如何建設(shè)一個(gè)安全監(jiān)控中心(SOC)?
2018年07月20日
雖然信息安全管理問題主要是個(gè)從上而下的問題�,不能指望通過某一種工具來解決�����,但良好的安全技術(shù)基礎(chǔ)架構(gòu)能有效的推動(dòng)和保障信息安全管理。隨著國內(nèi)行業(yè)IT應(yīng)用度和信息安全管理水平的不斷提高����,企業(yè)對于安全管理的配套設(shè)施如安全監(jiān)控中心(SOC)的要求也將有大幅度需求�����,這將會(huì)是一個(gè)較明顯的發(fā)展趨勢。
推行SOC的另外一個(gè)明顯的好處是考慮到在國內(nèi)企業(yè)目前的信息化程度下直接實(shí)施信息管理變革的困難性����,如果嘗試先從技術(shù)角度入手建立SOC相對來說阻力更小��,然后通過SOC再推動(dòng)相應(yīng)的管理流程制定和實(shí)施,這也未嘗不是值得推薦的并且符合國情的建設(shè)方式��。
而且目前已經(jīng)有些IT應(yīng)用成熟度較高的大型企業(yè)開始進(jìn)行這方面工作的試點(diǎn)和探索了����,因?yàn)檫@些組織已經(jīng)認(rèn)識(shí)到僅依賴于某些安全產(chǎn)品����,不可能有效地保護(hù)自己的整體網(wǎng)絡(luò)安全,信息安全作為一個(gè)整體�,需要把安全過程中的有關(guān)各方如各層次的安全產(chǎn)品�、分支機(jī)構(gòu)�、運(yùn)營網(wǎng)絡(luò)、客戶等納入一個(gè)緊密的統(tǒng)一安全管理平臺(tái)中����,才能有效地保障企業(yè)的網(wǎng)絡(luò)安全和保護(hù)原有投資��。
信息安全管理水平的高低不是單一的安全產(chǎn)品的比較,也不是應(yīng)用安全產(chǎn)品的多少和時(shí)間的比較���,而是組織的整體的安全管理平臺(tái)效率間的比較。下面我們就來談?wù)劷⒁粋€(gè)SOC應(yīng)該從那些方面考慮����。
首先��,一個(gè)較完善的SOC應(yīng)該具有以下功能模塊:
一、安全設(shè)備的集中管理
1. 統(tǒng)一日志管理(集中監(jiān)控)
包括各安全設(shè)備的安全日志的統(tǒng)一監(jiān)控;安全日志的統(tǒng)一存儲(chǔ)、查詢�����、分析���、過濾和報(bào)表生成等功能�、安全日志的統(tǒng)一告警平臺(tái)和統(tǒng)一的自動(dòng)通知等。
模塊分析:大型網(wǎng)絡(luò)中的不同節(jié)點(diǎn)處往往都部署了許多安全產(chǎn)品,起到不同的作用。首先要達(dá)到的目標(biāo)是全面獲取網(wǎng)絡(luò)安全實(shí)時(shí)狀態(tài)信息���,解決網(wǎng)絡(luò)安全管理中的透明性問題�。解決網(wǎng)絡(luò)安全的可管理控制性問題。從安全管理員的角度來說,最直接的需求就是在一個(gè)統(tǒng)一的界面中可以監(jiān)視到網(wǎng)絡(luò)中每個(gè)安全產(chǎn)品的運(yùn)行情況����,并對他們產(chǎn)生的日志和報(bào)警信息進(jìn)行統(tǒng)一分析和匯總�����。
2. 統(tǒng)一配置管理(集中管理)
包括各安全設(shè)備的安全配置文件的集中管理,提高各管理工具的維護(hù)管理水平,提高安全管理工作效率;有條件的情況下實(shí)現(xiàn)各安全產(chǎn)品的配置文件(安全策略)的統(tǒng)一分發(fā)�,修正和更新;配置文件的統(tǒng)一在(離)線管理���,定期進(jìn)行采集和審核�,對安全產(chǎn)品的各種屬性和安全策略進(jìn)行集中的存儲(chǔ)���、查詢。
模塊分析:目前企業(yè)中主要的安全產(chǎn)品如防火墻、入侵檢測和病毒防護(hù)等往往是各自為政�,有自己獨(dú)立的體系和控制端���。通常管理員需要同時(shí)運(yùn)行多個(gè)控制端��,這就直接導(dǎo)致了對安全設(shè)備統(tǒng)一管理的要求。不過從目前國內(nèi)的情況來說,各不同廠商的安全產(chǎn)品統(tǒng)一管理的難度較大,統(tǒng)一監(jiān)控更容易實(shí)現(xiàn)�����,在目前現(xiàn)狀中也更為重要��。
目前國內(nèi)現(xiàn)狀是各個(gè)安全公司都從開發(fā)管理自己設(shè)備的管理軟件入手�,先做到以自己設(shè)備為中心�,把自己設(shè)備先管理起來,同時(shí)提出自己的協(xié)議接口��,使產(chǎn)品能夠有開放性和兼容性�����。這些安全設(shè)備管理軟件和網(wǎng)絡(luò)管理軟件類似,對安全設(shè)備的發(fā)現(xiàn)和信息讀取主要建立在SNMP協(xié)議基礎(chǔ)上,對特定的信息輔助其他網(wǎng)絡(luò)協(xié)議�����。獲取得內(nèi)容大部分也和網(wǎng)絡(luò)設(shè)備管理相同����,如CPU使用情況,內(nèi)存使用情況�,系統(tǒng)狀態(tài)���,網(wǎng)絡(luò)流量等����。
3. 各安全產(chǎn)品和系統(tǒng)的統(tǒng)一協(xié)調(diào)和處理(協(xié)同處理)
協(xié)調(diào)處理是安全技術(shù)的目標(biāo)���,同時(shí)也符合我國對信息安全保障的要求即實(shí)現(xiàn)多層次的防御體系����。整體安全技術(shù)體系也應(yīng)該有多層次的控制體系。不僅僅包含各種安全產(chǎn)品��,而且涉及到各主機(jī)操作系統(tǒng)����、應(yīng)用軟件、路由交換設(shè)備等等。
模塊分析:目前國內(nèi)有部分提法是IDS和防火墻的聯(lián)動(dòng)就是基于這種思路的����,但是實(shí)際的使用情況中基本上沒有客戶認(rèn)同這點(diǎn)�,原因當(dāng)然有很多���,但實(shí)際上要實(shí)現(xiàn)這點(diǎn)還需要較長的技術(shù)積累���。
4. 設(shè)備的自動(dòng)發(fā)現(xiàn)
網(wǎng)絡(luò)拓?fù)渥兓竽茏詣?dòng)發(fā)現(xiàn)設(shè)備的調(diào)整并進(jìn)行基本的探測和給出信息�����。
模塊分析:大部分企業(yè)內(nèi)部的網(wǎng)絡(luò)的拓?fù)涠际窃谧兓模绻恢С衷O(shè)備的自動(dòng)發(fā)現(xiàn)�����,就需要人工方式解決���,給管理員造成較大的工作壓力����,也不能掌握網(wǎng)絡(luò)的實(shí)際拓?fù)洌@樣不便于排錯(cuò)和發(fā)現(xiàn)安全故障���。可以采用自動(dòng)搜尋拓?fù)涞臋C(jī)制。如IBM TivoliNetview可以自動(dòng)發(fā)現(xiàn)大多數(shù)網(wǎng)絡(luò)設(shè)備的類型����,或通過更改MIB庫��,來隨時(shí)添加系統(tǒng)能識(shí)別的新的設(shè)備���。
二�����、安全服務(wù)的集中管理
實(shí)現(xiàn)安全相關(guān)軟件/補(bǔ)丁安裝情況的管理功能,建立安全相關(guān)軟件/補(bǔ)丁信息庫��,提供查詢�、統(tǒng)計(jì)���、分析功能���,提供初步的分發(fā)功能�。
模塊分析:微軟在對自己的操作系統(tǒng)的全網(wǎng)補(bǔ)丁分發(fā)上走的比較前,成功的產(chǎn)品有SUS和SNS等��,國際上也有部分的單一產(chǎn)品是作這個(gè)工作的����,但目前還沒有看到那個(gè)SOC集成了這個(gè)模塊。
1. 安全培訓(xùn)管理
建立安全情報(bào)中心和知識(shí)庫(側(cè)重安全預(yù)警平臺(tái)),包括:最新安全知識(shí)的收集和共享;最新的漏洞信息和安全技術(shù),;實(shí)現(xiàn)安全技術(shù)的交流和培訓(xùn)�����。持續(xù)更新發(fā)展的知識(shí)和信息是維持高水平安全運(yùn)行的保證��。
模塊分析:雖然這個(gè)模塊的技術(shù)含量較低�����,但要為安全管理體系提供有效的支持,這個(gè)模塊是非常重要的����,有效的安全培訓(xùn)和知識(shí)共享是提示企業(yè)的整體安全管理執(zhí)行能力的基礎(chǔ)工作��,也有助于形成組織內(nèi)部統(tǒng)一有效的安全信息傳輸通道,建立安全問題上報(bào)���、安全公告下發(fā)、處理和解決反饋的溝通平臺(tái)����。
2. 風(fēng)險(xiǎn)分析自動(dòng)化
自動(dòng)的搜集系統(tǒng)漏洞信息��、對信息系統(tǒng)進(jìn)行入侵檢測和預(yù)警�����,分析安全風(fēng)險(xiǎn)����,并通過系統(tǒng)安全軟件統(tǒng)一完成信息系統(tǒng)的補(bǔ)丁加載����,病毒代碼更新等工作,有效的提高安全工作效率�,減小網(wǎng)絡(luò)安全的”時(shí)間窗口”�,大大提高系統(tǒng)的防護(hù)能力��。
模塊分析:安全管理軟件實(shí)施的前提是已經(jīng)部署了較完善的安全產(chǎn)品����,如防火墻��,防病毒�����,入侵檢測等。有了安全產(chǎn)品才能夠管理和監(jiān)視�,安全管理平臺(tái)的作用在于在現(xiàn)有各種產(chǎn)品的基礎(chǔ)上進(jìn)行一定的數(shù)據(jù)分析和部分事件關(guān)聯(lián)工作����,例如設(shè)置掃描器定期對網(wǎng)絡(luò)進(jìn)行掃描,配合該時(shí)間段的入侵檢測系統(tǒng)監(jiān)控日志和補(bǔ)丁更新日志,就可以對整網(wǎng)的技術(shù)脆弱性有個(gè)初步的了解。
三 ���、業(yè)務(wù)流程的安全管理
1. 初步的資產(chǎn)管理(資產(chǎn)、人員)
統(tǒng)一管理信息資產(chǎn),匯總安全評估結(jié)果��,建立風(fēng)險(xiǎn)管理模型����。提供重要資產(chǎn)所面臨的風(fēng)險(xiǎn)值����、相應(yīng)的威脅、脆弱性的查詢����、統(tǒng)計(jì)�����、分析功能。
模塊分析:國內(nèi)外安全廠商中資產(chǎn)管理功能都很簡單�,和現(xiàn)有的財(cái)務(wù)���、運(yùn)營軟件相差非常大���,基本上是照般了BS7799中的對資產(chǎn)的分析和管理模塊���。
2. 安全管理系統(tǒng)與網(wǎng)管系統(tǒng)的聯(lián)動(dòng)(協(xié)調(diào)處理)
安全管理系統(tǒng)和網(wǎng)絡(luò)管理平臺(tái)已經(jīng)組織常用的運(yùn)營支持系統(tǒng)結(jié)合起來��,更有效的利用系統(tǒng)和人力資源,提高整體的運(yùn)營和管理水平�����。
模塊分析:如果可能的話�,由于各產(chǎn)品的作用體現(xiàn)在網(wǎng)絡(luò)中的不同方面,統(tǒng)一的安全管理平臺(tái)必然要求對網(wǎng)絡(luò)中部署的安全設(shè)備和部分運(yùn)營設(shè)備的安全模塊進(jìn)行協(xié)同管理��,這也是安全管理平臺(tái)追求的最高目標(biāo)���。但這并非是一個(gè)單純的技術(shù)問題����,還涉及到行業(yè)內(nèi)的標(biāo)準(zhǔn)和聯(lián)盟����。目前在這方面作的一些工作如 Check Point公司提出的opsec開放平臺(tái)標(biāo)準(zhǔn),即入侵檢測產(chǎn)品發(fā)現(xiàn)攻擊和check point防火墻之間的協(xié)調(diào),現(xiàn)在流行的IPS概念�,自動(dòng)封鎖攻擊來源等��,都在這方面作了較好的嘗試,在和整體的網(wǎng)絡(luò)管理平臺(tái)的結(jié)合方面����,目前國內(nèi)外作的工作都較少���,相對來說一些大型的IT廠商如IBM/CISCO/CA由于本身就具備多條產(chǎn)品線(網(wǎng)絡(luò)�����、安全、應(yīng)用產(chǎn)品)����,其自身產(chǎn)品的融合工作可能已經(jīng)作了一些����,但總體來說成熟度不高�����。
3. 與其它信息系統(tǒng)的高度融合
實(shí)現(xiàn)與OA�、ERP等其他信息系統(tǒng)的有機(jī)融合,有效的利用維護(hù)����、管理、財(cái)務(wù)等各方面信息提高安全管理水平。安全管理的決策分析和知識(shí)經(jīng)驗(yàn)將成為公司管理的重要組成部分���。
四、組織的安全管理
1. 組織構(gòu)成
根據(jù)企業(yè)的不同情況建立專職或兼職的安全隊(duì)伍,從事具體的安全工作��。由于信息安全工作往往需要多個(gè)業(yè)務(wù)部門的共同參與���,為迅速解決業(yè)務(wù)中出現(xiàn)的問題���,提高工作效率���,公司必須建立跨部門的協(xié)調(diào)機(jī)制��。具體協(xié)調(diào)機(jī)構(gòu)應(yīng)由專門的安全組織負(fù)責(zé)��,并明確牽頭責(zé)任部門或人員。有條件的企業(yè)或者組織應(yīng)成立獨(dú)立的安全工作組織����。
2. 組織責(zé)任
建立健全相關(guān)的安全崗位及職責(zé);
制定并發(fā)布相關(guān)安全管理體系�,定期進(jìn)行修正;
對信息系統(tǒng)進(jìn)行安全評估和實(shí)施�����,處理信息安全事故;
部門間的協(xié)調(diào)和分派并落實(shí)信息安全工作中各部門的職責(zé)��。
以上是SOC必須具備的一些模塊,現(xiàn)階段國內(nèi)外也有一些廠商推出了安全管理平臺(tái)軟件,從推動(dòng)整個(gè)行業(yè)發(fā)展來看當(dāng)然是好現(xiàn)象,但蘿卜快了不洗泥�����,其中也存在一些發(fā)展中的問題���,比如作為一個(gè)SOC必然要求具備統(tǒng)一的安全日志審計(jì)功能���,但單一安全設(shè)備審計(jì)軟件不能等同于安全管理平臺(tái)���,究其原因?yàn)閲鴥?nèi)現(xiàn)有安全廠商中安全設(shè)備廠商占多數(shù)��,優(yōu)勢項(xiàng)目是在已有安全設(shè)備上添加統(tǒng)一日志管理和分析功能,由于是單個(gè)廠商的行為缺乏整體的行業(yè)標(biāo)準(zhǔn),導(dǎo)致目前的安全審計(jì)軟件普遍缺乏聯(lián)動(dòng)性�,不支持異構(gòu)設(shè)備�,就算是對java的支持各個(gè)廠商的實(shí)現(xiàn)力度也不同�,普遍只具備信息統(tǒng)計(jì)功能和分析報(bào)告的功能。
在目前的安全管理平臺(tái)提供商中,能提供完整的產(chǎn)品體系廠商非常少���。而號稱專業(yè)的安全產(chǎn)品廠商,因?yàn)榘踩a(chǎn)業(yè)起步很晚�����,這些廠商只能在某個(gè)領(lǐng)域做深�����,還無法提供整套的安全產(chǎn)品線�����,這也是一個(gè)現(xiàn)實(shí)。作為用戶應(yīng)該認(rèn)清需求�����,把各種安全產(chǎn)品在自己網(wǎng)絡(luò)中結(jié)合起來����,深入了解安全管理平臺(tái)提供商的實(shí)力���,才能夠達(dá)到安全目的�,滿足自己的安全需求。
最后��,從投入產(chǎn)出比的角度來說,因?yàn)镾OC往往只是一個(gè)軟件平臺(tái)的開發(fā)工作��,大多數(shù)情況下不需要或者較少需要新的硬件投入�,總投入往往不是很大,如果上了SOC后即使不能完善和推薦安全管理體系����,也可以起到減輕管理員的工作負(fù)擔(dān)���,增強(qiáng)管理員的控制力度�����,并對整個(gè)網(wǎng)絡(luò)內(nèi)的安全狀況進(jìn)行統(tǒng)一監(jiān)控和管理的作用,這樣總體來說安全管理平臺(tái)SOC的投入產(chǎn)出就非常值得����。
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全����、運(yùn)維平臺(tái)建設(shè)����、動(dòng)漫設(shè)計(jì)、軟件研發(fā)���、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀。公司遵循信息安全整體性的IATF模型����,從“人員素養(yǎng)”、“制度流程”�、“技術(shù)產(chǎn)品”三個(gè)視角提供全面���、可信的方案�����,業(yè)務(wù)涵蓋咨詢、評估�����、規(guī)劃�����、管控��、建設(shè)、培訓(xùn)等。
江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商���。
