51cto的安全管理平台交流已經結束了,有不少網友還是提出了一些比較好的問題,也幫我再次梳理一下對於安全管理平台的理解。這裡我也跟大家分享一些交流的內容。
問題1:請問soc是什麼?什麼樣的安全運維管理平台更適合自己的企業?用好soc大中型企業單位需要考慮哪些問題?安全運維中需要注意哪些事項?
關於soc的定義,目前為止還沒有乙個統一的標準化定義,並且,對於soc這個術語的定義,國內外還存在不小的區別,儘管其本質是基本相同的。
在我的博文《國內安全管理平台(soc)市場2023年回顧與2023年展望》中,有對soc的不同描述性定義。
1)國際上,一般將soc(security operations center)看作是安全運營中心,它是乙個對itc(in-the-cloud)服務及配套的cpe(customer-premise- equipment)設施進行全面監控、運維、管理的場所,並涵蓋相關的物理安全防護設施、辦公設施、人員組織、工作流程和技術支撐環境。——這個定義來 自wiki百科。
2)國內,一般將soc寬泛地等價於另乙個術語——安全管理平台。安全管理平台的一般性定義是:安全管理平台是乙個以資產為核心,以安全事件管理為關鍵流 程,採用安全域劃分的思想,建立一套實時的資產風險模 型,協助管理員進行事件分析、風險分析、預警管理和應急響應處理的集中安全管理系統。
3)必須指出的是,嚴格意義上而言,soc不等同於安全管理平台。安全管理平台僅僅是soc的技術支撐部分。乙個完整的soc不僅包括安全管理平台,還包 括配套的組織、流程、場地等等。可見,國內所指的soc本質上與國際上的定義是相同的。但是,由於國內soc發展的歷史原因,形成了國內外在soc定義上 的形式化差異。
4)關於安全運維管理平台,一般也就是指安全管理平台,只是更加強調對於安全管理平台的運維流程的落地和技術體現。需要注意,我們說安全運維管理平台,一 般不等於運維管理平台,或者說不等於it運維管理平台,他們是兩個範疇的概念。安全運維管理平台的重點在於安全,而運維管理平台的重點在於it運維。就好 象iso27000講的是安全管理,而iso20000講的是it(運維)服務管理一樣。
關於什麼樣的安全(運維)管理平台更適合自己的企業,我認為關鍵在於企業自身的需求。適合自身需求和未來發展需要是選擇安全管理平台的核心。在選擇安全管 理平台之前,首先要對自身的需求進行調研分析和確立,要先建立起企業自身的一套安全管理體系,然後將其中能夠依賴技術手段去實現的部分提取出來,再進一步 整理出對安全管理平台的基本需求,然後在去找符合這些需求的安全管理平台,如果找不到現成的,可能還需要考慮是否要自己開發。總之,切不可將安全管理平台 提供商的產品的功能規格簡單的拿來作為需求分析和選擇的基礎。
也正因為此,安全管理平台涉及的功能範圍可能會有很大的彈性。不同的使用者心中會有不一樣的安全管理平台。當然,也會有一些共性的東西,這些東西也就是安全管理平台的核心功能,例如異構安全事件的集中化採集、處理與分析。
用好安全管理平台,對於使用者而言首先要認識到的一點就在於:安全管理平台只是乙個技術平台,這個平台再好,如果用的不得當,便不會產生預期的效果。如何用 好?需要在技術之外同時考慮到組織和流程的問題。安全管理平台的目標為了提公升組織安全管理的效能,其本質在於管理,而管理的問題從來都不是技術所能夠包辦 的。管理需要制度、需要意識,需要流程、需要人,最後才需要用技術的手段來提供支撐和保障。這就好比你買了乙個很棒的單鏡反光機,但是如果攝影技術不行,一 樣拍不出精美的**。
除了要建立起正確的認知,要用好安全管理平台,還需要事先建立起對安全管理平台的合理預期、明確而可達成的目標。
最後,安全管理平台可以提公升組織中的管理者進行安全管理的效率,但是無法替代管理者,並且對於管理者的技術要求相對也比較高。因為安全管理平台已經幫管理者將技術要求較低、耗時較長的工作做完了,剩下的就是技術要求較高的工作了。
問題2:請問目前soc在國內外的發展情況有什麼區別?還有鑑於國內使用者對安全的一些特殊需求,國內使用者更看中soc哪些方面的功能或者是特點?
國內使用者對於soc,或者說對於安全管理平台的需求的確是有其特色的。並且,不同型別的國內用 戶,需求也不盡相同。一般地,對於電信、金融等資訊化水平高的單位而言,其對於soc的需求更加偏向於國際化,並且會加入本單位的組織/流程方面的特別需 求。對於另外一些資訊化程度並不是很高的單位而言,則更加注重解決當前實際面臨的一些問題,例如統一的資產管理、統一的資產執行監控、統一的日誌收集與分 析,等等。
總體上而言,國內對於安全管理平台更加看重」管理「二字,很多軟性的管理需求被加入其中。國外在 這方面則沒有那麼強調,這與國外的it管理建設較為成熟有關。也就是說,他們往往另有一套管理流程的it支撐系統去符合軟性的管理性需求,而對於安全管理 平台的需求更偏向於技術層面。這也是很顯然的,因為國外建設itil之類的東西比我們早很多。而國內由於發展的滯後性,會將不同時期的需求混雜在一起,以 期取得跨越式發展。
問題3:你能談一下完整的it運維管理系統主要包括那些內容?
「it運維管理」與「安全管理平台」還是有很大區別的。51cto在給這次交流取名字的時候叫soc為「安全運維管理平 臺」雖然沒錯,但是卻容易引起誤解,有誤導之嫌。呵呵。嚴格地說,「安全運維管理平台」只是「安全管理平台」的乙個組成部分而已。我認為,乙個安全管理平 臺總體上應該涵蓋安全監控、安全審計、安全風險管理、以及安全運維管理四個部分。
那麼,乙個完整的安全管理平台應該包括哪些內容呢?前面已經說過,總體上有四個部分。但是如果要細化的話,我想說,恐怕也沒有人可以說清楚。因為安全管理平台的內涵和外延都比較模糊。我只能說,大體上,安全管理平台一般包括以下部分:
1)安全資產管理。如前所述,安全管理平台的管理物件就是資產,因此,安全管理首先就要建立安全資產庫。這裡的安全資產管理與一般我們所說的it資產管理 (例如itil)是不一樣的。這裡的安全資產管理重點是關注it核心資產(一般不含終端),並且資產屬性關注的是安全屬性,例如cia三性,資產價值,資 產的補丁、漏洞、弱點等資訊。
2)資產執行監控。對資產設施的執行狀態進行實時監測與少量的控制。包含了對網路、主機、安全裝置、資料庫、中介軟體、應用等的執行監控。這部分功能與it網管有一些交集。
3)業務監控。從業務的角度對資產執行狀況進行監控。它屬於比較高階的功能,建立在資產執行監控之上,有乙個對資產進行業務建模的過程。
4)安全事件管理,或者叫安全事件分析,也有的乾脆就叫日誌管理,或者siem。這是安全管理平台的乙個核心功能。他包括對資產的安全事件的採集、歸併、 歸一化(正規化化、標準化),通過關聯分析發現網路中的攻擊入侵和違規異常,並對這些事件進行儲存(取證留存),可以進行歷史事件的查詢、統計、分析。這塊 的功能如果要展開可以說很長一段時間。可以看看我的部落格中對於siem的介紹。例如這篇文章:安全資訊與事件管理(siem)技術解析與發展分析
5)告警管理。既然有執行監控、事件分析、日誌審計,那麼肯定就要對上述功能運作的時候產生的告警進行管理。例如執行告警、故障告警、攻擊告警、違規告警,等等。告警管理包括告警規則的設定,告**式的選擇和定義,告警資訊的查詢等等。
6)弱點管理。針對資產的漏洞、脆弱性進行計算、管理。
7)威脅管理。對資產的威脅進行管理。注意,有一點很重要,安全事件天然不是威脅。
8)風險管理。這是乙個特色功能,並非所有的安全管理平台都有,客戶也並非都要。風險管理試圖進行量化的風險評估與計算。典型的就是參照經典的風險評估理論,從資產價值、威脅、弱點三個維度進行風險計算。風險管理還包括對評估結果的多維展示與再分析。
9)報表管理。這也是乙個基礎性功能。意義不必多言。
10)許可權管理。不用多說。
11)系統自身管理,包括自身安全保障,自身執行監控,自身引數配置等。
除了上面提到的功能,現在的安全管理平台外延也在不斷的擴大,有的還包括:
1)基線管理。例如電信soc規範中就涉及。
2)安全策略管理。這裡的策略不是指裝置的配置策略,而是安全管理/運維的策略,與流程相關。例如移動smp規範中就涉及。
3)工單管理。很多soc就具備,並且將它歸入安全運維管理的範疇。
4)績效(kpi)管理。也跟運維有關。
5)安全指標體系管理。
6)態勢感知/評估/**。
7)等級保護評估管理。
8)安全日常工作管理(安全mis),屬於安全運維管理的範疇。
等等等等。還有像知識管理、案例管理,等等功能。
太多了?那麼,是不是什麼都可以算入安全管理平台呢?呵呵,也不是,至少,我認為,以下功能不應該被例如安全管理平台,包括:
1)終端管理,包括終端准入控制、終端非法外聯、終端行為監控,等等。這屬於終端安全管理的範疇,在安全管理平台之下,是乙個點安全系統(point security system,相對而言,soc屬於面安全系統)。
2)入侵檢測。
3)對網路中的資產使用的授權、認證、訪問控制,aaa。這屬於3a/4a的範疇。
4)cmdb管理,固定資產管理。這屬於itil的範疇。
【待續】
本文出自 「專注安管平台」 部落格,請務必保留此出處
Scrum的適用性
雖然scrum首先應用於軟體產品的開發,但它適用於所有型別的複雜工作。如今,它被用於管理軟體和硬體開發 支援 廣告和營銷 教堂和整個組織。scrum不會試圖指導團隊如何完成他們的工作。scrum希望團隊做任何必要的事情來交付所需的產品。它授權他們這樣做。設計實踐和工具隨時都在變化和改進,優秀的團隊將...
軟體的功能測試和適用性測試的標準
軟體的功能測試往往被認為是測試中的相對簡單工作,缺乏技術,只是 mouse driven 實際上,軟體功能測試,一方面依賴於不斷積累的的經驗,另方面功能測試也是離不開技術,包括環境設定 功能實現的理解。如果結合測試自動化 白盒或灰盒測試方法等,測試的效率會更高。適用性測試,往往可以和 功能測試結合起...
第12回 功能測試和適用性測試的標準
2006年09月08日 18 27 00 軟體的功能測試往往被認為是測試中的相對簡單工作,缺乏技術,只是 mouse driven 實際上,軟體功能測試,一方面依賴於不斷積累的的經驗,另方面功能測試也是離不開技術,包括環境設定 功能實現的理解。如果結合測試自動化 白盒或灰盒測試方法等,測試的效率會更...