效率,減小網路安全的”時間視窗”,大大提高系統的防護能力。
模組分析:安全管理軟體實施的前提是已經部署了較完善的安全產品,如防火牆,防病毒,入侵檢測等。有了安全產品才能夠管理和監視,安全管理平臺的作用在於在現有各種產品的基礎上進行一定的資料分析和部分事件關聯工作,例如設定掃描器定期對網路進行掃描,配合該時間段的入侵檢測系統監控日誌和補丁更新日誌,就可以對整網的技術脆弱性有個初步的瞭解。
業務流程的安全管理
初步的資產管理(資產、人員)
統一管理資訊資產,彙總安全評估結果,建立風險管理模型。提供重要資產所面臨的風險值、相應的威脅、脆弱性的查詢、統計、分析功能。
模組分析:國內外安全廠商中資產管理功能都很簡單,和現有的財務、運營軟體相差非常大,基本上是照般了BS7799中的對資產的分析和管理模組。
安全管理系統與網管系統的聯動(協調處理)
安全管理系統和網路管理平臺已經組織常用的運營支援系統結合起來,更有效的利用系統和人力資源,提高整體的運營和管理水平。
模組分析:如果可能的話,由於各產品的作用體現在網路中的不同方面,統一的安全管理平臺必然要求對網路中部署的安全裝置和部分運營裝置的安全模組進行協同管理,這也是安全管理平臺追求的最高目標。但這並非是一個單純的技術問題,還涉及到行業內的標準和聯盟。目前在這方面作的一些工作如 Check Point公司提出的opsec開放平臺標準,即入侵檢測產品發現攻擊和check point防火牆之間的協調,現在流行的IPS概念,自動封鎖攻擊來源等,都在這方面作了較好的嘗試,在和整體的網路管理平臺的結合方面,目前國內外作的工作都較少,相對來說一些大型的IT廠商如IBM/CISCO/CA由於本身就具備多條產品線(網路、安全、應用產品),其自身產品的融合工作可能已經作了一些,但總體來說成熟度不高。
與其它資訊系統的高度融合
實現與OA、ERP等其他資訊系統的有機融合,有效的利用維護、管理、財務等各方面資訊提高安全管理水平。安全管理的決策分析和知識經驗將成為公司管理的重要組成部分。
組織的安全管理
組織構成
根據企業的不同情況建立專職或兼職的安全隊伍,從事具體的安全工作。由於資訊保安工作往往需要多個業務部門的共同參與,為迅速解決業務中出現的問題,提高工作效率,公司必須建立跨部門的協調機制。具體協調機構應由專門的安全組織負責,並明確牽頭責任部門或人員。有條件的企業或者組織應成立獨立的安全工作組織。
組織責任
a)建立健全相關的安全崗位及職責;
b)制定併發布相關安全管理體系,定期進行修正;
c)對資訊系統進行安全評估和實施,處理資訊保安事故;
f)部門間的協調和分派並落實資訊保安工作中各部門的職責。
以上是SOC必須具備的一些模組,現階段國內外也有一些廠商推出了安全管理平臺軟體,從推動整個行業發展來看當然是好現象,但蘿蔔快了不洗泥,其中也存在一些發展中的問題,比如作為一個SOC必然要求具備統一的安全日誌審計功能,但單一安全裝置審計軟體不能等同於安全管理平臺,究其原因為國內現有安全廠商中安全裝置廠商佔多數,優勢專案是在已有安全裝置上新增統一日誌管理和分析功能,由於是單個廠商的行為缺乏整體的行業標準,導致目前的安全審計軟體普遍缺乏聯動性,不支援異構裝置,就算是對java的支援各個廠商的實現力度也不同,普遍只具備資訊統計功能和分析報告的功能。
在目前的安全管理平臺提供商中,能提供完整的產品體系廠商非常少。而號稱專業的安全產品廠商,因為安全產業起步很晚,這些廠商只能在某個領域做深,還無法提供整套的安全產品線,這也是一個現實。作為使用者應該認清需求,把各種安全產品在自己網路中結合起來,深入瞭解安全管理平臺提供商的實力,才能夠達到安全目的,滿足自己的安全需求。
最後,從投入產出比的角度來說,因為SOC往往只是一個軟體平臺的開發工作,大多數情況下不需要或者較少需要新的硬體投入,總投入往往不是很大,如果上了SOC後即使不能完善和推薦安全管理體系,也可以起到減輕管理員的工作負擔,增強管理員的控制力度,並對整個網路內的安全狀況進行統一監控和管理的作用,這樣總體來說安全管理平臺SOC的投入產出就非常值得。
本文轉載自“ FreeBuf.COM ”,原文作者: Caesar0
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31510736/viewspace-2158154/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 阿里雲重磅推出物聯網安全運營中心Link SOC阿里
- 產業網際網路時代,如何構建雲原生的安全運營中心?產業
- 騰訊T-Sec-安全運營中心透過信通院安全研究所SIEM/SOC類產品評測
- 物聯網攻擊的攔路虎:阿里雲重磅推出物聯網安全運營中心Link SOC阿里
- 建設營銷型網站該如何運營SEO?網站
- 國家資訊中心:2021年智慧社群建設運營指南
- 華為雲安全建設安全雲生態 保全企業運營安全
- 如何設計一個高可用的運營系統
- [原創]如何利用雲安全運營中心監測資料洩露
- 三分建設,七分運營|用現代化安全運營應對資料安全風險
- 電信日 | 看運營商資料安全建設典型案例
- 以安全中臺為核心,構建關鍵基礎設施安全運營
- 零售企業如何保障公有云安全合規 騰訊安全運營中心助力安全管理
- 一文揭秘→智慧城市網路安全如何運營?
- 綠盟智慧安全運營解決方案 助力水利“建防禦 抓運營”
- 安全建設實踐案例四連發(一)如何讓安全建設更輕鬆?
- 這個安全運營中心太太太太太太太太太太太省心了
- 2021“天府杯”|綠盟科技實戰化安全運營論壇,共話網路安全運營建設與創新實踐
- 從重大漏洞應急看雲原生架構下的安全建設與安全運營(下)架構
- 從重大漏洞應急看雲原生架構下的安全建設與安全運營(上)架構
- 直播如何運營?只需掌握以下幾個直播運營技巧
- 騰訊安全運營中心正式上線,打造公有云安全管理“智慧操作檯”
- 如何發起並運營一個開源專案
- 實用、高效——綠盟科技助力恆泰證券安全運營平臺建設
- 騰訊安全運營中心整合UEBA能力,助力企業保障內部網路安全
- 如何寫一個作用域安全的建構函式函式
- 智慧安全引領數字時代 | 長沙綠盟安全運營中心正式啟動
- 城市運營中心建設走實向深,綠盟科技子公司落戶天津西青開發區
- 談一談安全運營工作是什麼
- 智慧中樞 | 綠盟智慧城市安全運營中心助力打造未來之城
- IPIDEA分享|Facebook賬號如何實現安全運營?Idea
- 佈局實戰化安全運營 360打造新一代MSS安全運營服務
- 資料中心到底是如何建設的?
- 如何建設一個高效能的網站網站
- “四個建設、一項評估”,看菸草行業如何實現工業控制安全?行業
- RSA 2020還在擔心運營?綠盟ADBOS帶你玩轉SOC
- DCIM助力資料中心平穩運營
- win10如何關閉“Windows安全中心”功能_win10內建windows defender安全中心的關閉方法Win10Windows