安全管理中心soc需求和设计.doc

安全管理中心（SOC）需求和设计 梁志恒 谢冬青 湖南大学软件学院, 湖南.长沙 410082 联系电话E-mail: l_zhiheng@163.com 摘要：随着网络与信息安全问题的增加，如何实现大型网络的安全管理，如何实现全网安全产品的集中监控等问题日益突出。本文以电力企业运营网络为背景，分析了目前大型网络安全管理的主要需求，总结了大型网络安全管理中心的建设思路。 关键词：网络安全 信息安全 安全管理中心 一、 前言 最近几年安全建设发展的如火如荼，但许多用户，尤其是大中型企业用户发现，防病毒，防火墙，VPN，入侵检测，扫描器等大量安全产品的购买和部署，似乎并没有达到企业安全防护能力大幅度提升的目的。大量的安全警告，误报，漏报，简单而意义表达不清晰的告警等，常常困扰用户；众多安全厂商和产品之间采用独立的控制台进行管理，安全管理员奔波于不同的控制台之间，仍得不到充分和准确的安全信息。 大量安全信息的漏报和误报往往导致用户管理员对安全体系失去了原有的信心。但这些问题，并不是产品功能不完善，或者使用维护过程中没有充分发挥产品本身作用造成的，很大一部分问题是现有的安全技术发展水平和安全防护体系造成的。没有一个现有的体系或产品，能够综合管理所有的安全产品，融入到一个统一的管理界面，统一所有的安全告警信息进行集中处理，并且依据企业唯一有效的标识进行信息的深层处理，这就是安全管理中心应当实现的功能。 安全管理中心是指为保证信息资产的安全，采用集中管理方式统一管理相关安全产品，搜集所有安全信息，并通过对收集到各种安全事件进行深层的分析，统计和关联，及时反映被管理资产的安全基线，定位安全风险，对各类安全时间及时提供处理方法和建议的安全解决方案。国外称作Security Operation Center（SOC），又称安全管理中心。 信息资产泛指任何被认为有价值的，需要纳入管理的硬件设备和软件系统，包括重要的服务器和工作站，网络设备，数据库系统，各种应用业务系统等等。 二、 安全管理中心的起源和现状 安全管理中心的概念起始于2000年下半年，它和管理安全服务（Management Security Service –MMS）是相辅相成的。在国外，许多用户为了节省在安全管理方面的投资，和尽量获取更专业的安全管理支持，往往委托专业的安全服务商帮助其监控和管理系统的安全。于是，许多专业的安全厂商推出了针对该项用户需求的服务，并涌现了众多专门提供该项服务的安全厂商，也就是管理安全服务提供商（Management Security Service Provider –MSSP）。当一个MSSP为多个客户提供服务的时候，为了提高服务水平，集中体现公司优势和降低成本，MSSP会建立一个集中的监控和维护中心，为多个客户提供集中的安全监控和管理服务，这样就形成了SOC中心。SCO体现了集中监控，整体安全的概念，MSS的中心思想是安全管理的委托外包。它们之间有着紧密的联系，但是没有内在的必然联系，只不过在当前业界的实践中，许许多多的管理安全服务提供商（MSSP）都是通过建设SCO来提供服务的。 当国际上MSS服务发展的时候，国内一些安全厂商也试图将MSS服务和SCO引入到中国，但是，这些尝试均受到了挫折。原因很简单，没有一个中国企业的用户愿意将自己网络的安全交由一个放置在企业外部的监控中心来对企业系统进行监控和管理！他们似乎更愿意将一切掌握在自己手中，在安全管理方面也是如此。当然，这无疑是一个最合适中国国情的方式。 既然是具有中国国情的方式，在了解国际上SCO建设的宝贵经验教训的同时，也就充分考虑到这种不同的情况，而这就是不同的环境和不同的需求。MSSP建设的SCO中心，既然是构建于企业之外，实际上更关注的是安全事件的监控和响应，而无法直接和企业的管理架构、流程相融合。而我们的企业考虑自行建设SCO中心的时候，更有利的条件是可以根据企业自身具有的特点和需求，可以使得SCO中心的建设更具有针对性、符合企业业务发展及关注点不同的需要。在这一点上，国外MSSP建设的SCO中心就无法完成这些内容的建设和考虑。 三、 安全管理中心的需求分析 对于SCO安全管理中心，有些用户只是很朴素的需求：能够将所有安全告警信息发送到一个统一的平台上显示和能够出统一的报表就可以了。而安全厂商却告诉用户：安全管理中心是一套非常复杂的系统，不是一个简单的产品，需要厂商的安全顾问服务来协助用户完成SCO的构建。那么，我们需要SCO完成什么样的功能？我们在建设SCO的时候，都需要考虑哪些方面的内容？是不是SCO就复杂到用户自己无法构建的程度？ 实际上，SCO概念的出台，本身就是为了满足用户安全建设的需求的，它本身并没有高深的理念和复杂的体系，只是依据用