如何建设一个安全运营中心(SOC)?

然信息安全管理问题主要是个从上而下的问题,不能指望通过某一种工具来解决,但良好的安全技术基础架构能有效的推动和保障信息安全管理。随着国内行业IT应用度和信息安全管理水平的不断提高,企业对于安全管理的配套设施如安全运营中心(SOC)的要求也将有大幅度需求,这将会是一个较明显的发展趋势。

推行SOC的另外一个明显的好处是考虑到在国内企业目前的信息化程度下直接实施信息管理变革的困难性,如果尝试先从技术角度入手建立SOC相对来说阻力更小,然后通过SOC再推动相应的管理流程制定和实施,这也未尝不是值得推荐的并且符合国情的建设方式.

而且目前已经有些IT应用成熟度较高的大型企业开始进行这方面工作的试点和探索了,因为这些组织已经认识到仅依赖于某些安全产品,不可能有效地保护自己的整体网络安全,信息安全作为一个整体,需要把安全过程中的有关各方如各层次的安全产品、分支机构、运营网络、客户等纳入一个紧密的统一安全管理平台中,才能有效地保障企业的网络安全和保护原有投资。

信息安全管理水平的高低不是单一的安全产品的比较,也不是应用安全产品的多少和时间的比较,而是组织的整体的安全管理平台效率间的比较。下面我们就来谈谈建立一个SOC应该从那些方面考虑。
在这里插入图片描述
统一日志管理(集中监控)
包括各安全设备的安全日志的统一监控;安全日志的统一存储、查询、分析、过滤和报表生成等功能、安全日志的统一告警平台和统一的自动通知等;

模块分析:大型网络中的不同节点处往往都部署了许多安全产品,起到不同的作用。首先要达到的目标是全面获取网络安全实时状态信息,解决网络安全管理中的透明性问题。解决网络安全的可管理控制性问题。从安全管理员的角度来说,最直接的需求就是在一个统一的界面中可以监视到网络中每个安全产品的运行情况,并对他们产生的日志和报警信息进行统一分析和汇总。

统一配置管理(集中管理)
包括各安全设备的安全配置文件的集中管理,提高各管理工具的维护管理水平,提高安全管理工作效率;有条件的情况下实现各安全产品的配置文件(安全策略)的统一分发,修正和更新;配置文件的统一在(离)线管理,定期进行采集和审核,对安全产品的各种属性和安全策略进行集中的存储、查询。

模块分析:目前企业中主要的安全产品如防火墙、入侵检测和病毒防护等往往是各自为政,有自己独立的体系和控制端。通常管理员需要同时运行多个控制端,这就直接导致了对安全设备统一管理的要求。不过从目前国内的情况来说,各不同厂商的安全产品统一管理的难度较大,统一监控更容易实现,在目前现状中也更为重要。

目前国内现状是各个安全公司都从开发管理自己设备的管理软件入手,先做到以自己设备为中心,把自己设备先管理起来,同时提出自己的协议接口,使产品能够有开放性和兼容性。这些安全设备管理软件和网络管理软件类似,对安全设备的发现和信息读取主要建立在SNMP协议基础上,对特定的信息辅助其他网络协议。获取得内容大部分也和网络设备管理相同,如CPU使用情况,内存使用情况,系统状态,网络流量等。

各安全产品和系统的统一协调和处理(协同处理)
协调处理是安全技术的目标,同时也符合我国对信息安全保障的要求即实现多层次的防御体系。整体安全技术体系也应该有多层次的控制体系。不仅仅包含各种安全产品,而且涉及到各主机操作系统、应用软件、路由交换设备等等。

模块分析:目前国内有部分提法是IDS和防火墙的联动就是基于这种思路的,但是实际的使用情况中基本上没有客户认同这点,原因当然有很多,但实际上要实现这点还需要较长的技术积累。

设备的自动发现
网络拓扑变化后能自动发现设备的调整并进行基本的探测和给出信息。

模块分析:大部分企业内部的网络的拓扑都是在变化的,如果不支持设备的自动发现,就需要人工方式解决,给管理员造成较大的工作压力,也不能掌握网络的实际拓扑,这样不便于排错和发现安全故障。可以采用自动搜寻拓扑的机制。如IBM TivoliNetview可以自动发现大多数网络设备的类型,或通过更改MIB库,来随时添加系统能识别的新的设备。

安全服务的集中管理

实现安全相关软件/补丁安装情况的管理功能,建立安全相关软件/补丁信息库,提供查询、统计、分析功能,提供初步的分发功能。

模块分析:微软在对自己的操作系统的全网补丁分发上走的比较前,成功的产品有SUS和SNS等,国际上也有部分的单一产品是作这个工作的,但目前还没有看到那个SOC集成了这个模块。

安全培训管理
建立安全情报中心和知识库(侧重安全预警平台),包括:最新安全知识的收集和共享;最新的漏洞信息和安全技术,;实现安全技术的交流和培训。持续更新发展的知识和信息是维持高水平安全运行的保证。

模块分析:虽然这个模块的技术含量较低,但要为安全管理体系提供有效的支持,这个模块是非常重要的,有效的安全培训和知识共享是提示企业的整体安全管理执行能力的基础工作,也有助于形成组织内部统一有效的安全信息传输通道,建立安全问题上报、安全公告下发、处理和解决反馈的沟通平台。

风险分析自动化
自动的搜集系统漏洞信息、对信息系统进行入侵检测和预警,分析安全风险,并通过系统安全软件统一完成信息系统的补丁加载,病毒代码更新等工作,有效的提高安全工作效率,减小网络安全的”时间窗口”,大大提高系统的防护能力。

模块分析:安全管理软件实施的前提是已经部署了较完善的安全产品,如防火墙,防病毒,入侵检测等。有了安全产品才能够管理和监视,安全管理平台的作用在于在现有各种产品的基础上进行一定的数据分析和部分事件关联工作,例如设置扫描器定期对网络进行扫描,配合该时间段的入侵检测系统监控日志和补丁更新日志,就可以对整网的技术脆弱性有个初步的了解。

初步的资产管理(资产、人员)
统一管理信息资产,汇总安全评估结果,建立风险管理模型。提供重要资产所面临的风险值、相应的威胁、脆弱性的查询、统计、分析功能。

模块分析:国内外安全厂商中资产管理功能都很简单,和现有的财务、运营软件相差非常大,基本上是照般了BS7799中的对资产的分析和管理模块。

安全管理系统与网管系统的联动(协调处理)
安全管理系统和网络管理平台已经组织常用的运营支持系统结合起来,更有效的利用系统和人力资源,提高整体的运营和管理水平。

模块分析:如果可能的话,由于各产品的作用体现在网络中的不同方面,统一的安全管理平台必然要求对网络中部署的安全设备和部分运营设备的安全模块进行协同管理,这也是安全管理平台追求的最高目标。但这并非是一个单纯的技术问题,还涉及到行业内的标准和联盟。目前在这方面作的一些工作如 Check Point公司提出的opsec开放平台标准,即入侵检测产品发现攻击和check point防火墙之间的协调,现在流行的IPS概念,自动封锁攻击来源等,都在这方面作了较好的尝试,在和整体的网络管理平台的结合方面,目前国内外作的工作都较少,相对来说一些大型的IT厂商如IBM/CISCO/CA由于本身就具备多条产品线(网络、安全、应用产品),其自身产品的融合工作可能已经作了一些,但总体来说成熟度不高。

与其它信息系统的高度融合
实现与OA、ERP等其他信息系统的有机融合,有效的利用维护、管理、财务等各方面信息提高安全管理水平。安全管理的决策分析和知识经验将成为公司管理的重要组成部分。

组织的安全管理

组织构成
根据企业的不同情况建立专职或兼职的安全队伍,从事具体的安全工作。由于信息安全工作往往需要多个业务部门的共同参与,为迅速解决业务中出现的问题,提高工作效率,公司必须建立跨部门的协调机制。具体协调机构应由专门的安全组织负责,并明确牵头责任部门或人员。有条件的企业或者组织应成立独立的安全工作组织。

组织责任
a)建立健全相关的安全岗位及职责;

b)制定并发布相关安全管理体系,定期进行修正;

c)对信息系统进行安全评估和实施,处理信息安全事故;

f)部门间的协调和分派并落实信息安全工作中各部门的职责。

以上是SOC必须具备的一些模块,现阶段国内外也有一些厂商推出了安全管理平台软件,从推动整个行业发展来看当然是好现象,但萝卜快了不洗泥,其中也存在一些发展中的问题,比如作为一个SOC必然要求具备统一的安全日志审计功能,但单一安全设备审计软件不能等同于安全管理平台,究其原因为国内现有安全厂商中安全设备厂商占多数,优势项目是在已有安全设备上添加统一日志管理和分析功能,由于是单个厂商的行为缺乏整体的行业标准,导致目前的安全审计软件普遍缺乏联动性,不支持异构设备,就算是对java的支持各个厂商的实现力度也不同,普遍只具备信息统计功能和分析报告的功能。

在目前的安全管理平台提供商中,能提供完整的产品体系厂商非常少。而号称专业的安全产品厂商,因为安全产业起步很晚,这些厂商只能在某个领域做深,还无法提供整套的安全产品线,这也是一个现实。作为用户应该认清需求,把各种安全产品在自己网络中结合起来,深入了解安全管理平台提供商的实力,才能够达到安全目的,满足自己的安全需求。

最后,从投入产出比的角度来说,因为SOC往往只是一个软件平台的开发工作,大多数情况下不需要或者较少需要新的硬件投入,总投入往往不是很大,如果上了SOC后即使不能完善和推荐安全管理体系,也可以起到减轻管理员的工作负担,增强管理员的控制力度,并对整个网络内的安全状况进行统一监控和管理的作用,这样总体来说安全管理平台SOC的投入产出就非常值得。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/74971.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Spring boot环境搭建

使用IDE工具:IntelliJ IDEA 目录 一、安装JAVA 二、安装maven(Java项目管理工具) 三、安装IDE 四、在IDE中配置spring boot项目环境 1、配置jdk 2、配置maven 3、安装创建spring boot项目插件:Spring Assistant 4、安装简…

LTGNet-超分辨率OCTA图像分割

目录 一、摘要 二、引言 三、方法 A. Reference-based框架 B. Learnable Texture Generator 四、实验 五、总结 一、摘要 研究背景:光学相干断层血管成像(OCTA)是一种新的视网膜微血管成像方式,已广泛应用于临床。 高分辨率OCT血管造影对于定性和…

台式万用表几位的概念以及NPLC的功能作用

数字万用表测量电流和电压的基本原理是通过检测传感器的电阻,电容,或电感等特性,将电流或电压转化为可以测量的电信号,然后这个电信号被转化为数字信号进行处理和显示。具体的,当测量电压时,万用表的输入端…

JavaScript中的事件捕获(event capturing)和事件冒泡(event bubbling)

聚沙成塔每天进步一点点 ⭐ 专栏简介⭐ 事件捕获和事件冒泡⭐ 事件捕获(Event Capturing)示例: ⭐ 事件冒泡(Event Bubbling)示例: ⭐ 应用场景⭐ 写在最后 ⭐ 专栏简介 前端入门之旅:探索Web开…

基于TensorFlow 2.3.0 的手势识别系统设计

一、开发环境 Windows 10PyCharm 2021.3.2Python 3.7TensorFlow 2.3.0 二、制作数据集,作者使用了10个类别的手势数集据 三、开始训练模型,作者使用自己开发的软件进行训练模型,方便快捷。软件介绍及下载地址: 手把手教你使用T…

Elasticsearch脑裂

文章目录 Elasticsearch脑裂 Elasticsearch脑裂 Elasticsearch脑裂是指由于网络分区或节点间通信故障导致集群中的节点无法互相正常通信,从而导致数据不一致的情况。这可能会导致集群中的多个节点同时自认为是主节点(master),并开…

【实战】React17+React Hook+TS4 最佳实践,仿 Jira 企业级项目(总结展望篇)

文章目录 一、项目起航:项目初始化与配置二、React 与 Hook 应用:实现项目列表三、TS 应用:JS神助攻 - 强类型四、JWT、用户认证与异步请求五、CSS 其实很简单 - 用 CSS-in-JS 添加样式六、用户体验优化 - 加载中和错误状态处理七、Hook&…

linux Nginx+Tomcat负载均衡、动静分离

linux NginxTomcat负载均衡、动静分离 1、Tomcat的基本介绍1.1Tomcat是什么?1.2Tomcat的构成组件1.3Tomcat的核心功能1.4Tomcat请求过程 2、Tomcat部署2.1安装tomcat2.2优化tomcat启动速度2.4主要目录说明 3、Tomcat 虚拟主机配置3.1创建fsj和mws项目目录和文件3.2修…

Unity(三) Shader着色器初探

学习3D开发技术的时候无可避免的要接触到Shader,那么Shader是个什么概念呢?其实对于开发同事来说还是比较难理解的,一般来说Shader是服务于图形渲染的一类技术,开发人员可以通过其shader语言来自定义显卡渲染页面的算法&#xff0…

状态管理艺术——借助Spring StateMachine驭服复杂应用逻辑

文章目录 1. 什么是状态2. 有限状态机概述3. Spring StateMachine4. Spring StateMachine 入门小案例4.1 接口测试 5. 总结 1. 什么是状态 在开发中,无时无刻离不开状态的一个概念,任何一条数据都有属于它的状态。 比如一个电商平台,一个订…

MySQL (2) DQL

目录 操作须知 1 单表查询 1.1 范围查询 1.2 模糊查询 1.3 去重查询 1.4 正则查询 1.5 替换查询 1.6 排序查询 1.7 聚合分组查询 1.7.1 聚合查询(只有1行) 1.7.2 分组查询(针对"聚合查询") 1.8 分页查询 1.9 拼接查询 2 多表查询 2.1 内连接 2.2 外连…

npm介绍

npm介绍 npm(Node Package Manager的缩写)是一个软件包管理器,主要进行JavaScript的包管理。通过npm,我们可以很方便地进行JavaScript包的下载、升级,我们也可以把我们开发的JavaScript包共享给其他使用者。 在npm没…

CRC原理介绍及STM32 CRC外设的使用

1. CRC简介 循环冗余校验(英语:Cyclic redundancy check,简称CRC),由 W. Wesley Peterson 于 1961 年首次提出的一种纠错码理论。 CRC是一种数据纠错方法,主要应用于数据通信或者数据存储的场合&#xff…

TLS协议深度解析:挖掘现代网络安全防御的底层技术

正常简单的通讯 1、服务器生成一对密钥,公钥A、私钥A 2、浏览器请求服务器时,服务器把公钥A传给浏览器 3、浏览器随机生成一个对称加密的密码S,用公钥A加密后传给服务器 4、服务器接收后,用私钥A解密,得到密钥S 5、浏…

java中HashMap如何根据value的值去获取key是多少

在Java中&#xff0c;HashMap是一种基于键值对存储数据的数据结构。HashMap并没有直接提供根据value获取key的方法。但你可以通过遍历HashMap的entrySet&#xff0c;找到对应的value&#xff0c;然后获取其对应的key。 以下是一个示例代码&#xff1a; public <K, V> K…

【深度学习实战—6】:基于Pytorch的血细胞图像分类(通用型图像分类程序)

✨博客主页&#xff1a;米开朗琪罗~&#x1f388; ✨博主爱好&#xff1a;羽毛球&#x1f3f8; ✨年轻人要&#xff1a;Living for the moment&#xff08;活在当下&#xff09;&#xff01;&#x1f4aa; &#x1f3c6;推荐专栏&#xff1a;【图像处理】【千锤百炼Python】【深…

dji uav建图导航系列()move_base

文章目录 1、导航框架2、move_base功能包3、amcl功能包4、代价地图的配置4.1、通用配置文件4.2、全局规划配置文件4.3、局部规划配置文件5、局部规划器配置6、launch文件1、导航框架 导航的关键是机器人定位和路径规划两大部分 move_base:实现机器人导航中的最优路径规划 am…

datagrip 相关数据连接信息无缝迁移

背景 因为公司换电脑了&#xff0c;接触的项目比较多&#xff0c;不同项目&#xff0c;不同环境的数据库连接有好几十个&#xff0c;如果在新电脑上挨个重新连接一遍劳心劳力&#xff0c;所以想看一下能不能直接将之前保存的连接信息直接迁移到新的电脑上面。 为此&#xff0c…

Docker:01 OverView

Docker&#xff1a;01 OverView 基本介绍 Docker是一个用于开发、交付、运行应用程序的开放平台&#xff0c;可以使应用程序与基础架构分开&#xff0c;以便快速交付软件。 Docker在一个被叫做容器的隔离环境下&#xff0c;提供了打包和运行的能力。 容器非常轻量化&#x…

Android studio 调整jar包顺序

第一步&#xff1a;编译jar包&#xff0c;放入lib路径下&#xff1a;如&#xff1a; 第二步&#xff1a;app 目录下build.gradle 中添加 compileOnly files(libs/classes.jar) 第三步&#xff1a;project目录下build.gradle 中添加 allprojects {gradle.projectsEvaluated {t…