51CTO的安全管理平臺(tái)交流已經(jīng)結(jié)束了，有不少網(wǎng)友還是提出了一些比較好的問題，也幫我再次梳理一下對(duì)于安全管理平臺(tái)的理解。這里我也跟大家分享一些交流的內(nèi)容。

問題1：請(qǐng)問SOC是什么？什么樣的安全運(yùn)維管理平臺(tái)更適合自己的企業(yè)？用好SOC大中型企業(yè)單位需要考慮哪些問題？安全運(yùn)維中需要注意哪些事項(xiàng)？

關(guān)于SOC的定義，目前為止還沒有一個(gè)統(tǒng)一的標(biāo)準(zhǔn)化定義，并且，對(duì)于SOC這個(gè)術(shù)語(yǔ)的定義，國(guó)內(nèi)外還存在不小的區(qū)別，盡管其本質(zhì)是基本相同的。

在我的博文《國(guó)內(nèi)安全管理平臺(tái)(SOC)市場(chǎng)2010年回顧與2011年展望》中，有對(duì)SOC的不同描述性定義。

1）國(guó)際上，一般將SOC（Security Operations Center）看作是安全運(yùn)營(yíng)中心，它是一個(gè)對(duì)ITC（In-the-Cloud）服務(wù)及配套的CPE（Customer-Premise- Equipment）設(shè)施進(jìn)行全面監(jiān)控、運(yùn)維、管理的場(chǎng)所，并涵蓋相關(guān)的物理安全防護(hù)設(shè)施、辦公設(shè)施、人員組織、工作流程和技術(shù)支撐環(huán)境。——這個(gè)定義來 自Wiki百科。

2）國(guó)內(nèi)，一般將SOC寬泛地等價(jià)于另一個(gè)術(shù)語(yǔ)——安全管理平臺(tái)。安全管理平臺(tái)的一般性定義是：安全管理平臺(tái)是一個(gè)以資產(chǎn)為核心，以安全事件管理為關(guān)鍵流 程，采用安全域劃分的思想，建立一套實(shí)時(shí)的資產(chǎn)風(fēng)險(xiǎn)模 型，協(xié)助管理員進(jìn)行事件分析、風(fēng)險(xiǎn)分析、預(yù)警管理和應(yīng)急響應(yīng)處理的集中安全管理系統(tǒng)。

3）必須指出的是，嚴(yán)格意義上而言，SOC不等同于安全管理平臺(tái)。安全管理平臺(tái)僅僅是SOC的技術(shù)支撐部分。一個(gè)完整的SOC不僅包括安全管理平臺(tái)，還包 括配套的組織、流程、場(chǎng)地等等。可見，國(guó)內(nèi)所指的SOC本質(zhì)上與國(guó)際上的定義是相同的。但是，由于國(guó)內(nèi)SOC發(fā)展的歷史原因，形成了國(guó)內(nèi)外在SOC定義上 的形式化差異。

4）關(guān)于安全運(yùn)維管理平臺(tái)，一般也就是指安全管理平臺(tái)，只是更加強(qiáng)調(diào)對(duì)于安全管理平臺(tái)的運(yùn)維流程的落地和技術(shù)體現(xiàn)。需要注意，我們說安全運(yùn)維管理平臺(tái)，一 般不等于運(yùn)維管理平臺(tái)，或者說不等于IT運(yùn)維管理平臺(tái)，他們是兩個(gè)范疇的概念。安全運(yùn)維管理平臺(tái)的重點(diǎn)在于安全，而運(yùn)維管理平臺(tái)的重點(diǎn)在于IT運(yùn)維。就好 象ISO27000講的是安全管理，而ISO20000講的是IT（運(yùn)維）服務(wù)管理一樣。

?

關(guān)于什么樣的安全（運(yùn)維）管理平臺(tái)更適合自己的企業(yè)，我認(rèn)為關(guān)鍵在于企業(yè)自身的需求。適合自身需求和未來發(fā)展需要是選擇安全管理平臺(tái)的核心。在選擇安全管 理平臺(tái)之前，首先要對(duì)自身的需求進(jìn)行調(diào)研分析和確立，要先建立起企業(yè)自身的一套安全管理體系，然后將其中能夠依賴技術(shù)手段去實(shí)現(xiàn)的部分提取出來，再進(jìn)一步 整理出對(duì)安全管理平臺(tái)的基本需求，然后在去找符合這些需求的安全管理平臺(tái)，如果找不到現(xiàn)成的，可能還需要考慮是否要自己開發(fā)。總之，切不可將安全管理平臺(tái) 提供商的產(chǎn)品的功能規(guī)格簡(jiǎn)單的拿來作為需求分析和選擇的基礎(chǔ)。

也正因?yàn)榇?#xff0c;安全管理平臺(tái)涉及的功能范圍可能會(huì)有很大的彈性。不同的用戶心中會(huì)有不一樣的安全管理平臺(tái)。當(dāng)然，也會(huì)有一些共性的東西，這些東西也就是安全管理平臺(tái)的核心功能，例如異構(gòu)安全事件的集中化采集、處理與分析。

?

用好安全管理平臺(tái)，對(duì)于用戶而言首先要認(rèn)識(shí)到的一點(diǎn)就在于：安全管理平臺(tái)只是一個(gè)技術(shù)平臺(tái)，這個(gè)平臺(tái)再好，如果用的不得當(dāng)，便不會(huì)產(chǎn)生預(yù)期的效果。如何用 好？需要在技術(shù)之外同時(shí)考慮到組織和流程的問題。安全管理平臺(tái)的目標(biāo)為了提升組織安全管理的效能，其本質(zhì)在于管理，而管理的問題從來都不是技術(shù)所能夠包辦 的。管理需要制度、需要意識(shí)，需要流程、需要人，最后才需要用技術(shù)的手段來提供支撐和保障。這就好比你買了一個(gè)很棒的單反相機(jī)，但是如果攝影技術(shù)不行，一 樣拍不出精美的照片。

除了要建立起正確的認(rèn)知，要用好安全管理平臺(tái)，還需要事先建立起對(duì)安全管理平臺(tái)的合理預(yù)期、明確而可達(dá)成的目標(biāo)。

最后，安全管理平臺(tái)可以提升組織中的管理者進(jìn)行安全管理的效率，但是無(wú)法替代管理者，并且對(duì)于管理者的技術(shù)要求相對(duì)也比較高。因?yàn)榘踩芾砥脚_(tái)已經(jīng)幫管理者將技術(shù)要求較低、耗時(shí)較長(zhǎng)的工作做完了，剩下的就是技術(shù)要求較高的工作了。

問題2：請(qǐng)問目前SOC在國(guó)內(nèi)外的發(fā)展情況有什么區(qū)別？還有鑒于國(guó)內(nèi)用戶對(duì)安全的一些特殊需求，國(guó)內(nèi)用戶更看中SOC哪些方面的功能或者是特點(diǎn)？

國(guó)內(nèi)用戶對(duì)于SOC，或者說對(duì)于安全管理平臺(tái)的需求的確是有其特色的。并且，不同類型的國(guó)內(nèi)用 戶，需求也不盡相同。一般地，對(duì)于電信、金融等信息化水平高的單位而言，其對(duì)于SOC的需求更加偏向于國(guó)際化，并且會(huì)加入本單位的組織/流程方面的特別需 求。對(duì)于另外一些信息化程度并不是很高的單位而言，則更加注重解決當(dāng)前實(shí)際面臨的一些問題，例如統(tǒng)一的資產(chǎn)管理、統(tǒng)一的資產(chǎn)運(yùn)行監(jiān)控、統(tǒng)一的日志收集與分 析，等等。

總體上而言，國(guó)內(nèi)對(duì)于安全管理平臺(tái)更加看重”管理“二字，很多軟性的管理需求被加入其中。國(guó)外在 這方面則沒有那么強(qiáng)調(diào)，這與國(guó)外的IT管理建設(shè)較為成熟有關(guān)。也就是說，他們往往另有一套管理流程的IT支撐系統(tǒng)去符合軟性的管理性需求，而對(duì)于安全管理 平臺(tái)的需求更偏向于技術(shù)層面。這也是很顯然的，因?yàn)閲?guó)外建設(shè)ITIL之類的東西比我們?cè)绾芏唷６鴩?guó)內(nèi)由于發(fā)展的滯后性，會(huì)將不同時(shí)期的需求混雜在一起，以 期取得跨越式發(fā)展。

問題3：你能談一下完整的IT運(yùn)維管理系統(tǒng)主要包括那些內(nèi)容？

“IT運(yùn)維管理”與“安全管理平臺(tái)”還是有很大區(qū)別的。51CTO在給這次交流取名字的時(shí)候叫SOC為“安全運(yùn)維管理平 臺(tái)”雖然沒錯(cuò)，但是卻容易引起誤解，有誤導(dǎo)之嫌。呵呵。嚴(yán)格地說，“安全運(yùn)維管理平臺(tái)”只是“安全管理平臺(tái)”的一個(gè)組成部分而已。我認(rèn)為，一個(gè)安全管理平 臺(tái)總體上應(yīng)該涵蓋安全監(jiān)控、安全審計(jì)、安全風(fēng)險(xiǎn)管理、以及安全運(yùn)維管理四個(gè)部分。

那么，一個(gè)完整的安全管理平臺(tái)應(yīng)該包括哪些內(nèi)容呢？前面已經(jīng)說過，總體上有四個(gè)部分。但是如果要細(xì)化的話，我想說，恐怕也沒有人可以說清楚。因?yàn)榘踩芾砥脚_(tái)的內(nèi)涵和外延都比較模糊。我只能說，大體上，安全管理平臺(tái)一般包括以下部分：

1）安全資產(chǎn)管理。如前所述，安全管理平臺(tái)的管理對(duì)象就是資產(chǎn)，因此，安全管理首先就要建立安全資產(chǎn)庫(kù)。這里的安全資產(chǎn)管理與一般我們所說的IT資產(chǎn)管理 （例如ITIL）是不一樣的。這里的安全資產(chǎn)管理重點(diǎn)是關(guān)注IT核心資產(chǎn)（一般不含終端），并且資產(chǎn)屬性關(guān)注的是安全屬性，例如CIA三性，資產(chǎn)價(jià)值，資 產(chǎn)的補(bǔ)丁、漏洞、弱點(diǎn)等信息。

2）資產(chǎn)運(yùn)行監(jiān)控。對(duì)資產(chǎn)設(shè)施的運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)測(cè)與少量的控制。包含了對(duì)網(wǎng)絡(luò)、主機(jī)、安全設(shè)備、數(shù)據(jù)庫(kù)、中間件、應(yīng)用等的運(yùn)行監(jiān)控。這部分功能與IT網(wǎng)管有一些交集。

3）業(yè)務(wù)監(jiān)控。從業(yè)務(wù)的角度對(duì)資產(chǎn)運(yùn)行狀況進(jìn)行監(jiān)控。它屬于比較高級(jí)的功能，建立在資產(chǎn)運(yùn)行監(jiān)控之上，有一個(gè)對(duì)資產(chǎn)進(jìn)行業(yè)務(wù)建模的過程。

4）安全事件管理，或者叫安全事件分析，也有的干脆就叫日志管理，或者SIEM。這是安全管理平臺(tái)的一個(gè)核心功能。他包括對(duì)資產(chǎn)的安全事件的采集、歸并、 歸一化（范式化、標(biāo)準(zhǔn)化），通過關(guān)聯(lián)分析發(fā)現(xiàn)網(wǎng)絡(luò)中的******和違規(guī)異常，并對(duì)這些事件進(jìn)行存儲(chǔ)（取證留存），可以進(jìn)行歷史事件的查詢、統(tǒng)計(jì)、分析。這塊 的功能如果要展開可以說很長(zhǎng)一段時(shí)間。可以看看我的博客中對(duì)于SIEM的介紹。例如這篇文章：安全信息與事件管理（SIEM）技術(shù)解析與發(fā)展分析

5）告警管理。既然有運(yùn)行監(jiān)控、事件分析、日志審計(jì)，那么肯定就要對(duì)上述功能運(yùn)作的時(shí)候產(chǎn)生的告警進(jìn)行管理。例如運(yùn)行告警、故障告警、***告警、違規(guī)告警，等等。告警管理包括告警規(guī)則的設(shè)置，告警方式的選擇和定義，告警信息的查詢等等。

6）弱點(diǎn)管理。針對(duì)資產(chǎn)的漏洞、脆弱性進(jìn)行計(jì)算、管理。

7）威脅管理。對(duì)資產(chǎn)的威脅進(jìn)行管理。注意，有一點(diǎn)很重要，安全事件天然不是威脅。

8）風(fēng)險(xiǎn)管理。這是一個(gè)特色功能，并非所有的安全管理平臺(tái)都有，客戶也并非都要。風(fēng)險(xiǎn)管理試圖進(jìn)行量化的風(fēng)險(xiǎn)評(píng)估與計(jì)算。典型的就是參照經(jīng)典的風(fēng)險(xiǎn)評(píng)估理論，從資產(chǎn)價(jià)值、威脅、弱點(diǎn)三個(gè)維度進(jìn)行風(fēng)險(xiǎn)計(jì)算。風(fēng)險(xiǎn)管理還包括對(duì)評(píng)估結(jié)果的多維展示與再分析。

9）報(bào)表管理。這也是一個(gè)基礎(chǔ)性功能。意義不必多言。

10）權(quán)限管理。不用多說。

11）系統(tǒng)自身管理，包括自身安全保障，自身運(yùn)行監(jiān)控，自身參數(shù)配置等。

除了上面提到的功能，現(xiàn)在的安全管理平臺(tái)外延也在不斷的擴(kuò)大，有的還包括：

1）基線管理。例如電信SOC規(guī)范中就涉及。

2）安全策略管理。這里的策略不是指設(shè)備的配置策略，而是安全管理/運(yùn)維的策略，與流程相關(guān)。例如移動(dòng)SMP規(guī)范中就涉及。

3）工單管理。很多SOC就具備，并且將它歸入安全運(yùn)維管理的范疇。

4）績(jī)效（KPI）管理。也跟運(yùn)維有關(guān)。

5）安全指標(biāo)體系管理。

6）態(tài)勢(shì)感知/評(píng)估/預(yù)測(cè)。

7）等級(jí)保護(hù)評(píng)估管理。

8）安全日常工作管理（安全MIS），屬于安全運(yùn)維管理的范疇。

等等等等。還有像知識(shí)管理、案例管理，等等功能。

太多了？那么，是不是什么都可以算入安全管理平臺(tái)呢？呵呵，也不是，至少，我認(rèn)為，以下功能不應(yīng)該被例如安全管理平臺(tái)，包括：

1）終端管理，包括終端準(zhǔn)入控制、終端非法外聯(lián)、終端行為監(jiān)控，等等。這屬于終端安全管理的范疇，在安全管理平臺(tái)之下，是一個(gè)點(diǎn)安全系統(tǒng)（Point Security System，相對(duì)而言，SOC屬于面安全系統(tǒng)）。

2）***檢測(cè)。

3）對(duì)網(wǎng)絡(luò)中的資產(chǎn)使用的授權(quán)、認(rèn)證、訪問控制，AAA。這屬于3A/4A的范疇。

4）CMDB管理，固定資產(chǎn)管理。這屬于ITIL的范疇。

【待續(xù)】

總結(jié)

以上是生活随笔為你收集整理的51CTO交流摘录（1）：SOC的定义、适用性和组成的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。