【51CTO.com 综合消息】一、SOC的重要发展现状
1、国外的发展方向以SIEM为主
在信息化程度较高的西方国家鲜见以SOC命名的产品,此类产品更多地是与服务捆绑供给的。最早建立SOC的ISS公司大约是在1999年收购了当时最大的独立安全服务供给商——Netrex Secure Solutions公司,建立了一个端到端的SAFEsuite(R)安全管理平台,为客户供给可管理安全服务(MSS:Managed Security Service)。他们的SOC是自建自用,用于开展MSS运营业务,并非独立销售的产品。后面CheckPoint、WatchGuard、Cyber Security等推出的SOC要么是自己以之为平台进行MSS服务,要么就是把目标客户定为开展MSS服务的ISP等。
面向普通用户的安全管理产品,目前的重要方向集中在安全信息和事件管理(SIEM:Security Information and Event Management)上,安全信息与事件管理重要解决的是用户网络中所有日志的收集、安全存储、分析、警报、审核以及合规性报告,它将大批看似无关的数据关联起来,变成可懂得的信息模式,帮助管理员控制网络状态,并在第一时间控制重大安全事件,同时帮助客户简化法规服从性。
根据Gartner 2008年关于信息安全的Hype Cycle曲线分析显示,全球安全管理平台市场趋于成熟,已逐渐成为业界主流产品,如下图所示:
图:Gartner信息安全Hyper Cycle
2、国内SOC的发展与建设困境
国内SOC的引入和发展与国外的情况有很大不同,一方面国内在提出SOC的时候,大多数用户对SOC认识含混,除了电信、民航、金融等高度信息化的个别行业和单位,大部分企业和组织,包含政府等对信息安全请求较高的单位连NOC都没有建立起来。另一方面,由于受制于国内体制、利用环境、传统认识的制约,IT服务、尤其是安全运维的外包一直没能开展起来,所以,国内的SOC一开端就是面向各类行业用户,以产品形态呈现的。
从一般定义来说,国内主流观点仅把SIEM看做是SOC产品的核心部分之一,一方面请求将不同地位、不同资产(主机、网络设备和安全设备等)中疏散且海量的安全信息进行归一(范式化)、汇总、过滤和关联分析,形成基于资产/域的统一等级的要挟与风险管理,并依托安全知识库和工作流程驱动对要挟与风险进行响应和处理,另一方面不仅针对安全设备进行管理,还要针对所有IT资源,甚至是业务系统进行集中的监控和管理。
随着用户对SOC期望值的不断进步,加上部分厂商出于竞争目标的领导,SOC平台包含的内容越来越多。国内的SOC平台所涵盖的范畴不仅包含SIEM,还有风险管理、运维管理、安全设备管理。甚至有些大型安管平台还包含了网络管理、利用管理、策略管理、配置管理、变更管理、基线管理、绩效管理等等,这些扩大利用大都属于IT运维管理范畴。
尽管SOC产品范畴越来越大,但不容讳言,从另一方面,几年来电信、民航等领先行业的SOC建设难言成功,在投入了大批的人力物力后,用户发明,SOC没有能够体现日志、告警到安全事件的提炼,报出的安全事件以误报居多,发明的风险难以懂得,更不会自行处理;主动生成的图形报表反应的是被误报严重扭曲过的统计成果;全流程的运维管理流程对自己单位却难以合适。一来二去后,用户发明进行了宏大的投资,牵扯了大批的人力,却没有换来幻想的运营管理后果。
尽管碰到了各种各样的困境,但从理论界到各大行业用户,没有人猜忌SOC的必要性。怎样建设好、用好SOC,成为一个亟需解决的难题。
二、走中国特点的SOC之路
相关阅读