安全管理中心發(fā)展的三個(gè)維度

1、安全管理中心(SOC)發(fā)展的三個(gè)維度一、安全管理中心建設(shè)的必然性網(wǎng)絡(luò)安全的發(fā)展隨著網(wǎng)絡(luò)建設(shè)經(jīng)歷了三個(gè)階段：一是防火墻、防病毒與ID 、(入侵檢測系統(tǒng))部署的初級階段。二是隨著網(wǎng)絡(luò)擴(kuò)大，各種業(yè)務(wù)從相互獨(dú)立到 共同運(yùn)營，網(wǎng)絡(luò)管理中出現(xiàn)的安全域的概念，利用隔離技術(shù)把網(wǎng)絡(luò)分為邏輯的安 全區(qū)域，并大量的使用區(qū)域邊界防護(hù)與脆弱性掃描與用戶接入控制技術(shù)，此時(shí)的 安全技術(shù)分為防護(hù)、監(jiān)控、審計(jì)、認(rèn)證、掃描等多種體系，紛繁復(fù)雜，稱為安全 建設(shè)階段。三是隨著業(yè)務(wù)的增多，網(wǎng)絡(luò)的安全管理成為網(wǎng)絡(luò)建設(shè)的新重點(diǎn)，把各 個(gè)分離的安全體系統(tǒng)一管理、統(tǒng)一運(yùn)營，我們稱為安全管理階段，最典型的就是 綜合性安全運(yùn)營中心(Securit

2、y Operation Center)SOC的建設(shè)。從這個(gè)階段 開始，網(wǎng)絡(luò)安全開始走上業(yè)務(wù)安全的新臺階，業(yè)務(wù)持續(xù)性保障BCM(Business Continuity Management)成為下一步業(yè)務(wù)安全評價(jià)的重點(diǎn)。網(wǎng)絡(luò)的建設(shè)中，經(jīng)歷了從分離到統(tǒng)一，再到業(yè)務(wù)與管理的分離、承載與業(yè)務(wù) 的分離，其中網(wǎng)絡(luò)管理中心NOC(Network Operation Center)的發(fā)展起到重 要的作用，那么新興的安全運(yùn)營中心SOC與網(wǎng)絡(luò)中NOC是怎樣的關(guān)系呢？一種觀點(diǎn)認(rèn)為SOC就是安全設(shè)備的運(yùn)營管理，無非是增加一些安全特性的 管理與策略，SOC是NOC的一個(gè)組成部分。但是網(wǎng)絡(luò)管理本身也需要安全管 理的支持，

3、安全管理中心不僅要保障網(wǎng)絡(luò)支撐系統(tǒng)的安全，還要為業(yè)務(wù)應(yīng)用提供 安全保障，比如身份認(rèn)證、授權(quán)系統(tǒng)等基礎(chǔ)安全設(shè)施。從功能的角度看，SOC 應(yīng)該是NOC與業(yè)務(wù)管理的共同支撐系統(tǒng)，比如NOC中的日常維護(hù)，同樣要接 受SOC中人員身份確認(rèn)、安全行為審計(jì)的管理。兩者的關(guān)系如下圖：業(yè)務(wù)實(shí)現(xiàn)支撐網(wǎng)絡(luò)管理中心用戶業(yè)務(wù)調(diào)度系統(tǒng)業(yè)務(wù)管理中心業(yè)務(wù)服務(wù)平臺業(yè)務(wù)服務(wù)界面保障業(yè)務(wù)服務(wù)保障支撐系統(tǒng)IT服務(wù)基礎(chǔ)平臺與業(yè) 務(wù)平臺的三鬲關(guān)系基礎(chǔ)支撐系統(tǒng)安全管理中心從安全建設(shè)階段的后期開始，企業(yè)業(yè)務(wù)設(shè)計(jì)的初期，SOC就與NOC 一起 成為IT服務(wù)基礎(chǔ)設(shè)施規(guī)劃的重點(diǎn)，設(shè)備運(yùn)維側(cè)重系統(tǒng)本身的管理，為業(yè)務(wù)提供通路；安全管理側(cè)重業(yè)務(wù)安全的保

4、障，解除外來的與內(nèi)部的威脅，兩者的信息是 互通的，只是實(shí)現(xiàn)技術(shù)與管理重點(diǎn)不同。安全管理是從業(yè)務(wù)發(fā)生的起點(diǎn)到業(yè)務(wù)完 成的整個(gè)生命周期的安全保障。二、SOC建設(shè)中的三個(gè)發(fā)展維度SOC是安全技術(shù)大集成過程中產(chǎn)生的，最初是為了解決安全設(shè)備的管理 與海量安全事件的集中分析而開發(fā)的平臺，后來由于安全涉及的方面較多，SO C逐漸演化成所有與安全相關(guān)的問題集中處理中心：設(shè)備管理、配置下發(fā)、統(tǒng)一 認(rèn)證、事件分析、安全評估、策略優(yōu)化、應(yīng)急反應(yīng)、行為審計(jì)等等。能把全部安 全的信息綜合分析，統(tǒng)一的策略調(diào)度當(dāng)然是理想的，但是SOC要管理的事如此 之多，實(shí)現(xiàn)就是大難題?；诓煌睦斫?，市場出現(xiàn)的各種SOC也各取所長， 有

5、風(fēng)險(xiǎn)評估為基礎(chǔ)的TSOC，有策略管理的NSOC，有審計(jì)為主的ASOC，還 有干脆是安全日志分析為主的專用平臺各種SOC特點(diǎn)各異，但都是圍繞安全管理的過程來進(jìn)行的，對應(yīng)了安全事 件管理的事前、事中、事后三個(gè)階段，事前重點(diǎn)是防護(hù)措施的部署，排兵布陣； 事中是安全的監(jiān)控與應(yīng)急響應(yīng)，對于可以預(yù)知的危險(xiǎn)可以防護(hù)，但對于未知的危 險(xiǎn)只能是監(jiān)控，先發(fā)現(xiàn)再想辦法解決；事后是對安全事件的分析與取證，對于監(jiān) 控中沒有報(bào)警的事件的事后分析。由此SOC的功能發(fā)展就延伸為下面三個(gè)維度：安全防護(hù)管理：負(fù)責(zé)安全網(wǎng)絡(luò)設(shè)備的管理與基礎(chǔ)安全體系的運(yùn)營。是安全事件 出現(xiàn)前的各種防護(hù)管理，其鮮明的特征就是制定的各種安全策略并下發(fā)到相

6、關(guān)的 安全設(shè)備。監(jiān)控與應(yīng)急調(diào)度中心：對安全事件綜合分析，根據(jù)威脅程度進(jìn)行預(yù)警，并對各 種事件做出及時(shí)的應(yīng)對反應(yīng)。審計(jì)管理平臺：事件的取證與重現(xiàn)、安全合規(guī)性審計(jì)、數(shù)據(jù)的統(tǒng)計(jì)分析、歷史 數(shù)據(jù)的挖掘。安全的審計(jì)安全管理的事后總結(jié)，也是安全防護(hù)的依據(jù)。宙計(jì)+應(yīng)用審計(jì)數(shù)據(jù)庫審.計(jì)網(wǎng)絡(luò)行為審計(jì)終端審計(jì)主機(jī)審計(jì)基礎(chǔ)設(shè)施防護(hù)終端防護(hù)體系.主流防護(hù) 流量整形 邊界防護(hù)漏洞掃描病毒監(jiān)測流量監(jiān)測狀態(tài)監(jiān)測進(jìn)程監(jiān)測防護(hù)監(jiān)控安全管理中($0C)功值氏擴(kuò)展的三維模型安全服務(wù)貫穿于三個(gè)維度中，防護(hù)的策略需要對安全先整體評估，預(yù)警應(yīng)急 需要安全專家的分析與辦法SOC的三個(gè)發(fā)展方向?qū)崿F(xiàn)的功能需求是可以獨(dú) 立的，但其所需的信息來源基本是一樣的，都是從設(shè)備的安全日志與鏈路的數(shù)據(jù) 分析得來，SOC建設(shè)好比是一個(gè)根上開出的三束花。安全管理的關(guān)鍵是考慮全面，遺漏本身就會