soc的安全管理
SOC(Security Operations Center)是一个外来词。而在国外,SOC这个词则来自于NOC(NetworkOperation Center,即 *** 运行中心)。NOC强调对客户 *** 进行集中化、全方位的监控、分析与响应,实现体系化的 *** 运行维护。
随着信息安全问题的日益突出,安全管理理论与技术的不断发展,需要从安全的角度去管理整个 *** 和系统,而传统的NOC在这方面缺少技术支撑,于是,出现了SOC的概念。不过,至今国外都没有形成统一的SOC的定义。 *** 也只有基本的介绍:SOC(SecurityOperationsCenter)是组织中的一个集中单元,在整个组织和技术的高度处理各类安全问题。SOC具有一个集中化的办公地点,有固定的运维管理人员。国外各个安全厂商和服务提供商对SOC的理解也差异明显。 为了不断应对新的安全挑战,企业和组织先后部署了防火墙、UTM、入侵检测和防护系统、漏洞扫描系统、防病毒系统、终端管理系统,等等,构建起了一道道安全防线。然而,这些安全防线都仅仅抵御来自某个方面的安全威胁,形成了一个个“安全防御孤岛”,无法产生协同效应。更为严重地,这些复杂的IT资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件,形成了大量“信息孤岛”,有限的安全管理人员面对这些数量巨大、彼此割裂的安全信息,操作着各种产品自身的控制台界面和告警窗口,显得束手无策,工作效率极低,难以发现真正的安全隐患。另一方面,企业和组织日益迫切的信息系统审计和内控要求、等级保护要求,以及不断增强的业务持续性需求,也对客户提出了严峻的挑战。
针对上述不断突出的客户需求,从2000年开始,国内外陆续推出了SOC(Security Operations Center)产品。目前国内的SOC产品也称为安全管理平台,由于受到国内安全需求的影响,具有很强的中国特色。 一般地,SOC被定义为:以资产为核心,,特指以资产为核心,以安全事件管理为关键流程,采用安全域划分的思想,建立一套实时的资产风险模型,协助管理员进行事件及风险分析,预警管理,应急响应的集中安全管理系统。
SOC是一个复杂的系统,他既有产品,又有服务,还有运维(运营),SOC是技术、流程和人的有机结合。SOC产品是SOC系统的技术支撑平台,这是SOC产品的价值所在,我们既不能夸大SOC产品的作用,也不能低估他的意义。这就好比一把好的扫帚并不意味着你就天然拥有干净的屋子,还需要有人用它去打扫房间。
信息安全产业的地位
如果我们把信息安全产业分为产品和服务两个部分,那么SOC产品位于信息安全产品市场金字塔的顶端。
SOC产品是所有安全产品的集大成者。SOC产品不是取代原有的安全产品,而是在这些安全产品之上,面向客户,从业务的角度构建了一个一体化的安全管理运行的技术集成平台。
信息安全产业是一个极速发展变化的产业,SOC的内涵和外延也会不断的更新,但是SOC产品在整个信息安全产品结构中的顶层地位始终不会改变。 如前所述,国外的SOC并没有明确的定义,其发展轨迹可以从产品和服务两个维度来看。
(1)SOC产品
国外鲜见以SOC命名的产品, SOC更多地是与服务挂钩的。国外产品厂商使用了SIEM(Security Information and Event Management,安全信息与事件管理)这个词来代表SOC产品,以示产品与服务的区隔。
必须指出的是,SIEM产品与我们理解的SOC产品是有区别的,SIEM产品是SOC的核心产品,但不是全部。
根据Gartner2008年关于信息安全的Hype Cycle曲线分析显示,全球安全管理平台市场趋于成熟,还有不到两年(从2009年开始计算)就将成为业界主流产品。Gartner公司2009年安全信息和事件管理(SIEM)幻方图显示,全球SIEM市场在2008年增长了30%,整体收入达到了约10亿美元。
(2)SOC服务
SOC服务是指MSSP(Managed Security Service Provider,可管理安全服务提供商)以SOC为技术支撑为客户提供安全服务。这里,客户感受到的只是安全服务,而非SOC本身。
从SOC发展至今,国外更多地将SOC与服务联系在了一起,这与国外(主要是欧美)信息安全发展的水平和客户对安全的认知水平有密切关系。
根据Gartner公司《2008年下半年北美MSSP幻方图》显示, 北美市场2007年的营收大约是5.7亿美元,预计在2008年全年会有15%的增长。 SOC这个概念,自传入中国起,就深深的烙下了中国特色。由于信息安全产业和需求的特殊性使然,由于中国 *** 与安全管理理念、制度、体系、机制的落后使然。
中国SOC的引入和发展与国外的情况有一个很大的不同,就是国内在提出SOC的时候,除了电信、移动、民航、金融等高度信息化的单位,大部分企业和组织连NOC都没有建立起来。于是,国内SOC的发展依据行业的不同出现了截然不同的发展轨迹。电信、移动、民航、金融等单位较早的建立了NOC,对SOC的认识过程与国外基本保持一致。其他企业和组织则对SOC认识模糊,从而更加讲求实效。这两类客户对于SOC的需求和期望是截然不同的,后者在需求的广度上超过了前者,因而用电信、移动、金融领域的SOC反而难以满足 *** 等企事业单位客户的需求。
SOC在国内也有两个发展维度,产品和服务。
(1)SOC产品
在国内,一般把SOC产品称为安全管理平台,但是,公安部的《安全管理平台产品检测规范》并没有真正涵盖SOC的全部内容。国内的安全管理平台具有狭义和广义两个定义。
狭义上,安全管理平台重点是指对安全设备的集中管理,包括集中的运行状态监控、事件采集分析、安全策略下发。
而广义的安全管理平台则不仅针对安全设备进行管理,还要针对所有IT资源,甚至是业务系统进行集中的安全管理,包括对IT资源的运行监控、事件采集分析,还包括风险管理与运维等内容。这也是SOC的一般定义。
赛迪顾问(CCID Consulting)于2007年开始首次在其信息安全产品市场分析报告中对SOC产品进行分析。
(2)SOC服务
在国内,SOC服务始终处于萌芽状态,与国外的如火如荼形成了鲜明的对比。这是国内信息安全产业发展整体所处的阶段所致。
最后,无论SOC如何在国内发展,这个概念已经渐渐为业界所认同,也得到了客户的认可。随着国内信息安全水平的提升,信息安全产、学、研都纷纷加大了对它的关注度。
发展新阶段SOC2.0
随着客户业务的深化和行业需求的清晰,传统SOC理念和技术的局限性逐渐凸现出来,主要体现于三个方面:首先,在体系设计方面,传统SOC围绕资产进行功能设计,缺乏对业务的分析。其次,在技术支持方面,传统SOC缺少全面的业务安全信息收集。最后,在实施过程方面,传统SOC实施只考虑安全本身,没有关注客户业务。以资产为核心、缺乏业务视角的软肋使得传统SOC不能真正满足客户更深层次的需求。
对于用户而言,真正的安全不是简单的设备安全,而是指业务系统安全。IT资源本身的安全管理不是目标,核心需求是要保障IT资源所承载的业务的可用性、连续性、以及安全性,因为业务才是企业和组织的生命线。要保障业务安全,就要求为用户建立一套以业务为核心的管理体系,从业务的角度去看待IT资源的运行和安全。如果把传统的SOC称为SOC1.0,那么面向业务的SOC就可以称作SOC2.0。
SOC2.0的定义:SOC2.0是一个以业务为核心的、一体化的安全管理系统。SOC2.0从业务出发,通过业务需求分析、业务建模、面向业务的安全域和资产管理、业务连续性监控、业务价值分析、业务风险和影响性分析、业务可视化等各个环节,采用主动、被动相结合的 *** 采集来自企业和组织中构成业务系统的各种IT资源的安全信息,从业务的角度进行归一化、监控、分析、审计、报警、响应、存储和报告。SOC2.0以业务为核心,贯穿了信息安全管理系统建设生命周期从调研、部署、实施到运维的各个阶段。
SOC2.0的价值就在于确保IT可靠、安全地与客户业务战略一致,促使客户有效地利用信息资源,降低运营风险。 整体看来,SOC经历了一个从分散到集中,从以资产为核心到以业务核心的发展轨迹。随着中国安全建设水平的不断提升,安全管理的业务导向程度会越来越明显。
在信息安全建设的早期,更多地是部署各类安全设备和系统,逐渐形成了“安全防御孤岛”,导致了安全管理的成本急剧上升,而安全保障效率迅速下降。为此,出现了最早的安全管理系统,主要是实现对 *** 中分散的防火墙/VPN等设备的集中监控与策略下发,构建一个较为完整的边界安全统一防护体系。
随着对信息安全认识的不断深入,安全管理体系化思想逐渐成熟,出现了以信息系统资产为核心的全面安全监控、分析、响应系统——SOC1.0。SOC1.0以资产为主线,实现了较为全面的事件管理与处理流程,以及风险管理与运维流程。
SOC1.0的出现,提升了用户信息安全管理的水平,从而也对信息安全管理有了更高的期望,要求从客户业务的角度来进行安全管理的呼声日益增长,于是出现了面向业务的SOC2.0。SOC2.0继承和发展的传统SOC1.0的集中管理思想,将安全与业务融合,真正从客户业务价值的角度去进行一体化安全体系的建设。 展望未来,SOC的发展始终会沿着两个路径前进:产品和服务。
从产品的角度来看,从SOC1.0到SOC2.0,实现了业务与安全的融合,符合整个IT管理需求、技术的发展大势。下一步,将会不断涌现面向业务的SOC2.0产品。随着客户需求的日益突出、业务系统的日益复杂,越来越多的企业和组织会部署SOC系统。
从服务的角度看,SOC将成为MSSP(可管理安全服务提供商)的服务支撑平台,成为SaaS(软件即服务,安全即服务)的技术支撑平台,成为云计算、云安全的安全管理后台。所有用户体验到的安全服务都会由SOC来进行总体支撑。
一方面,SOC产品的业务理念和思路会渗透到SOC服务之中;另一方面,SOC服务水平与客户认知的提升也会促进SOC产品的发展与成熟。
何谓SOC架构?
在数字时代,拥有一个安全运营中心(SOC)对于每个组织的 *** 安全都是至关重要的。然而,并非每个SOC都能有效应对 *** 威胁和攻击。这背后的主要原因是缺乏标准化的SOC框架。SOC框架要求设计一份文件,提供指导方针、要求和规范,以有效支持 *** 安全运营。
开放Web应用程序安全项目(OWASP)引入了SOC框架,以便组织使用有效的技术控制(如安全信息和事件管理(SIEM)系统)以及组织控制(如流程)和其他人为因素来应对 *** 安全事件。除了应对 *** 安全事件外,SOC的其他主要目标还包括使组织对未来的攻击具有弹性;提供有效的报告机制,及时发现威胁。
一、SOC框架的必要条件
要建立一个强大的SOC框架,组织必须:
1.1定义一个策略
拥有一个涉及关键利益相关者和执行者的战略,将允许一个框架实现SOC的目的和业务的某些目标。该战略还应包括 足够的技术资源、关键专业人员的专门知识和脆弱性评估 的范围。有效的沟通,与往常一样,是允许透明的关键。
1.2实现基于策略的基础结构
一旦制定了战略,就应该建立 基础设施,包括内部和外部威胁情报工具,如新闻源和漏洞警报 。分析和监控工具可以有效地检测威胁。基础设施还应该包括防火墙和入侵保护系统(IPS)/入侵检测系统(IDS)等安全工具的使用。其他基本工具将在后面几节中讨论。
二、用有效的工具和解决方案建立强大的SOC
安全信息和事件管理(SIEM)工具被认为是非常有效的监控工具,因为它提供了安全警报的实时分析。这实际上允许数据分析、日志收集和报告安全事件的功能。由于资源的枯竭,对于一个组织来说,维护两个独立的SIEM解决方案是很正常的:一个用于数据安全,另一个用于遵守法律。
SIEM不再作为独立的工具使用,有时还与其他工具结合使用,以加强安全控制。为此,安全从业者更喜欢安全编排、自动化和响应(SOAR)平台。这种技术使安全数据的收集自动化,并相应地做出响应。它通过修补漏洞来加速事件响应。由于自动化特性,SOAR对于与SIEM集成的组织来说变得越来越普遍。
按照Gartner的说法,SOAR是多种技术的 *** ,允许公司从不同的来源(多数情况下来自SIEM)收集数据和安全警报。组织可以同时使用机器和人力进行威胁分析和补救。
在SOC中,SOAR的作用是不可或缺的。如今, *** 安全技能差距正在急剧扩大,由于其自动化特性,SOAR在填补这一差距方面发挥了重要作用。通过自动化各种日常和手工任务,SOAR最小化了对安全专业人员的需求。因此,SOAR是SOC框架中的一个重要的安全组成部分。
三、谁是SOC组的成员?
除了 *** 安全解决方案和技术,一个成功的SOC框架还严重依赖于组成该团队的安全专业人员,如计算机安全事件响应团队(CSIRT)。SOC小组的主要成员包括:
3.1合规审计
对于任何类型的组织来说,遵守监管标准都是避免处罚和罚款的必要条件。合规审核员确保采取必要的措施以满足合规标准,如《通用数据保护条例》(GDPR)。
3.2安全分析人员
安全分析师负责检测、分析和响应 *** 事件。它们还处理警报的实时分类。
3.3事件响应和取证调查
事件响应人员执行安全警报的事件响应计划、初始评估和威胁分析。然而,取证调查人员通过收集情报、证据和其他与威胁相关的信息来分析事件。
3.4SOC经理
他们是领导SOC团队、管理SOC团队并帮助确定 *** 安全预算的高层管理人员。
结论
为了使SOC有效,遵循SOC框架是必要的。虽然目前还缺乏SOC的框架,但在本文中,我们已经了解了构成可靠SOC的更佳SOC框架。这个框架结合了一些工具和技术,以及运行SOC的安全专家。
你是否担心公司的 *** 安全?你对公司目前的安全状况感到不舒服吗?Logsign为世界各地的企业提供下一代SIEM和安全编排、自动化和响应(SOAR)平台。
网御星云SOC和态势感知区别
区别有:
1、网御星云soc的核心是平台和人,是安全运营中心的简称,是客户用于安全集中管理的重要平台。soc是一个复杂的实时响应系统,是由人员、流程、技术三者结合的一个整体。soc可以帮助管理人员进行实践分析、风险分析、预警管理和应急响应处理。
2、网御星云态势感知是支撑soc建成的最重要的一个支撑点,势感知是SOC平台收集客户各种信息如日志、流量等并配合规则模型和安全智能情报等作出的态势判断,如时间轴、上下文关系等,数据驱动安全,是根据客户的现时和历史数据进行分析,判断潜在的威胁和风险。而现如今,态势感知本身就只是一个比较泛的概念,覆盖的方面的非常广,但基本可以分为三个层次:覆盖感知、分析理解、预测。只是目前的态势感知仍然存在许多问题,诸如人才缺乏、取证滞后、无法全面掌握数据等等,因此很多时候soc只能做到事后响应,而无法提前或者实时检测。
socvpn是啥
vpn是指虚拟专用 *** ,vpn大致分为两种类型,分别是:1、Internet VPN,表示使用互联网线路的VPN;2、IP-VPN,指在每个电信运营商独立构建和操作的封闭 *** 中使用的VPN。

VPN是虚拟专用 *** ,顾名思义,它指的是我们公司建立的“虚拟”的“专用 *** (专用 *** )”,或者提供这种 *** 的服务。

TP-LINK 内置AC统一智能IP带宽管理千兆企业VPN路由器
¥
669
购买
京东
在VPN中,专用路由器设置会让它们彼此连接的站点上,并且它们通过公共线路互连。此时,在公共线路,有专门的通信 *** 无法读取通信的来自外部的内容,如加密建成后,就不必担心的是窃听通信内容。
VPN大致分为两种类型
有2种类型的VPN,最常用的是Internet VPN和IP-VPN,在公共线路上构建专用通信 *** 的概念,当然本身在这两种情况下都不会改变,但是存在一定的差异。
1.什么是Internet VPN?
Internet VPN从字面上来看就是使用互联网线路的VPN,在常用互联网线路上,我们使用IP-Sec和SSL技术构建虚拟专用 *** ,我们将与 *** 中的远程办公室进行通信。
2.什么是IP-VPN?
IP-VPN是指在每个电信运营商独立构建和操作的封闭 *** (线路 *** )中使用的VPN,IP-VPN与Internet VPN有所不同,虽然对通信质量有一定保证,但与Internet VPN相比,需要昂贵的使用费。
VPN具体应用实例
Internet VPN中有三种使用技术,分别是IPsec,L2TP/IPsec,PPTP。
1.IPsec
IPsec是用于加密通信内容的协议之一,在VPN中,加密安装在远程站点的专用VPN从而进行之间的通信,它主要用于通过VPN连接不同地理位置的办公室。
2.L2TP/IPsec
L2TP/IPsec代表“L2PT over IPsec VPN”,L2TP是用于在 *** 上构建和传送虚拟通信路径的协议,L2TP不去加密,加密是通过组合IPsec实现的。
3.PPTP
PPTP是用于构建和加密虚拟通信路径的协议,但是,在比较加密强度时,IPsec会更高,一般情况下,我们建议使用IPsec,因为用于站点之间的VPN通信,假如我们从家里出来,通过VPN连接到公司 *** 。
12306崩了,现在的网站平台的安全性到底可靠吗?
其实12306服务器的崩溃与平台的安全并没有什么直接的关系,如果稍微懂一点 *** 的人都知道平台的安全是涉及。
到个人隐私方面,往往这些公司都会十分的注重,而服务器方面则是单独的一个类型。因为12306如果崩溃的话涉及的是12306本身的业务,也就是订票查询以及退票等服务。并不会涉及到公民的隐私,所以说它的安全性还是比较的可靠的。毕竟是中国铁路的官方app所以说还是比较值得信赖的,对于用户隐私的安全性方面一定是做的十分的可靠,否则也愧对于官方app这个称呼。
但是不得不说12306的服务器真的是非常的容易崩溃。就拿我而言,我有一次急着订票,但是他的服务器却在一天之内接连崩溃了两次。十分影响用户的使用体验,但是也没有什么办法,毕竟那官方app就是这样。所以说,如果想要使用12306的体验好一点的话,还是需要慢慢的去等待官方的更新。
不过到目前为止123067是已经更新的十分的不错了,基本上该有的功能都有了,服务器也并不会总是宕机了。续相信再多给官方一点点时间,他们的app应该会设计的比现在还要好,并且服务器应该也会进行一定的加强。主要作为用户的观点上面还是需要对官方要有一点点信心的。平台还是好平台,并且也是十分的安全可靠的,这一点完全不用担心。
0条大神的评论