慎重选择SOC(图)

2018-06-11    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

定位大型企业

  安全管理平台的最大功能就是整合由各软硬件所送出的事件,其中可能包括SNMP trap、syslog事件,或是直接通过API与这些软硬件沟通取得有用的信息,再从各种来源取得事件并整合后,透过内部的关联引擎及逻辑找出真正的原因,然后透过界面让网络安全管理者了解,将原本成千上万的事件减少至可管理的程度。
  恰恰也是由于安全管理平台所具有的功能,使得安全管理平台成为适合大中型企业使用的产品。因为在大中型企业才会有大量的安全产品,正是这些安全产品的存在才体现出了安全管理平台的价值。在记者采访的过程中,各厂商一致认为SOC是一个相当高端的解决方案,对用户提出了很高的要求。像电信、银行比较接受SOC,原因也比较简单,因为设备很多,面临的问题是每个产品都有自己的设备管理软件,可能会有十几套安全管理软件,非常头疼,所以希望有一个统一的平台把所有的设备都管理起来。而小型企业,可能就两、三个安全产品,管理相对简单,对安全的要求也不是很高。
  安全管理平台市场启动的比较晚,但发展的比较快。赛门铁克中国区技术经理郭训平就说:“原来是我们推安全管理平台,现在是很多用户来找我们,想做这个,看怎么做,分几期,包含什么功能,做完后是什么样子。”

定制才合身

  SOC不像防火墙、IDS这样的产品,买完之后部署即可,有问题再调整策略也可以。SOC在很多时候要根据用户情况定制。SOC从功能上有策略的管理、策略的审计、事件的管理、升级、标准化、统一的存储,还有不同产品的配置,还有和网管软件的交互,信息的交流分析,还有和现有的Help Desk的集成。SOC能及时的了解到整个企业内发生的安全事件,当需要IT人员做一些动作的时候,SOC可以产生一个Ticket,把Ticket和现有的Help Desk系统结合起来,跟踪问题的解决程度或者是及时性。包括知识库的管理、知识的共享,还有预警的管理,还有配置权限的管理,在SOC中都可以实现。但很多用户的IT环境不一样,用的安全产品也不一样,这样在做SOC时就有很多定制性。
  对于安全管理平台中已经非常稳定的、成熟的、产品化的模块,不管是国外产品还是国内产品都不做修改,因为一旦修改,对体系结构、产品稳定性都有影响。但是会在边缘模块围绕用户需求进行定制。国内产品的优势在于,产品是自己开发的,能够根据客户需求深入到底层做定制。比如客户的资产不同,关于资产的数据结构就要调整,国外的产品就不易进行修改。另外,中文界面也是国产SOC产品的优势。

上SOC要慎重

  因为平台直接的投资比较大,和平台相关的投资也比较大,平台投入后再采购其他产品、系统都要受到平台的限制,导致退出的成本也比较大。所以用户选择要谨慎。不要因为其他单位建平台了,自己盲目的上平台,要充分考察供应商的能力。如果一个机构想上安全管理平台,一定有几个要求要达到。一是已经有,或者马上就会进行大规模的安全产品部署,特别是IDS的部署。要有充分的信息来源,没有信息来源安全管理平台是没有意义的。而且产品至少有3种以上的门类,比如防病毒、IDS和防火墙,要有把它们连起来的意愿。第二,机构已经或即将做深入的安全评估。因为不光有钱的成本,还有人力成本。第三,整个机构上中下三层都要有相应的安全意识,接受安全概念。
  部署SOC之后,用户的管理成本降低了,安全管理的效果和效率提高了,对提升生产率非常有帮助。但在具体实施时有些方面要非常注意。第一,要有针对性,要和现有的管理机制、构架相符合。SOC要涉及到不同的管理人员介入进来。另外,SOC在建设时,大的SOC对用户自身的要求很高,在国内,到目前为止还没有真正的SOC。很主要的原因就是没有一个用户会投入那么多人。像赛门铁克在全球就有几百个专业的安全人员在帮助用户分析。用户应根据自己的情况逐步完善SOC,可以提一个比较完整的解决方案,但在实施时建议一步一步来做。

国外外包 国内自管

  据ISS公司高级技术顾问李明介绍,ISS的安全管理平台在国外的销售模式是,通过MSS(Manangement Security Service)这种托管服务来销售。比如,宝洁会把IT整个外包给HP,但把安全这部分给ISS。在协议范围内,ISS保证企业不出现任何安全问题。当用户把安全外包给ISS时,ISS面对的就不止是ISS的产品,会有PIX、Checkpoint、Netscreen等等,要把他们管理好,配置好,构成一个完整、全面的安全体系。
在ISS的SOC中心远程管理,每天有报表,有记录。用户的网管人员每天会收到E-mail,登录到Portal,看到公司的信息,过去的24小时发生了什么事情;互联网上有哪些信息,出现了什么病毒,有哪些漏洞要打,提供给用户。网管员的工作是管理工作,来评估ISS的服务。国外对远程服务比较接受。其实远程管理和在现场管理没有太多区别。但国内的客户偏向于在现场服务。不过从国内电信企业的未来发展看,未来的成本一定要逐步下降,所以外包是一种趋势,会越来越多。
  联想网御安全服务中心高级顾问林明峰认同李明的看法。他表示,国外的做法是,把安全管理这种服务卖给客户,而不是卖给客户一个产品。客户有很多安全产品,产生很多安全日志,客户把安全管理外包给安全服务提供商,安全服务提供商使用的是安全管理平台。安全服务提供商从客户那里收集IDS、防火墙等设备的日志,进行分析,帮助客户管理这些安全产品,把有效的信息传递给客户的安全管理员。
从目前的情况看,国内用户要做到这一点,要走的路还比较远。


启明星辰公司
首席战略执行官潘柱廷
要重视SOC的本地化支持
  安全管理平台本地化的支持是非常重要的。定制化和业务的结合度非常高,定制化的效果有时比自身的功能有多强要重要的多。在定制上要下功夫。所以客户选购时不能光看功能是否满足要求,而要看厂商能不能持续的开发产品并提供服务支持。


绿盟科技产品开发部总监李群
SOC要有磨合期
  针对客户的业务、现有安全产品做定制性研发,这是国内厂商的独特优势。安全管理平台不是买来就可以马上用,它需要和客户的安全流程和业务相结合,要有磨合期。用户通过平台的实施,是对自身的安全流程梳理的过程,发现缺哪些东西,需要弥补哪些点。

联想网御安全服务中心高级顾问林明峰
  用户在选购安全管理平台产品时应注意以下方面:
1.强大的实时事件收集能力。
2.实时事件管理分析的功能。
3.智能的事件存储。
4.资产分类管理和资产安全属性赋值。
5.跨平台的管理控制台。
6.支持Web的管理界面。
7.支持网络安全设备的种类,以及是否有多种日志收集的方式。

CA公司产品市场经理谢春颖
  客户有这方面的需求,但在建立符合企业需求的SOC时觉得过于庞大,不太清楚如何去做。推荐客户从服务开始做。从评估服务入手,看看安全运行的现状如何,需求在哪里,未来再逐步完善。

绿盟科技产品开发部总监李群
  要注意安全管理和资产、风险的结合。用户最关心的是两个方面,第一是资产,需要管理、分析和保护。第二对风险比较关心,风险怎样进行量化?采取什么措施降低风险?国际的评估标准分成3个方面:资产的价值;缺陷/漏洞;威胁/攻击。在实施之前对企业资产进行评估,获得资产信息,将信息导入到产品中。缺陷信息通过扫描器获得,这些信息可以和资产信息绑定。针对威胁的做法是收集多种安全产品的事件。把这3方面结合起来,获得关联信息,利用算法产生风险值。

标签: 安全 标准 防火墙 互联网 漏洞 企业 权限 网络 网络安全 网络安全管理 网络安全设备 问题 选择 用户

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:网络存储走大众化之路

下一篇:增强安全意识 对抗手机恶意软件的十点建议