莫让SOC 成为“垃圾电影”
- 来源:计算机世界
- 关键字:SOC,垃圾,电影
- 发布时间:2010-09-07 09:36
目前,SOC 没有发挥出应有的作用,首要原因是产品没有正确定位、建设没有循序渐进。如果想切实推进SOC 建设,必须走中国特色的SOC 之路。
由于中国的管理体制所具有的特殊性,以及中国网络与安全管理理念、制度、体系、机制的中国特色,比如广泛采用的内、外网双网结构,之间既要保持隔离又有数据交换的需求;再比如不同密级的网络对信息保密的严格规定,以及上下级部门之间的职能区分带来的网络管理模式区别等等,决定了我们不能只按照国外已经成熟的理论和标准建设SOC。
贴合国内需求
从国内SOC 几年的建设过程看,受国内体制和安全领域惨烈竞争的影响,SOC 的发展和其他很多系统一样,才是个刚刚会走的孩子就已经被描述为力量十足的大汉。在不断描述的美好愿景与现实表现的差距下,用户不满、市场成长缓慢。很多业内人士也把SOC 比喻成“垃圾电影”,故事还没有进入高潮就已经把观众逼出了影院。
SOC应遵循以下几个原则。
安全事件管理
安全运营中心最核心的是安全运维,安全事件是安全运维的输入和依据。一般来说,一个安全管理员每天能够处理的安全事件不会超过10 个,如何从海量的安全设备和应用系统日志、告警中提炼出安全事件,是有相当难度的挑战。从一定意义上讲,资产管理、漏洞管理、知识库、工单管理等等都是为了准确地发现、评估、处理安全事件。所以,SOC 要想做好,首要的就是要做好安全信息的统一收集、存储和关联分析,从而准确地跟踪、处理安全事件。而在这个核心问题上,目前SOC 产品也并没有解决好。
另一方面,伴随着一系列安全事件的发生,审计要求已被提高到空前的高度。国内外监管部门发布了一系列的审计要求文件,如美国的萨班斯法案404条款要求公众公司必须确保与财务相关的IT 系统的安全性和可审计性。2006 年国务院国有资产监督管理委员会向各中央企业发布了《中央企业全面风险管理指引》,要求中央企业加强内控,并在指引中对内控审计和IT 技术建设风险管理信息系统均提出了明确的要求。
融合网络与安全管理
正像业内所说,国内大多数企业和组织在启动SOC 建设的时候,并未建立起网络运行中心NOC,它们的第一需求就是把关心的设备和系统“管起来”,能够监控其运行状态,包括系统状态、网络流量、告警状态等。
同时国内网络管理和安全管理往往是同一批人员在负责,他们更希望同一套系统能够基本满足他们的日常管理需要。所以设备管理、拓扑管理以及进一步的资产管理也是SOC 适应中国国情的必备需求。
主动防御
安全的最高境界就是没有安全问题,预防安全事件的发生是日常安全运维的目标。那么如何有效地在日常工作中进行主动防御呢?我们认为配置管理和完整性检查是实现主动防御的有效手段。通过将配置管理和完整性检查纳入SOC 管理,可以有效地发现已知和未知特征的安全攻击行为,预防安全事件的实质性危害。
配置管理和完整性检查是指通过配置信息收集脚本,收集重要主机系统上与安全相关的系统信息,监控系统配置的变化,并通过与相关安全基线的比较,来准确的分析获得系统的安全脆弱性信息,进而发现威胁、主动调整防御措施。
客户化定制
不同用户的信息系统现状差异很大,国内各行业间的信息化发展水平更是参差不齐。同时各行业的管理体制、安全特点和安全需求往往是个性化的,安全运营思路各有其特点。目前的SOC 产品,软件中体现的运营思路都是较单一的模式,对待差异化的客户往往顾此失彼。
差异化、个性化问题在防火墙、IDS 等单个安全产品的应用中并不突出,因为他们解决的是安全中的一个点的问题。但SOC 这样的综合运营平台与用户的管理体系、运营方式等紧密相关,标准化产品与个性化客户的矛盾尤为突出。这就决定了SOC产品要想得到用户的认可,必须具备强大的客户化定制能力。
运营是本质
无论组合了多少功能,SOC仍然只是一个工具平台,属于技术层面,企业和组织可以借助这个平台进行安全运维,但它无法代替专业的安全技术人员。要让SOC 发挥更好的作用,毫无疑问,需要配套针对性的SOC 运维机制和流程,这方面需要注意的恰恰是不要试图建立大而全覆盖所有安全工作的机制和流程,这反而会对提升SOC 使用效能形成管理瓶颈。
由于国内安全技术人员的稀缺和水平的参差不齐,通过SOC 的专业化运营引入安全服务商的专业网络安全队伍,进行安全代维或者安全服务,是保障SOC 各项安全功能得到落实的有力措施。
总之, 平台工具、标准化流程体系和专业化运营队伍是SOC 成功运营的三大支柱。
联想网御的产品特征
联想网御公司于去年提出“贴近用户,深入研究客户需求,不断为客户创造价值”的经营理念和“巩固网络安全、发展应用安全、布局管理安全”的业务战略。在此战略的指导之下,公司把安全管理平台的发展提升到公司未来业务提升的关键一环,并给予了充分重视。
通过总结公司在安全领域十年的信息安全实践积累和成功经验,充分考虑中国特色的客户需求,联想网御的安全管理产品和相关业务支撑,具备以下鲜明的特色。
安全与网络管理并重
联想网御安全管理系统始终把安全信息和事件管理作为系统的核心功能,对事件的管理包括了收集、可靠存储、归一、分类、关联分析、整合和可视化,在支持各类自动化响应的同时,可通过专门的工单系统进行处理跟踪。
通过参考网管系统的管理方式,联想网御安全管理系统通过专门的资产管理模块,遵循ISO13335 标准定义的资产CIA属性,按安全域划分,支持拓扑全网呈现与设备的运行状态、告警状态监控,可以基本满足用户网络管理和设备管理的需要。
全网安全管理与审计
等级保护是国家信息安全管理的根本制度与根本方法。在信息系统等级保护的基本技术要求中,从第二级开始,针对网络安全、主机安全、应用安全都有明确的安全审计控制点。在信息系统等级保护的管理要求中,安全事件处置控制点从第二级开始要求对日志和告警事件进行存储;从第三级开始提出了监控管理与安全管理中心的控制点要求。
联想网御安全管理系统在参考国际标准的同时,重点关注等级保护的要求,在监控管理和事件处置等各方面都注意和等级保护要求地符合性,帮助用户落实等级保护要求。
同时,通过组合
应用监控、终端审计、业务审计等模块,联想网御安全管理可以实现全网的审计方案。
主动防御
联想网御安全管理系统在业务系统处于稳定状态下,根据制定的安全策略,通过配置信息收集脚本,收集重要主机系统上与安全相关的系统信息,比如采集Unix 系统的主机信息、关键配置文件(/.profile/etc/passwd 等),Windows 的注册表选项(如Owner SID、GroupSID、DACL、SACL 等), 通过检查以上的配置文件和注册表选项,监控系统配置的变化,并通过与根据策略要求生成的相应基线状态值(文件属性、文件内容、哈希值等)进行比较,以准确分析和保护系统的安全脆弱性信息。
通过融合配置管理和完整性检查模块,联想网御安全管理系统可以有效地发现已知和未知特征的安全攻击行为,预防安全事件的实质性危害。
平台化设计
联想网御的安全管理系统自设计伊始,就把可扩展性列为系统设计的核心要求之一。整个系统功能组件化、模块化,可以根据需要动态的加载、卸载,这使得安全管理系统解决方案更加具有弹性,适应不同大小的管理规模和持续发展的管理理念。可伸缩的管理框架使得系统部署灵活,适应性、扩展性更强,从简单的小型企业到复杂的大型组织,都有对应的部署方案,能很好地适应不同客户网络环境和管理的需要。
同时,为更好地支持客户的个性化需求,联想网御公司设有专门的安全管理开发团队,可以针对客户的管理特点、现有系统结构等进行定制开发,保证安全管理系统与用户系统的完美融合。同时,联想网御设有专业的安全服务团队进行安全代维,可以协助用户制定相应的管理流程,分析安全问题,克服国内安全技术人员的稀缺问题,保障安全管理各项安全功能得到落实。
(联想网御公司供稿)
……
由于中国的管理体制所具有的特殊性,以及中国网络与安全管理理念、制度、体系、机制的中国特色,比如广泛采用的内、外网双网结构,之间既要保持隔离又有数据交换的需求;再比如不同密级的网络对信息保密的严格规定,以及上下级部门之间的职能区分带来的网络管理模式区别等等,决定了我们不能只按照国外已经成熟的理论和标准建设SOC。
贴合国内需求
从国内SOC 几年的建设过程看,受国内体制和安全领域惨烈竞争的影响,SOC 的发展和其他很多系统一样,才是个刚刚会走的孩子就已经被描述为力量十足的大汉。在不断描述的美好愿景与现实表现的差距下,用户不满、市场成长缓慢。很多业内人士也把SOC 比喻成“垃圾电影”,故事还没有进入高潮就已经把观众逼出了影院。
SOC应遵循以下几个原则。
安全事件管理
安全运营中心最核心的是安全运维,安全事件是安全运维的输入和依据。一般来说,一个安全管理员每天能够处理的安全事件不会超过10 个,如何从海量的安全设备和应用系统日志、告警中提炼出安全事件,是有相当难度的挑战。从一定意义上讲,资产管理、漏洞管理、知识库、工单管理等等都是为了准确地发现、评估、处理安全事件。所以,SOC 要想做好,首要的就是要做好安全信息的统一收集、存储和关联分析,从而准确地跟踪、处理安全事件。而在这个核心问题上,目前SOC 产品也并没有解决好。
另一方面,伴随着一系列安全事件的发生,审计要求已被提高到空前的高度。国内外监管部门发布了一系列的审计要求文件,如美国的萨班斯法案404条款要求公众公司必须确保与财务相关的IT 系统的安全性和可审计性。2006 年国务院国有资产监督管理委员会向各中央企业发布了《中央企业全面风险管理指引》,要求中央企业加强内控,并在指引中对内控审计和IT 技术建设风险管理信息系统均提出了明确的要求。
融合网络与安全管理
正像业内所说,国内大多数企业和组织在启动SOC 建设的时候,并未建立起网络运行中心NOC,它们的第一需求就是把关心的设备和系统“管起来”,能够监控其运行状态,包括系统状态、网络流量、告警状态等。
同时国内网络管理和安全管理往往是同一批人员在负责,他们更希望同一套系统能够基本满足他们的日常管理需要。所以设备管理、拓扑管理以及进一步的资产管理也是SOC 适应中国国情的必备需求。
主动防御
安全的最高境界就是没有安全问题,预防安全事件的发生是日常安全运维的目标。那么如何有效地在日常工作中进行主动防御呢?我们认为配置管理和完整性检查是实现主动防御的有效手段。通过将配置管理和完整性检查纳入SOC 管理,可以有效地发现已知和未知特征的安全攻击行为,预防安全事件的实质性危害。
配置管理和完整性检查是指通过配置信息收集脚本,收集重要主机系统上与安全相关的系统信息,监控系统配置的变化,并通过与相关安全基线的比较,来准确的分析获得系统的安全脆弱性信息,进而发现威胁、主动调整防御措施。
客户化定制
不同用户的信息系统现状差异很大,国内各行业间的信息化发展水平更是参差不齐。同时各行业的管理体制、安全特点和安全需求往往是个性化的,安全运营思路各有其特点。目前的SOC 产品,软件中体现的运营思路都是较单一的模式,对待差异化的客户往往顾此失彼。
差异化、个性化问题在防火墙、IDS 等单个安全产品的应用中并不突出,因为他们解决的是安全中的一个点的问题。但SOC 这样的综合运营平台与用户的管理体系、运营方式等紧密相关,标准化产品与个性化客户的矛盾尤为突出。这就决定了SOC产品要想得到用户的认可,必须具备强大的客户化定制能力。
运营是本质
无论组合了多少功能,SOC仍然只是一个工具平台,属于技术层面,企业和组织可以借助这个平台进行安全运维,但它无法代替专业的安全技术人员。要让SOC 发挥更好的作用,毫无疑问,需要配套针对性的SOC 运维机制和流程,这方面需要注意的恰恰是不要试图建立大而全覆盖所有安全工作的机制和流程,这反而会对提升SOC 使用效能形成管理瓶颈。
由于国内安全技术人员的稀缺和水平的参差不齐,通过SOC 的专业化运营引入安全服务商的专业网络安全队伍,进行安全代维或者安全服务,是保障SOC 各项安全功能得到落实的有力措施。
总之, 平台工具、标准化流程体系和专业化运营队伍是SOC 成功运营的三大支柱。
联想网御的产品特征
联想网御公司于去年提出“贴近用户,深入研究客户需求,不断为客户创造价值”的经营理念和“巩固网络安全、发展应用安全、布局管理安全”的业务战略。在此战略的指导之下,公司把安全管理平台的发展提升到公司未来业务提升的关键一环,并给予了充分重视。
通过总结公司在安全领域十年的信息安全实践积累和成功经验,充分考虑中国特色的客户需求,联想网御的安全管理产品和相关业务支撑,具备以下鲜明的特色。
安全与网络管理并重
联想网御安全管理系统始终把安全信息和事件管理作为系统的核心功能,对事件的管理包括了收集、可靠存储、归一、分类、关联分析、整合和可视化,在支持各类自动化响应的同时,可通过专门的工单系统进行处理跟踪。
通过参考网管系统的管理方式,联想网御安全管理系统通过专门的资产管理模块,遵循ISO13335 标准定义的资产CIA属性,按安全域划分,支持拓扑全网呈现与设备的运行状态、告警状态监控,可以基本满足用户网络管理和设备管理的需要。
全网安全管理与审计
等级保护是国家信息安全管理的根本制度与根本方法。在信息系统等级保护的基本技术要求中,从第二级开始,针对网络安全、主机安全、应用安全都有明确的安全审计控制点。在信息系统等级保护的管理要求中,安全事件处置控制点从第二级开始要求对日志和告警事件进行存储;从第三级开始提出了监控管理与安全管理中心的控制点要求。
联想网御安全管理系统在参考国际标准的同时,重点关注等级保护的要求,在监控管理和事件处置等各方面都注意和等级保护要求地符合性,帮助用户落实等级保护要求。
同时,通过组合
应用监控、终端审计、业务审计等模块,联想网御安全管理可以实现全网的审计方案。
主动防御
联想网御安全管理系统在业务系统处于稳定状态下,根据制定的安全策略,通过配置信息收集脚本,收集重要主机系统上与安全相关的系统信息,比如采集Unix 系统的主机信息、关键配置文件(/.profile/etc/passwd 等),Windows 的注册表选项(如Owner SID、GroupSID、DACL、SACL 等), 通过检查以上的配置文件和注册表选项,监控系统配置的变化,并通过与根据策略要求生成的相应基线状态值(文件属性、文件内容、哈希值等)进行比较,以准确分析和保护系统的安全脆弱性信息。
通过融合配置管理和完整性检查模块,联想网御安全管理系统可以有效地发现已知和未知特征的安全攻击行为,预防安全事件的实质性危害。
平台化设计
联想网御的安全管理系统自设计伊始,就把可扩展性列为系统设计的核心要求之一。整个系统功能组件化、模块化,可以根据需要动态的加载、卸载,这使得安全管理系统解决方案更加具有弹性,适应不同大小的管理规模和持续发展的管理理念。可伸缩的管理框架使得系统部署灵活,适应性、扩展性更强,从简单的小型企业到复杂的大型组织,都有对应的部署方案,能很好地适应不同客户网络环境和管理的需要。
同时,为更好地支持客户的个性化需求,联想网御公司设有专门的安全管理开发团队,可以针对客户的管理特点、现有系统结构等进行定制开发,保证安全管理系统与用户系统的完美融合。同时,联想网御设有专业的安全服务团队进行安全代维,可以协助用户制定相应的管理流程,分析安全问题,克服国内安全技术人员的稀缺问题,保障安全管理各项安全功能得到落实。
(联想网御公司供稿)
关注读览天下微信,
100万篇深度好文,
等你来看……