SOC讓網(wǎng)絡(luò)安全問題標(biāo)本兼治

精品文檔-下載后可編輯SOC讓網(wǎng)絡(luò)安全問題標(biāo)本兼治SOC正在成為安全管理的新模式，這不僅是形式上對異構(gòu)安全組件的大集中管理，也是針對事件管理策略的必然要求。

在電信行業(yè)，對基于集中安全管理平臺來建設(shè)SOC的方式，已經(jīng)被越來越多的人所關(guān)注。

在實(shí)際大中型網(wǎng)絡(luò)應(yīng)用環(huán)境中，由于通常采用分期或者分系統(tǒng)建設(shè)，在不同的時期和不同應(yīng)用系統(tǒng)中經(jīng)常會采用不同廠商的安全產(chǎn)品和方案，并引入了相當(dāng)多異構(gòu)的安全技術(shù)。而來源于防火墻、入侵檢測及入侵保護(hù)、漏洞掃描、防病毒、終端防護(hù)等安全設(shè)備的事件，隨著互聯(lián)網(wǎng)攻擊行為和蠕蟲的泛濫，在一個中等規(guī)模的網(wǎng)絡(luò)上就可以形成海量安全事件。這些事件中又存在非常多的誤報和重復(fù)現(xiàn)象，在進(jìn)行事件分析時，由于只考慮事件本身的風(fēng)險嚴(yán)重程度，沒有和實(shí)際的業(yè)務(wù)以及資產(chǎn)情況結(jié)合，使得一些潛在的威脅往往被忽略。另一方面，各類原始的海量安全事件格式多種多樣，不能有效地進(jìn)行過濾歸并提煉出最值得關(guān)注的價值信息，以致處理這些海量的安全事件超過安全維護(hù)人員的能力，最終導(dǎo)致海量安全事件成為噪音信息，安全維護(hù)人員無從下手也就懈怠處理各類海量安全事件。由此可以看出：

海量事件和漏洞信息需要有專門的安全事件管理工具進(jìn)行收集過濾、管理和分析；

事件和業(yè)務(wù)資產(chǎn)的結(jié)合分析，需要使用信息資產(chǎn)管理工具的支持；

對安全產(chǎn)品的使用、資產(chǎn)風(fēng)險的分析、安全事件的響應(yīng)處理，又需要完善的工作流程和管理制度、以及專業(yè)的維護(hù)人員體系。

SOC的建設(shè)并不應(yīng)該理解為單一產(chǎn)品或者一些安全產(chǎn)品的集合，SOC實(shí)際是一個整體安全體系建設(shè)的過程和成果。它應(yīng)該由安全信息平臺、安全事件平臺、運(yùn)營維護(hù)制度、安全支持服務(wù)、安全功能、專業(yè)維護(hù)人員等一系列產(chǎn)品、服務(wù)、人員、制度的建設(shè)所構(gòu)成。

SOC的目標(biāo)是對網(wǎng)絡(luò)中的安全產(chǎn)品進(jìn)行集中監(jiān)控，建立統(tǒng)一的安全策略，解決安全信息孤島的問題，通過對安全信息的挖掘關(guān)聯(lián)，提煉出有價值的信息，便于運(yùn)維人員快速分析原因，及時采取措施，提高工作效率，降低維護(hù)成本，為管理人員提供分析決策的數(shù)據(jù)支持，提高管理水平。利用該平臺建立基本的資產(chǎn)和風(fēng)險管理體系、基本安全策略管理體系、安全知識共享體系，實(shí)現(xiàn)基本的風(fēng)險發(fā)現(xiàn)、預(yù)警、響應(yīng)的安全運(yùn)作閉環(huán)流程管理功能，一級應(yīng)急信息平臺功能，為安全人員提供檢測和管理技術(shù)手段，加強(qiáng)網(wǎng)絡(luò)的安全性。

目前由于安全管理和通信標(biāo)準(zhǔn)的不統(tǒng)一，基本上無法實(shí)現(xiàn)理想化的統(tǒng)一安全事件管理。支持主流產(chǎn)品和技術(shù)統(tǒng)一的事件收集和監(jiān)控，已經(jīng)是一件需要大量投入的工作。這使得目前的SOC建設(shè)案例中，尚無法實(shí)現(xiàn)理想的各種產(chǎn)品和技術(shù)的集中管理、集中配置。

由于SOC的實(shí)施涉及到安全維護(hù)流程的調(diào)整優(yōu)化，甚至和業(yè)務(wù)系統(tǒng)緊密聯(lián)系，SOC解決方案的實(shí)施需要專業(yè)化的實(shí)施過程。首先，僅僅安裝了相應(yīng)的軟件平臺，沒有后續(xù)的專業(yè)信息同步支持，無法完成安全信息管理的功能；其次，沒有技術(shù)實(shí)力的定制開發(fā)以及專業(yè)成熟的咨詢服務(wù)能力支持，無法有效地和使用單位的日常運(yùn)維流程結(jié)合。因此，SOC項(xiàng)目通常是一個長期的建設(shè)過程，首次實(shí)施可以有