尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
雖然信息安全管理問題主要是個從上而下的問題,不能指望通過某一種工具來解決,但良好的安全技術基礎架構能有效的推動和保障信息安全管理。隨著國內行業IT應用度和信息安全管理水平的不斷提高,企業對於安全管理的配套設施如安全監控中心(SOC)的要求也將有大幅度需求,這將會是一個較明顯的發展趨勢。
推行SOC的另外一個明顯的好處是考慮到在國內企業目前的信息化程度下直接實施信息管理變革的困難性,如果嘗試先從技術角度入手建立SOC相對來說阻力更小,然後通過SOC再推動相應的管理流程制定和實施,這也未嘗不是值得推薦的並且符合國情的建設方式.
而且目前已經有些IT應用成熟度較高的大型企業開始進行這方面工作的試點和探索了,因為這些組織已經認識到僅依賴於某些安全產品,不可能有效地保護自己的整體網路安全,信息安全作為一個整體,需要把安全過程中的有關各方如各層次的安全產品、分支機構、經營網路、客戶等納入一個緊密的統一安全管理平台中,才能有效地保障企業的網路安全和保護原有投資。
信息安全管理水平的高低不是單一的安全產品的比較,也不是應用安全產品的多少和時間的比較,而是組織的整體的安全管理平台效率間的比較(ID:ydotpub)。下面我們就來談談建立一個SOC應該從那些方面考慮。
首先,一個較完善的SOC應該具有以下功能模塊:
一、安全設備的集中管理
1. 統一日志管理(集中監控)
包括各安全設備的安全日志的統一監控;安全日志的統一存儲、查詢、分析、過濾和報表生成等功能、安全日志的統一告警平台和統一的自動通知等;
模塊分析:大型網路中的不同節點處往往都部署了許多安全產品,起到不同的作用。首先要達到的目標是全面獲取網路安全實時狀態信息,解決網路安全管理中的透明性問題。解決網路安全的可管理控制性問題。從安全管理員的角度來說,最直接的需求就是在一個統一的界面中可以監視到網路中每個安全產品的運行情況,並對他們產生的日志和報警信息進行統一分析和匯總。
2. 統一配置管理(集中管理)
包括各安全設備的安全配置文件的集中管理,提高各管理工具的維護管理水平,提高安全管理工作效率;有條件的情況下做到各安全產品的配置文件(安全策略)的統一分發,修正和更新;配置文件的統一在(離)線管理,定期進行采集和審核,對安全產品的各種屬性和安全策略進行集中的存儲、查詢。
模塊分析:目前企業中主要的安全產品如防火牆、入侵檢測和病毒防護等往往是各自為政,有自己獨立的體系和控制端。通常管理員需要同時運行多個控制端,這就直接導致了對安全設備統一管理的要求。不過從目前國內的情況來說,各不同廠商的安全產品統一管理的難度較大,統一監控更容易做到,在目前現狀中也更為重要。
目前國內現狀是各個安全公司都從開發管理自己設備的管理軟件入手,先做到以自己設備為中心,把自己設備先管理起來,同時提出自己的協議接口,使產品能夠有開放性和兼容性。這些安全設備管理軟件和網路管理軟件類似,對安全設備的發現和信息讀取主要建立在SNMP協議基礎上,對特定的信息輔助其他網路協議。獲取得內容大部分也和網路設備管理相同,如CPU使用情況,記憶體使用情況,系統狀態,網路流量等。
3. 各安全產品和系統的統一協調和處理(協同處理)
協調處理是安全技術的目標,同時也符合大陸對信息安全保障的要求即做到多層次的防禦體系。整體安全技術體系也應該有多層次的控制體系。不僅僅包含各種安全產品,而且涉及到各主機操作系統、應用軟件、路由交換設備等等。
模塊分析:目前國內有部分提法是IDS和防火牆的聯動就是基於這種思路的,但是實際的使用情況中基本上沒有客戶認同這點,原因當然有很多,但實際上要做到這點還需要較長的技術積累。
4. 設備的自動發現
網路拓撲變化後能自動發現設備的調整並進行基本的探測和給出信息。
模塊分析:大部分企業內部的網路的拓撲都是在變化的,如果不支持設備的自動發現,就需要人工方式解決,給管理員造成較大的工作壓力,也不能掌握網路的實際拓撲,這樣不便於排錯和發現安全故障。可以採用自動搜尋拓撲的機制。如IBM TivoliNetview可以自動發現大多數網路設備的類型,或通過更改MIB庫,來隨時添加系統能識別的新的設備。
二、安全服務的集中管理
做到安全相關軟件/補丁安裝情況的管理功能,建立安全相關軟件/補丁信息庫,提供查詢、統計、分析功能,提供初步的分發功能。
模塊分析:微軟在對自己的操作系統的全網補丁分發上走的比較前,成功的產品有SUS和SNS等,國際上也有部分的單一產品是作這個工作的,但目前還沒有看到那個SOC集成了這個模塊。
1. 安全培訓管理
建立安全情報中心和知識庫(側重安全預警平台),包括:最新安全知識的收集和共享;最新的漏洞信息和安全技術,;做到安全技術的交流和培訓。持續更 新髮展的知識和信息是維持高水平安全運行的保證。
模塊分析:雖然這個模塊的技術含量較低,但要為安全管理體系提供有效的支持,這個模塊是非常重要的,有效的安全培訓和知識共享是提示企業的整體安全管理執行能力的基礎工作,也有助於形成組織內部統一有效的安全信息傳輸通道,建立安全問題上報、安全公告下發、處理和解決反饋的溝通平台。
2. 風險分析自動化
自動的搜集系統漏洞信息、對信息系統進行入侵檢測和預警,分析安全風險,並通過系統安全軟件統一完成信息系統的補丁加載,病毒代碼更新等工作,有效的提高安全工作效率,減小網路安全的」時間窗口」,大大提高系統的防護能力。
模塊分析:安全管理軟件實施的前提是已經部署了較完善的安全產品,如防火牆,防病毒,入侵檢測等。有了安全產品才能夠管理和監視,安全管理平台的作用在於在現有各種產品的基礎上進行一定的數據分析和部分事件關聯工作,例如設置掃描器定期對網路進行掃描,配合該時間段的入侵檢測系統監控日志和補丁更新日志,就可以對整網的技術脆弱性有個初步的了解。
三 、業務流程的安全管理
1. 初步的資產管理(資產、人員)
統一管理信息資產,匯總安全評估結果,建立風險管理模型。提供重要資產所面臨的風險值、相應的威脅、脆弱性的查詢、統計、分析功能。
模塊分析:國內外安全廠商中資產管理功能都很簡單,和現有的財務、經營軟件相差非常大,基本上是照般了BS7799中的對資產的分析和管理模塊。
2. 安全管理系統與網管系統的聯動(協調處理)
安全管理系統和網路管理平台已經組織常用的經營支持系統結合起來,更有效的利用系統和人力資源,提高整體的經營和管理水平。
模塊分析:如果可能的話,由於各產品的作用體現在網路中的不同方面,統一的安全管理平台必然要求對網路中部署的安全設備和部分經營設備的安全模塊進行協同管理,這也是安全管理平台追求的最高目標。但這並非是一個單純的技術問題,還涉及到行業內的標準和聯盟。目前在這方面作的一些工作如 Check Point公司提出的opsec開放平台標準,即入侵檢測產品發現攻擊和check point防火牆之間的協調,現在流行的IPS概念,自動封鎖攻擊來源等,都在這方面作了較好的嘗試,在和整體的網路管理平台的結合方面,目前國內外作的工作都較少,相對來說一些大型的IT廠商如IBM/CISCO/CA由於本身就具備多條產品線(網路、安全、應用產品),其自身產品的融合工作可能已經作了一些,但總體來說成熟度不高。
3. 與其它信息系統的高度融合
做到與OA、ERP等其他信息系統的有機融合,有效的利用維護、管理、財務等各方面信息提高安全管理水平。安全管理的決策分析和知識經驗將成為公司管理的重要組成部分。
四、組織的安全管理
1. 組織構成
根據企業的不同情況建立專職或兼職的安全隊伍,從事具體的安全工作。由於信息安全工作往往需要多個業務部門的共同參與,為迅速解決業務中出現的問題,提高工作效率,公司必須建立跨部門的協調機制。具體協調機構應由專門的安全組織負責,並明確牽頭責任部門或人員。有條件的企業或者組織應成立獨立的安全工作組織。
2. 組織責任
建立健全相關的安全崗位及職責;制定並發布相關安全管理體系,定期進行修正;對信息系統進行安全評估和實施,處理信息安全事故;部門間的協調和分派並落實信息安全工作中各部門的職責。
以上是SOC必須具備的一些模塊,現階段國內外也有一些廠商推出了安全管理平台軟件,從推動整個行業發展來看當然是好現象,但蘿蔔快了不洗泥,其中也存在一些發展中的問題,比如作為一個SOC必然要求具備統一的安全日志審計功能,但單一安全設備審計軟件不能等同於安全管理平台,究其原因為國內現有安全廠商中安全設備廠商占多數,優勢項目是在已有安全設備上添加統一日志管理和分析功能,由於是單個廠商的行為缺乏整體的行業標準,導致目前的安全審計軟件普遍缺乏聯動性,不支持異構設備,就算是對java的支持各個廠商的做到力度也不同,普遍只具備信息統計功能和分析報告的功能。
在目前的安全管理平台提供商中,能提供完整的產品體系廠商非常少。而號稱專業的安全產品廠商,因為安全產業起步很晚,這些廠商只能在某個領域做深,還無法提供整套的安全產品線,這也是一個現實。作為用戶應該認清需求,把各種安全產品在自己網路中結合起來,深入了解安全管理平台提供商的實力,才能夠達到安全目的,滿足自己的安全需求。
最後,從投入產出比的角度來說,因為SOC往往只是一個軟件平台的開發工作,大多數情況下不需要或者較少需要新的硬件投入,總投入往往不是很大,如果上了SOC後即使不能完善和推薦安全管理體系,也可以起到減輕管理員的工作負擔,增強管理員的控制力度,並對整個網路內的安全狀況進行統一監控和管理的作用,這樣總體來說安全管理平台SOC的投入產出就非常值得。
(本篇圖文均來自於網路,如有侵權請聯繫刪除)
關注OTPUB官方公眾號ydotpub,或登錄www.otpub.com獲取更多精彩資訊~