由于中国的管理体制所具有的特别性,以及中国网络与安全管理理念、制度、系统、机制的中国特点,比如广泛采用的内、外网双网结构,之间既要保持隔离又有数据交换的需求;再比如不同密级的网络对信息保密的严格规定,以及高低级部门之间的职能区分带来的网络管理模式差别等等,决定了我们不能只按照国外已经成熟的理论和标准去建设SOC,SOC的产品功效组合和建设必定是有中国特点的。
从国内SOC几年的建设过程看,受国内体制和安全范畴惨烈竞争的影响,SOC的发展和其他很多系统一样,才是个刚刚会走的孩子就已经被描写为力量十足的大汉。在不断描写的美好愿景与现实表现的差距下,用户不满、市场成长缓慢。很多业内人士也把SOC比喻成“垃圾电影”,故事还没有进入高潮就已经把观众逼出了影院。
任何一个系统,如果能什么工作都做,并且都做得很好当然是最幻想的。但最幻想的东西往往又是不存在的,SOC也一样。我们认为,SOC没有施展出应有的作用,重要原因是产品没有正断定位、建设没有循序渐进。 如果切实推动SOC建设,必须走中国特点的SOC之路。
1、安全事件管理是SOC的重中之重
安全运营中心最核心的是安全运维,安全事件是安全运维的输入和根据。一般来说,一个安全管理员每天能够处理的安全事件不会超过10个,如何从海量的安全设备和利用系统日志、告警中提炼出安全事件,是有相当难度的挑衅。从必定意义上讲,资产管理、漏洞管理、知识库、工单管理等等都是为了正确地发明、评估、处理安全事件。所以,SOC要想做好,重要的就是要做好安全信息的统一收集、存储和关联分析,从而正确的跟踪、处理安全事件。而在这个核心问题上,目前SOC产品也并没有解决好。
另一方面,伴随着一系列安全事件的产生,审计请求已被进步到空前的高度。国内外监管部门发布了一系列的审计请求文件,如美国的萨班斯法案404条款请求大众,公司必须确保与财务相干的IT系统的安全性和可审计性。2006年国务院国有资产监督管理委员会向各中央企业发布了《中央企业全面风险管理指引》,请求中央企业加强内控,并在指引中对内控审计和IT技巧建设风险管理信息系统均提出了明白的请求。在公安部、保密局等主管部门发布的信息安全等级保护的系列文件中更是对不同等级的网络提出了明白的管理和审计请求,合规性审计已成为SOC的必备功效。
2、网络管理与安全管理融合是国内用户的切实需求
正像前面所说,国内大多数企业和组织在启动SOC建设的时候,并未建立起网络运行中心NOC,他们的第一需求就是把关心的设备和系统“管起来”,能够监控其运行状态,包含系统状态、网络流量、告警状态等。同时国内网络管理和安全管理往往是同一批人员在负责,他们更盼望同一套系统能够基础满足他们的日常管理需要。所以设备管理、拓扑管理以及进一步的资产管理也是SOC适应中国国情的必备需求。
3、主动防御是日常安全管理的核心
安全的最高境界就是没有安全问题,预防安全事件的产生是日常安全运维的目标。那么如何有效地在日常工作中进行主动防御呢?我们认为配置管理和完整性检查是实现主动防御的有效手段。通过将配置管理和完整性检查纳入SOC管理,可以有效地发明已知和未知特点的安全攻击行动,预防安全事件的本质性迫害。
配置管理和完整性检查是指通过配置信息收集脚本,收集重要主机系统上与安全相干的系统信息,监控系统配置的变更,并通过与相干安全基线的比较,来正确的分析获得系统的安全脆弱性信息,进而发明要挟、主动调剂防御措施。
4、客户化定制适应不同行业的管理需求
不同用户的信息系统现状差别很大,国内各行业间的信息化发展程度更是参差不齐。同时各行业的管理体制、安全特点和安全需求往往是个性化的,安全运营思路各有其特点。目前的SOC产品,软件中体现的运营思路都是较单一的模式,看待差别化的客户往往顾此失彼。
相关阅读