慎重选择SOC(图)

定位大型企业

　　安全管理平台的最大功能就是整合由各软硬件所送出的事件，其中可能包括SNMP trap、syslog事件，或是直接通过API与这些软硬件沟通取得有用的信息，再从各种来源取得事件并整合后，透过内部的关联引擎及逻辑找出真正的原因，然后透过界面让网络安全管理者了解，将原本成千上万的事件减少至可管理的程度。
　　恰恰也是由于安全管理平台所具有的功能，使得安全管理平台成为适合大中型企业使用的产品。因为在大中型企业才会有大量的安全产品，正是这些安全产品的存在才体现出了安全管理平台的价值。在记者采访的过程中，各厂商一致认为SOC是一个相当高端的解决方案，对用户提出了很高的要求。像电信、银行比较接受SOC，原因也比较简单，因为设备很多，面临的问题是每个产品都有自己的设备管理软件，可能会有十几套安全管理软件，非常头疼，所以希望有一个统一的平台把所有的设备都管理起来。而小型企业，可能就两、三个安全产品，管理相对简单，对安全的要求也不是很高。
　　安全管理平台市场启动的比较晚，但发展的比较快。赛门铁克中国区技术经理郭训平就说：“原来是我们推安全管理平台，现在是很多用户来找我们，想做这个，看怎么做，分几期，包含什么功能，做完后是什么样子。”

定制才合身

　　SOC不像防火墙、IDS这样的产品，买完之后部署即可，有问题再调整策略也可以。SOC在很多时候要根据用户情况定制。SOC从功能上有策略的管理、策略的审计、事件的管理、升级、标准化、统一的存储，还有不同产品的配置，还有和网管软件的交互，信息的交流分析，还有和现有的Help Desk的集成。SOC能及时的了解到整个企业内发生的安全事件，当需要IT人员做一些动作的时候，SOC可以产生一个Ticket，把Ticket和现有的Help Desk系统结合起来，跟踪问题的解决程度或者是及时性。包括知识库的管理、知识的共享，还有预警的管理，还有配置权限的管理，在SOC中都可以实现。但很多用户的IT环境不一样，用的安全产品也不一样，这样在做SOC时就有很多定制性。
　　对于安全管理平台中已经非常稳定的、成熟的、产品化的模块，不管是国外产品还是国内产品都不做修改，因为一旦修改，对体系结构、产品稳定性都有影响。但是会在边缘模块围绕用户需求进行定制。国内产品的优势在于，产品是自己开发的，能够根据客户需求深入到底层做定制。比如客户的资产不同，关于资产的数据结构就要调整，国外的产品就不易进行修改。另外，中文界面也是国产SOC产品的优势。

上SOC要慎重

　　因为平台直接的投资比较大，和平台相关的投资也比较大，平台投入后再采购其他产品、系统都要受到平台的限制，导致退出的成本也比较大。所以用户选择要谨慎。不要因为其他单位建平台了，自己盲目的上平台，要充分考察供应商的能力。如果一个机构想上安全管理平台，一定有几个要求要达到。一是已经有，或者马上就会进行大规模的安全产品部署，特别是IDS的部署。要有充分的信息来源，没有信息来源安全管理平台是没有意义的。而且产品至少有3种以上的门类，比如防病毒、IDS和防火墙，要有把它们连起来的意愿。第二，机构已经或即将做深入的安全评估。因为不光有钱的成本，还有人力成本。第三，整个机构上中下三层都要有相应的安全意识，接受安全概念。
　　部署SOC之后，用户的管理成本降低了，安全管理的效果和效率提高了，对提升生产率非常有帮助。但在具体实施时有些方面要非常注意。第一，要有针对性，要和现有的管理机制、构架相符合。SOC要涉及到不同的管理人员介入进来。另外，SOC在建设时，大的SOC对用户自身的要求很高，在国内，到目前为止还没有真正的SOC。很主要的原因就是没有一个用户会投入那么多人。像赛门铁克在全球就有几百个专业的安全人员在帮助用户分析。用户应根据自己的情况逐步完善SOC，可以提一个比较完整的解决方案，但在实施时建议一步一步来做。

国外外包 国内自管

　　据ISS公司高级技术顾问李明介绍，ISS的安全管理平台在国外的销售模式是，通过MSS（Manangement Security Service）这种托管服务来销售。比如，宝洁会把IT整个外包给HP，但把安全这部分给ISS。在协议范围内，ISS保证企业不出现任何安全问题。当用户把安全外包给ISS时，ISS面对的就不止是ISS的产品，会有PIX、Checkpoint、Netscreen等等，要把他们管理好，配置好，构成一个完整、全面的安全体系。
在ISS的SOC中心远程管理，每天有报表，有记录。用户的网管人员每天会收到E-mail，登录到Portal，看到公司的信息，过去的24小时发生了什么事情；互联网上有哪些信息，出现了什么病毒，有哪些漏洞要打，提供给用户。网管员的工作是管理工作，来评估ISS的服务。国外对远程服务比较接受。其实远程管理和在现场管理没有太多区别。但国内的客户偏向于在现场服务。不过从国内电信企业的未来发展看，未来的成本一定要逐步下降，所以外包是一种趋势，会越来越多。
　　联想网御安全服务中心高级顾问林明峰认同李明的看法。他表示，国外的做法是，把安全管理这种服务卖给客户，而不是卖给客户一个产品。客户有很多安全产品，产生很多安全日志，客户把安全管理外包给安全服务提供商，安全服务提供商使用的是安全管理平台。安全服务提供商从客户那里收集IDS、防火墙等设备的日志，进行分析，帮助客户管理这些安全产品，把有效的信息传递给客户的安全管理员。
从目前的情况看，国内用户要做到这一点，要走的路还比较远。

启明星辰公司
首席战略执行官潘柱廷
要重视SOC的本地化支持
　　安全管理平台本地化的支持是非常重要的。定制化和业务的结合度非常高，定制化的效果有时比自身的功能有多强要重要的多。在定制上要下功夫。所以客户选购时不能光看功能是否满足要求，而要看厂商能不能持续的开发产品并提供服务支持。

绿盟科技产品开发部总监李群
SOC要有磨合期
　　针对客户的业务、现有安全产品做定制性研发，这是国内厂商的独特优势。安全管理平台不是买来就可以马上用，它需要和客户的安全流程和业务相结合，要有磨合期。用户通过平台的实施，是对自身的安全流程梳理的过程，发现缺哪些东西，需要弥补哪些点。

联想网御安全服务中心高级顾问林明峰
　　用户在选购安全管理平台产品时应注意以下方面：
1.强大的实时事件收集能力。
2.实时事件管理分析的功能。
3.智能的事件存储。
4.资产分类管理和资产安全属性赋值。
5.跨平台的管理控制台。
6.支持Web的管理界面。
7.支持网络安全设备的种类，以及是否有多种日志收集的方式。

CA公司产品市场经理谢春颖
　　客户有这方面的需求，但在建立符合企业需求的SOC时觉得过于庞大，不太清楚如何去做。推荐客户从服务开始做。从评估服务入手，看看安全运行的现状如何，需求在哪里，未来再逐步完善。

绿盟科技产品开发部总监李群
　　要注意安全管理和资产、风险的结合。用户最关心的是两个方面，第一是资产，需要管理、分析和保护。第二对风险比较关心，风险怎样进行量化？采取什么措施降低风险？国际的评估标准分成3个方面：资产的价值；缺陷/漏洞；威胁/攻击。在实施之前对企业资产进行评估，获得资产信息，将信息导入到产品中。缺陷信息通过扫描器获得，这些信息可以和资产信息绑定。针对威胁的做法是收集多种安全产品的事件。把这3方面结合起来，获得关联信息，利用算法产生风险值。

标签： 安全 标准 防火墙 互联网 漏洞 企业 权限 网络 网络安全 网络安全管理 网络安全设备 问题 选择 用户

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。