這意味著該委員會將加強安全保障職能。國家計算機網(wǎng)絡與信息安全管理中心(也稱國家計算機網(wǎng)絡應急技術處理協(xié)調中心),其核心業(yè)務是為全社會提供網(wǎng)絡安全預警防范和數(shù)據(jù)支撐,大到守護銀行、電力等網(wǎng)絡系統(tǒng),小到幫助老百姓識別“釣魚網(wǎng)站”等等。
網(wǎng)絡安全工作現(xiàn)狀分析
在國家戰(zhàn)略的層面,網(wǎng)絡安全受到更加強烈的重視,進一步升級成為一項獨立的、頂層的、全局的和統(tǒng)一的工作。2017年6月1日起施行的《中華人民共和國網(wǎng)絡安全法》,對網(wǎng)絡安全運行有明確的“強制性”規(guī)定,如實行網(wǎng)絡安全等級保護制度、確定網(wǎng)絡安全負責人、留存網(wǎng)絡日志不少于六個月、制定網(wǎng)絡安全事件應急預案等。目前,宏觀上我國在網(wǎng)絡安全頂層設計、機構設置、人才建設、技術創(chuàng)新、產(chǎn)業(yè)發(fā)展、宣傳教育等方面不斷加大力度,但從企業(yè)組織具體網(wǎng)絡安全實踐的微觀角度來看,還存在種種問題:
1、安全防線各自為戰(zhàn)
為了不斷應對新的安全挑戰(zhàn),企業(yè)和組織部署了防火墻、UTM(統(tǒng)一威脅管理)、入侵檢測和防護系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、終端管理系統(tǒng)等,構建起了網(wǎng)絡安全防線。這些系統(tǒng)看似安全實則存在較大隱患:這些安全設備獨立運行,各自的目標是抵御來自某個方面的安全威脅,彼此之間缺乏聯(lián)系和協(xié)同,容易形成所謂的“安全防御孤島”。而安全管理人員面對來自不同安全設備的海量且彼此割裂的安全信息,工作效率低下不說,更重要的是難以估計全局的安全態(tài)勢、難以發(fā)現(xiàn)真正的安全問題。
2、安全從業(yè)人員專業(yè)素質欠佳
從國內大量的網(wǎng)絡安全實踐來看,安全管理人員群體總體上不太專業(yè),許多人甚至是網(wǎng)絡管理人員兼任,缺乏足夠的安全專業(yè)知識和技術。有些網(wǎng)絡安全從業(yè)人員甚至認為網(wǎng)絡安全就是部署網(wǎng)絡安全設備,最多維護一下設備策略,即可以高枕無憂。日常的系統(tǒng)維護、策略更新、數(shù)據(jù)分析、態(tài)勢跟蹤等等沒有得到應有的重視。一旦出現(xiàn)安全事件,最先想到的是斷網(wǎng),然后等待補丁升級。可見,人的因素是安全問題的最薄弱的環(huán)節(jié)。
3、缺乏獨立的安全機構設置
目前大多數(shù)信息化項目,一般都會考慮網(wǎng)絡安全問題,會單獨采購安全設備、服務和培訓,但常常是作為網(wǎng)管工程的補充,屬于附加、從屬地位,使得“安全第一”經(jīng)常流于形式。
長期以來,我們對網(wǎng)絡安全“做”的遠遠沒有達到“說”的程度。從機構設置來看,多數(shù)機構組織都有專業(yè)的信息化部門,比如網(wǎng)絡中心或信息中心等等,但很少有專門的網(wǎng)絡安全部門。做得稍好一些的,在網(wǎng)絡中心設置了計算機安全響應小組CERT,多數(shù)情況下是NOC代行網(wǎng)絡安全管理的職責。無論是CERT還是兼職NOC,都是附屬的機制,不是真正意義上的安全管理機構,缺乏系統(tǒng)性和獨立性,其功能和作用得不到有效發(fā)揮,其發(fā)展也受到很多限制。
從道理上講,前面提到的兩個問題,都跟第三個問題有關。可以說,第三個問題是瓶頸問題。
SOC的必要性與意義
設置專門的安全運行中心SOC(Security Operating Center)是解決微觀上安全管理問題的有效手段。SOC是整合安全設施、統(tǒng)一安全策略、集中數(shù)據(jù)分析的專門和專業(yè)的安全管理機構,對組織的網(wǎng)絡安全進行綜合的管理和運營。一般來說,SOC由四個部分組成:
綜合安全管理:負責內控管理,包括資產(chǎn)安全管理、系統(tǒng)補丁管理、異常流量管理、完整性檢查等。
安全事件管理:負責安全事件信息收集、異常行為發(fā)現(xiàn)與跟蹤、安全事件追溯與響應等。
資產(chǎn)風險管理:負責信息資產(chǎn)漏洞信息收集與分析、漏洞級別度量、風險評估與響應。
運維管理:負責日常運維工作的服務保障,包括各種時鐘同步、系統(tǒng)管理、資產(chǎn)配置庫、資產(chǎn)工作狀態(tài)和拓撲信息、安全知識管理、安全考核管理、流程管理實現(xiàn)等。
與NOC相比,SOC專門和專業(yè)地負責網(wǎng)絡安全,而NOC關注的是網(wǎng)絡的通達性和性能。可見,SOC是獨立于其他網(wǎng)絡管理職能的機制。
SOC不是單純的產(chǎn)品,而是一個復雜的系統(tǒng)(產(chǎn)品+服務+運維),是技術、流程和人的有機結合,其關鍵優(yōu)勢在于通過持續(xù)不斷的監(jiān)測分析數(shù)據(jù)活動,改善安全事件的檢測和響應。而廣義的SOC則不僅針對安全設備進行管理,還要針對所有IT資源,甚至是業(yè)務系統(tǒng)進行集中的安全管理,包括對IT資源的運行監(jiān)控、事件采集分析、風險管理與運維等內容,即面向業(yè)務的SOC。
隨著安全的需求日益迫切,越來越多的企業(yè)和組織將會選擇部署SOC。
美國提出的可管理的安全服務MSS,已形成很大的市場規(guī)模。有電信運營背景、專業(yè)安全廠商背景及其他背景的MSSP(管理安全服務提供商),這些MSSP在全球范圍內建立了多處SOC,比如IBM有7個SOC和6個安全中心、Symantec有4個SOC和8個安全研究中心。Garner預測2018年的安全外包服務將達185億美元,成為僅次于咨詢的第二大安全支出子行業(yè)。
我國除了電信、民航、金融等高度信息化的單位引入了SOC外,大部分企業(yè)和組織僅有NOC這樣的機構。
SOC作為安全領域的全新防御體系,超越了目前普遍應用的安全產(chǎn)品的局限性,將網(wǎng)絡安全防御上升到了一個新的高度。SOC并不只是一種系統(tǒng)機構和產(chǎn)品創(chuàng)新,而是一種整體性的網(wǎng)絡安全新機制,是各種安全解決方案的有機協(xié)調,為企業(yè)組織安全資源整合提供了整體解決方案。
一些建議
網(wǎng)絡安全是一件專門和專業(yè)的事情
網(wǎng)絡安全已經(jīng)被我國國務院學位委員會作為一級學科列入學科名錄,涉及到網(wǎng)絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網(wǎng)絡安全的研究領域,它是一門涉及計算機、通信、數(shù)學、管理等的眾多領域的綜合性學科,從學科規(guī)劃可以看出網(wǎng)絡安全是一門專門和專業(yè)的學問,這是毋庸置疑的。
在當今大數(shù)據(jù)、人工智能等新技術蓬勃發(fā)展的今天,網(wǎng)絡安全領域也要跟上新技術革命的浪潮,在頂層設計、法律制度、人才產(chǎn)業(yè)及自主核心技術等方面持續(xù)發(fā)展,開創(chuàng)網(wǎng)絡安全領域新局面。國家層面,我們已經(jīng)把網(wǎng)絡安全當作信息化中最重要最緊迫的工作之一加以重視。在微觀層面,我們同樣要有這樣的認識高度,把網(wǎng)絡安全當作一件專門和專業(yè)的工作,高度重視。
加強SOC建設
SOC是企業(yè)組織安全運營的獨立的必須部門,具備直接向企業(yè)組織首席信息官CIO的報告的職責和權利。若實際中沒有設置該部門,該工作仍然需要其他部門代行,其效果往往是安全風險無法有效控制、安全管理無法有效實施。
由于SOC的專業(yè)性,其人員配備將更加合理,專業(yè)榮譽感更強,職業(yè)發(fā)展路徑更清晰。制約安全管理水平的人員素質問題將得到有效改善。
由于SOC的專業(yè)性,將具有對安全資產(chǎn)的集中管理能力、對安全機構的頂層設計能力、對安全策略的統(tǒng)一協(xié)調能力、對安全事件的閉環(huán)響應能力。“安全防御孤島”問題也將大大改善。
網(wǎng)絡安全服務外包
在業(yè)界用戶建設SOC安全運營中心一般有三種方法:
自建:組織根據(jù)自身業(yè)務、安全策略、風險控制政策等要求自行設計和研發(fā)SOC框架,組建專門的安全管理團隊并自行承擔SOC運維(適用于安全技術及管理能力強的專業(yè)組織);
外包:通過部分自建或租用MSSP的SOC基礎設施,外購集成安全服務,交由專業(yè)的安全管理團隊進行運維;
共建:借助專業(yè)安全公司搭建自己的SOC平臺,根據(jù)組織業(yè)務、自身技術能力、管理水平等實際進行SOC運維,具備條件和能力的可自行承擔運維服務,有組織自身無法承擔如業(yè)務要求提供24×7不間斷安全監(jiān)控、為用戶提供呼叫中心服務、安全漏洞掃描、滲透測試等,可選擇將此部分安全服務通過外包方式進行。
一般來說,安全運行中心SOC的建設是一項艱巨的任務,如何使SOC的各項功能盡快完善并使其作為網(wǎng)絡安全工作的集中體現(xiàn)融合到業(yè)務中,是有挑戰(zhàn)性的任務。對大多組織而言,建立自建SOC并且自己配備所需的安全員工,成本較高。對于不能自建的、或者缺乏專業(yè)網(wǎng)絡安全人員或預算不足以支撐起SOC運營所需的龐大的員工、房產(chǎn)、培訓和購買必要工具的支出,可以采取外包運營的方式。況且SOC建設完成后還要投入日常運行監(jiān)控中,需要24小時不間斷的監(jiān)控,外包是很好的選擇。
京公網(wǎng)安備 11010502049343號