需求分析
传统的安全管理方式是将分散在各地、不同种类的安全防护系统分别管理,这样导致安全信息分散互不相通,安全策略难以保持一致,这种传统的管理运行方式因此成为许许多多安全隐患形成的根源。安全运营中心(Security Operation Center)是针对传统管理方式的一种重大变革。它将不同位置、不同安全系统中分散且海量的单一安全事件进行汇总、过滤、收集和关联分析,得出全局角度的安全风险事件,并形成统一的安全决策对安全事件进行响应和处理。总体来说SOC的根本模型就是PDR模型,而SOC系统就是实现其中的D(Detection,检测)和R(Response,响应)。SOC的需求主要是从以下几个方面得到体现:
大系统的管理
通常安全系统是分别独立逐步的建立起来的,比如防病毒系统、防火墙系统、入侵检测系统等,各个系统都有单独的管理员或者管理控制台。这种相对独立的部署方式带来的问题是各个设备独立的配置、各个引擎独立的事件报警,这些分散独立的安全事件信息难以形成全局的风险观点,导致了安全策略和配置难于统一协调。这种对于大规模系统的安全管理也正是SOC的需求根源,就是说只有大系统、拥有复杂应用的系统才有SOC的需求。
海量信息数据
随着安全系统建设越来越大,除了需要协调各个安全系统之间的问题之外,由于安全相关的数据量越来越大,有些关键的安全信息和告警事件常常被低价值或无价值的告警信息所淹没,一些全局性的、影响重大的问题很难被分析和提炼出来。为了从大量的、孤立的单条事件中准确的发现全局性的、整体的安全威胁行为,需要SOC这样一个平台使得整个安全体系的检测能力更加准确,更加集中于影响重大的焦点问题。
信息安全目标
我们知道传统的信息安全有7个属性,即保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、真实性(Authenticity)、不可否认性(Nonreputiation)
、可追究性(Accountability)和可控性/可治理性(Controllability/Governability)。信息安全的目标是要确保全局的掌控,确保整个体系的完整性,而不仅限于局部系统的完整性;对于安全问题、事件的检测要能够汇总和综合到中央监控体系,确保可追究性是整个体系的可追究性。SOC的出现就是为了确保对全局的掌控,实现全面支撑信息安全管理目标。
