实时警报通知:微信告警通知的重要性解析
856
2022-12-26
本文目录一览:
SOC(Security Operations Center)是一个外来词。而在国外,SOC这个词则来自于NOC(NetworkOperation Center,即网络运行中心)。NOC强调对客户网络进行集中化、全方位的监控、分析与响应,实现体系化的网络运行维护。
随着信息安全问题的日益突出,安全管理理论与技术的不断发展,需要从安全的角度去管理整个网络和系统,而传统的NOC在这方面缺少技术支撑,于是,出现了SOC的概念。不过,至今国外都没有形成统一的SOC的定义。维基百科也只有基本的介绍:SOC(SecurityOperationsCenter)是组织中的一个集中单元,在整个组织和技术的高度处理各类安全问题。SOC具有一个集中化的办公地点,有固定的运维管理人员。国外各个安全厂商和服务提供商对SOC的理解也差异明显。 为了不断应对新的安全挑战,企业和组织先后部署了防火墙、UTM、入侵检测和防护系统、漏洞扫描系统、防病毒系统、终端管理系统,等等,构建起了一道道安全防线。然而,这些安全防线都仅仅抵御来自某个方面的安全威胁,形成了一个个“安全防御孤岛”,无法产生协同效应。更为严重地,这些复杂的IT资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件,形成了大量“信息孤岛”,有限的安全管理人员面对这些数量巨大、彼此割裂的安全信息,操作着各种产品自身的控制台界面和告警窗口,显得束手无策,工作效率极低,难以发现真正的安全隐患。另一方面,企业和组织日益迫切的信息系统审计和内控要求、等级保护要求,以及不断增强的业务持续性需求,也对客户提出了严峻的挑战。
针对上述不断突出的客户需求,从2000年开始,国内外陆续推出了SOC(Security Operations Center)产品。目前国内的SOC产品也称为安全管理平台,由于受到国内安全需求的影响,具有很强的中国特色。 一般地,SOC被定义为:以资产为核心,,特指以资产为核心,以安全事件管理为关键流程,采用安全域划分的思想,建立一套实时的资产风险模型,协助管理员进行事件及风险分析,预警管理,应急响应的集中安全管理系统。
SOC是一个复杂的系统,他既有产品,又有服务,还有运维(运营),SOC是技术、流程和人的有机结合。SOC产品是SOC系统的技术支撑平台,这是SOC产品的价值所在,我们既不能夸大SOC产品的作用,也不能低估他的意义。这就好比一把好的扫帚并不意味着你就天然拥有干净的屋子,还需要有人用它去打扫房间。
信息安全产业的地位
如果我们把信息安全产业分为产品和服务两个部分,那么SOC产品位于信息安全产品市场金字塔的顶端。
SOC产品是所有安全产品的集大成者。SOC产品不是取代原有的安全产品,而是在这些安全产品之上,面向客户,从业务的角度构建了一个一体化的安全管理运行的技术集成平台。
信息安全产业是一个极速发展变化的产业,SOC的内涵和外延也会不断的更新,但是SOC产品在整个信息安全产品结构中的顶层地位始终不会改变。 如前所述,国外的SOC并没有明确的定义,其发展轨迹可以从产品和服务两个维度来看。
(1)SOC产品
国外鲜见以SOC命名的产品, SOC更多地是与服务挂钩的。国外产品厂商使用了SIEM(Security Information and Event Management,安全信息与事件管理)这个词来代表SOC产品,以示产品与服务的区隔。
必须指出的是,SIEM产品与我们理解的SOC产品是有区别的,SIEM产品是SOC的核心产品,但不是全部。
根据Gartner2008年关于信息安全的Hype Cycle曲线分析显示,全球安全管理平台市场趋于成熟,还有不到两年(从2009年开始计算)就将成为业界主流产品。Gartner公司2009年安全信息和事件管理(SIEM)幻方图显示,全球SIEM市场在2008年增长了30%,整体收入达到了约10亿美元。
(2)SOC服务
SOC服务是指MSSP(Managed Security Service Provider,可管理安全服务提供商)以SOC为技术支撑为客户提供安全服务。这里,客户感受到的只是安全服务,而非SOC本身。
从SOC发展至今,国外更多地将SOC与服务联系在了一起,这与国外(主要是欧美)信息安全发展的水平和客户对安全的认知水平有密切关系。
根据Gartner公司《2008年下半年北美MSSP幻方图》显示, 北美市场2007年的营收大约是5.7亿美元,预计在2008年全年会有15%的增长。 SOC这个概念,自传入中国起,就深深的烙下了中国特色。由于信息安全产业和需求的特殊性使然,由于中国网络与安全管理理念、制度、体系、机制的落后使然。
中国SOC的引入和发展与国外的情况有一个很大的不同,就是国内在提出SOC的时候,除了电信、移动、民航、金融等高度信息化的单位,大部分企业和组织连NOC都没有建立起来。于是,国内SOC的发展依据行业的不同出现了截然不同的发展轨迹。电信、移动、民航、金融等单位较早的建立了NOC,对SOC的认识过程与国外基本保持一致。其他企业和组织则对SOC认识模糊,从而更加讲求实效。这两类客户对于SOC的需求和期望是截然不同的,后者在需求的广度上超过了前者,因而用电信、移动、金融领域的SOC反而难以满足政府等企事业单位客户的需求。
SOC在国内也有两个发展维度,产品和服务。
(1)SOC产品
在国内,一般把SOC产品称为安全管理平台,但是,公安部的《安全管理平台产品检测规范》并没有真正涵盖SOC的全部内容。国内的安全管理平台具有狭义和广义两个定义。
狭义上,安全管理平台重点是指对安全设备的集中管理,包括集中的运行状态监控、事件采集分析、安全策略下发。
而广义的安全管理平台则不仅针对安全设备进行管理,还要针对所有IT资源,甚至是业务系统进行集中的安全管理,包括对IT资源的运行监控、事件采集分析,还包括风险管理与运维等内容。这也是SOC的一般定义。
赛迪顾问(CCID Consulting)于2007年开始首次在其信息安全产品市场分析报告中对SOC产品进行分析。
(2)SOC服务
在国内,SOC服务始终处于萌芽状态,与国外的如火如荼形成了鲜明的对比。这是国内信息安全产业发展整体所处的阶段所致。
最后,无论SOC如何在国内发展,这个概念已经渐渐为业界所认同,也得到了客户的认可。随着国内信息安全水平的提升,信息安全产、学、研都纷纷加大了对它的关注度。
发展新阶段SOC2.0
随着客户业务的深化和行业需求的清晰,传统SOC理念和技术的局限性逐渐凸现出来,主要体现于三个方面:首先,在体系设计方面,传统SOC围绕资产进行功能设计,缺乏对业务的分析。其次,在技术支持方面,传统SOC缺少全面的业务安全信息收集。最后,在实施过程方面,传统SOC实施只考虑安全本身,没有关注客户业务。以资产为核心、缺乏业务视角的软肋使得传统SOC不能真正满足客户更深层次的需求。
对于用户而言,真正的安全不是简单的设备安全,而是指业务系统安全。IT资源本身的安全管理不是目标,核心需求是要保障IT资源所承载的业务的可用性、连续性、以及安全性,因为业务才是企业和组织的生命线。要保障业务安全,就要求为用户建立一套以业务为核心的管理体系,从业务的角度去看待IT资源的运行和安全。如果把传统的SOC称为SOC1.0,那么面向业务的SOC就可以称作SOC2.0。
SOC2.0的定义:SOC2.0是一个以业务为核心的、一体化的安全管理系统。SOC2.0从业务出发,通过业务需求分析、业务建模、面向业务的安全域和资产管理、业务连续性监控、业务价值分析、业务风险和影响性分析、业务可视化等各个环节,采用主动、被动相结合的方法采集来自企业和组织中构成业务系统的各种IT资源的安全信息,从业务的角度进行归一化、监控、分析、审计、报警、响应、存储和报告。SOC2.0以业务为核心,贯穿了信息安全管理系统建设生命周期从调研、部署、实施到运维的各个阶段。
SOC2.0的价值就在于确保IT可靠、安全地与客户业务战略一致,促使客户有效地利用信息资源,降低运营风险。 整体看来,SOC经历了一个从分散到集中,从以资产为核心到以业务核心的发展轨迹。随着中国安全建设水平的不断提升,安全管理的业务导向程度会越来越明显。
在信息安全建设的早期,更多地是部署各类安全设备和系统,逐渐形成了“安全防御孤岛”,导致了安全管理的成本急剧上升,而安全保障效率迅速下降。为此,出现了最早的安全管理系统,主要是实现对网络中分散的防火墙/VPN等设备的集中监控与策略下发,构建一个较为完整的边界安全统一防护体系。
随着对信息安全认识的不断深入,安全管理体系化思想逐渐成熟,出现了以信息系统资产为核心的全面安全监控、分析、响应系统——SOC1.0。SOC1.0以资产为主线,实现了较为全面的事件管理与处理流程,以及风险管理与运维流程。
SOC1.0的出现,提升了用户信息安全管理的水平,从而也对信息安全管理有了更高的期望,要求从客户业务的角度来进行安全管理的呼声日益增长,于是出现了面向业务的SOC2.0。SOC2.0继承和发展的传统SOC1.0的集中管理思想,将安全与业务融合,真正从客户业务价值的角度去进行一体化安全体系的建设。 展望未来,SOC的发展始终会沿着两个路径前进:产品和服务。
从产品的角度来看,从SOC1.0到SOC2.0,实现了业务与安全的融合,符合整个IT管理需求、技术的发展大势。下一步,将会不断涌现面向业务的SOC2.0产品。随着客户需求的日益突出、业务系统的日益复杂,越来越多的企业和组织会部署SOC系统。
从服务的角度看,SOC将成为MSSP(可管理安全服务提供商)的服务支撑平台,成为SaaS(软件即服务,安全即服务)的技术支撑平台,成为云计算、云安全的安全管理后台。所有用户体验到的安全服务都会由SOC来进行总体支撑。
一方面,SOC产品的业务理念和思路会渗透到SOC服务之中;另一方面,SOC服务水平与客户认知的提升也会促进SOC产品的发展与成熟。
SOC,或者SoC,是一个缩写,包括的意思有:
1、SoC:System on Chip的缩写,称为芯片级系统,也有称片上系统,意指它是一个产品,是一个有专用目标的集成电路,其中包含完整系统并有嵌入软件的全部内容。
2、SOC: Security Operations Center的缩写,属于信息安全领域的安全运行中心。
3、民航SOC:System Operations Center的缩写,指民航领域的指挥控制系统。
4、一个是Service-Oriented Computing,“面向服务的计算”
5、SOC(Signal Operation Control) 中文名为信号操作控制器,它不是创造概念的发明,而是针对工业自动化现状提出的一种融合性产品。
它采用的技术是正在工业现场大量使用的成熟技术,但又不是对现有技术的简单堆砌,是对众多实用技术进行封装、接口、集成,形成全新的一体化的控制器,可由一个控制器就可以完成作业,称为SOC。
6、SOC(start-of-conversion ),启动转换。
7、short-open calibration 短开路校准。
扩展资料:SoC的定义多种多样,由于其内涵丰富、应用范围广,很难给出准确定义。一般说来, SoC称为系统级芯片,也有称片上系统,意指它是一个产品,是一个有专用目标的集成电路,其中包含完整系统并有嵌入软件的全部内容。
同时它又是一种技术,用以实现从确定系统功能开始,到软/硬件划分,并完成设计的整个过程。
System on Chip,简称Soc,也即片上系统。从狭义角度讲,它是信息系统核心的芯片集成,是将系统关键部件集成在一块芯片上;从广义角度讲, SoC是一个微小型系统,如果说中央处理器(CPU)是大脑,那么SoC就是包括大脑、心脏、眼睛和手的系统。
国内外学术界一般倾向将SoC定义为将微处理器、模拟IP核、数字IP核和存储器(或片外存储控制接口)集成在单一芯片上,它通常是客户定制的,或是面向特定用途的标准产品。
SoC定义的基本内容主要在两方面:其一是它的构成,其二是它形成过程。
系统级芯片的构成可以是系统级芯片控制逻辑模块、微处理器/微控制器CPU 内核模块、数字信号处理器DSP模块、嵌入的存储器模块、和外部进行通讯的接口模块、含有ADC /DAC 的模拟前端模块、电源提供和功耗管理模块。
对于一个无线SoC还有射频前端模块、用户定义逻辑(它可以由FPGA 或ASIC实现)以及微电子机械模块,更重要的是一个SoC 芯片内嵌有基本软件(RDOS或COS以及其他应用软件)模块或可载入的用户软件等。系统级芯片形成或产生过程包含以下三个方面:
1、基于单片集成系统的软硬件协同设计和验证;
2、再利用逻辑面积技术使用和产能占有比例有效提高即开发和研究IP核生成及复用技术,特别是大容量的存储模块嵌入的重复应用等;
3、超深亚微米(VDSM) 、纳米集成电路的设计理论和技术。
SoC设计的关键技术:
SoC关键技术主要包括总线架构技术、IP核可复用技术、软硬件协同设计技术、SoC验证技术、可测性设计技术、低功耗设计技术、超深亚微米电路实现技术,并且包含做嵌入式软件移植、开发研究,是一门跨学科的新兴研究领域。
参考资料:百度百科-soc (系统级芯片)
近年来,税务行业在信息化建设上突飞猛进,信息化服务能力也有了更进一步的提升,在建设逐渐完善的业务系统过程中,伴随而来的是信息的安全、有效、合理的监管问题,怎么管理好与业务系统相伴的安全问题,是关系到整个税务行业信息化建设进一步发展的重要因素。
某省地税局作为税务行业信息化建设的领先者之一,近年在安全建设上取得了一系列重大突破,各地市征管系统顺利完成了由地级市集中处理模式向省级集中处理模式的转换。省级大集中系统的全面上线,标志着江苏地税税收管理最重要的省级一体化信息平台初步建成。随着征管系统的管理机构、工作模式、岗位职责、人员分工等变化,征管系统面临的安全风险也发生了变化。从以往各地的风险仅仅是局部影响,到现在的互动影响,各地问题相互交替,范围扩大,继而影响全省;出现了各地小风险会导致全局大风险,甚至可能演变成全省灾难性风险。为了能够系统地研究分析各地自身终端信息安全,从而达到保证省级大集中系统安全的目的,依据目前安全规范要求,更需要重点关注大集中后各地终端运行安全和信息安全管控,关注应急防范处置,解决安全认识不到位、技术手段的管控力度低、信息资料的定密不清、外来人员的监控不力等问题,而基于人工方式对出现的问题和风险进行排查和处置,已无法解决人手少、范围广、事件多的困难局面,更无法适应面对全省征管大集中新形势下的终端安全需要。
为解决出现的安全管理问题,某省地税计划建立终端安全管理体系,建设终端安全防护平台和终端安全管理平台,逐步形成具有地税特色的功能成熟并能切实发挥作用的终端安全防护和管理平台,促进业务与安全的协调发展,满足省级大集中后全省信息安全有效管控的需要。 在安全教育培训、技术防范、规章制度建立、安全检查评估及整改等方面做了大量的工作,在一定程度上提高了终端安全管理水平。但是,终端系统数量大、应用多,加之安全管理人员少,缺乏完备的技术手段,无法掌握终端安全风险状况,安全管理人员难以对真正紧急的事件进行快速响应。
因此,该地税系统需要建立终端安全管理体系,通过完善相关管理制度、流程、规范组织机构职责、构建终端安全防护和安全管理平台实现以下终端安全管理功能:
实时对内网终端的软硬件、移动介质、接入访问、补丁更新、病毒防范等状况进行统一监控; 实现对终端资产全生命周期的管理; 采集终端安全相关安全事件和日志信息、进行整合和关联分析,提供终端安全态势展示; 评估终端安全风险,实现终端全生命周期的安全风险管理; 审计终端用户行为,重点实现对第三方接入终端的用户行为审计; 产生安全事故和告警,提供自动告警和响应手段; 接收并处理相关单位发来的终端相关的安全预警; 生成各种安全报告并及时进行应急响应; 进行终端相关安全知识管理; 为相关部门的信息安全审计和考核提供技术手段和依据,实现全内网终端系统的安全集中监控、审计和应急响应,全面提升该系统内网终端安全管理能力,提升该系统整体信息安全保障能力。 终端安全防护和安全管理平台将是该系统信息安全管理团队非常必要的技术支撑系统之一。 基于终端安全防护和安全管理平台的建设落实在该终端安全管理体系内,实现终端安全管理工作的信息化,为全省终端安全管理提供技术手段,提高终端安全管理、维护的水平,优化终端安全工作流程,缩短终端安全事件处理的响应处理时间,进而保障全省税务业务网络、支撑网络、业务系统以及整个信息化系统安全高效的运行,系统有如下的建设方向与目标:
搭建终端安全防护和安全管理平台,实现三级机构终端管理; 建设终端安全管理体系的基本组织框架,确保终端安全管理相关工作的有效落实; 推进内网终端安全管理标准化:对内网终端的安全访问、非法内联、非法外联、补丁更新、桌面管理、病毒防范等安全策略进行标准化管理。 推进安全事件管理规范化:对安全事件的采集,汇总及处理规范化管理,规范安全事件的响应措施。 终端安全策略框架和策略脚本建立,构建符合安全策略的基本运作流程,结合终端安全防护和管理平台实现内网终端安全维护管理流程化:对终端安全实施设备及使用的全生命周期管理、风险全过程管理和重要风险系统管理,并配合行政管理,实现终端安全管理流程化管理。 终端安全态势可视化:对各类安全事件进行统一展现,从各种不同角度进行分析,针对不同的安全事件,提供安全预警分析。 推进内网终端运行管理自动化:增强终端管理的自动化,事件响应自动化,安全告警管理和安全工单自动派发。Oslash; 实现内网终端运行管理指标化:对终端安全事件量化处理,实现终端运行监测点及相关考核指标标准化。 该系统安全管理平台建设从三个层面考虑:终端安全防护平台、终端安全管理平台、终端安全防护体系。
终端安全防护平台负责终端信息的采集和维护、终端安全风险的管理和防护、终端安全事件的监测和控制,为管理平台提供所需要的各类数据的采集和传输。实现各类安全事件的“事前防范、事中防御、事后处理”的立体化、流程化防御。是构建综合的、完整的内网终端安全防护体系的基础。
终端安全管理平台在终端安全防护平台提供的数据基础上,提供安全管理人员(系统管理员、安全主管)所需要的管理、监控、风险分析功能,各类管理报表的制作,同时满足省、市、县分布式环境下的行业安全管理要求。是构建完整的终端内网安全管理体系的技术支撑平台。
终端安全管理体系由终端安全组织体系、终端安全运作体系、终端安全策略体系和终端安全技术体系构成。其中终端安全技术体系主要由终端安全防护平台和终端安全管理平台构成。
终端安全防护平台是核心组件,是终端安全管理体系的基础部件。
终端安全管理平台在采取集中监控管理的方式,在更高层面上接收来自终端安全防护平台的安全事件和安全风险监测数据,负责对这些事件进行深层的分析,统计和关联,提供处理方法和建议。
防护平台和管理平台采用联合部署的方式,可以通过同机或者双机的方式进行部署,联合实现终端安全风险管理的有效控制。由于江苏地税的行业特性和网络结构,决定了在不同的网络类型上采用不同的部署方式和部署要求。在部署方式上,同机部署适用于小型网络(区县级网络),双机部署适用于中型网络(县市级网络),多级联合部署适用于大型网络(省市级网络),因为不同的网络级别安全性保障要求也不同。
该终端安全管理体系平台的总体结构如图所示。系统由3个层次组成,包括省局、地市局(园区)和县局(保税区)终端安全防护与安全管理平台。
3个层次组成树形结构,从逻辑上看,省局中心节点只有1个,地市局节点共15个(其中包括13个地市局、省局自身管理和苏州园区),县节点共68个(其中包括67个县和1个保税区);各地市局节点连接到省局中心节点,各县节点连接到所属地市局节点
图13-3 该终端安全防护与管理系统总体部署示意图
省局中心节点:最顶层是省局终端安全防护与安全管理平台,其中省局终端安全防护平台管理全省统一安全策略,省局终端安全管理平台不仅基于省局终端安全防护平台管理省局内网终端,而且是全省终端安全管理平台的总中心,负责全局终端安全策略的管理和下发,接收全局上报信息,具有全省数据综合分析和与其他系统协同联动的功能。
地市局节点:负责本地市内终端的安全防护和安全管理工作,同时对所管辖的下级县局安全防护平台和安全管理平台有监管功能,具体包括接收省中心策略配置或进行本地配置,收集监控信息并产生事件并上报,同时具有数据分析的能力。
县局节点:负责本县内终端的安全防护和安全管理工作,包括接收省中心和地市局中心策略配置或进行本地配置,收集监控信息并产生事件并上报,同时具有一定的数据分析的能力。
认证授权策略中心:负责全网所有的认证、授权、策略信息,所有服务器的管理角色集中在一起,由省级配发区域管理权限,区域根据自身情况进行使用者信息的管理,并且对于所有使用者信息进行区域化限定。既满足全网管理要求的统一性,又兼顾了本地管理的灵活性,统一性保障终端信息与使用者信息,以及风险信息在全网是一致的,灵活性保障管理角色和使用者具备本地管理属性。对所有节点的认证进行统一维护和备份,当任意节点的服务器出现故障,可以直接从认证中心恢复认证信息。对所有节点的策略信息进行集中管控,可以保障全省安全策略的统一,也支持全省策略的地区差异化,并且上级可以掌握下级差异化的管理详情。
所有节点都与它的父节点、中心节点以及所有的子节点进行通信。中心节点用于统一安全策略,所有节点根据策略的性质配发适用的范围,父节点能够对所有的子节点进行管理和查询,包括策略应用情况、终端安装情况、补丁安装情况查询和报警信息等,如果下级有选配管理中心,还可以对其进行在线考核。每个节点的认证和策略都是本地配置,这些本地配置将只影响本地的终端安全防护,不影响上级或者平级部署的平台,同时由于这些信息都在中心节点备份,所有可以实时进行同步和恢复。
在管理上漫游属于特殊情况,分为两种:资产漫游和人员漫游。
人员漫游比较常见,在现有的部署方案中,人员漫游可以采用人员的管理链接方式,即人员的管理属性不变,还是由其直属上级进行管理,但是资源属性支持共享,即漫游地的上级也可以查看他的属性,并且可以对其的认证和授权信息进行分配。
资产漫游分为两种:借用和设备调拨。借用时,保持资产的原有信息借用到另外区域,终端在两地的信息都会汇总到上级,而上级进行统计和分析的时候,该终端发生的所有事件都是前后关联在一起的。设备调拨时,根据规定会结束原有的生命周期,重新按照流程入网。 通过该税务系统单位与我国信息安全领先厂商天融信共同构建的终端安全管理系统,按照终端安全防护平台、终端安全管理平台、终端安全防护体系三层结构模型的建设,达到了终端风险可管、可控,安全状态可视的效果:
实现内网终端的“全程全网”安全状态可视化(Visualization)。体现在三级机构的内网终端系统相关安全状态信息可以非常直观地可视化监视,安全策略执行情况可感可知,有能力进行事后的分析和追查,提供可以“呈堂”的证据。
内网终端的安全风险处于可管理、可控制状态下。对内网终端系统安全风险的不间断的评估和控制措施调整,使得全内网终端的整体安全状况和风险情况以定性或半定量的形式及时展现出来。帮助安全管理层和终端安全管理维护人员清晰、准确、及时的了解终端所处的风险状况。
使全网的安全保障能力处于国内领先地位。在病毒爆发、违规操作以及其它不可预见的威胁出现时,内网终端安全防护和管理系统有能力及时发现,并迅速的进行响应和恢复,保障业务工作的正常运行。
保证内网终端相关业务活动在网络安全方面的法律法规符合性。规范、管理和审计内网终端安全状态和用户的行为,在整个体系中将建立法律法规符合性审核制度,保证终端系统安全管理工作的有效性,终端系统合法合规的使用。
发表评论
暂时没有评论,来抢沙发吧~