SOC的定義適用性和組成

51cto的安全管理平台交流已經結束了，有不少網友還是提出了一些比較好的問題，也幫我再次梳理一下對於安全管理平台的理解。這裡我也跟大家分享一些交流的內容。

問題1：請問soc是什麼？什麼樣的安全運維管理平台更適合自己的企業？用好soc大中型企業單位需要考慮哪些問題？安全運維中需要注意哪些事項？

關於soc的定義，目前為止還沒有乙個統一的標準化定義，並且，對於soc這個術語的定義，國內外還存在不小的區別，儘管其本質是基本相同的。

在我的博文《國內安全管理平台(soc)市場2023年回顧與2023年展望》中，有對soc的不同描述性定義。

1）國際上，一般將soc（security operations center）看作是安全運營中心，它是乙個對itc（in-the-cloud）服務及配套的cpe（customer-premise- equipment）設施進行全面監控、運維、管理的場所，並涵蓋相關的物理安全防護設施、辦公設施、人員組織、工作流程和技術支撐環境。——這個定義來自wiki百科。

2）國內，一般將soc寬泛地等價於另乙個術語——安全管理平台。安全管理平台的一般性定義是：安全管理平台是乙個以資產為核心，以安全事件管理為關鍵流程，採用安全域劃分的思想，建立一套實時的資產風險模型，協助管理員進行事件分析、風險分析、預警管理和應急響應處理的集中安全管理系統。

3）必須指出的是，嚴格意義上而言，soc不等同於安全管理平台。安全管理平台僅僅是soc的技術支撐部分。乙個完整的soc不僅包括安全管理平台，還包括配套的組織、流程、場地等等。可見，國內所指的soc本質上與國際上的定義是相同的。但是，由於國內soc發展的歷史原因，形成了國內外在soc定義上的形式化差異。

4）關於安全運維管理平台，一般也就是指安全管理平台，只是更加強調對於安全管理平台的運維流程的落地和技術體現。需要注意，我們說安全運維管理平台，一般不等於運維管理平台，或者說不等於it運維管理平台，他們是兩個範疇的概念。安全運維管理平台的重點在於安全，而運維管理平台的重點在於it運維。就好象iso27000講的是安全管理，而iso20000講的是it（運維）服務管理一樣。

關於什麼樣的安全（運維）管理平台更適合自己的企業，我認為關鍵在於企業自身的需求。適合自身需求和未來發展需要是選擇安全管理平台的核心。在選擇安全管理平台之前，首先要對自身的需求進行調研分析和確立，要先建立起企業自身的一套安全管理體系，然後將其中能夠依賴技術手段去實現的部分提取出來，再進一步整理出對安全管理平台的基本需求，然後在去找符合這些需求的安全管理平台，如果找不到現成的，可能還需要考慮是否要自己開發。總之，切不可將安全管理平台提供商的產品的功能規格簡單的拿來作為需求分析和選擇的基礎。

也正因為此，安全管理平台涉及的功能範圍可能會有很大的彈性。不同的使用者心中會有不一樣的安全管理平台。當然，也會有一些共性的東西，這些東西也就是安全管理平台的核心功能，例如異構安全事件的集中化採集、處理與分析。

用好安全管理平台，對於使用者而言首先要認識到的一點就在於：安全管理平台只是乙個技術平台，這個平台再好，如果用的不得當，便不會產生預期的效果。如何用好？需要在技術之外同時考慮到組織和流程的問題。安全管理平台的目標為了提公升組織安全管理的效能，其本質在於管理，而管理的問題從來都不是技術所能夠包辦的。管理需要制度、需要意識，需要流程、需要人，最後才需要用技術的手段來提供支撐和保障。這就好比你買了乙個很棒的單鏡反光機，但是如果攝影技術不行，一樣拍不出精美的**。

除了要建立起正確的認知，要用好安全管理平台，還需要事先建立起對安全管理平台的合理預期、明確而可達成的目標。

最後，安全管理平台可以提公升組織中的管理者進行安全管理的效率，但是無法替代管理者，並且對於管理者的技術要求相對也比較高。因為安全管理平台已經幫管理者將技術要求較低、耗時較長的工作做完了，剩下的就是技術要求較高的工作了。

問題2：請問目前soc在國內外的發展情況有什麼區別？還有鑑於國內使用者對安全的一些特殊需求，國內使用者更看中soc哪些方面的功能或者是特點？

國內使用者對於soc，或者說對於安全管理平台的需求的確是有其特色的。並且，不同型別的國內用戶，需求也不盡相同。一般地，對於電信、金融等資訊化水平高的單位而言，其對於soc的需求更加偏向於國際化，並且會加入本單位的組織/流程方面的特別需求。對於另外一些資訊化程度並不是很高的單位而言，則更加注重解決當前實際面臨的一些問題，例如統一的資產管理、統一的資產執行監控、統一的日誌收集與分析，等等。

總體上而言，國內對於安全管理平台更加看重」管理「二字，很多軟性的管理需求被加入其中。國外在這方面則沒有那麼強調，這與國外的it管理建設較為成熟有關。也就是說，他們往往另有一套管理流程的it支撐系統去符合軟性的管理性需求，而對於安全管理平台的需求更偏向於技術層面。這也是很顯然的，因為國外建設itil之類的東西比我們早很多。而國內由於發展的滯後性，會將不同時期的需求混雜在一起，以期取得跨越式發展。

問題3：你能談一下完整的it運維管理系統主要包括那些內容？

「it運維管理」與「安全管理平台」還是有很大區別的。51cto在給這次交流取名字的時候叫soc為「安全運維管理平臺」雖然沒錯，但是卻容易引起誤解，有誤導之嫌。呵呵。嚴格地說，「安全運維管理平台」只是「安全管理平台」的乙個組成部分而已。我認為，乙個安全管理平臺總體上應該涵蓋安全監控、安全審計、安全風險管理、以及安全運維管理四個部分。

那麼，乙個完整的安全管理平台應該包括哪些內容呢？前面已經說過，總體上有四個部分。但是如果要細化的話，我想說，恐怕也沒有人可以說清楚。因為安全管理平台的內涵和外延都比較模糊。我只能說，大體上，安全管理平台一般包括以下部分：

1）安全資產管理。如前所述，安全管理平台的管理物件就是資產，因此，安全管理首先就要建立安全資產庫。這裡的安全資產管理與一般我們所說的it資產管理（例如itil）是不一樣的。這裡的安全資產管理重點是關注it核心資產（一般不含終端），並且資產屬性關注的是安全屬性，例如cia三性，資產價值，資產的補丁、漏洞、弱點等資訊。

2）資產執行監控。對資產設施的執行狀態進行實時監測與少量的控制。包含了對網路、主機、安全裝置、資料庫、中介軟體、應用等的執行監控。這部分功能與it網管有一些交集。

3）業務監控。從業務的角度對資產執行狀況進行監控。它屬於比較高階的功能，建立在資產執行監控之上，有乙個對資產進行業務建模的過程。

4）安全事件管理，或者叫安全事件分析，也有的乾脆就叫日誌管理，或者siem。這是安全管理平台的乙個核心功能。他包括對資產的安全事件的採集、歸併、歸一化（正規化化、標準化），通過關聯分析發現網路中的攻擊入侵和違規異常，並對這些事件進行儲存（取證留存），可以進行歷史事件的查詢、統計、分析。這塊的功能如果要展開可以說很長一段時間。可以看看我的部落格中對於siem的介紹。例如這篇文章：安全資訊與事件管理（siem）技術解析與發展分析

5）告警管理。既然有執行監控、事件分析、日誌審計，那麼肯定就要對上述功能運作的時候產生的告警進行管理。例如執行告警、故障告警、攻擊告警、違規告警，等等。告警管理包括告警規則的設定，告**式的選擇和定義，告警資訊的查詢等等。

6）弱點管理。針對資產的漏洞、脆弱性進行計算、管理。

7）威脅管理。對資產的威脅進行管理。注意，有一點很重要，安全事件天然不是威脅。

8）風險管理。這是乙個特色功能，並非所有的安全管理平台都有，客戶也並非都要。風險管理試圖進行量化的風險評估與計算。典型的就是參照經典的風險評估理論，從資產價值、威脅、弱點三個維度進行風險計算。風險管理還包括對評估結果的多維展示與再分析。

9）報表管理。這也是乙個基礎性功能。意義不必多言。

10）許可權管理。不用多說。

11）系統自身管理，包括自身安全保障，自身執行監控，自身引數配置等。

除了上面提到的功能，現在的安全管理平台外延也在不斷的擴大，有的還包括：

1）基線管理。例如電信soc規範中就涉及。

2）安全策略管理。這裡的策略不是指裝置的配置策略，而是安全管理/運維的策略，與流程相關。例如移動smp規範中就涉及。

3）工單管理。很多soc就具備，並且將它歸入安全運維管理的範疇。

4）績效（kpi）管理。也跟運維有關。

5）安全指標體系管理。

6）態勢感知/評估/**。

7）等級保護評估管理。

8）安全日常工作管理（安全mis），屬於安全運維管理的範疇。

等等等等。還有像知識管理、案例管理，等等功能。

太多了？那麼，是不是什麼都可以算入安全管理平台呢？呵呵，也不是，至少，我認為，以下功能不應該被例如安全管理平台，包括：

1）終端管理，包括終端准入控制、終端非法外聯、終端行為監控，等等。這屬於終端安全管理的範疇，在安全管理平台之下，是乙個點安全系統（point security system，相對而言，soc屬於面安全系統）。

2）入侵檢測。

3）對網路中的資產使用的授權、認證、訪問控制，aaa。這屬於3a/4a的範疇。

4）cmdb管理，固定資產管理。這屬於itil的範疇。

【待續】

本文出自「專注安管平台」部落格，請務必保留此出處

SOC的定義適用性和組成

Scrum的適用性

軟體的功能測試和適用性測試的標準

第12回功能測試和適用性測試的標準

SOC的定義 適用性和組成

Scrum的適用性

軟體的功能測試和適用性測試的標準

第12回 功能測試和適用性測試的標準

相關推薦

SOC的定義適用性和組成

第12回功能測試和適用性測試的標準