安全运营中心发展现状与应用探讨
网络安全运营中心简介
网络安全运营中心简介网络安全运营中心(Security Operation Center,简称SOC)是一个集中管理和监控企业网络安全的中心,其主要职责是通过实时监控、分析和响应网络事件,提供快速有效的安全威胁检测和响应。
网络安全运营中心的建立旨在提高企业网络安全的效率和效果。
通过集中监测流量、分析日志、检测异常行为和控制风险,可以及时发现并应对各类安全威胁。
SOC通常由一支由专业安全人员组成的团队负责运营,团队成员具备丰富的安全经验和技能,能够快速定位并解决网络安全事件。
网络安全运营中心的核心功能包括安全事件监控、入侵检测、漏洞管理、安全事件响应和安全事件记录。
安全事件监控是SOC的基础功能,通过实时监测网络流量和系统日志,可以快速发现异常行为和潜在的安全威胁。
入侵检测是指通过分析网络流量、日志和一些特定的入侵检测系统,发现并阻止入侵行为,降低系统受攻击的风险。
漏洞管理是指通过定期扫描和评估系统的安全漏洞,提前发现并修补可能被攻击者利用的漏洞。
安全事件响应是指在发生安全事件后,迅速做出反应,采取措施控制和修复受影响的系统。
安全事件记录是指将安全事件的信息进行持久化保存,为安全分析和审计提供依据。
网络安全运营中心的建立有助于提升企业对网络安全的认识和意识,加强对潜在安全威胁的防御和应对能力。
SOC可以实时监控和分析网络流量,通过行为分析和异常检测技术,提前发现并拦截可能的攻击行为。
SOC还可以通过定期漏洞扫描和评估,帮助企业发现和修复系统漏洞,减少被攻击的风险。
当网络安全事件发生时,SOC能够迅速响应,并采取措施控制和修复受影响的系统,最大限度地减少安全风险和损失。
总之,网络安全运营中心是一个集中管理和监控企业网络安全的中心,通过实时监测、分析和响应安全事件,提供快速有效的安全威胁检测和响应。
它的建立有助于提高企业对网络安全的防御和应对能力,降低系统被攻击的风险,保护企业的信息安全。
安全运营中心运维
数据备份与恢复策略制定
备份策略
01
制定定期备份计划,包括备份周期、备份方式、备份内容等,
确保数据的完整性和可恢复性。
恢复策略
02
制定数据恢复预案,包括恢复流程、恢复时间、恢复人员等,
确保在数据丢失或损坏时能够及时恢复。
备份验证与演练
03
定期对备份数据进行验证和演练,确保备份数据的可用性和恢
复策略的有效性。
功能
实时监控安全态势,快速响应安全事件,提供安全风险评估和预警,以及协调 内外部资源共同应对安全威胁。
架构与组成
架构
SOC通常采用分层架构,包括数据采集层、数据处理层、数据分析层和安全响应 层。
组成
SOC由多个团队和组件构成,包括安全监控团队、事件响应团队、威胁情报团队 和技术支持团队,以及安全信息事件管理(SIEM)系统、威胁情报平台(TIP) 和安全自动化响应(SOAR)工具等。
02
安全设备管理与维护
设备清单与配置管理
设备清单建立
详细记录安全设备的型号、序列 号、配置信息、安装位置等关键 信息,以便快速定位和管理设备
。
配置信息管理
对设备的配置信息进行备份、存档 和版本控制,确保配置信息的准确 性和可追溯性。
配置变更管理
建立配置变更流程,对设备配置的 任何更改进行审批、记录和验证, 防止未经授权的更改导致安全风险 。
根据运维工作的特点和 要求,制定具体的绩效 考核标准,包括工作效 率、工作质量、工作态 度等方面。
实施绩效考核
按照绩效考核标准,对 团队成员的工作表现进 行评价和打分,确保考 核结果的客观性和公正 性。
设计激励机制
根据绩效考核结果,设 计相应的激励机制,包 括奖金、晋升、荣誉等 ,激发团队成员的工作 积极性和创造力。
如何建立企业安全运营中心
●02
第2章 建立企业安全运营 中心的必要性
企业安全运营中心的需 求
01 威胁日益增加
网络威胁不断演变,需要专业团队应对
02 依赖信息系统
企业信息系统对业务的重要性日益增加,安全运营中 心可以保障系统安全
03 法规合规压力
许多行业法规要求企业落实信息安全措施,安全运营中心是实现合规的重 要手段
建立企业安全运营中心的挑战
安全团队建设
团队发展
持续关注安全团 队的发展和士气, 提供发展空间和
激励措施
团队协作
加强团队协作和 沟通,提高团队 的执行效率和协
同能力
团队协作关键
01 沟通
有效的沟通是团队协作的基础
02 合作
团队成员之间需要相互合作,共同完成任务
03 协调
协调各方利益,保证团队目标的实现
技术更新对比
1
安全工具更新
企业安全运营中心简介
企业安全运营中心是负责整 体安全运营管理的部门或团 队,职责包括监控、检测、 响应和修复安全事件,旨在 提高安全性、降低风险、确 保业务持续运行和数据保密 性。
企业安全运营中心的重要性
防范威胁
面对网络威胁需 要专业团队
保护声誉
避免数据泄露影 响企业声誉
合规要求
帮助企业达到安 全合规要求
企业安全运营中心的组成
1
2
3
4
人员
技术
流程
安全分析师 安全工程师
安全管理员
安全监控系统 入侵检测系统
日志管理工具
事件响应流程 安全策略执行流程
安全事件报告流程
企业安全运营中心的运营模 式
01 响应式
等待安全事件发生后再处理
安全运营中心建设与管理
安全运营中心建设与管理在当今数字化快速发展的时代,信息安全已成为企业和组织面临的重要挑战。
安全运营中心(SOC)作为应对这些挑战的关键设施,其建设与管理的重要性日益凸显。
安全运营中心是一个集中化的实体,旨在监测、评估和响应组织内的安全事件和威胁。
它整合了各种安全技术、流程和人员,以提供全面的安全保护。
一、安全运营中心的建设1、明确目标与需求在建设安全运营中心之前,首先需要明确组织的安全目标和需求。
这包括对业务流程的理解、对潜在威胁的评估以及对法规合规要求的考虑。
例如,金融机构可能更关注数据的保密性和完整性,而制造业可能更注重工业控制系统的安全。
2、技术架构的选择选择合适的技术架构是安全运营中心建设的关键。
这包括安全信息和事件管理系统(SIEM)、入侵检测系统(IDS)/入侵防御系统(IPS)、漏洞扫描器、端点安全解决方案等。
这些技术工具需要相互集成,形成一个有效的监测和响应体系。
3、数据收集与整合安全运营中心需要收集来自各种来源的数据,如网络设备、服务器、应用程序等。
这些数据需要进行整合和规范化,以便进行有效的分析。
同时,要确保数据的准确性和完整性,避免误报和漏报。
4、人员配备与培训专业的人员是安全运营中心的核心。
需要招聘具有安全知识和技能的分析师、工程师和管理人员。
同时,要为他们提供持续的培训和教育,使其能够跟上不断变化的安全威胁形势。
二、安全运营中心的管理1、流程优化建立清晰、高效的流程是确保安全运营中心有效运作的关键。
这包括事件响应流程、漏洞管理流程、变更管理流程等。
流程需要不断优化,以适应新的威胁和业务需求。
2、风险管理安全运营中心要能够识别和评估潜在的安全风险,并制定相应的风险应对策略。
这需要与组织的风险管理框架相结合,确保安全措施与整体风险状况相匹配。
3、绩效评估建立绩效评估指标,以衡量安全运营中心的工作效果。
这些指标可以包括事件检测和响应的时间、漏洞修复的及时性、安全策略的合规性等。
企业安全运营中心的建设与管理
企业安全运营中心的建设与管理在今天的数字化时代,随着企业信息化程度的不断提升,企业面临的网络安全威胁日益增加。
建设和管理一个高效的企业安全运营中心(SOC)对于企业的信息安全至关重要。
本文将从建设和管理两个方面介绍企业安全运营中心的相关内容。
首先,企业安全运营中心的建设是企业信息安全的重要基础。
企业安全运营中心是负责企业信息系统和网络安全管理、监控和应急响应的重要部门。
在建设企业安全运营中心时,需要考虑以下几个方面:1. 团队建设:建设一个高效的SOC需要拥有一支专业的安全团队,包括安全工程师、分析师、研究员等,他们需要具备良好的技术背景和团队合作能力。
2. 技术设施:企业安全运营中心需要配备先进的安全设备和工具,如入侵检测系统(IDS)、入侵防御系统(IPS)、防火墙等,确保对网络安全威胁进行实时监控和防护。
3. 流程规范:建立完善的安全运营中心运营和管理流程,包括安全事件响应、漏洞管理、恶意代码分析等,确保安全事件能够快速发现、定位和处理。
其次,企业安全运营中心的管理也至关重要。
一个高效的安全运营中心需要具备良好的管理机制和规范,保证其持续有效地发挥其作用。
1. 持续监控:安全运营中心需要进行持续的安全监控和分析,及时发现和应对各类安全威胁,确保企业信息系统的安全。
2. 安全培训:定期对安全团队进行安全培训和技术更新,提升团队的技术水平和安全意识,增强团队应对安全威胁的能力。
3. 漏洞管理:定期对企业信息系统进行漏洞扫描和修复,确保系统安全漏洞得到及时修复和防范。
4. 应急响应:建立完善的安全事件应急响应机制,对于突发的安全事件做出快速响应,降低安全风险的影响。
综上所述,企业安全运营中心的建设和管理对于企业信息安全至关重要。
建设一个高效的SOC需要全面考虑团队建设、技术设施和流程规范等方面;管理一个安全运营中心需要持续监控、安全培训、漏洞管理和应急响应等措施。
只有通过科学规范的建设和管理,企业才能有效应对各类网络安全威胁,保护企业信息系统的安全。
企业安全运营中心(SOC)实践分享
• 自动化已知的威胁处理 • 新的(未知)威胁的结构化处理方法 • 改善的报告和执行仪表板 • 操作技术风险管理 • 将威胁管理扩展到应用程序 • 保护核心业务流程(数字化) • 欺诈 • 反洗钱 • 保护和捍卫品牌(社会媒体分析) • 监控物联网与组织的相关性 • 协调企业对业务风险的反应
SOC / 安全架构师 ( 计划)
SOC实施经理
治理
安全经理 (建设/ 计划)
SOC 工程经理 ( 建设)
SOC 监控 Tier 1
SOC 分诊 Tier 2
SOC 升级 Tier 3
安全系统管理员
高级威胁分析员
高级威胁响应 分析员
事件案例经理
安全策略管理员
威胁分析员
威胁响应 缓解分析员(被动)
高级事件响应 技术分析员
确认) – 全球/ 过去30天趋势 – 地区/ 过去30天趋势 – 缺陷率 – 运营时间 / 有效性 – 流程能力
财务指标 – PCE – 每个威胁成本 – 增值时间 – 浪费 – 员工利用率
生产率 – 主动威胁分析 – 新的主动威胁检测
计数
组织人员指标 • 全部人员数 / 离职数 / 开
放职位 • 供应商分配情况 • 管理人员比例 • 员工平均成本 • 供应商成本平均 • 效率(可用人天 / 计划人
© 2017 IBM Corporation
IBM Security
SOC报告设计与实施
SOC报告可以为业务提供良好的洞察力,确 定其风险修复活动的优先次序。
21
© 2017 IBM Corporation
IBM Security
安全运营中心方案
安全运营中心方案
安全运营中心方案是一个综合的安全管理系统,通过整合安全事件监控、漏洞管理、威胁情报、风险管理和应急响应等功能,实现对企业整体安全风险的可视化管理和实时监控。
1. 安全事件监控:建立实时监控机制,监控网络流量、系统日志和安全事件,及时发现异常行为和威胁活动。
2. 漏洞管理:定期对系统和应用程序进行漏洞扫描和评估,及时修补漏洞,提高系统的安全性。
3. 威胁情报:收集和分析最新的威胁情报,及时更新安全策略,有效应对新型威胁。
4. 风险管理:通过风险评估和分析,识别和评估安全风险,确定应对措施,保障企业信息安全。
5. 应急响应:建立紧急应对机制,定期组织演练,提高应急响应能力,有效处理安全事件。
6. 日常管理:建立安全管理流程,包括安全策略制定、安全培训、安全意识教育等,保障安全管理的全面性和持续性。
通过综合以上措施,安全运营中心可以帮助企业全面管理安全风险,提高信息安全水平,保障企业的正常运营。
网络安全运营建立和管理网络安全运营中心
网络安全运营建立和管理网络安全运营中心网络安全在现代社会中扮演着至关重要的角色,对于个人、企业和国家的稳定都具有重要意义。
为了有效应对不断增加的网络威胁,建立和管理网络安全运营中心成为一项必要且紧迫的任务。
本文将探讨网络安全运营中心的定义、建立、管理以及应对策略。
一、网络安全运营中心的定义网络安全运营中心(Security Operations Center,SOC)是一个组织实体,负责监控、检测、分析和应对网络安全事件。
它集成了各种安全工具、技术和人员,通过实施持续不断的威胁情报、事件响应和漏洞管理,以确保网络的安全和稳定。
二、建立网络安全运营中心的步骤1. 确定目标和需求:在建立网络安全运营中心之前,需要明确其目标和需求。
例如,是应对外部威胁还是处理内部风险,是保护个人信息还是防范恶意软件等。
2. 设计体系结构:根据目标和需求,设计网络安全运营中心的体系结构。
这包括确定组织结构、硬件设备、软件工具、人员配备和工作流程等。
3. 采购设备和技术:根据体系结构的设计,采购和配置必要的硬件设备和软件技术。
这可能包括入侵检测系统(IDS)、安全信息与事件管理系统(SIEM)、网络流量监控工具、漏洞扫描器等。
4. 人员招聘和培训:招聘并培训合适的人员来组建网络安全运营中心团队。
这些人员需要具备网络安全技术、威胁情报分析、事件响应等方面的知识和技能。
5. 设计工作流程:建立网络安全运营中心的工作流程以实现高效和及时的威胁监控和响应。
工作流程应包括事件检测、分析、响应、处置和报告等环节。
6. 测试和优化:在正式运行之前,进行网络安全运营中心的测试和优化。
通过模拟攻击、漏洞挖掘和事件响应练习等活动,提高团队的应对能力。
三、网络安全运营中心的管理指南1. 监控和分析:网络安全运营中心的主要任务是对网络流量进行监控和分析,及时发现和识别潜在的安全威胁。
通过使用监控工具和技术,对网络行为进行实时监控,并利用数据分析来发现异常活动。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安全运营中心(SOC)发展现状与应用探讨随着电信企业信息化建设步伐的加快,如何有效化解安全风险,有效应对各种突发性安全事件已成为不容忽视的问题。
与普通企业相比,电信运营商的信息安全系统不仅部署地域分散,规模庞大,而且与业务系统耦合性较高;如何将现有安全系统纳入统一的管理平台,实现安全形势全局分析和动态监控已成为各级信息系统维护部门面临的主要问题。
SOC(SecurityOperationCenter)安全运营中心应运而生,是目前流行的电信级安全解决方案。
SOC的出现对应数据的集中管理趋势,通过集中收集、过滤、关联分析安全事件,提供安全趋势报告,及时作出反应,实现对风险的有效控制。
目前主要安全厂商陆续推出了SOC解决方案,中国移动、中国电信也相继拿出若干省市开展SOC建设试点工作。
由于国内没有成熟的运维经验,SOC发展过程遇到一些问题,导致人们对SOC产生不少认识误区,直接影响了SOC的大规模推广。
本文全面分析了SOC的定位、主要功能、技术难点以及发展趋势,并探讨了SOC存在的主要问题,希望帮助人们全面理解SOC,更好地推动这一新生事务的发展。
1.SOC概述信息系统发展的一个显着特点是:资源平台化、数据集中化。
信息安全保障系统作为信息系统的重要组成部分,其发展也必须符合信息系统发展趋势。
安全运行中心是描述“对安全事件(SecurityIncident)提供检测和响应服务的所有平台”通用术语。
SOC的核心是检测和响应功能,通俗一点讲,就是基于获取的海量安全事件,分析整个系统的安全状态和安全趋势,对危害严重的安全事件及时做出反应。
1.1.SOC的安全子系统组成依据信息系统生命周期理论,与信息的产生、传输、存储、分析、处理五个环节相对应,SOC系统包括下列功能模块:※事件发生器(E)模块事件发生器负责生成安全事件,可分为基于数据的事件发生器和基于状态的事件发生器。
前者指传感器,如网络入侵检测系统、主机检测系统、防火墙等,主要产生由操作系统、应用、网络操作引发的事件;后者指轮询器(Poller),产生响应外部激励(如Ping、SNMP命令)的事件,外部激励主要用来检查服务状态、数据完整性。
这类事件的典型例子是网管系统中轮询工作站向管理工作站发送的告警信息。
※收集模块(C)收集模块负责从不同传感器收集信息并转换为标准格式,从而形成统一信息方便后续处理。
※存储模块(D)和其他模块相比,存储模块标准化程度很高,可以简单理解为数据库,惟一特殊的是需要进行相关性处理,识别来自同一源或不同源的重复事件。
※分析模块(A+K)该模块负责分析存储在数据库中的事件,为响应模块提供响应的充分依据(告警信息)。
分析过程又离不开知识库(K模块)的支持,知识库存储入侵路径、系统安全模型、安全策略等知识。
分析模块是SOC系统最复杂的部分,包括相关性分析、结构化分析、入侵路径分析、行为分析。
※响应模块(R)响应模块功能负责对安全事件做出及时有效响应,涵盖反击正在发生安全事件的所有响应(Reaction)和报告工具。
由于牵扯到人的因素,响应行为具有相当的主观性,很多时候需要根据长期积累的基于经验的最佳实践或建议。
但其重要性不能低估。
响应模块不仅需要对外提供自动化的控制台接口、事件快速响应接口、实时监控接口、统计分析接口;还需向用户提供永久性风险评估报告、中长期安全行为报告、系统状态报告。
1.2.SOC vs NOC目前电信运营商都已建立网管中心(NOC)。
根据ITU提出的FCAPS模型,网管系统的主要功能是故障管理(Fault)、配置管理(Configuration)、计费管理(Accounting)、性能管理(Performance)、安全管理(Security)。
表面上NOC有安全管理功能,似乎SOC与NOC功能重叠;实际上由于二者定位不同,功能、作用差别很大。
概括起来,网管中心与安全运营中心主要区别如下:※NOC的安全管理功能侧重访问控制,强调控制对计算机网络中信息的访问,保护系统、服务、数据免受非法入侵、破坏;SOC注重对安全攻击的检测和响应。
※NOC的安全功能着眼于“事前预防”,即先采取措施预防非法攻击;而SOC的安全功能属于“事后处理”,换句话说,出现安全事件怎样阻断攻击,怎么反击。
※网管中心强调对网络的全面管理,在五大功能中安全管理只占很少一部分;而SOC完全面向安全管理,安全功能更专业、全面。
※SOC在收集安全事件时,有时采用轮询方式,利用某些网管系统的监控功能。
长期以来,人们在NOC的建设、管理、维护方面积累了丰富的经验,SOC的建设和运行可以合理借鉴这些经验。
例如,在组织架构和管理模式方面SOC可以参照NOC的做法;但在工作流程设计上SOC最好采用与NOC平行的模式。
出于简化管理考虑,国外也有将SOC和NOC放在一起的成功案例。
2.SOC涉及的关键技术在安全事件的一体化处理流程中,SOC采用一系列新技术,在有效提高应用系统安全性的同时,尽量减轻安全事件相关操作对业务系统性能的影响。
SOC建设中涉及的关键技术有负载均衡技术、模式分析技术、结构化分析技术、快速响应技术。
2.1.负载均衡在SOC的设计和建设过程,必须优先考虑性能因素。
虽然原始信息越多、越详细,越有助于SOC分析和检测正在发生的攻击企图,但采集、处理过多的信息对SOC 处理能力提出挑战,严重影响性能。
一方面,每个传感器每秒钟可能产生成百上千条消息,全部类型各异的传感器实时上报消息对SOC收集模块的处理能力提出很高要求。
另一方面,收集模块也轮询获取系统状态,过于频繁的轮询会占用被管理系统宝贵的CPU资源,直接影响其业务的运行。
与保证服务器端服务类似,提高SOC的伸缩性、可用性可以采用:※负载均衡技术,如高可用性(HA)、集群(Cluster)、双机热备。
※源过滤技术,传感器预先过滤掉不重要的信息,减轻SOC的处理压力。
2.2.模式分析(相关性)安全事件分析处理的好坏直接关系着SOC系统的后续处理,分析模块综合分析来自不同设备、数量庞大的事件序列,通过模式匹配找出安全事件之间的内在联系(相关性),最终产生高度合成的准确分析结果。
模式分析的基本内容包括:1)识别重复信息,对于收到的多条重复信息进行筛选或过滤,以减轻存储负担。
2)序列模式匹配,判别一系列消息是否由同一入侵企图触发。
3)事件模式匹配,通过基于时间的上下文分析,识别缓慢分布式入侵过程。
4)安全策略匹配,基于行为匹配识别符合安全策略规则的某些事件,如管理员登陆、认证。
5)系统威胁分析,判断目标系统是否受已检测到攻击企图的威胁,并分析此类攻击对系统安全的整体影响。
2.3.脆弱性分析脆弱性(Vulnerability)是指系统存在的安全漏洞或不安全的行为,这些信息可能损害整体安全级别,也可能被“黑客”加以利用发动入侵攻击。
作为知识库的一个组件,弱点数据库存储三类脆弱性:※结构化脆弱性这种脆弱性通常指软件的内部缺陷,例如缓冲区溢出Bug、字符串格式化缺陷等。
※功能化脆弱性通常指与配置、操作行为、用户等运行环境有关的弱点,这种脆弱性的一个显着特点是只要一个所需条件不具备,它就在系统中以“非激活”状态存在。
显然定义、格式化、整理这类脆弱性,需要操作系统、网络、应用各方面专家的参与。
※拓扑相关脆弱性这类脆弱性主要基于网络(如监听、IP欺骗),还包含可能的入侵路径的脆弱性。
拓扑相关脆弱性导入弱点数据库一般需要拓扑建模的支持。
2.4.4.快速响应快速响应是SOC根本目标,所有模块均服务于该功能。
紧急响应的内容根据环境不同而有所差异,从监控事件的进一步发展到攻击的追踪。
当大规模攻击爆发时,及时隔离攻击源是防止攻击影响扩大化的有效措施。
当SOC检测到WWW服务器被入侵、页面遭到非法篡改,快速响应则意味着尽快恢复服务器的正常运行,把事件的负面影响降到最小。
在攻击发生之前,必须确定响应流程;该流程需要经过提前演练并备案。
为了保证快速、有效的响应,应急响应流程至少应包括特定级别的事件升级制度(Escalation)。
在事件升级制度中,根据攻击的严重程度,采取不同的响应流程,由不同级别人员处理。
以三级处理模式为例,现场值守人员处理已知类型攻击,第二级安全专业小组处理不明类型攻击,第三级实验室研究小组(如CERT)对复杂攻击进行重放、原理分析并找出适当的解决办法。
3.SOC的发展趋势3.1.1.认识误区由于SOC出现时间不长,无论是用户还是安全厂商都缺乏足够的建设、维护经验,目前对SOC存在下列认识误区:1)对SOC的作用认识不足,片面夸大或贬低SOC。
计算机网络技术的迅猛发展给电信运营商带来了沉重的安全压力,SOC的诞生为信息安全问题解决提供一缕曙光,于是人们认为SOC可以解决一切安全问题。
另一方面,目前已经运行的SOC由于缺乏必要的支撑,管理体制没有理顺;效果不尽如人意,对SOC的怀疑声又不断。
对SOC作用的片面认识很大程度上由于安全厂商宣传误导,导致人们对SOC期望过高;因为SOC是一种蓬勃发展的新生事物,出现问题也在所难免,需要在发展中不断完善。
2)将SOC仅仅理解为软件系统,忽略其平台特性。
与以往单一的安全系统相比,SOC最大的优势是为统一安全管理提供了完整平台,提高了对于安全威胁的精确检测能力和一体化响应能力。
要使SOC真正发挥作用,后期的维护、二次开发工作必不可少,其重要性甚至不亚于前期建设工作。
后期维护工作一方面是整合资源,将所有安全子系统尽可能纳入SOC管理范围;另一方面要加强子系统建设,根据业务需要开发相应接口。
3)技术层面考虑多,管理层面考虑少。
根据信息风险管理最佳实践-BS7799/ISO7799,信息安全工作是“七分技术,三分管理”。
SOC也不例外,它的建设不仅仅是技术问题,与管理制度也密切相关。
SOC一般适用于信息系统规模庞大、应用复杂的情况,在这种环境下,管理工作显得尤其重要。
如果无法与现有安全管理制度、流程有机衔接,SOC建设很可能流于形式,无法发挥预期效果。
电信运营商在建设安全运营中心的同时,必须理顺安全管理体系,制定详细、可操作的规章流程,抓好组织体系、人员培训等方面建设。
3.2.急需解决的问题不可否认,新兴的SOC技术有待完善。
总结起来,SOC的发展需要重点解决以下问题:1)标准化问题标准是制约SOC发展的最大障碍,虽然主要安全厂商都推出了SOC解决方案,但大都采用私有技术、基于特定操作系统(平台)或特定型号安全产品(防火墙、入侵检测系统、路由器),SOC之间无法互通。
SOC标准化涉及采集数据的格式、传输协议、安全知识库信息存储、输出告警的格式(响应)等。
目前一些国际组织已开始这方面标准的制定工作,例如IETF入侵检测工作组开始制定消息格式与传输协议标准。