這意味著該委員會(huì)將加強(qiáng)安全保障職能。國家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心(也稱國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心),其核心業(yè)務(wù)是為全社會(huì)提供網(wǎng)絡(luò)安全預(yù)警防范和數(shù)據(jù)支撐,大到守護(hù)銀行、電力等網(wǎng)絡(luò)系統(tǒng),小到幫助老百姓識(shí)別“釣魚網(wǎng)站”等等。
網(wǎng)絡(luò)安全工作現(xiàn)狀分析
在國家戰(zhàn)略的層面,網(wǎng)絡(luò)安全受到更加強(qiáng)烈的重視,進(jìn)一步升級(jí)成為一項(xiàng)獨(dú)立的、頂層的、全局的和統(tǒng)一的工作。2017年6月1日起施行的《中華人民共和國網(wǎng)絡(luò)安全法》,對(duì)網(wǎng)絡(luò)安全運(yùn)行有明確的“強(qiáng)制性”規(guī)定,如實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度、確定網(wǎng)絡(luò)安全負(fù)責(zé)人、留存網(wǎng)絡(luò)日志不少于六個(gè)月、制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案等。目前,宏觀上我國在網(wǎng)絡(luò)安全頂層設(shè)計(jì)、機(jī)構(gòu)設(shè)置、人才建設(shè)、技術(shù)創(chuàng)新、產(chǎn)業(yè)發(fā)展、宣傳教育等方面不斷加大力度,但從企業(yè)組織具體網(wǎng)絡(luò)安全實(shí)踐的微觀角度來看,還存在種種問題:
1、安全防線各自為戰(zhàn)
為了不斷應(yīng)對(duì)新的安全挑戰(zhàn),企業(yè)和組織部署了防火墻、UTM(統(tǒng)一威脅管理)、入侵檢測(cè)和防護(hù)系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、終端管理系統(tǒng)等,構(gòu)建起了網(wǎng)絡(luò)安全防線。這些系統(tǒng)看似安全實(shí)則存在較大隱患:這些安全設(shè)備獨(dú)立運(yùn)行,各自的目標(biāo)是抵御來自某個(gè)方面的安全威脅,彼此之間缺乏聯(lián)系和協(xié)同,容易形成所謂的“安全防御孤島”。而安全管理人員面對(duì)來自不同安全設(shè)備的海量且彼此割裂的安全信息,工作效率低下不說,更重要的是難以估計(jì)全局的安全態(tài)勢(shì)、難以發(fā)現(xiàn)真正的安全問題。
2、安全從業(yè)人員專業(yè)素質(zhì)欠佳
從國內(nèi)大量的網(wǎng)絡(luò)安全實(shí)踐來看,安全管理人員群體總體上不太專業(yè),許多人甚至是網(wǎng)絡(luò)管理人員兼任,缺乏足夠的安全專業(yè)知識(shí)和技術(shù)。有些網(wǎng)絡(luò)安全從業(yè)人員甚至認(rèn)為網(wǎng)絡(luò)安全就是部署網(wǎng)絡(luò)安全設(shè)備,最多維護(hù)一下設(shè)備策略,即可以高枕無憂。日常的系統(tǒng)維護(hù)、策略更新、數(shù)據(jù)分析、態(tài)勢(shì)跟蹤等等沒有得到應(yīng)有的重視。一旦出現(xiàn)安全事件,最先想到的是斷網(wǎng),然后等待補(bǔ)丁升級(jí)。可見,人的因素是安全問題的最薄弱的環(huán)節(jié)。
3、缺乏獨(dú)立的安全機(jī)構(gòu)設(shè)置
目前大多數(shù)信息化項(xiàng)目,一般都會(huì)考慮網(wǎng)絡(luò)安全問題,會(huì)單獨(dú)采購安全設(shè)備、服務(wù)和培訓(xùn),但常常是作為網(wǎng)管工程的補(bǔ)充,屬于附加、從屬地位,使得“安全第一”經(jīng)常流于形式。
長期以來,我們對(duì)網(wǎng)絡(luò)安全“做”的遠(yuǎn)遠(yuǎn)沒有達(dá)到“說”的程度。從機(jī)構(gòu)設(shè)置來看,多數(shù)機(jī)構(gòu)組織都有專業(yè)的信息化部門,比如網(wǎng)絡(luò)中心或信息中心等等,但很少有專門的網(wǎng)絡(luò)安全部門。做得稍好一些的,在網(wǎng)絡(luò)中心設(shè)置了計(jì)算機(jī)安全響應(yīng)小組CERT,多數(shù)情況下是NOC代行網(wǎng)絡(luò)安全管理的職責(zé)。無論是CERT還是兼職NOC,都是附屬的機(jī)制,不是真正意義上的安全管理機(jī)構(gòu),缺乏系統(tǒng)性和獨(dú)立性,其功能和作用得不到有效發(fā)揮,其發(fā)展也受到很多限制。
從道理上講,前面提到的兩個(gè)問題,都跟第三個(gè)問題有關(guān)??梢哉f,第三個(gè)問題是瓶頸問題。
SOC的必要性與意義
設(shè)置專門的安全運(yùn)行中心SOC(Security Operating Center)是解決微觀上安全管理問題的有效手段。SOC是整合安全設(shè)施、統(tǒng)一安全策略、集中數(shù)據(jù)分析的專門和專業(yè)的安全管理機(jī)構(gòu),對(duì)組織的網(wǎng)絡(luò)安全進(jìn)行綜合的管理和運(yùn)營。一般來說,SOC由四個(gè)部分組成:
綜合安全管理:負(fù)責(zé)內(nèi)控管理,包括資產(chǎn)安全管理、系統(tǒng)補(bǔ)丁管理、異常流量管理、完整性檢查等。
安全事件管理:負(fù)責(zé)安全事件信息收集、異常行為發(fā)現(xiàn)與跟蹤、安全事件追溯與響應(yīng)等。
資產(chǎn)風(fēng)險(xiǎn)管理:負(fù)責(zé)信息資產(chǎn)漏洞信息收集與分析、漏洞級(jí)別度量、風(fēng)險(xiǎn)評(píng)估與響應(yīng)。
運(yùn)維管理:負(fù)責(zé)日常運(yùn)維工作的服務(wù)保障,包括各種時(shí)鐘同步、系統(tǒng)管理、資產(chǎn)配置庫、資產(chǎn)工作狀態(tài)和拓?fù)湫畔?、安全知識(shí)管理、安全考核管理、流程管理實(shí)現(xiàn)等。
與NOC相比,SOC專門和專業(yè)地負(fù)責(zé)網(wǎng)絡(luò)安全,而NOC關(guān)注的是網(wǎng)絡(luò)的通達(dá)性和性能??梢姡琒OC是獨(dú)立于其他網(wǎng)絡(luò)管理職能的機(jī)制。
SOC不是單純的產(chǎn)品,而是一個(gè)復(fù)雜的系統(tǒng)(產(chǎn)品+服務(wù)+運(yùn)維),是技術(shù)、流程和人的有機(jī)結(jié)合,其關(guān)鍵優(yōu)勢(shì)在于通過持續(xù)不斷的監(jiān)測(cè)分析數(shù)據(jù)活動(dòng),改善安全事件的檢測(cè)和響應(yīng)。而廣義的SOC則不僅針對(duì)安全設(shè)備進(jìn)行管理,還要針對(duì)所有IT資源,甚至是業(yè)務(wù)系統(tǒng)進(jìn)行集中的安全管理,包括對(duì)IT資源的運(yùn)行監(jiān)控、事件采集分析、風(fēng)險(xiǎn)管理與運(yùn)維等內(nèi)容,即面向業(yè)務(wù)的SOC。
隨著安全的需求日益迫切,越來越多的企業(yè)和組織將會(huì)選擇部署SOC。
美國提出的可管理的安全服務(wù)MSS,已形成很大的市場規(guī)模。有電信運(yùn)營背景、專業(yè)安全廠商背景及其他背景的MSSP(管理安全服務(wù)提供商),這些MSSP在全球范圍內(nèi)建立了多處SOC,比如IBM有7個(gè)SOC和6個(gè)安全中心、Symantec有4個(gè)SOC和8個(gè)安全研究中心。Garner預(yù)測(cè)2018年的安全外包服務(wù)將達(dá)185億美元,成為僅次于咨詢的第二大安全支出子行業(yè)。
我國除了電信、民航、金融等高度信息化的單位引入了SOC外,大部分企業(yè)和組織僅有NOC這樣的機(jī)構(gòu)。
SOC作為安全領(lǐng)域的全新防御體系,超越了目前普遍應(yīng)用的安全產(chǎn)品的局限性,將網(wǎng)絡(luò)安全防御上升到了一個(gè)新的高度。SOC并不只是一種系統(tǒng)機(jī)構(gòu)和產(chǎn)品創(chuàng)新,而是一種整體性的網(wǎng)絡(luò)安全新機(jī)制,是各種安全解決方案的有機(jī)協(xié)調(diào),為企業(yè)組織安全資源整合提供了整體解決方案。
一些建議
網(wǎng)絡(luò)安全是一件專門和專業(yè)的事情
網(wǎng)絡(luò)安全已經(jīng)被我國國務(wù)院學(xué)位委員會(huì)作為一級(jí)學(xué)科列入學(xué)科名錄,涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域,它是一門涉及計(jì)算機(jī)、通信、數(shù)學(xué)、管理等的眾多領(lǐng)域的綜合性學(xué)科,從學(xué)科規(guī)劃可以看出網(wǎng)絡(luò)安全是一門專門和專業(yè)的學(xué)問,這是毋庸置疑的。
在當(dāng)今大數(shù)據(jù)、人工智能等新技術(shù)蓬勃發(fā)展的今天,網(wǎng)絡(luò)安全領(lǐng)域也要跟上新技術(shù)革命的浪潮,在頂層設(shè)計(jì)、法律制度、人才產(chǎn)業(yè)及自主核心技術(shù)等方面持續(xù)發(fā)展,開創(chuàng)網(wǎng)絡(luò)安全領(lǐng)域新局面。國家層面,我們已經(jīng)把網(wǎng)絡(luò)安全當(dāng)作信息化中最重要最緊迫的工作之一加以重視。在微觀層面,我們同樣要有這樣的認(rèn)識(shí)高度,把網(wǎng)絡(luò)安全當(dāng)作一件專門和專業(yè)的工作,高度重視。
加強(qiáng)SOC建設(shè)
SOC是企業(yè)組織安全運(yùn)營的獨(dú)立的必須部門,具備直接向企業(yè)組織首席信息官CIO的報(bào)告的職責(zé)和權(quán)利。若實(shí)際中沒有設(shè)置該部門,該工作仍然需要其他部門代行,其效果往往是安全風(fēng)險(xiǎn)無法有效控制、安全管理無法有效實(shí)施。
由于SOC的專業(yè)性,其人員配備將更加合理,專業(yè)榮譽(yù)感更強(qiáng),職業(yè)發(fā)展路徑更清晰。制約安全管理水平的人員素質(zhì)問題將得到有效改善。
由于SOC的專業(yè)性,將具有對(duì)安全資產(chǎn)的集中管理能力、對(duì)安全機(jī)構(gòu)的頂層設(shè)計(jì)能力、對(duì)安全策略的統(tǒng)一協(xié)調(diào)能力、對(duì)安全事件的閉環(huán)響應(yīng)能力。“安全防御孤島”問題也將大大改善。
網(wǎng)絡(luò)安全服務(wù)外包
在業(yè)界用戶建設(shè)SOC安全運(yùn)營中心一般有三種方法:
自建:組織根據(jù)自身業(yè)務(wù)、安全策略、風(fēng)險(xiǎn)控制政策等要求自行設(shè)計(jì)和研發(fā)SOC框架,組建專門的安全管理團(tuán)隊(duì)并自行承擔(dān)SOC運(yùn)維(適用于安全技術(shù)及管理能力強(qiáng)的專業(yè)組織);
外包:通過部分自建或租用MSSP的SOC基礎(chǔ)設(shè)施,外購集成安全服務(wù),交由專業(yè)的安全管理團(tuán)隊(duì)進(jìn)行運(yùn)維;
共建:借助專業(yè)安全公司搭建自己的SOC平臺(tái),根據(jù)組織業(yè)務(wù)、自身技術(shù)能力、管理水平等實(shí)際進(jìn)行SOC運(yùn)維,具備條件和能力的可自行承擔(dān)運(yùn)維服務(wù),有組織自身無法承擔(dān)如業(yè)務(wù)要求提供24×7不間斷安全監(jiān)控、為用戶提供呼叫中心服務(wù)、安全漏洞掃描、滲透測(cè)試等,可選擇將此部分安全服務(wù)通過外包方式進(jìn)行。
一般來說,安全運(yùn)行中心SOC的建設(shè)是一項(xiàng)艱巨的任務(wù),如何使SOC的各項(xiàng)功能盡快完善并使其作為網(wǎng)絡(luò)安全工作的集中體現(xiàn)融合到業(yè)務(wù)中,是有挑戰(zhàn)性的任務(wù)。對(duì)大多組織而言,建立自建SOC并且自己配備所需的安全員工,成本較高。對(duì)于不能自建的、或者缺乏專業(yè)網(wǎng)絡(luò)安全人員或預(yù)算不足以支撐起SOC運(yùn)營所需的龐大的員工、房產(chǎn)、培訓(xùn)和購買必要工具的支出,可以采取外包運(yùn)營的方式。況且SOC建設(shè)完成后還要投入日常運(yùn)行監(jiān)控中,需要24小時(shí)不間斷的監(jiān)控,外包是很好的選擇。