設(shè)置專門的安全運行中心十分必要網(wǎng)絡(luò)安全是一件專門和專業(yè)的事

文/汪文勇 周琨

網(wǎng)絡(luò)安全工作現(xiàn)狀分析

近日，中共中央印發(fā)《深化黨和國家機構(gòu)改革方案》，該方案的主要內(nèi)容之一是將 “中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組”改為“中央網(wǎng)絡(luò)安全和信息化委員會”，并接手工信部管理國家計算機網(wǎng)絡(luò)與信息安全管理中心。這意味著該委員會將加強安全保障職能。

國家計算機網(wǎng)絡(luò)與信息安全管理中心（也稱國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心），其核心業(yè)務(wù)是為全社會提供網(wǎng)絡(luò)安全預(yù)警防范和數(shù)據(jù)支撐，大到守護銀行、電力等網(wǎng)絡(luò)系統(tǒng)，小到幫助老百姓識別“釣魚網(wǎng)站”等等。

在國家戰(zhàn)略的層面，網(wǎng)絡(luò)安全受到更加強烈的重視，進一步升級成為一項獨立的、頂層的、全局的和統(tǒng)一的工作。

2017年6月1日起施行的《中華人民共和國網(wǎng)絡(luò)安全法》，對網(wǎng)絡(luò)安全運行有明確的“強制性”規(guī)定，如實行網(wǎng)絡(luò)安全等級保護制度、確定網(wǎng)絡(luò)安全負(fù)責(zé)人、留存網(wǎng)絡(luò)日志不少于六個月、制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案等。

目前，宏觀上我國在網(wǎng)絡(luò)安全頂層設(shè)計、機構(gòu)設(shè)置、人才建設(shè)、技術(shù)創(chuàng)新、產(chǎn)業(yè)發(fā)展、宣傳教育等方面不斷加大力度，但從企業(yè)組織具體網(wǎng)絡(luò)安全實踐的微觀角度來看，還存在種種問題：

1.安全防線各自為戰(zhàn)

為了不斷應(yīng)對新的安全挑戰(zhàn)，企業(yè)和組織部署了防火墻、UTM（統(tǒng)一威脅管理）、入侵檢測和防護系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、終端管理系統(tǒng)等，構(gòu)建起了網(wǎng)絡(luò)安全防線。這些系統(tǒng)看似安全實則存在較大隱患：這些安全設(shè)備獨立運行，各自的目標(biāo)是抵御來自某個方面的安全威脅，彼此之間缺乏聯(lián)系和協(xié)同，容易形成所謂的“安全防御孤島”。

而安全管理人員面對來自不同安全設(shè)備的海量且彼此割裂的安全信息，工作效率低下不說，更重要的是難以估計全局的安全態(tài)勢、難以發(fā)現(xiàn)真正的安全問題。

2.安全從業(yè)人員專業(yè)素質(zhì)欠佳

從國內(nèi)大量的網(wǎng)絡(luò)安全實踐來看，安全管理人員群體總體上不太專業(yè)，許多人甚至是網(wǎng)絡(luò)管理人員兼任，缺乏足夠的安全專業(yè)知識和技術(shù)。有些網(wǎng)絡(luò)安全從業(yè)人員甚至認(rèn)為網(wǎng)絡(luò)安全就是部署網(wǎng)絡(luò)安全設(shè)備，最多維護一下設(shè)備策略，即可以高枕無憂。日常的系統(tǒng)維護、策略更新、數(shù)據(jù)分析、態(tài)勢跟蹤等等沒有得到應(yīng)有的重視。一旦出現(xiàn)安全事件，最先想到的是斷網(wǎng)，然后等待補丁升級。可見，人的因素是安全問題的最薄弱的環(huán)節(jié)。

3.缺乏獨立的安全機構(gòu)設(shè)置

目前大多數(shù)信息化項目，一般都會考慮網(wǎng)絡(luò)安全問題，會單獨采購安全設(shè)備、服務(wù)和培訓(xùn)，但常常是作為網(wǎng)管工程的補充，屬于附加、從屬地位，使得“安全第一”經(jīng)常流于形式。

長期以來，我們對網(wǎng)絡(luò)安全“做”的遠(yuǎn)遠(yuǎn)沒有達(dá)到“說”的程度。從機構(gòu)設(shè)置來看，多數(shù)機構(gòu)組織都有專業(yè)的信息化部門，比如網(wǎng)絡(luò)中心或信息中心等等，但很少有專門的網(wǎng)絡(luò)安全部門。做得稍好一些的，在網(wǎng)絡(luò)中心設(shè)置了計算機安全響應(yīng)小組CERT，多數(shù)情況下是NOC代行網(wǎng)絡(luò)安全管理的職責(zé)。

無論是CERT還是兼職NOC，都是附屬的機制，不是真正意義上的安全管理機構(gòu)，缺乏系統(tǒng)性和獨立性，其功能和作用得不到有效發(fā)揮，其發(fā)展也受到很多限制。

從道理上講，前面提到的兩個問題，都跟第三個問題有關(guān)。可以說，第三個問題是瓶頸問題。

電子科技大學(xué)

SOC的必要性與意義

設(shè)置專門的安全運行中心SOC（Security Operating Center）是解決微觀上安全管理問題的有效手段。

SOC是整合安全設(shè)施、統(tǒng)一安全策略、集中數(shù)據(jù)分析的專門和專業(yè)的安全管理機構(gòu)，對組織的網(wǎng)絡(luò)安全進行綜合的管理和運營。

一般來說，SOC由四個部分組成：

1.綜合安全管理

負(fù)責(zé)內(nèi)控管理，包括資產(chǎn)安全管理、系統(tǒng)補丁管理、異常流量管理、完整性檢查等。

2.安全事件管理

負(fù)責(zé)安全事件信息收集、異常行為發(fā)現(xiàn)與跟蹤、安全事件追溯與響應(yīng)等。

3.資產(chǎn)風(fēng)險管理

負(fù)責(zé)信息資產(chǎn)漏洞信息收集與分析、漏洞級別度量、風(fēng)險評估與響應(yīng)。

4.運維管理

負(fù)責(zé)日常運維工作的服務(wù)保障，包括各種時鐘同步、系統(tǒng)管理、資產(chǎn)配置庫、資產(chǎn)工作狀態(tài)和拓?fù)湫畔ⅰ踩R管理、安全考核管理、流程管理實現(xiàn)等。

與NOC相比，SOC專門和專業(yè)地負(fù)責(zé)網(wǎng)絡(luò)安全，而NOC關(guān)注的是網(wǎng)絡(luò)的通達(dá)性和性能。可見，SOC是獨立于其他網(wǎng)絡(luò)管理職能的機制。

SOC不是單純的產(chǎn)品，而是一個復(fù)雜的系統(tǒng)（產(chǎn)品+服務(wù)+運維），是技術(shù)、流程和人的有機結(jié)合，其關(guān)鍵優(yōu)勢在于通過持續(xù)不斷的監(jiān)測分析數(shù)據(jù)活動，改善安全事件的檢測和響應(yīng)。而廣義的SOC則不僅針對安全設(shè)備進行管理，還要針對所有IT資源，甚至是業(yè)務(wù)系統(tǒng)進行集中的安全管理，包括對IT資源的運行監(jiān)控、事件采集分析、風(fēng)險管理與運維等內(nèi)容，即面向業(yè)務(wù)的SOC。

隨著安全的需求日益迫切，越來越多的企業(yè)和組織將會選擇部署SOC。

美國提出的可管理的安全服務(wù)MSS，已形成很大的市場規(guī)模。有電信運營背景、專業(yè)安全廠商背景及其他背景的MSSP (管理安全服務(wù)提供商)，這些MSSP在全球范圍內(nèi)建立了多處SOC，比如IBM有7個SOC和6個安全中心、Symantec有4個SOC和8個安全研究中心。Garner預(yù)測2018年的安全外包服務(wù)將達(dá)185億美元，成為僅次于咨詢的第二大安全支出子行業(yè)。

我國除了電信、民航、金融等高度信息化的單位引入了SOC外，大部分企業(yè)和組織僅有NOC這樣的機構(gòu)。

SOC作為安全領(lǐng)域的全新防御體系，超越了目前普遍應(yīng)用的安全產(chǎn)品的局限性，將網(wǎng)絡(luò)安全防御上升到了一個新的高度。SOC 并不只是一種系統(tǒng)機構(gòu)和產(chǎn)品創(chuàng)新，而是一種整體性的網(wǎng)絡(luò)安全新機制，是各種安全解決方案的有機協(xié)調(diào)，為企業(yè)組織安全資源整合提供了整體解決方案。

一些建議

網(wǎng)絡(luò)安全是一件專門和專業(yè)的事情

網(wǎng)絡(luò)安全已經(jīng)被我國國務(wù)院學(xué)位委員會作為一級學(xué)科列入學(xué)科名錄，涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域，它是一門涉及計算機、通信、數(shù)學(xué)、管理等的眾多領(lǐng)域的綜合性學(xué)科，從學(xué)科規(guī)劃可以看出網(wǎng)絡(luò)安全是一門專門和專業(yè)的學(xué)問，這是毋庸置疑的。在當(dāng)今大數(shù)據(jù)、人工智能等新技術(shù)蓬勃發(fā)展的今天，網(wǎng)絡(luò)安全領(lǐng)域也要跟上新技術(shù)革命的浪潮，在頂層設(shè)計、法律制度、人才產(chǎn)業(yè)及自主核心技術(shù)等方面持續(xù)發(fā)展，開創(chuàng)網(wǎng)絡(luò)安全領(lǐng)域新局面。

國家層面，我們已經(jīng)把網(wǎng)絡(luò)安全當(dāng)作信息化中最重要最緊迫的工作之一加以重視。在微觀層面，我們同樣要有這樣的認(rèn)識高度，把網(wǎng)絡(luò)安全當(dāng)作一件專門和專業(yè)的工作，高度重視。

加強SOC建設(shè)

SOC是企業(yè)組織安全運營的獨立的必須部門，具備直接向企業(yè)組織首席信息官CIO的報告的職責(zé)和權(quán)利。若實際中沒有設(shè)置該部門，該工作仍然需要其他部門代行，其效果往往是安全風(fēng)險無法有效控制、安全管理無法有效實施。

由于SOC的專業(yè)性，其人員配備將更加合理，專業(yè)榮譽感更強，職業(yè)發(fā)展路徑更清晰。制約安全管理水平的人員素質(zhì)問題將得到有效改善。

由于SOC的專業(yè)性，將具有對安全資產(chǎn)的集中管理能力、對安全機構(gòu)的頂層設(shè)計能力、對安全策略的統(tǒng)一協(xié)調(diào)能力、對安全事件的閉環(huán)響應(yīng)能力。“安全防御孤島”問題也將大大改善。

網(wǎng)絡(luò)安全服務(wù)外包

在業(yè)界用戶建設(shè)SOC安全運營中心一般有三種方法：1.自建。組織根據(jù)自身業(yè)務(wù)、安全策略、風(fēng)險控制政策等要求自行設(shè)計和研發(fā)SOC框架，組建專門的安全管理團隊并自行承擔(dān)SOC運維（適用于安全技術(shù)及管理能力強的專業(yè)組織）；2.外包。通過部分自建或租用MSSP的SOC基礎(chǔ)設(shè)施，外購集成安全服務(wù)，交由專業(yè)的安全管理團隊進行運維；3.共建。借助專業(yè)安全公司搭建自己的SOC平臺，根據(jù)組織業(yè)務(wù)、自身技術(shù)能力、管理水平等實際進行SOC運維，具備條件和能力的可自行承擔(dān)運維服務(wù)，有組織自身無法承擔(dān)如業(yè)務(wù)要求提供24×7不間斷安全監(jiān)控、為用戶提供呼叫中心服務(wù)、安全漏洞掃描、滲透測試等，可選擇將此部分安全服務(wù)通過外包方式進行。

一般來說，安全運行中心SOC的建設(shè)是一項艱巨的任務(wù)，如何使SOC的各項功能盡快完善并使其作為網(wǎng)絡(luò)安全工作的集中體現(xiàn)融合到業(yè)務(wù)中，是有挑戰(zhàn)性的任務(wù)。對大多組織而言，建立自建SOC并且自己配備所需的安全員工，成本較高。對于不能自建的、或者缺乏專業(yè)網(wǎng)絡(luò)安全人員或預(yù)算不足以支撐起SOC運營所需的龐大的員工、房產(chǎn)、培訓(xùn)和購買必要工具的支出，可以采取外包運營的方式。況且SOC建設(shè)完成后還要投入日常運行監(jiān)控中，需要24小時不間斷的監(jiān)控，外包是很好的選擇。

綜合考慮各個因素，對于許多教育機構(gòu)，尤其是中小學(xué)和缺乏資源支持的普通大中專學(xué)校，將安全運營服務(wù)外包出去，交由專業(yè)團隊日常運維監(jiān)控是客觀上可能且符合實際的一個好的選擇。