网络安全 频道

专访叶蓬:如何让SOC发挥真正价值?

  企业如何选型SOC产品?

  安管平台自身的技术复杂性和应用的复杂性决定了对于企业用户而言,进行安管平台的选型并非易事。叶蓬认为,其实比选型更重要的是安管平台的建设规划,而选型仅仅是整个建设规划的一个环节。

  1、建设规划关键思路:

  ★ 整体规划、分步实施、逐步落实的思路

  建设一套全面的安全管理体系是一个系统工程,牵涉到单位的方方面面,不仅是IT运维及管理部门的事情,还涉及到各个业务部门,甚至单位中的每个个人。同时,建立安全管理体系本身也涉及到技术、流程、组织和人员等诸多要素,相互关联,缺一不可。因此,必须充分认识到安全管理体系建设的复杂性,同时要获得单位高级管理层的理解和支持,总体规划一定要到位,切忌重建设轻规划。

  1)安全管理体系设计:在管理层的支持下,首先要结合客户的现状与未来发展规划,以及自身业务特点,按照等级保护的基本要求,借鉴IAFT的框架,设计出总体安全管理体系。这个体系应该包括组织和人员、流程、技术等各个方面。

  2)SOC平台总体设计:然后,基于SOC的基本模型和功能组成,设计出安全管理体系之下的安全一体化集中管理系统(SOC)总体方案。这个总体方案重点对安全管理的技术方案进行设计,形成一套安全管理体系的技术支撑平台。

  3)SOC平台落实规划:SOC总体设计方案不可能一步到位,需要进行合理规划,分阶段实施,分步骤落实。每一步都要明确实施的范围、目标,预期要达成的效果,并进行可行性分析和论证。一般建议分2~4步来落实。

  ★ 技术与服务并重,建设与运维并举的思路

  安全管理体系的建立和安全管理平台的运维使用不仅仅是一个技术问题,还涉及到组织、人员和流程等方方面面。因此,安全管理平台(SOC)一定要避免“重建设,轻使用”的误区。只要规划明确、管理范围界定清楚、目标清晰,依据科学的技术指标,遵循合理的选型过程,就能够搭建好一个安全管理平台。但是,如何使用好这个安全管理平台,则需要在日常运维工作中不断地磨合、梳理,逐步建立起适用的工作流程。同时,还需要相应的专业技术人才,以及合格的运维管理队伍。

  因此,建设SOC,一定要技术与服务并重,建设与运维并举,在规划、选型等各个阶段都要关注SOC运维服务部分的内容,避免出现“建起来,用不起来的”尴尬。

  需要指出的是,如果说技术选型可以制定出一套硬指标的话,那么,服务选型都是软指标。这些软指标如何在后续的SOC运维使用过程中体现出来,是具有挑战性的。

  ★ 充分利用代维服务,借助外脑

  建设安全管理平台(SOC)是一项技术含量高,对单位组织和配套流程要求高的工作。因此,客户在建设安全管理平台(SOC)的过程中,要充分借助外脑,充分利用外部资源,使用代维服务,运维外包的模式。在项目规划和建设阶段,可以借助外脑,利用外部咨询专家和实施顾问定规划、定应急预案、定运维流程;在系统运维使用阶段,可以借助运维外包,利用外包方驻场工程师充实现有的运维队伍,利用外包方专家协助进行应急响应、安全事件分析与取证。

  在利用外部资源的同时,客户自身也要建立一支精干的专业安全运维团队,不断吸取外部资源提供的经验,逐步提升自身的专业技术水平和安全运维能力,并做好相应的代维监督管理工作。

  2、 SOC技术平台选型建议:

  注意:只有先完成了建设规划,才有可能进入平台选型阶段。而根据建设规划,不一定非要去选择自建SOC,因此也就不一定非要去做SOC选型。用户也可能选择外包、委托建设等方式。因此,SOC选型与否应该取决于安管平台建设规划,千万不要本末倒置。

  1)建立安全管理平台衡量关键指标体系

  在安全管理平台选型的时候,第一步是要建立衡量安全管理平台的关键指标体系。用户根据当前阶段的任务目标和范围,从选型指标库中选取合适的指标,包括技术指标和服务指标两类,并赋予相应的权重,构成本次选型的关键指标体系。

  这个阶段的工作成果输出是:一个包括关键指标体系的打分表。

  2、筛选供应商,确定备选平台

  这个阶段的工作是根据那份关键指标体系和打分表对供应商进行比较、打分。根据供应商的平台技术水平和服务水平筛选出优选的供应商,并圈定2~4个备选平台。

  需要注意的是,选择供应商与选择安全管理平台是有区别的,选择安全管理平台平台重点关注的是是否能够满足技术指标体系,而选择供应商重点关注的是供应商的安全管理平台实施能力,以及满足服务指标体系的程度。

  这个阶段的工作输出是:出具安全管理平台供应商的服务指标体系符合性报告、确定备选供应商和备选平台。

  3、依照技术指标体系对备选平台进行POC验证性测试

  在确定备选安全管理平台后,就要根据事先制定的关键技术指标,对2~4家备选平台进行验证性测试。

  POC(Proof of Concept)测试,即验证性测试,是指根据预设的系统功能和性能技术指标,在模拟环境下,进行真实的数据运行,对备选系统进行功能满足度的测试。同时,通过对备选系统进行性能测算,估算出真实环境下的性能和系统承载能力。

  在这个阶段,用户要自行搭建模拟环境,并在安全管理平台供应商的配合下,搭建起测试平台,进行测试。一般每个平台的测试周期约为1~2周。测试完毕,要出具测试报告和技术指标体系符合性报告。

  在进行验证性测试的时候,可以仅针对优先级别标记为高或者是必须满足的技术指标项进行测试,这样有助于测试过程的快速收敛。

  4、综合评判

  根据第二阶段和第三阶段的工作成果,对安全管理平台供应商和平台作出综合评判,并打分。

  5、商务谈判、招投标

  这个阶段,用户进入商务招标阶段。可以选择公开招标,或者邀标,等等。

  总之,由于安全管理平台技术相对比较复杂,涉及面广泛,因此安全管理平台选型应该慎重行事,前期准备工作尽量充分、完备。

2
相关文章