【51CTO.com 綜合消息】一、SOC的主要發(fā)展現(xiàn)狀

1、國(guó)外的發(fā)展方向以SIEM為主

在信息化程度較高的西方國(guó)家鮮見(jiàn)以SOC命名的產(chǎn)品，此類產(chǎn)品更多地是與服務(wù)捆綁提供的。最早建立SOC的ISS公司大約是在1999年收購(gòu)了當(dāng)時(shí)最大的獨(dú)立安全服務(wù)提供商——Netrex Secure Solutions公司，建立了一個(gè)端到端的SAFEsuite(R)安全管理平臺(tái)，為客戶提供可管理安全服務(wù)（MSS：Managed Security Service）。他們的SOC是自建自用，用于開(kāi)展MSS運(yùn)營(yíng)業(yè)務(wù)，并非獨(dú)立銷(xiāo)售的產(chǎn)品。后面CheckPoint、WatchGuard、Cyber Security等推出的SOC要么是自己以之為平臺(tái)進(jìn)行MSS服務(wù)，要么就是把目標(biāo)客戶定為開(kāi)展MSS服務(wù)的ISP等。

面向普通用戶的安全管理產(chǎn)品，目前的主要方向集中在安全信息和事件管理（SIEM：Security Information and Event Management）上，安全信息與事件管理主要解決的是用戶網(wǎng)絡(luò)中所有日志的收集、安全存儲(chǔ)、分析、警報(bào)、審核以及合規(guī)性報(bào)告，它將大量看似無(wú)關(guān)的數(shù)據(jù)關(guān)聯(lián)起來(lái)，變成可理解的信息模式，幫助管理員掌握網(wǎng)絡(luò)狀態(tài)，并在第一時(shí)間掌握重大安全事件，同時(shí)幫助客戶簡(jiǎn)化法規(guī)遵從性。

根據(jù)Gartner 2008年關(guān)于信息安全的Hype Cycle曲線分析顯示，全球安全管理平臺(tái)市場(chǎng)趨于成熟，已逐漸成為業(yè)界主流產(chǎn)品，如下圖所示：

圖：Gartner信息安全Hyper Cycle

2、國(guó)內(nèi)SOC的發(fā)展與建設(shè)困境

國(guó)內(nèi)SOC的引入和發(fā)展與國(guó)外的情況有很大不同，一方面國(guó)內(nèi)在提出SOC的時(shí)候，大多數(shù)用戶對(duì)SOC認(rèn)識(shí)模糊，除了電信、民航、金融等高度信息化的個(gè)別行業(yè)和單位，大部分企業(yè)和組織，包括政府等對(duì)信息安全要求較高的單位連NOC都沒(méi)有建立起來(lái)。另一方面，由于受制于國(guó)內(nèi)體制、應(yīng)用環(huán)境、傳統(tǒng)認(rèn)識(shí)的制約，IT服務(wù)、尤其是安全運(yùn)維的外包一直沒(méi)能開(kāi)展起來(lái)，所以，國(guó)內(nèi)的SOC一開(kāi)始就是面向各類行業(yè)用戶，以產(chǎn)品形態(tài)出現(xiàn)的。

從一般定義來(lái)說(shuō)，國(guó)內(nèi)主流觀點(diǎn)僅把SIEM看做是SOC產(chǎn)品的核心部分之一，一方面要求將不同位置、不同資產(chǎn)（主機(jī)、網(wǎng)絡(luò)設(shè)備和安全設(shè)備等）中分散且海量的安全信息進(jìn)行歸一（范式化）、匯總、過(guò)濾和關(guān)聯(lián)分析，形成基于資產(chǎn)/域的統(tǒng)一等級(jí)的威脅與風(fēng)險(xiǎn)管理，并依托安全知識(shí)庫(kù)和工作流程驅(qū)動(dòng)對(duì)威脅與風(fēng)險(xiǎn)進(jìn)行響應(yīng)和處理，另一方面不僅針對(duì)安全設(shè)備進(jìn)行管理，還要針對(duì)所有IT資源，甚至是業(yè)務(wù)系統(tǒng)進(jìn)行集中的監(jiān)控和管理。

隨著用戶對(duì)SOC期望值的不斷提高，加上部分廠商出于競(jìng)爭(zhēng)目的的引導(dǎo)，SOC平臺(tái)包含的內(nèi)容越來(lái)越多。國(guó)內(nèi)的SOC平臺(tái)所涵蓋的領(lǐng)域不僅包括SIEM，還有風(fēng)險(xiǎn)管理、運(yùn)維管理、安全設(shè)備管理。甚至有些大型安管平臺(tái)還包括了網(wǎng)絡(luò)管理、應(yīng)用管理、策略管理、配置管理、變更管理、基線管理、績(jī)效管理等等，這些擴(kuò)展應(yīng)用大都屬于IT運(yùn)維管理范疇。

盡管SOC產(chǎn)品范圍越來(lái)越大，但不容諱言，從另一方面，幾年來(lái)電信、民航等領(lǐng)先行業(yè)的SOC建設(shè)難言成功，在投入了大量的人力物力后，用戶發(fā)現(xiàn)，SOC沒(méi)有能夠體現(xiàn)日志、告警到安全事件的提煉，報(bào)出的安全事件以誤報(bào)居多，發(fā)現(xiàn)的風(fēng)險(xiǎn)難以理解，更不會(huì)自行處理；自動(dòng)生成的圖形報(bào)表反映的是被誤報(bào)嚴(yán)重扭曲過(guò)的統(tǒng)計(jì)結(jié)果；全流程的運(yùn)維管理流程對(duì)自己?jiǎn)挝粎s難以適合。一來(lái)二去后，用戶發(fā)現(xiàn)進(jìn)行了巨大的投資，牽扯了大量的人力，卻沒(méi)有換來(lái)理想的運(yùn)營(yíng)管理效果。

盡管碰到了各種各樣的困境，但從理論界到各大行業(yè)用戶，沒(méi)有人懷疑SOC的必要性。怎樣建設(shè)好、用好SOC，成為一個(gè)亟需解決的難題。

二、走中國(guó)特色的SOC之路

由于中國(guó)的管理體制所具有的特殊性，以及中國(guó)網(wǎng)絡(luò)與安全管理理念、制度、體系、機(jī)制的中國(guó)特色，比如廣泛采用的內(nèi)、外網(wǎng)雙網(wǎng)結(jié)構(gòu)，之間既要保持隔離又有數(shù)據(jù)交換的需求；再比如不同密級(jí)的網(wǎng)絡(luò)對(duì)信息保密的嚴(yán)格規(guī)定，以及上下級(jí)部門(mén)之間的職能區(qū)分帶來(lái)的網(wǎng)絡(luò)管理模式區(qū)別等等，決定了我們不能只按照國(guó)外已經(jīng)成熟的理論和標(biāo)準(zhǔn)去建設(shè)SOC，SOC的產(chǎn)品功能組合和建設(shè)必定是有中國(guó)特色的。

從國(guó)內(nèi)SOC幾年的建設(shè)過(guò)程看，受?chē)?guó)內(nèi)體制和安全領(lǐng)域慘烈競(jìng)爭(zhēng)的影響，SOC的發(fā)展和其他很多系統(tǒng)一樣，才是個(gè)剛剛會(huì)走的孩子就已經(jīng)被描述為力量十足的大漢。在不斷描述的美好愿景與現(xiàn)實(shí)表現(xiàn)的差距下，用戶不滿、市場(chǎng)成長(zhǎng)緩慢。很多業(yè)內(nèi)人士也把SOC比喻成“垃圾電影”，故事還沒(méi)有進(jìn)入高潮就已經(jīng)把觀眾逼出了影院。

任何一個(gè)系統(tǒng)，如果能什么工作都做，并且都做得很好當(dāng)然是最理想的。但最理想的東西往往又是不存在的，SOC也一樣。我們認(rèn)為，SOC沒(méi)有發(fā)揮出應(yīng)有的作用，首要原因是產(chǎn)品沒(méi)有正確定位、建設(shè)沒(méi)有循序漸進(jìn)。 如果切實(shí)推進(jìn)SOC建設(shè)，必須走中國(guó)特色的SOC之路。

1、安全事件管理是SOC的重中之重

安全運(yùn)營(yíng)中心最核心的是安全運(yùn)維，安全事件是安全運(yùn)維的輸入和依據(jù)。一般來(lái)說(shuō)，一個(gè)安全管理員每天能夠處理的安全事件不會(huì)超過(guò)10個(gè)，如何從海量的安全設(shè)備和應(yīng)用系統(tǒng)日志、告警中提煉出安全事件，是有相當(dāng)難度的挑戰(zhàn)。從一定意義上講，資產(chǎn)管理、漏洞管理、知識(shí)庫(kù)、工單管理等等都是為了準(zhǔn)確地發(fā)現(xiàn)、評(píng)估、處理安全事件。所以，SOC要想做好，首要的就是要做好安全信息的統(tǒng)一收集、存儲(chǔ)和關(guān)聯(lián)分析，從而準(zhǔn)確的跟蹤、處理安全事件。而在這個(gè)核心問(wèn)題上，目前SOC產(chǎn)品也并沒(méi)有解決好。

另一方面，伴隨著一系列安全事件的發(fā)生，審計(jì)要求已被提高到空前的高度。國(guó)內(nèi)外監(jiān)管部門(mén)發(fā)布了一系列的審計(jì)要求文件，如美國(guó)的薩班斯法案404條款要求公眾公司必須確保與財(cái)務(wù)相關(guān)的IT系統(tǒng)的安全性和可審計(jì)性。2006年國(guó)務(wù)院國(guó)有資產(chǎn)監(jiān)督管理委員會(huì)向各中央企業(yè)發(fā)布了《中央企業(yè)全面風(fēng)險(xiǎn)管理指引》，要求中央企業(yè)加強(qiáng)內(nèi)控，并在指引中對(duì)內(nèi)控審計(jì)和IT技術(shù)建設(shè)風(fēng)險(xiǎn)管理信息系統(tǒng)均提出了明確的要求。在公安部、保密局等主管部門(mén)發(fā)布的信息安全等級(jí)保護(hù)的系列文件中更是對(duì)不同等級(jí)的網(wǎng)絡(luò)提出了明確的管理和審計(jì)要求，合規(guī)性審計(jì)已成為SOC的必備功能。

2、網(wǎng)絡(luò)管理與安全管理融合是國(guó)內(nèi)用戶的切實(shí)需求

正像前面所說(shuō)，國(guó)內(nèi)大多數(shù)企業(yè)和組織在啟動(dòng)SOC建設(shè)的時(shí)候，并未建立起網(wǎng)絡(luò)運(yùn)行中心NOC，他們的第一需求就是把關(guān)心的設(shè)備和系統(tǒng)“管起來(lái)”，能夠監(jiān)控其運(yùn)行狀態(tài)，包括系統(tǒng)狀態(tài)、網(wǎng)絡(luò)流量、告警狀態(tài)等。同時(shí)國(guó)內(nèi)網(wǎng)絡(luò)管理和安全管理往往是同一批人員在負(fù)責(zé)，他們更希望同一套系統(tǒng)能夠基本滿足他們的日常管理需要。所以設(shè)備管理、拓?fù)涔芾硪约斑M(jìn)一步的資產(chǎn)管理也是SOC適應(yīng)中國(guó)國(guó)情的必備需求。

3、主動(dòng)防御是日常安全管理的核心

安全的最高境界就是沒(méi)有安全問(wèn)題，預(yù)防安全事件的發(fā)生是日常安全運(yùn)維的目標(biāo)。那么如何有效地在日常工作中進(jìn)行主動(dòng)防御呢？我們認(rèn)為配置管理和完整性檢查是實(shí)現(xiàn)主動(dòng)防御的有效手段。通過(guò)將配置管理和完整性檢查納入SOC管理，可以有效地發(fā)現(xiàn)已知和未知特征的安全攻擊行為，預(yù)防安全事件的實(shí)質(zhì)性危害。

配置管理和完整性檢查是指通過(guò)配置信息收集腳本，收集重要主機(jī)系統(tǒng)上與安全相關(guān)的系統(tǒng)信息，監(jiān)控系統(tǒng)配置的變化，并通過(guò)與相關(guān)安全基線的比較，來(lái)準(zhǔn)確的分析獲得系統(tǒng)的安全脆弱性信息，進(jìn)而發(fā)現(xiàn)威脅、主動(dòng)調(diào)整防御措施。

4、客戶化定制適應(yīng)不同行業(yè)的管理需求

不同用戶的信息系統(tǒng)現(xiàn)狀差異很大，國(guó)內(nèi)各行業(yè)間的信息化發(fā)展水平更是參差不齊。同時(shí)各行業(yè)的管理體制、安全特點(diǎn)和安全需求往往是個(gè)性化的，安全運(yùn)營(yíng)思路各有其特點(diǎn)。目前的SOC產(chǎn)品，軟件中體現(xiàn)的運(yùn)營(yíng)思路都是較單一的模式，對(duì)待差異化的客戶往往顧此失彼。

差異化、個(gè)性化問(wèn)題在防火墻、IDS等單個(gè)安全產(chǎn)品的應(yīng)用中并不突出，因?yàn)樗麄兘鉀Q的是安全中的一個(gè)點(diǎn)的問(wèn)題。但SOC這樣的綜合運(yùn)營(yíng)平臺(tái)與用戶的管理體系、運(yùn)營(yíng)方式等緊密相關(guān)，標(biāo)準(zhǔn)化產(chǎn)品與個(gè)性化客戶的矛盾尤為突出。這就決定了SOC產(chǎn)品要想得到用戶的認(rèn)可，必須具備強(qiáng)大的客戶化定制能力。這一方面要求開(kāi)展SOC產(chǎn)品業(yè)務(wù)的公司做好為客戶進(jìn)行定制開(kāi)發(fā)的準(zhǔn)備，同時(shí)，要求SOC產(chǎn)品具有很強(qiáng)的平臺(tái)化特征，具有很好的模塊化特征和良好的擴(kuò)展性。

5、平臺(tái)建設(shè)是基礎(chǔ)，運(yùn)營(yíng)才是SOC的本質(zhì)

無(wú)論組合了多少功能，SOC仍然只是一個(gè)工具平臺(tái)，屬于技術(shù)層面，企業(yè)和組織可以借助這個(gè)平臺(tái)進(jìn)行安全運(yùn)維，但它無(wú)法代替專業(yè)的安全技術(shù)人員。要讓SOC發(fā)揮好的作用，毫無(wú)疑問(wèn)，需要配套針對(duì)性的SOC運(yùn)維機(jī)制和流程，這方面需要注意的恰恰是不要試圖建立大而全覆蓋所有安全工作的機(jī)制和流程，這反而會(huì)對(duì)提升SOC使用效能形成管理瓶頸。

由于國(guó)內(nèi)安全技術(shù)人員的稀缺和水平的參差不齊，通過(guò)SOC的專業(yè)化運(yùn)營(yíng)引入安全服務(wù)商的專業(yè)網(wǎng)絡(luò)安全隊(duì)伍，進(jìn)行安全代維或者安全服務(wù)，是保障SOC各項(xiàng)安全功能得到落實(shí)的有力措施。

總之，平臺(tái)工具、標(biāo)準(zhǔn)化流程體系和專業(yè)化運(yùn)營(yíng)隊(duì)伍是SOC成功運(yùn)營(yíng)的三大支柱。