如何建設一個安全監(jiān)控中心(SOC)?
2018年07月20日
雖然信息安全管理問題主要是個從上而下的問題,不能指望通過某一種工具來解決�����,但良好的安全技術基礎架構能有效的推動和保障信息安全管理��。隨著國內(nèi)行業(yè)IT應用度和信息安全管理水平的不斷提高�����,企業(yè)對于安全管理的配套設施如安全監(jiān)控中心(SOC)的要求也將有大幅度需求�����,這將會是一個較明顯的發(fā)展趨勢��。
推行SOC的另外一個明顯的好處是考慮到在國內(nèi)企業(yè)目前的信息化程度下直接實施信息管理變革的困難性,如果嘗試先從技術角度入手建立SOC相對來說阻力更小���,然后通過SOC再推動相應的管理流程制定和實施���,這也未嘗不是值得推薦的并且符合國情的建設方式���。
而且目前已經(jīng)有些IT應用成熟度較高的大型企業(yè)開始進行這方面工作的試點和探索了,因為這些組織已經(jīng)認識到僅依賴于某些安全產(chǎn)品�����,不可能有效地保護自己的整體網(wǎng)絡安全����,信息安全作為一個整體,需要把安全過程中的有關各方如各層次的安全產(chǎn)品���、分支機構��、運營網(wǎng)絡�、客戶等納入一個緊密的統(tǒng)一安全管理平臺中���,才能有效地保障企業(yè)的網(wǎng)絡安全和保護原有投資����。
信息安全管理水平的高低不是單一的安全產(chǎn)品的比較���,也不是應用安全產(chǎn)品的多少和時間的比較�����,而是組織的整體的安全管理平臺效率間的比較��。下面我們就來談談建立一個SOC應該從那些方面考慮�。
首先,一個較完善的SOC應該具有以下功能模塊:
一�����、安全設備的集中管理
1. 統(tǒng)一日志管理(集中監(jiān)控)
包括各安全設備的安全日志的統(tǒng)一監(jiān)控;安全日志的統(tǒng)一存儲��、查詢�、分析、過濾和報表生成等功能�����、安全日志的統(tǒng)一告警平臺和統(tǒng)一的自動通知等����。
模塊分析:大型網(wǎng)絡中的不同節(jié)點處往往都部署了許多安全產(chǎn)品�,起到不同的作用。首先要達到的目標是全面獲取網(wǎng)絡安全實時狀態(tài)信息��,解決網(wǎng)絡安全管理中的透明性問題。解決網(wǎng)絡安全的可管理控制性問題��。從安全管理員的角度來說�����,最直接的需求就是在一個統(tǒng)一的界面中可以監(jiān)視到網(wǎng)絡中每個安全產(chǎn)品的運行情況����,并對他們產(chǎn)生的日志和報警信息進行統(tǒng)一分析和匯總。
2. 統(tǒng)一配置管理(集中管理)
包括各安全設備的安全配置文件的集中管理�,提高各管理工具的維護管理水平,提高安全管理工作效率;有條件的情況下實現(xiàn)各安全產(chǎn)品的配置文件(安全策略)的統(tǒng)一分發(fā)��,修正和更新;配置文件的統(tǒng)一在(離)線管理�,定期進行采集和審核,對安全產(chǎn)品的各種屬性和安全策略進行集中的存儲���、查詢�。
模塊分析:目前企業(yè)中主要的安全產(chǎn)品如防火墻��、入侵檢測和病毒防護等往往是各自為政���,有自己獨立的體系和控制端���。通常管理員需要同時運行多個控制端����,這就直接導致了對安全設備統(tǒng)一管理的要求���。不過從目前國內(nèi)的情況來說�����,各不同廠商的安全產(chǎn)品統(tǒng)一管理的難度較大����,統(tǒng)一監(jiān)控更容易實現(xiàn)�����,在目前現(xiàn)狀中也更為重要���。
目前國內(nèi)現(xiàn)狀是各個安全公司都從開發(fā)管理自己設備的管理軟件入手���,先做到以自己設備為中心,把自己設備先管理起來,同時提出自己的協(xié)議接口����,使產(chǎn)品能夠有開放性和兼容性�。這些安全設備管理軟件和網(wǎng)絡管理軟件類似,對安全設備的發(fā)現(xiàn)和信息讀取主要建立在SNMP協(xié)議基礎上��,對特定的信息輔助其他網(wǎng)絡協(xié)議�。獲取得內(nèi)容大部分也和網(wǎng)絡設備管理相同,如CPU使用情況���,內(nèi)存使用情況���,系統(tǒng)狀態(tài),網(wǎng)絡流量等��。
3. 各安全產(chǎn)品和系統(tǒng)的統(tǒng)一協(xié)調(diào)和處理(協(xié)同處理)
協(xié)調(diào)處理是安全技術的目標����,同時也符合我國對信息安全保障的要求即實現(xiàn)多層次的防御體系。整體安全技術體系也應該有多層次的控制體系���。不僅僅包含各種安全產(chǎn)品���,而且涉及到各主機操作系統(tǒng)����、應用軟件���、路由交換設備等等��。
模塊分析:目前國內(nèi)有部分提法是IDS和防火墻的聯(lián)動就是基于這種思路的���,但是實際的使用情況中基本上沒有客戶認同這點,原因當然有很多�����,但實際上要實現(xiàn)這點還需要較長的技術積累�。
4. 設備的自動發(fā)現(xiàn)
網(wǎng)絡拓撲變化后能自動發(fā)現(xiàn)設備的調(diào)整并進行基本的探測和給出信息。
模塊分析:大部分企業(yè)內(nèi)部的網(wǎng)絡的拓撲都是在變化的�,如果不支持設備的自動發(fā)現(xiàn),就需要人工方式解決����,給管理員造成較大的工作壓力,也不能掌握網(wǎng)絡的實際拓撲����,這樣不便于排錯和發(fā)現(xiàn)安全故障���。可以采用自動搜尋拓撲的機制�����。如IBM TivoliNetview可以自動發(fā)現(xiàn)大多數(shù)網(wǎng)絡設備的類型���,或通過更改MIB庫,來隨時添加系統(tǒng)能識別的新的設備�����。
二�����、安全服務的集中管理
實現(xiàn)安全相關軟件/補丁安裝情況的管理功能���,建立安全相關軟件/補丁信息庫����,提供查詢、統(tǒng)計���、分析功能�,提供初步的分發(fā)功能��。
模塊分析:微軟在對自己的操作系統(tǒng)的全網(wǎng)補丁分發(fā)上走的比較前����,成功的產(chǎn)品有SUS和SNS等,國際上也有部分的單一產(chǎn)品是作這個工作的�,但目前還沒有看到那個SOC集成了這個模塊。
1. 安全培訓管理
建立安全情報中心和知識庫(側重安全預警平臺)���,包括:最新安全知識的收集和共享;最新的漏洞信息和安全技術,;實現(xiàn)安全技術的交流和培訓��。持續(xù)更新發(fā)展的知識和信息是維持高水平安全運行的保證��。
模塊分析:雖然這個模塊的技術含量較低����,但要為安全管理體系提供有效的支持����,這個模塊是非常重要的�����,有效的安全培訓和知識共享是提示企業(yè)的整體安全管理執(zhí)行能力的基礎工作�����,也有助于形成組織內(nèi)部統(tǒng)一有效的安全信息傳輸通道���,建立安全問題上報�、安全公告下發(fā)、處理和解決反饋的溝通平臺�����。
2. 風險分析自動化
自動的搜集系統(tǒng)漏洞信息�、對信息系統(tǒng)進行入侵檢測和預警,分析安全風險�,并通過系統(tǒng)安全軟件統(tǒng)一完成信息系統(tǒng)的補丁加載,病毒代碼更新等工作��,有效的提高安全工作效率�,減小網(wǎng)絡安全的”時間窗口”,大大提高系統(tǒng)的防護能力��。
模塊分析:安全管理軟件實施的前提是已經(jīng)部署了較完善的安全產(chǎn)品,如防火墻��,防病毒���,入侵檢測等�。有了安全產(chǎn)品才能夠管理和監(jiān)視�����,安全管理平臺的作用在于在現(xiàn)有各種產(chǎn)品的基礎上進行一定的數(shù)據(jù)分析和部分事件關聯(lián)工作��,例如設置掃描器定期對網(wǎng)絡進行掃描���,配合該時間段的入侵檢測系統(tǒng)監(jiān)控日志和補丁更新日志����,就可以對整網(wǎng)的技術脆弱性有個初步的了解�。
三 、業(yè)務流程的安全管理
1. 初步的資產(chǎn)管理(資產(chǎn)��、人員)
統(tǒng)一管理信息資產(chǎn)�����,匯總安全評估結果,建立風險管理模型���。提供重要資產(chǎn)所面臨的風險值��、相應的威脅�、脆弱性的查詢����、統(tǒng)計、分析功能���。
模塊分析:國內(nèi)外安全廠商中資產(chǎn)管理功能都很簡單�����,和現(xiàn)有的財務、運營軟件相差非常大��,基本上是照般了BS7799中的對資產(chǎn)的分析和管理模塊�。
2. 安全管理系統(tǒng)與網(wǎng)管系統(tǒng)的聯(lián)動(協(xié)調(diào)處理)
安全管理系統(tǒng)和網(wǎng)絡管理平臺已經(jīng)組織常用的運營支持系統(tǒng)結合起來,更有效的利用系統(tǒng)和人力資源�,提高整體的運營和管理水平。
模塊分析:如果可能的話����,由于各產(chǎn)品的作用體現(xiàn)在網(wǎng)絡中的不同方面��,統(tǒng)一的安全管理平臺必然要求對網(wǎng)絡中部署的安全設備和部分運營設備的安全模塊進行協(xié)同管理����,這也是安全管理平臺追求的最高目標���。但這并非是一個單純的技術問題���,還涉及到行業(yè)內(nèi)的標準和聯(lián)盟。目前在這方面作的一些工作如 Check Point公司提出的opsec開放平臺標準���,即入侵檢測產(chǎn)品發(fā)現(xiàn)攻擊和check point防火墻之間的協(xié)調(diào)���,現(xiàn)在流行的IPS概念,自動封鎖攻擊來源等��,都在這方面作了較好的嘗試��,在和整體的網(wǎng)絡管理平臺的結合方面���,目前國內(nèi)外作的工作都較少��,相對來說一些大型的IT廠商如IBM/CISCO/CA由于本身就具備多條產(chǎn)品線(網(wǎng)絡��、安全�����、應用產(chǎn)品)�����,其自身產(chǎn)品的融合工作可能已經(jīng)作了一些���,但總體來說成熟度不高�。
3. 與其它信息系統(tǒng)的高度融合
實現(xiàn)與OA����、ERP等其他信息系統(tǒng)的有機融合,有效的利用維護�、管理��、財務等各方面信息提高安全管理水平���。安全管理的決策分析和知識經(jīng)驗將成為公司管理的重要組成部分���。
四�、組織的安全管理
1. 組織構成
根據(jù)企業(yè)的不同情況建立專職或兼職的安全隊伍���,從事具體的安全工作��。由于信息安全工作往往需要多個業(yè)務部門的共同參與����,為迅速解決業(yè)務中出現(xiàn)的問題��,提高工作效率�,公司必須建立跨部門的協(xié)調(diào)機制。具體協(xié)調(diào)機構應由專門的安全組織負責�����,并明確牽頭責任部門或人員�����。有條件的企業(yè)或者組織應成立獨立的安全工作組織����。
2. 組織責任
建立健全相關的安全崗位及職責;
制定并發(fā)布相關安全管理體系���,定期進行修正;
對信息系統(tǒng)進行安全評估和實施,處理信息安全事故;
部門間的協(xié)調(diào)和分派并落實信息安全工作中各部門的職責�。
以上是SOC必須具備的一些模塊,現(xiàn)階段國內(nèi)外也有一些廠商推出了安全管理平臺軟件�����,從推動整個行業(yè)發(fā)展來看當然是好現(xiàn)象���,但蘿卜快了不洗泥���,其中也存在一些發(fā)展中的問題,比如作為一個SOC必然要求具備統(tǒng)一的安全日志審計功能�,但單一安全設備審計軟件不能等同于安全管理平臺,究其原因為國內(nèi)現(xiàn)有安全廠商中安全設備廠商占多數(shù)����,優(yōu)勢項目是在已有安全設備上添加統(tǒng)一日志管理和分析功能,由于是單個廠商的行為缺乏整體的行業(yè)標準�,導致目前的安全審計軟件普遍缺乏聯(lián)動性,不支持異構設備�����,就算是對java的支持各個廠商的實現(xiàn)力度也不同�,普遍只具備信息統(tǒng)計功能和分析報告的功能。
在目前的安全管理平臺提供商中�,能提供完整的產(chǎn)品體系廠商非常少。而號稱專業(yè)的安全產(chǎn)品廠商�����,因為安全產(chǎn)業(yè)起步很晚�����,這些廠商只能在某個領域做深����,還無法提供整套的安全產(chǎn)品線,這也是一個現(xiàn)實����。作為用戶應該認清需求,把各種安全產(chǎn)品在自己網(wǎng)絡中結合起來����,深入了解安全管理平臺提供商的實力����,才能夠達到安全目的����,滿足自己的安全需求。
最后�,從投入產(chǎn)出比的角度來說,因為SOC往往只是一個軟件平臺的開發(fā)工作����,大多數(shù)情況下不需要或者較少需要新的硬件投入,總投入往往不是很大����,如果上了SOC后即使不能完善和推薦安全管理體系,也可以起到減輕管理員的工作負擔�,增強管理員的控制力度,并對整個網(wǎng)絡內(nèi)的安全狀況進行統(tǒng)一監(jiān)控和管理的作用���,這樣總體來說安全管理平臺SOC的投入產(chǎn)出就非常值得���。
江蘇國駿信息科技有限公司在信息網(wǎng)絡安全、運維平臺建設���、動漫設計���、軟件研發(fā)、數(shù)據(jù)中心領域具備十多年的行業(yè)沉淀����。公司遵循信息安全整體性的IATF模型,從“人員素養(yǎng)”�、“制度流程”、“技術產(chǎn)品”三個視角提供全面�、可信的方案,業(yè)務涵蓋咨詢���、評估��、規(guī)劃��、管控����、建設���、培訓等�����。
江蘇國駿信息科技有限公司——全面可信的信息安全服務商�。
