欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

SOC的定义、适用性和组成

程序员文章站 2022-03-03 11:06:59
...

51CTO的安全管理平台交流已经结束了,有不少网友还是提出了一些比较好的问题,也帮我再次梳理一下对于安全管理平台的理解。这里我也跟大家分享一些交流的内容。

问题1:请问SOC是什么?什么样的安全运维管理平台更适合自己的企业?用好SOC大中型企业单位需要考虑哪些问题?安全运维中需要注意哪些事项?

问题3:你能谈一下完整的IT运维管理系统主要包括那些内容?

“IT运维管理”与“安全管理平台”还是有很大区别的。51CTO在给这次交流取名字的时候叫SOC为“安全运维管理平 台”虽然没错,但是却容易引起误解,有误导之嫌。呵呵。严格地说,“安全运维管理平台”只是“安全管理平台”的一个组成部分而已。我认为,一个安全管理平 台总体上应该涵盖安全监控、安全审计、安全风险管理、以及安全运维管理四个部分。

那么,一个完整的安全管理平台应该包括哪些内容呢?前面已经说过,总体上有四个部分。但是如果要细化的话,我想说,恐怕也没有人可以说清楚。因为安全管理平台的内涵和外延都比较模糊。我只能说,大体上,安全管理平台一般包括以下部分:

1)安全资产管理。如前所述,安全管理平台的管理对象就是资产,因此,安全管理首先就要建立安全资产库。这里的安全资产管理与一般我们所说的IT资产管理 (例如ITIL)是不一样的。这里的安全资产管理重点是关注IT核心资产(一般不含终端),并且资产属性关注的是安全属性,例如CIA三性,资产价值,资 产的补丁、漏洞、弱点等信息。

2)资产运行监控。对资产设施的运行状态进行实时监测与少量的控制。包含了对网络、主机、安全设备、数据库、中间件、应用等的运行监控。这部分功能与IT网管有一些交集。

3)业务监控。从业务的角度对资产运行状况进行监控。它属于比较高级的功能,建立在资产运行监控之上,有一个对资产进行业务建模的过程。

4)安全事件管理,或者叫安全事件分析,也有的干脆就叫日志管理,或者SIEM。这是安全管理平台的一个核心功能。他包括对资产的安全事件的采集、归并、 归一化(范式化、标准化),通过关联分析发现网络中的攻击入侵和违规异常,并对这些事件进行存储(取证留存),可以进行历史事件的查询、统计、分析。这块 的功能如果要展开可以说很长一段时间。可以看看我的博客中对于SIEM的介绍。例如这篇文章:安全信息与事件管理(SIEM)技术解析与发展分析

5)告警管理。既然有运行监控、事件分析、日志审计,那么肯定就要对上述功能运作的时候产生的告警进行管理。例如运行告警、故障告警、攻击告警、违规告警,等等。告警管理包括告警规则的设置,告警方式的选择和定义,告警信息的查询等等。

6)弱点管理。针对资产的漏洞、脆弱性进行计算、管理。

7)威胁管理。对资产的威胁进行管理。注意,有一点很重要,安全事件天然不是威胁。

8)风险管理。这是一个特色功能,并非所有的安全管理平台都有,客户也并非都要。风险管理试图进行量化的风险评估与计算。典型的就是参照经典的风险评估理论,从资产价值、威胁、弱点三个维度进行风险计算。风险管理还包括对评估结果的多维展示与再分析。

9)报表管理。这也是一个基础性功能。意义不必多言。

10)权限管理。不用多说。

11)系统自身管理,包括自身安全保障,自身运行监控,自身参数配置等。

除了上面提到的功能,现在的安全管理平台外延也在不断的扩大,有的还包括:

1)基线管理。例如电信SOC规范中就涉及。

2)安全策略管理。这里的策略不是指设备的配置策略,而是安全管理/运维的策略,与流程相关。例如移动SMP规范中就涉及。

3)工单管理。很多SOC就具备,并且将它归入安全运维管理的范畴。

4)绩效(KPI)管理。也跟运维有关。

5)安全指标体系管理。

6)态势感知/评估/预测。

7)等级保护评估管理。

8)安全日常工作管理(安全MIS),属于安全运维管理的范畴。

等等等等。还有像知识管理、案例管理,等等功能。

太多了?那么,是不是什么都可以算入安全管理平台呢?呵呵,也不是,至少,我认为,以下功能不应该被例如安全管理平台,包括:

1)终端管理,包括终端准入控制、终端非法外联、终端行为监控,等等。这属于终端安全管理的范畴,在安全管理平台之下,是一个点安全系统(Point Security System,相对而言,SOC属于面安全系统)。

2)入侵检测。

3)对网络中的资产使用的授权、认证、访问控制,AAA。这属于3A/4A的范畴。

4)CMDB管理,固定资产管理。这属于ITIL的范畴。

【待续】

本文出自 “专注安管平台” 博客,请务必保留此出处http://yepeng.blog.51cto.com/3101105/732530

相关标签: SOC 安全管理