51CTO交流摘录(1):SOC的定义、适用性和组成

51CTO的安全管理平台交流已经结束了,有不少网友还是提出了一些比较好的问题,也帮我再次梳理一下对于安全管理平台的理解。这里我也跟大家分享一些交流的内容。

问题1:请问SOC是什么?什么样的安全运维管理平台更适合自己的企业?用好SOC大中型企业单位需要考虑哪些问题?安全运维中需要注意哪些事项?

问题3:你能谈一下完整的IT运维管理系统主要包括那些内容?

“IT运维管理”与“安全管理平台”还是有很大区别的。51CTO在给这次交流取名字的时候叫SOC为“安全运维管理平 台”虽然没错,但是却容易引起误解,有误导之嫌。呵呵。严格地说,“安全运维管理平台”只是“安全管理平台”的一个组成部分而已。我认为,一个安全管理平 台总体上应该涵盖安全监控、安全审计、安全风险管理、以及安全运维管理四个部分。

那么,一个完整的安全管理平台应该包括哪些内容呢?前面已经说过,总体上有四个部分。但是如果要细化的话,我想说,恐怕也没有人可以说清楚。因为安全管理平台的内涵和外延都比较模糊。我只能说,大体上,安全管理平台一般包括以下部分:

1)安全资产管理。如前所述,安全管理平台的管理对象就是资产,因此,安全管理首先就要建立安全资产库。这里的安全资产管理与一般我们所说的IT资产管理 (例如ITIL)是不一样的。这里的安全资产管理重点是关注IT核心资产(一般不含终端),并且资产属性关注的是安全属性,例如CIA三性,资产价值,资 产的补丁、漏洞、弱点等信息。

2)资产运行监控。对资产设施的运行状态进行实时监测与少量的控制。包含了对网络、主机、安全设备、数据库、中间件、应用等的运行监控。这部分功能与IT网管有一些交集。

3)业务监控。从业务的角度对资产运行状况进行监控。它属于比较高级的功能,建立在资产运行监控之上,有一个对资产进行业务建模的过程。

4)安全事件管理,或者叫安全事件分析,也有的干脆就叫日志管理,或者SIEM。这是安全管理平台的一个核心功能。他包括对资产的安全事件的采集、归并、 归一化(范式化、标准化),通过关联分析发现网络中的******和违规异常,并对这些事件进行存储(取证留存),可以进行历史事件的查询、统计、分析。这块 的功能如果要展开可以说很长一段时间。可以看看我的博客中对于SIEM的介绍。例如这篇文章:安全信息与事件管理(SIEM)技术解析与发展分析

5)告警管理。既然有运行监控、事件分析、日志审计,那么肯定就要对上述功能运作的时候产生的告警进行管理。例如运行告警、故障告警、***告警、违规告警,等等。告警管理包括告警规则的设置,告警方式的选择和定义,告警信息的查询等等。

6)弱点管理。针对资产的漏洞、脆弱性进行计算、管理。

7)威胁管理。对资产的威胁进行管理。注意,有一点很重要,安全事件天然不是威胁。

8)风险管理。这是一个特色功能,并非所有的安全管理平台都有,客户也并非都要。风险管理试图进行量化的风险评估与计算。典型的就是参照经典的风险评估理论,从资产价值、威胁、弱点三个维度进行风险计算。风险管理还包括对评估结果的多维展示与再分析。

9)报表管理。这也是一个基础性功能。意义不必多言。

10)权限管理。不用多说。

11)系统自身管理,包括自身安全保障,自身运行监控,自身参数配置等。

除了上面提到的功能,现在的安全管理平台外延也在不断的扩大,有的还包括:

1)基线管理。例如电信SOC规范中就涉及。

2)安全策略管理。这里的策略不是指设备的配置策略,而是安全管理/运维的策略,与流程相关。例如移动SMP规范中就涉及。

3)工单管理。很多SOC就具备,并且将它归入安全运维管理的范畴。

4)绩效(KPI)管理。也跟运维有关。

5)安全指标体系管理。

6)态势感知/评估/预测。

7)等级保护评估管理。

8)安全日常工作管理(安全MIS),属于安全运维管理的范畴。

等等等等。还有像知识管理、案例管理,等等功能。

太多了?那么,是不是什么都可以算入安全管理平台呢?呵呵,也不是,至少,我认为,以下功能不应该被例如安全管理平台,包括:

1)终端管理,包括终端准入控制、终端非法外联、终端行为监控,等等。这属于终端安全管理的范畴,在安全管理平台之下,是一个点安全系统(Point Security System,相对而言,SOC属于面安全系统)。

2)***检测。

3)对网络中的资产使用的授权、认证、访问控制,AAA。这属于3A/4A的范畴。

4)CMDB管理,固定资产管理。这属于ITIL的范畴。

【待续】

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/303064.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

华为高性能服务器刀箱,云平台服务器刀箱

云平台服务器刀箱 内容精选换一换将外部镜像文件注册成云平台的私有镜像后,您可以使用该镜像创建新的云服务器,或对已有云服务器的系统进行重装和更换。本节介绍使用镜像创建云服务器的操作。您可以按照通过镜像创建云服务器中的操作指导创建弹性云服务器…

Magicodes.IE.AspNetCore之一行代码多格式导出

主要步骤1.安装包Install-Package Magicodes.IE.AspNetCore2.开始配置在Startup.cs的Configure()方法中,在UseRouting()中间件之后,注册如下中间件public void Configure(IApplicationBuilder app) {app.UseRouting();app.UseMagiCodesIE();app.UseEndpoints(endpoints >{en…

想不到吧,这些都能用R!

R作为一种统计分析软件,广泛应用于生物、医学、电商、新闻等数据相关行业,是目前主流数据应用软件之一。那么,R到底有哪些特别之处呢?实际上,R是统计领域广泛使用的S语言的一个分支,两者在程序语法上几乎一样&#xf…

ssd windows未能启动服务器,ssd安装win10无法启动你安装方法对吗?来看一下

固态硬盘虽然价格偏高,但是读写速度快,很多人只追求速度,纷纷买了全新固态硬盘安装系统,现在最新的系统是win10,如果在uefi电脑上用固态硬盘安装win10,那么速度将有质的提升,那么全新固态硬盘怎…

bigpipe merge对F5做批量配置

当需要针对F5做大批量配置时,如果直接使用bigpipe shell批量配置,很容易导致发生HA切换。针对此情况,F5提供一个bigpipe merge的命令,能快速完成大批量配置的部署,同时不会发生HA切换。 bigpipe merge使用方法&#xf…

NET问答: 如何避免在 EmptyEnumerable 上执行 Max() 抛出的异常 ?

咨询区 Naor:我有下面的一个查询:int maxShoeSize Workers.Where(x > x.CompanyId 8).Max(x > x.ShoeSize);如果 Workers.Where(x > x.CompanyId 8) 没有查到任何 Workers 的话,上面的代码将会抛出异常。现在的想法是:查不到的话…

一名IT经理是如何把项目带崩的。。。

我是一名项目经理,在过去的四个月里,我把一个项目带崩了(上线后频出问题,用户无法使用)。在最近的几天,我每天都在反思自己,我都在问自己以下几个问题:1.我做错了什么?2.…

C# 线程池ThreadPool用法简介

前言:自从task出现后,threadpool地位直线下降,但是一些老的程序员用惯了threadpool,我们在继承开发的时候也会时常看到这个用法,所以我们也很有必要熟悉认识它。什么是线程池?为什么要用线程池?…

10分钟采集凡客最新的省、市、区、邮政编码和电话区号(附源码)

最近的开发的项目需要用到省、市、区数据,因为要开发的项目也是电子商务网站,在参考凡客的用户体验时,发现它连深圳最新分离出来的光明新区都有了,拍拍网都没有更新数据,看来凡客在数据更新方面还是挺负责的&#xff0…

刘强东在美国出事了,老老实实的IT男,真的是有钱就变坏吗?

9月2日,网络上流传京东集团创始人刘强东在美国明尼苏达州,涉嫌性侵女大学生,目前已经被保释的消息。刘强东的相关信息,是可以直接在明尼苏达州Hennepin郡治安官办公室的监狱名单上查到的。上图中,可以看到指控描述为cr…

记一次 .NET游戏站程序的 CPU 爆高分析

一:背景 1. 讲故事上个月有个老朋友找到我,说他的站点晚高峰 CPU 会突然爆高,发了两份 dump 文件过来,如下图:又是经典的 CPU 爆高问题,到目前为止,对这种我还是有一些经验可循的。抓 2-3 个 du…

干货 | 数据挖掘过关40题

今天为大家准备了40道数据挖掘的题,试试你的能力吧!答案请见文末1.某超市研究销售纪录数据后发现,买啤酒的人很大概率也会购买尿布,这种属于数据挖掘的哪类问题?A.关联规则发现B.聚类C.分类D.自然语言处理2.以下两种描…

.Net程序内存泄漏解析

↑↑↑ 点击左上角蓝字关注我,为您提供技术新动态。本期内容分享实战中内存泄漏解决思路。Part1 初步分析原因Part2 查找内存泄漏的根本原因Part2.1 解决方案Part3 总结Part4 彩蛋一、概要大概在今年三月份的时候突然被紧急调到另外一个项目组解决线上内存泄漏问题。…

如何改变X:\Users\XXX的用户名称

参考了两篇文章: How to Change the User Folder Name of a User Profile in Windows 7 http://www.sevenforums.com/tutorials/147545-user-profile-folder-change-user-account-folder-name.html How To Change A Windows Account Name And User Profile Folder N…

js 上下箭头滚动_JS中的this完全讲解,再也不会被this搞晕了

关于This对象js 中的this 是一个比较难理解的对象;所以也经常作为面试的考点,考察应聘者的js 基础能力;其实this的指向也就那么几种情况,接下来我们一一看一下:函数中的this取何值是在函数真正被调用时确定的(也就是运…

JS 无法清除Cookie的解决方法

项目中使用sdmenu.js时,需要在登录时清除Cookie,而sdmenu默认是会保存Cookie的 下面是sdmenu.js保存Cookie的方法 document.cookie "sdmenu_" encodeURIComponent(this.menu.id) "" states.join("") "; expires…

9张图,Kafka为什么要放弃Zookeeper

最近,confluent社区发表了一篇文章,主要讲述了Kafka未来的2.8版本将要放弃Zookeeper,这对于Kafka用户来说,是一个重要的改进。之前部署Kafka就必须得部署Zookeeper,而之后就只要单独部署Kafka就行了。[1]1.Kafka简介Ap…

Python能用来做什么?以下是Python的三大主要用途

如果你想学Python,或者你刚开始学习Python,那么你可能会问:“我能用Python做什么?”这个问题不好回答,因为Python有很多用途。但是随着时间,我发现有Python主要有以下三大主要应用: Web开发 数据…

qbuttongroup如何都不选中_全程马拉松,半程马拉松该如何跑?很多人都不知道这些细节...

现在已经到12月份了,全国各地的马拉松也接近尾声,回想自己这一年参加了多少次全程马拉松或半程马拉松?很多人跑步最初的宗旨是为了减肥、为了健康,为了让自己拥有一个好身体,可是不知不觉中在朋友又或自己的兴趣中“投…

通过Dapr实现一个简单的基于.net的微服务电商系统(五)——一步一步教你如何撸Dapr之状态管理...

状态管理和上一章的订阅发布都算是Dapr相较于其他服务网格框架来讲提供的比较特异性的内容,今天我们来讲讲状态管理。目录:一、通过Dapr实现一个简单的基于.net的微服务电商系统二、通过Dapr实现一个简单的基于.net的微服务电商系统(二)——通讯框架讲解…