安全运维中心(SOC).doc

? 在前一篇文章里，已经对安全运维外包（MSS）这种服务模式进行了简单的分析，下面我们再来看看安全运维服务的另一种模式，安全运维中心（SOC）的建设。 ????? 正是由于安全外包服务所面临的各种各样的问题，企业或组织在选择安全运维模式时，更多的是在考虑依靠自身的力量建立完全属于自己安全运维队伍，来保障自身网络与业务系统的安全。组织一旦决定建设自身的安全运维环境，那么将必然面临以下问题： 安全运维队伍：如何建立一个高效、具备解决问题能力的安全运维队伍？ 安全运维流程：如何建立适合核心业务需求的安全事件处理机制、流程？ 安全运维平台：依靠何种手段将众多的安全基础设施管理起来？ ????? 要解决以上三个问题，组织的安全运维中心的概念就应运而生了。安全运维中心有时称为安全运营中心（SOC，Security Operations Center）。 一、安全运维中心的内容 ????? 之前我们讨论过过，安全运维的主要目的即是保证安全手段（产品 + 技术）的应用能够达到预期的良好效果（Effect）和提高效率（Efficiency）。因此，从整体上说，安全运维工作是一个综合的管理与运营维护能力，需要的不仅仅是一个综合的安全设备管理技术或管理工具，而是一个能够将整体的安全组织、安全策略、安全技术、安全风险、安全事件、安全操作等统一的管理并保证其运转（Operations）有效（Effective and Efficiency）的一个平台，这样的平台，我们可以称之为安全运维中心（SOC）。 ????? 安全运维中心（SOC）至少包含三个方面的内容： ????? （1）安全人员（People） ????? 信息安全保障技术框架（IATF）里认为人员在安全保障框架的核心。人是信息系统的主体，是信息系统的拥有者、管理者和使用者，是信息保障体系的核心。在安全运维中心（SOC）里，安全运维人员也是保障整个运维平台稳定、高效的核心。 ????? SOC的安全运维人员包括日常运维小组、应急响应小组和安全专家等3个主要组成。安全运维人员的安全技能、安全意识、服务能力的高低在安全运维的效果中起着至关重要的作用。 ????? （2）运维流程（Process） ????? 在专业概念里，IT服务管理是以流程和服务为中心的IT管理方法。IT服务管理中的两个核心要素就是质量（Quality）和流程（Processes）。 IT服务管理目标就是不断改进IT服务的质量，而对流程的控制则是实现服务管理目标的基本方法。 ????? 从定义上来讲，流程（Processes）是指按照一个既定的目标组织起来的一组逻辑上相关的活动，流程管理的目标就是要通过规划和控制从而确保流程是有效的（Effective）和有效率的（Efficient）。 ????? 安全运维流程包括安全事件处理流程、安全故障定位流程、应急响应流程、日常操作流利等一系列的管理流程，是决定着SOC服务质量的关键，也是SOC成功运行的关键。 ????? （3）技术平台（Technology） ????? SOC的技术平台则体现为一种集中的安全管理形式，它能够将众多的安全设备、安全技术集中管理起来，能够对安全设备及应用系统的日志进行集中管理、分析，为系统的安全状态监控、故障快速定位、事件关联分析、系统分析报表等提供技术基础平台支持。 ????? SOC技术平台的关键是事件收集机制、事件关联机制及与运维流程进行有效结合的实现。 二、安全运维平台的组成 ????? 理想情况下的安全运营管理平台是一个集中安全策略管理（SPM，Security Policy Management）、安全风险管理（SVM，Security Vulnerability Management）、安全知识管理（SKM，Security Knowledge Management）、安全运营管理（SOP，Security Operation Process，关注流程和质量）、安全产品管理（SIM，Security Implement Management）于一体的统一安全管理平台（Unified Security Management Platforms）。从技术实现上，这个统一的安全管理平台不仅仅像SOC/SIM那样关注安全事件、关注安全产品状态的收集和监控，而是更希望能够借助面向服务架构（SOA，Services-Oriented Architecture）来建设一种平台，从根本上来实现各种安全产品和技术以及安全管理的集成化和自动化。 ????? 因此，安全运维管理平台即是一个管理平台，也是一个技术平台。从功能上来讲应该包含以下内容： ????? （1）安全集成管理（SIM） ????? 通常在组织的安全体系组成中