龙岗网站设计,给人做网站网站,统一门户网站建设参考规范,网站制作自助51CTO的安全管理平台交流已经结束了#xff0c;有不少网友还是提出了一些比较好的问题#xff0c;也帮我再次梳理一下对于安全管理平台的理解。这里我也跟大家分享一些交流的内容。 问题1#xff1a;请问SOC是什么#xff1f;什么样的安全运维管理平台更适合自己的企业有不少网友还是提出了一些比较好的问题也帮我再次梳理一下对于安全管理平台的理解。这里我也跟大家分享一些交流的内容。 问题1请问SOC是什么什么样的安全运维管理平台更适合自己的企业用好SOC大中型企业单位需要考虑哪些问题安全运维中需要注意哪些事项 关于SOC的定义目前为止还没有一个统一的标准化定义并且对于SOC这个术语的定义国内外还存在不小的区别尽管其本质是基本相同的。 在我的博文《国内安全管理平台(SOC)市场2010年回顾与2011年展望》中有对SOC的不同描述性定义。 1国际上一般将SOCSecurity Operations Center看作是安全运营中心它是一个对ITCIn-the-Cloud服务及配套的CPECustomer-Premise- Equipment设施进行全面监控、运维、管理的场所并涵盖相关的物理安全防护设施、办公设施、人员组织、工作流程和技术支撑环境。——这个定义来 自Wiki百科。 2国内一般将SOC宽泛地等价于另一个术语——安全管理平台。安全管理平台的一般性定义是安全管理平台是一个以资产为核心以安全事件管理为关键流 程采用安全域划分的思想建立一套实时的资产风险模 型协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。 3必须指出的是严格意义上而言SOC不等同于安全管理平台。安全管理平台仅仅是SOC的技术支撑部分。一个完整的SOC不仅包括安全管理平台还包 括配套的组织、流程、场地等等。可见国内所指的SOC本质上与国际上的定义是相同的。但是由于国内SOC发展的历史原因形成了国内外在SOC定义上 的形式化差异。 4关于安全运维管理平台一般也就是指安全管理平台只是更加强调对于安全管理平台的运维流程的落地和技术体现。需要注意我们说安全运维管理平台一 般不等于运维管理平台或者说不等于IT运维管理平台他们是两个范畴的概念。安全运维管理平台的重点在于安全而运维管理平台的重点在于IT运维。就好 象ISO27000讲的是安全管理而ISO20000讲的是IT运维服务管理一样。 关于什么样的安全运维管理平台更适合自己的企业我认为关键在于企业自身的需求。适合自身需求和未来发展需要是选择安全管理平台的核心。在选择安全管 理平台之前首先要对自身的需求进行调研分析和确立要先建立起企业自身的一套安全管理体系然后将其中能够依赖技术手段去实现的部分提取出来再进一步 整理出对安全管理平台的基本需求然后在去找符合这些需求的安全管理平台如果找不到现成的可能还需要考虑是否要自己开发。总之切不可将安全管理平台 提供商的产品的功能规格简单的拿来作为需求分析和选择的基础。 也正因为此安全管理平台涉及的功能范围可能会有很大的弹性。不同的用户心中会有不一样的安全管理平台。当然也会有一些共性的东西这些东西也就是安全管理平台的核心功能例如异构安全事件的集中化采集、处理与分析。 用好安全管理平台对于用户而言首先要认识到的一点就在于安全管理平台只是一个技术平台这个平台再好如果用的不得当便不会产生预期的效果。如何用 好需要在技术之外同时考虑到组织和流程的问题。安全管理平台的目标为了提升组织安全管理的效能其本质在于管理而管理的问题从来都不是技术所能够包办 的。管理需要制度、需要意识需要流程、需要人最后才需要用技术的手段来提供支撑和保障。这就好比你买了一个很棒的单反相机但是如果摄影技术不行一 样拍不出精美的照片。 除了要建立起正确的认知要用好安全管理平台还需要事先建立起对安全管理平台的合理预期、明确而可达成的目标。 最后安全管理平台可以提升组织中的管理者进行安全管理的效率但是无法替代管理者并且对于管理者的技术要求相对也比较高。因为安全管理平台已经帮管理者将技术要求较低、耗时较长的工作做完了剩下的就是技术要求较高的工作了。 问题2请问目前SOC在国内外的发展情况有什么区别还有鉴于国内用户对安全的一些特殊需求国内用户更看中SOC哪些方面的功能或者是特点 国内用户对于SOC或者说对于安全管理平台的需求的确是有其特色的。并且不同类型的国内用 户需求也不尽相同。一般地对于电信、金融等信息化水平高的单位而言其对于SOC的需求更加偏向于国际化并且会加入本单位的组织/流程方面的特别需 求。对于另外一些信息化程度并不是很高的单位而言则更加注重解决当前实际面临的一些问题例如统一的资产管理、统一的资产运行监控、统一的日志收集与分 析等等。 总体上而言国内对于安全管理平台更加看重”管理“二字很多软性的管理需求被加入其中。国外在 这方面则没有那么强调这与国外的IT管理建设较为成熟有关。也就是说他们往往另有一套管理流程的IT支撑系统去符合软性的管理性需求而对于安全管理 平台的需求更偏向于技术层面。这也是很显然的因为国外建设ITIL之类的东西比我们早很多。而国内由于发展的滞后性会将不同时期的需求混杂在一起以 期取得跨越式发展。 问题3你能谈一下完整的IT运维管理系统主要包括那些内容 “IT运维管理”与“安全管理平台”还是有很大区别的。51CTO在给这次交流取名字的时候叫SOC为“安全运维管理平 台”虽然没错但是却容易引起误解有误导之嫌。呵呵。严格地说“安全运维管理平台”只是“安全管理平台”的一个组成部分而已。我认为一个安全管理平 台总体上应该涵盖安全监控、安全审计、安全风险管理、以及安全运维管理四个部分。 那么一个完整的安全管理平台应该包括哪些内容呢前面已经说过总体上有四个部分。但是如果要细化的话我想说恐怕也没有人可以说清楚。因为安全管理平台的内涵和外延都比较模糊。我只能说大体上安全管理平台一般包括以下部分 1安全资产管理。如前所述安全管理平台的管理对象就是资产因此安全管理首先就要建立安全资产库。这里的安全资产管理与一般我们所说的IT资产管理 例如ITIL是不一样的。这里的安全资产管理重点是关注IT核心资产一般不含终端并且资产属性关注的是安全属性例如CIA三性资产价值资 产的补丁、漏洞、弱点等信息。 2资产运行监控。对资产设施的运行状态进行实时监测与少量的控制。包含了对网络、主机、安全设备、数据库、中间件、应用等的运行监控。这部分功能与IT网管有一些交集。 3业务监控。从业务的角度对资产运行状况进行监控。它属于比较高级的功能建立在资产运行监控之上有一个对资产进行业务建模的过程。 4安全事件管理或者叫安全事件分析也有的干脆就叫日志管理或者SIEM。这是安全管理平台的一个核心功能。他包括对资产的安全事件的采集、归并、 归一化范式化、标准化通过关联分析发现网络中的******和违规异常并对这些事件进行存储取证留存可以进行历史事件的查询、统计、分析。这块 的功能如果要展开可以说很长一段时间。可以看看我的博客中对于SIEM的介绍。例如这篇文章安全信息与事件管理SIEM技术解析与发展分析 5告警管理。既然有运行监控、事件分析、日志审计那么肯定就要对上述功能运作的时候产生的告警进行管理。例如运行告警、故障告警、***告警、违规告警等等。告警管理包括告警规则的设置告警方式的选择和定义告警信息的查询等等。 6弱点管理。针对资产的漏洞、脆弱性进行计算、管理。 7威胁管理。对资产的威胁进行管理。注意有一点很重要安全事件天然不是威胁。 8风险管理。这是一个特色功能并非所有的安全管理平台都有客户也并非都要。风险管理试图进行量化的风险评估与计算。典型的就是参照经典的风险评估理论从资产价值、威胁、弱点三个维度进行风险计算。风险管理还包括对评估结果的多维展示与再分析。 9报表管理。这也是一个基础性功能。意义不必多言。 10权限管理。不用多说。 11系统自身管理包括自身安全保障自身运行监控自身参数配置等。 除了上面提到的功能现在的安全管理平台外延也在不断的扩大有的还包括 1基线管理。例如电信SOC规范中就涉及。 2安全策略管理。这里的策略不是指设备的配置策略而是安全管理/运维的策略与流程相关。例如移动SMP规范中就涉及。 3工单管理。很多SOC就具备并且将它归入安全运维管理的范畴。 4绩效KPI管理。也跟运维有关。 5安全指标体系管理。 6态势感知/评估/预测。 7等级保护评估管理。 8安全日常工作管理安全MIS属于安全运维管理的范畴。 等等等等。还有像知识管理、案例管理等等功能。 太多了那么是不是什么都可以算入安全管理平台呢呵呵也不是至少我认为以下功能不应该被例如安全管理平台包括 1终端管理包括终端准入控制、终端非法外联、终端行为监控等等。这属于终端安全管理的范畴在安全管理平台之下是一个点安全系统Point Security System相对而言SOC属于面安全系统。 2***检测。 3对网络中的资产使用的授权、认证、访问控制AAA。这属于3A/4A的范畴。 4CMDB管理固定资产管理。这属于ITIL的范畴。 【待续】
