网络安全的发展随着网络建设经历了三个阶段:一是防火墙、防病毒与IDS(入侵检测系统)部署的初级阶段。二是随着网络扩大,各种业务从相互独立到共同运营,网络管理中出现的安全域的概念,利用隔离技术把网络分为逻辑的安全区域,并大量的使用区域边界防护与脆弱性扫描与用户接入控制技术,此时的安全技术分为防护、监控、审计、认证、扫描等多种体系,纷繁复杂,称为安全建设阶段。三是随着业务的增多,网络的安全管理成为网络建设的新重点,把各个分离的安全体系统一管理、统一运营,我们称为安全管理阶段,最典型的就是综合性安全运营中心(Security Operation Center)SOC的建设。从这个阶段开始,网络安全开始走上业务安全的新台阶,业务持续性保障BCM(Business Continuity Management)成为下一步业务安全评价的重点。
网络的建设中,经历了从分离到统一,再到业务与管理的分离、承载与业务的分离,其中网络管理中心NOC(Network Operation Center)的发展起到重要的作用,那么新兴的安全运营中心SOC与网络中 NOC是怎样的关系呢?
一种观点认为SOC就是安全设备的运营管理,无非是增加一些安全特性的管理与策略,SOC是NOC的一个组成部分。但是网络管理本身也需要安全管理的支持,安全管理中心不仅要保障网络支撑系统的安全,还要为业务应用提供安全保障,比如身份认证、授权系统等基础安全设施。从功能的角度看,SOC应该是NOC与业务管理的共同支撑系统,比如NOC中的日常维护,同样要接受SOC中人员身份确认、安全行为审计的管理。两者的关系如下图:
从安全建设阶段的后期开始,企业业务设计的初期,SOC就与NOC一起成为IT服务基础设施规划的重点,设备运维侧重系统本身的管理,为业务提供通路;安全管理侧重业务安全的保障,解除外来的与内部的威胁,两者的信息是互通的,只是实现技术与管理重点不同。安全管理是从业务发生的起点到业务完成的整个生命周期的安全保障。
二、SOC建设中的三个发展维度
SOC是安全技术“大集成”过程中产生的,最初是为了解决安全设备的管理与海量安全事件的集中分析而开发的平台,后来由于安全涉及的方面较多,SOC逐渐演化成所有与安全相关的问题集中处理中心:设备管理、配置下发、统一认证、事件分析、安全评估、策略优化、应急反应、行为审计等等。能把全部安全的信息综合分析,统一的策略调度当然是理想的,但是SOC要管理的事如此之多,实现就是大难题。基于不同的理解,市场出现的各种SOC也各取所长,有风险评估为基础的TSOC,有策略管理的NSOC,有审计为主的ASOC,还有干脆是安全日志分析为主的专用平台……
各种SOC特点各异,但都是围绕安全管理的过程来进行的,对应了安全事件管理的事前、事中、事后三个阶段,事前重点是防护措施的部署,排兵布阵;事中是安全的监控与应急响应,对于可以预知的危险可以防护,但对于未知的危险只能是监控,先发现再想办法解决;事后是对安全事件的分析与取证,对于监控中没有报警的事件的事后分析。由此SOC的功能发展就延伸为下面三个维度:
安全防护管理:负责安全网络设备的管理与基础安全体系的运营。是安全事件出现前的各种防护管理,其鲜明的特征就是制定的各种安全策略并下发到相关的安全设备。
监控与应急调度中心:对安全事件综合分析,根据威胁程度进行预警,并对各种事件做出及时的应对反应。
审计管理平台:事件的取证与重现、安全合规性审计、数据的统计分析、历史数据的挖掘。安全的审计安全管理的事后“总结”,也是安全防护的依据。
安全服务贯穿于三个维度中,防护的策略需要对安全先整体评估,预警应急需要安全专家的分析与办法……SOC的三个发展方向实现的功能需求是可以独立的,但其所需的信息来源基本是一样的,都是从设备的安全日志与链路的数据分析得来,SOC建设好比是一个根上开出的三束花。
启明星辰推出的泰合信息安全运营中心(TSOC)就是按照三维发展思路开发的,TSOC以资产的安全评估为核心,重点是安全设备日志、事件的综合分析,故障的定位,并评估威胁的级别报警,它分为五个中心:漏洞评估中心、网管中心、事件/流量监控中心、安全预警与风险管理中心以及响应管理中心。有了对网络资产的安全状况的全面了解,基于安全域防护的理论,进行防护管理的扩展,与统一认证、数字签名等安全基础策略相关联,建立基于客户业务的安全管理策略,并落实到具体的安全设备配置策略,包括应用层、网络层等多方面的防护。有了监控的信息收集平台,信息是完整的,审计平台的建设也方便很多。
安全管理的关键是考虑全面,遗漏本身就会给系统带来不安全的因素,所以SOC的三个维度建设应该是相辅相成的,单独的哪一个方面都不可能替代其他方面的功能,三个方面相结合,覆盖安全事件的前、中、后整个周期,才可以全面保障客户业务的安全。
