51CTO的安全管理平臺交流已經結束了，有不少網友還是提出了一些比較好的問題，也幫我再次梳理一下對于安全管理平臺的理解。這里我也跟大家分享一些交流的內容。

問題1：請問SOC是什么？什么樣的安全運維管理平臺更適合自己的企業(yè)？用好SOC大中型企業(yè)單位需要考慮哪些問題？安全運維中需要注意哪些事項？

關于SOC的定義，目前為止還沒有一個統(tǒng)一的標準化定義，并且，對于SOC這個術語的定義，國內外還存在不小的區(qū)別，盡管其本質是基本相同的。

在我的博文《國內安全管理平臺(SOC)市場2010年回顧與2011年展望》中，有對SOC的不同描述性定義。

1）國際上，一般將SOC（Security Operations Center）看作是安全運營中心，它是一個對ITC（In-the-Cloud）服務及配套的CPE（Customer-Premise- Equipment）設施進行全面監(jiān)控、運維、管理的場所，并涵蓋相關的物理安全防護設施、辦公設施、人員組織、工作流程和技術支撐環(huán)境。——這個定義來 自Wiki百科。

2）國內，一般將SOC寬泛地等價于另一個術語——安全管理平臺。安全管理平臺的一般性定義是：安全管理平臺是一個以資產為核心，以安全事件管理為關鍵流 程，采用安全域劃分的思想，建立一套實時的資產風險模 型，協(xié)助管理員進行事件分析、風險分析、預警管理和應急響應處理的集中安全管理系統(tǒng)。

3）必須指出的是，嚴格意義上而言，SOC不等同于安全管理平臺。安全管理平臺僅僅是SOC的技術支撐部分。一個完整的SOC不僅包括安全管理平臺，還包 括配套的組織、流程、場地等等。可見，國內所指的SOC本質上與國際上的定義是相同的。但是，由于國內SOC發(fā)展的歷史原因，形成了國內外在SOC定義上 的形式化差異。

4）關于安全運維管理平臺，一般也就是指安全管理平臺，只是更加強調對于安全管理平臺的運維流程的落地和技術體現(xiàn)。需要注意，我們說安全運維管理平臺，一 般不等于運維管理平臺，或者說不等于IT運維管理平臺，他們是兩個范疇的概念。安全運維管理平臺的重點在于安全，而運維管理平臺的重點在于IT運維。就好 象ISO27000講的是安全管理，而ISO20000講的是IT（運維）服務管理一樣。

?

關于什么樣的安全（運維）管理平臺更適合自己的企業(yè)，我認為關鍵在于企業(yè)自身的需求。適合自身需求和未來發(fā)展需要是選擇安全管理平臺的核心。在選擇安全管 理平臺之前，首先要對自身的需求進行調研分析和確立，要先建立起企業(yè)自身的一套安全管理體系，然后將其中能夠依賴技術手段去實現(xiàn)的部分提取出來，再進一步 整理出對安全管理平臺的基本需求，然后在去找符合這些需求的安全管理平臺，如果找不到現(xiàn)成的，可能還需要考慮是否要自己開發(fā)。總之，切不可將安全管理平臺 提供商的產品的功能規(guī)格簡單的拿來作為需求分析和選擇的基礎。

也正因為此，安全管理平臺涉及的功能范圍可能會有很大的彈性。不同的用戶心中會有不一樣的安全管理平臺。當然，也會有一些共性的東西，這些東西也就是安全管理平臺的核心功能，例如異構安全事件的集中化采集、處理與分析。

?

用好安全管理平臺，對于用戶而言首先要認識到的一點就在于：安全管理平臺只是一個技術平臺，這個平臺再好，如果用的不得當，便不會產生預期的效果。如何用 好？需要在技術之外同時考慮到組織和流程的問題。安全管理平臺的目標為了提升組織安全管理的效能，其本質在于管理，而管理的問題從來都不是技術所能夠包辦 的。管理需要制度、需要意識，需要流程、需要人，最后才需要用技術的手段來提供支撐和保障。這就好比你買了一個很棒的單反相機，但是如果攝影技術不行，一 樣拍不出精美的照片。

除了要建立起正確的認知，要用好安全管理平臺，還需要事先建立起對安全管理平臺的合理預期、明確而可達成的目標。

最后，安全管理平臺可以提升組織中的管理者進行安全管理的效率，但是無法替代管理者，并且對于管理者的技術要求相對也比較高。因為安全管理平臺已經幫管理者將技術要求較低、耗時較長的工作做完了，剩下的就是技術要求較高的工作了。

問題2：請問目前SOC在國內外的發(fā)展情況有什么區(qū)別？還有鑒于國內用戶對安全的一些特殊需求，國內用戶更看中SOC哪些方面的功能或者是特點？

國內用戶對于SOC，或者說對于安全管理平臺的需求的確是有其特色的。并且，不同類型的國內用 戶，需求也不盡相同。一般地，對于電信、金融等信息化水平高的單位而言，其對于SOC的需求更加偏向于國際化，并且會加入本單位的組織/流程方面的特別需 求。對于另外一些信息化程度并不是很高的單位而言，則更加注重解決當前實際面臨的一些問題，例如統(tǒng)一的資產管理、統(tǒng)一的資產運行監(jiān)控、統(tǒng)一的日志收集與分 析，等等。

總體上而言，國內對于安全管理平臺更加看重”管理“二字，很多軟性的管理需求被加入其中。國外在 這方面則沒有那么強調，這與國外的IT管理建設較為成熟有關。也就是說，他們往往另有一套管理流程的IT支撐系統(tǒng)去符合軟性的管理性需求，而對于安全管理 平臺的需求更偏向于技術層面。這也是很顯然的，因為國外建設ITIL之類的東西比我們早很多。而國內由于發(fā)展的滯后性，會將不同時期的需求混雜在一起，以 期取得跨越式發(fā)展。

問題3：你能談一下完整的IT運維管理系統(tǒng)主要包括那些內容？

“IT運維管理”與“安全管理平臺”還是有很大區(qū)別的。51CTO在給這次交流取名字的時候叫SOC為“安全運維管理平 臺”雖然沒錯，但是卻容易引起誤解，有誤導之嫌。呵呵。嚴格地說，“安全運維管理平臺”只是“安全管理平臺”的一個組成部分而已。我認為，一個安全管理平 臺總體上應該涵蓋安全監(jiān)控、安全審計、安全風險管理、以及安全運維管理四個部分。

那么，一個完整的安全管理平臺應該包括哪些內容呢？前面已經說過，總體上有四個部分。但是如果要細化的話，我想說，恐怕也沒有人可以說清楚。因為安全管理平臺的內涵和外延都比較模糊。我只能說，大體上，安全管理平臺一般包括以下部分：

1）安全資產管理。如前所述，安全管理平臺的管理對象就是資產，因此，安全管理首先就要建立安全資產庫。這里的安全資產管理與一般我們所說的IT資產管理 （例如ITIL）是不一樣的。這里的安全資產管理重點是關注IT核心資產（一般不含終端），并且資產屬性關注的是安全屬性，例如CIA三性，資產價值，資 產的補丁、漏洞、弱點等信息。

2）資產運行監(jiān)控。對資產設施的運行狀態(tài)進行實時監(jiān)測與少量的控制。包含了對網絡、主機、安全設備、數(shù)據庫、中間件、應用等的運行監(jiān)控。這部分功能與IT網管有一些交集。

3）業(yè)務監(jiān)控。從業(yè)務的角度對資產運行狀況進行監(jiān)控。它屬于比較高級的功能，建立在資產運行監(jiān)控之上，有一個對資產進行業(yè)務建模的過程。

4）安全事件管理，或者叫安全事件分析，也有的干脆就叫日志管理，或者SIEM。這是安全管理平臺的一個核心功能。他包括對資產的安全事件的采集、歸并、 歸一化（范式化、標準化），通過關聯(lián)分析發(fā)現(xiàn)網絡中的******和違規(guī)異常，并對這些事件進行存儲（取證留存），可以進行歷史事件的查詢、統(tǒng)計、分析。這塊 的功能如果要展開可以說很長一段時間。可以看看我的博客中對于SIEM的介紹。例如這篇文章：安全信息與事件管理（SIEM）技術解析與發(fā)展分析

5）告警管理。既然有運行監(jiān)控、事件分析、日志審計，那么肯定就要對上述功能運作的時候產生的告警進行管理。例如運行告警、故障告警、***告警、違規(guī)告警，等等。告警管理包括告警規(guī)則的設置，告警方式的選擇和定義，告警信息的查詢等等。

6）弱點管理。針對資產的漏洞、脆弱性進行計算、管理。

7）威脅管理。對資產的威脅進行管理。注意，有一點很重要，安全事件天然不是威脅。

8）風險管理。這是一個特色功能，并非所有的安全管理平臺都有，客戶也并非都要。風險管理試圖進行量化的風險評估與計算。典型的就是參照經典的風險評估理論，從資產價值、威脅、弱點三個維度進行風險計算。風險管理還包括對評估結果的多維展示與再分析。

9）報表管理。這也是一個基礎性功能。意義不必多言。

10）權限管理。不用多說。

11）系統(tǒng)自身管理，包括自身安全保障，自身運行監(jiān)控，自身參數(shù)配置等。

除了上面提到的功能，現(xiàn)在的安全管理平臺外延也在不斷的擴大，有的還包括：

1）基線管理。例如電信SOC規(guī)范中就涉及。

2）安全策略管理。這里的策略不是指設備的配置策略，而是安全管理/運維的策略，與流程相關。例如移動SMP規(guī)范中就涉及。

3）工單管理。很多SOC就具備，并且將它歸入安全運維管理的范疇。

4）績效（KPI）管理。也跟運維有關。

5）安全指標體系管理。

6）態(tài)勢感知/評估/預測。

7）等級保護評估管理。

8）安全日常工作管理（安全MIS），屬于安全運維管理的范疇。

等等等等。還有像知識管理、案例管理，等等功能。

太多了？那么，是不是什么都可以算入安全管理平臺呢？呵呵，也不是，至少，我認為，以下功能不應該被例如安全管理平臺，包括：

1）終端管理，包括終端準入控制、終端非法外聯(lián)、終端行為監(jiān)控，等等。這屬于終端安全管理的范疇，在安全管理平臺之下，是一個點安全系統(tǒng)（Point Security System，相對而言，SOC屬于面安全系統(tǒng)）。

2）***檢測。

3）對網絡中的資產使用的授權、認證、訪問控制，AAA。這屬于3A/4A的范疇。

4）CMDB管理，固定資產管理。這屬于ITIL的范疇。

【待續(xù)】

總結

以上是生活随笔為你收集整理的51CTO交流摘录（1）：SOC的定义、适用性和组成的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。