51CTO的安全管理平台交流已经结束了,有不少网友还是提出了一些比较好的问题,也帮我再次梳理一下对于安全管理平台的理解。这里我也跟大家分享一些交流的内容。
问题1:请问SOC是什么?什么样的安全运维管理平台更适合自己的企业?用好SOC大中型企业单位需要考虑哪些问题?安全运维中需要注意哪些事项?
关于SOC的定义,目前为止还没有一个统一的标准化定义,并且,对于SOC这个术语的定义,国内外还存在不小的区别,尽管其本质是基本相同的。
在我的博文《国内安全管理平台(SOC)市场2010年回顾与2011年展望》中,有对SOC的不同描述性定义。
1)国际上,一般将SOC(Security Operations Center)看作是安全运营中心,它是一个对ITC(In-the-Cloud)服务及配套的CPE(Customer-Premise- Equipment)设施进行全面监控、运维、管理的场所,并涵盖相关的物理安全防护设施、办公设施、人员组织、工作流程和技术支撑环境。——这个定义来 自Wiki百科。
2)国内,一般将SOC宽泛地等价于另一个术语——安全管理平台。安全管理平台的一般性定义是:安全管理平台是一个以资产为核心,以安全事件管理为关键流 程,采用安全域划分的思想,建立一套实时的资产风险模 型,协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。
3)必须指出的是,严格意义上而言,SOC不等同于安全管理平台。安全管理平台仅仅是SOC的技术支撑部分。一个完整的SOC不仅包括安全管理平台,还包 括配套的组织、流程、场地等等。可见,国内所指的SOC本质上与国际上的定义是相同的。但是,由于国内SOC发展的历史原因,形成了国内外在SOC定义上 的形式化差异。
4)关于安全运维管理平台,一般也就是指安全管理平台,只是更加强调对于安全管理平台的运维流程的落地和技术体现。需要注意,我们说安全运维管理平台,一 般不等于运维管理平台,或者说不等于IT运维管理平台,他们是两个范畴的概念。安全运维管理平台的重点在于安全,而运维管理平台的重点在于IT运维。就好 象ISO27000讲的是安全管理,而ISO20000讲的是IT(运维)服务管理一样。
关于什么样的安全(运维)管理平台更适合自己的企业,我认为关键在于企业自身的需求。适合自身需求和未来发展需要是选择安全管理平台的核心。在选择安全管 理平台之前,首先要对自身的需求进行调研分析和确立,要先建立起企业自身的一套安全管理体系,然后将其中能够依赖技术手段去实现的部分提取出来,再进一步 整理出对安全管理平台的基本需求,然后在去找符合这些需求的安全管理平台,如果找不到现成的,可能还需要考虑是否要自己开发。总之,切不可将安全管理平台 提供商的产品的功能规格简单的拿来作为需求分析和选择的基础。
也正因为此,安全管理平台涉及的功能范围可能会有很大的弹性。不同的用户心中会有不一样的安全管理平台。当然,也会有一些共性的东西,这些东西也就是安全管理平台的核心功能,例如异构安全事件的集中化采集、处理与分析。
用好安全管理平台,对于用户而言首先要认识到的一点就在于:安全管理平台只是一个技术平台,这个平台再好,如果用的不得当,便不会产生预期的效果。如何用 好?需要在技术之外同时考虑到组织和流程的问题。安全管理平台的目标为了提升组织安全管理的效能,其本质在于管理,而管理的问题从来都不是技术所能够包办 的。管理需要制度、需要意识,需要流程、需要人,最后才需要用技术的手段来提供支撑和保障。这就好比你买了一个很棒的单反相机,但是如果摄影技术不行,一 样拍不出精美的照片。
除了要建立起正确的认知,要用好安全管理平台,还需要事先建立起对安全管理平台的合理预期、明确而可达成的目标。
最后,安全管理平台可以提升组织中的管理者进行安全管理的效率,但是无法替代管理者,并且对于管理者的技术要求相对也比较高。因为安全管理平台已经帮管理者将技术要求较低、耗时较长的工作做完了,剩下的就是技术要求较高的工作了。
问题2:请问目前SOC在国内外的发展情况有什么区别?还有鉴于国内用户对安全的一些特殊需求,国内用户更看中SOC哪些方面的功能或者是特点?
国内用户对于SOC,或者说对于安全管理平台的需求的确是有其特色的。并且,不同类型的国内用 户,需求也不尽相同。一般地,对于电信、金融等信息化水平高的单位而言,其对于SOC的需求更加偏向于国际化,并且会加入本单位的组织/流程方面的特别需 求。对于另外一些信息化程度并不是很高的单位而言,则更加注重解决当前实际面临的一些问题,例如统一的资产管理、统一的资产运行监控、统一的日志收集与分 析,等等。
总体上而言,国内对于安全管理平台更加看重”管理“二字,很多软性的管理需求被加入其中。国外在 这方面则没有那么强调,这与国外的IT管理建设较为成熟有关。也就是说,他们往往另有一套管理流程的IT支撑系统去符合软性的管理性需求,而对于安全管理 平台的需求更偏向于技术层面。这也是很显然的,因为国外建设ITIL之类的东西比我们早很多。而国内由于发展的滞后性,会将不同时期的需求混杂在一起,以 期取得跨越式发展。
问题3:你能谈一下完整的IT运维管理系统主要包括那些内容?
“IT运维管理”与“安全管理平台”还是有很大区别的。51CTO在给这次交流取名字的时候叫SOC为“安全运维管理平 台”虽然没错,但是却容易引起误解,有误导之嫌。呵呵。严格地说,“安全运维管理平台”只是“安全管理平台”的一个组成部分而已。我认为,一个安全管理平 台总体上应该涵盖安全监控、安全审计、安全风险管理、以及安全运维管理四个部分。
那么,一个完整的安全管理平台应该包括哪些内容呢?前面已经说过,总体上有四个部分。但是如果要细化的话,我想说,恐怕也没有人可以说清楚。因为安全管理平台的内涵和外延都比较模糊。我只能说,大体上,安全管理平台一般包括以下部分:
1)安全资产管理。如前所述,安全管理平台的管理对象就是资产,因此,安全管理首先就要建立安全资产库。这里的安全资产管理与一般我们所说的IT资产管理 (例如ITIL)是不一样的。这里的安全资产管理重点是关注IT核心资产(一般不含终端),并且资产属性关注的是安全属性,例如CIA三性,资产价值,资 产的补丁、漏洞、弱点等信息。
2)资产运行监控。对资产设施的运行状态进行实时监测与少量的控制。包含了对网络、主机、安全设备、数据库、中间件、应用等的运行监控。这部分功能与IT网管有一些交集。
3)业务监控。从业务的角度对资产运行状况进行监控。它属于比较高级的功能,建立在资产运行监控之上,有一个对资产进行业务建模的过程。
4)安全事件管理,或者叫安全事件分析,也有的干脆就叫日志管理,或者SIEM。这是安全管理平台的一个核心功能。他包括对资产的安全事件的采集、归并、 归一化(范式化、标准化),通过关联分析发现网络中的攻击入侵和违规异常,并对这些事件进行存储(取证留存),可以进行历史事件的查询、统计、分析。这块 的功能如果要展开可以说很长一段时间。可以看看我的博客中对于SIEM的介绍。例如这篇文章:安全信息与事件管理(SIEM)技术解析与发展分析
5)告警管理。既然有运行监控、事件分析、日志审计,那么肯定就要对上述功能运作的时候产生的告警进行管理。例如运行告警、故障告警、攻击告警、违规告警,等等。告警管理包括告警规则的设置,告警方式的选择和定义,告警信息的查询等等。
6)弱点管理。针对资产的漏洞、脆弱性进行计算、管理。
7)威胁管理。对资产的威胁进行管理。注意,有一点很重要,安全事件天然不是威胁。
8)风险管理。这是一个特色功能,并非所有的安全管理平台都有,客户也并非都要。风险管理试图进行量化的风险评估与计算。典型的就是参照经典的风险评估理论,从资产价值、威胁、弱点三个维度进行风险计算。风险管理还包括对评估结果的多维展示与再分析。
9)报表管理。这也是一个基础性功能。意义不必多言。
10)权限管理。不用多说。
11)系统自身管理,包括自身安全保障,自身运行监控,自身参数配置等。
除了上面提到的功能,现在的安全管理平台外延也在不断的扩大,有的还包括:
1)基线管理。例如电信SOC规范中就涉及。
2)安全策略管理。这里的策略不是指设备的配置策略,而是安全管理/运维的策略,与流程相关。例如移动SMP规范中就涉及。
3)工单管理。很多SOC就具备,并且将它归入安全运维管理的范畴。
4)绩效(KPI)管理。也跟运维有关。
5)安全指标体系管理。
6)态势感知/评估/预测。
7)等级保护评估管理。
8)安全日常工作管理(安全MIS),属于安全运维管理的范畴。
等等等等。还有像知识管理、案例管理,等等功能。
太多了?那么,是不是什么都可以算入安全管理平台呢?呵呵,也不是,至少,我认为,以下功能不应该被例如安全管理平台,包括:
1)终端管理,包括终端准入控制、终端非法外联、终端行为监控,等等。这属于终端安全管理的范畴,在安全管理平台之下,是一个点安全系统(Point Security System,相对而言,SOC属于面安全系统)。
2)入侵检测。
3)对网络中的资产使用的授权、认证、访问控制,AAA。这属于3A/4A的范畴。
4)CMDB管理,固定资产管理。这属于ITIL的范畴。
【待续】
本文出自 “专注安管平台” 博客,请务必保留此出处http://yepeng.blog.51cto.com/3101105/732530
相关推荐
本指导意见适用于中国电信集团及其各省分公司SOC平台的规划与建设工作,旨在规范和指导各省公司SOC平台的建设过程,确保SOC平台建设的一致性和有序性。 **1.3 术语解释** - **网络安全管理平台**:指为实现信息...
书中对于如何应对这些挑战提供了深入的理论和实践指导,这对于设计适用于SoC的时钟发生器是必不可少的。 ### 抖动分析 抖动是时钟发生器设计中的一个关键参数,它直接关系到时钟信号的质量和系统的稳定性。在本书...
AHB的关键在于对接口信号线和连接协议的定义,目的是实现在任何工艺条件下接口和互连的最大带宽。ASB的主要特性与AHB类似,不同之处在于ASB读写数据使用同一条数据总线,而AHB具备独立的输入输出数据总线。 - **外设...
在嵌入式系统开发中,理解和调试这样的驱动程序是至关重要的,因为它们直接影响到系统的通信能力和稳定性。 此外,由于标签中提到了"soc",这表明该驱动可能适用于各种基于三星SoC的平台,例如智能手机、平板电脑、...
- **中央处理器(CPU)**: ARM SoC的核心是基于ARM架构的处理器内核,例如Cortex-A系列适用于高性能应用,而Cortex-M系列则更侧重于实时性和能效。 - **图形处理器(GPU)**: 针对图形处理需求,ARM SoC可以集成专门的...
- 指出除了英特尔产品销售条款和条件中规定的责任外,英特尔不对任何明示或暗示的保修承担责任,包括但不限于对特定用途的适用性、商品性和不侵犯专利、版权或其他知识产权权利的责任。 3. **使命关键应用免责声明...
北斗多模多频SoC性能要求与测试方法适用于北斗多模多频System-on-Chip的设计、开发、生产和测试,它们是 BeiDou 多星座多频率 System-on-Chip 的组成部分。该标准规定了北斗多模多频SoC的性能要求和测试方法,以确保...
- **适应性强**:RVM适用于各种复杂的设计,包括多核、高速接口和异构系统。 在实际应用中,基于RVM的SOC验证技术通常与形式化验证、仿真、硬件加速和软件模拟等其他验证技术结合使用,以形成综合的验证策略。通过...
综上所述,SOC 估算技术是电动汽车和混合动力汽车电池管理系统的关键组成部分,而文中提出的新方法在特定条件下表现出较高的精度,为实际应用提供了新的可能。随着电池技术的不断进步,对 SOC 估算方法的研究将持续...
知识点一:SoC芯片的定义与应用 SoC(System on Chip)芯片,即系统级芯片,是一种集成电路,它将电子系统所需的全部功能模块集成在一块芯片上。SoC芯片广泛应用于多种设备中,特别是在智能手机、平板电脑、穿戴设备...
基于SoC的数据采集与交互系统解决方案是现代物联网技术中的一个重要组成部分,它利用先进的System-on-Chip(SoC)技术,结合Ethernet通信,实现远程数据采集和处理。在本文中,我们将详细探讨该系统的设计原理、架构...
锂电池是一种能量存储装置,主要由正极、负极、电解质和隔膜组成。其工作原理基于锂离子在充放电过程中的移动。锂电池的特点包括高能量密度、长寿命和相对稳定的电压平台。 二、锂电池模型概述 在 Simulink 中,锂...
- **定义:** SOPC是指在单一芯片上集成多种功能的系统,通常包括但不限于嵌入式处理器、存储器、硬件加速器等组成部分。 - **应用背景:** 随着嵌入式系统复杂度和性能需求的不断提升,传统设计方法逐渐难以满足。...
AT91SAM9系列是基于ARM...总之,"rtc-at91sam9.rar_SOC"提供的源代码是为AT91SAM9 SoC设计的RTC驱动程序,适用于Linux内核v2.13.6。理解和使用这个驱动,可以增强嵌入式系统的时间管理能力,确保系统的时钟准确无误。
在现代无线通信领域,射频(RF)技术和系统级芯片(SoC)技术是两个核心组成部分。随着无线通信技术的飞速发展,对这些设备进行有效的生产测试变得尤为重要。生产测试能够确保产品的质量、可靠性和性能符合设计要求...