一、安全运维中心的内容

之前我们讨论过过，安全运维的主要目的即是保证安全手段（产品 + 技术）的应用能够达到预期的良好效果（Effect）和提高效率（Efficiency）。因此，从整体上说，安全运维工作是一个综合的管理与运营维护能力，需要的不仅仅是一个综合的安全设备管理技术或管理工具，而是一个能够将整体的安全组织、安全策略、安全技术、安全风险、安全事件、安全操作等统一的管理并保证其运转（Operations）有效（Effective and Efficiency）的一个平台，这样的平台，我们可以称之为安全运维中心（SOC）。

安全运维中心（SOC）至少包含三个方面的内容：

（1）安全人员（People）

  信息安全保障技术框架（IATF）里认为人员在安全保障框架的核心。人是信息系统的主体，是信息系统的拥有者、管理者和使用者，是信息保障体系的核心。在安全运维中心（SOC）里，安全运维人员也是保障整个运维平台稳定、高效的核心。

  SOC的安全运维人员包括日常运维小组、应急响应小组和安全专家等3个主要组成。安全运维人员的安全技能、安全意识、服务能力的高低在安全运维的效果中起着至关重要的作用。

 （2）运维流程（Process）

在专业概念里，IT服务管理是以流程和服务为中心的IT管理方法。IT服务管理中的两个核心要素就是质量（Quality）和流程（Processes）。 IT服务管理目标就是不断改进IT服务的质量，而对流程的控制则是实现服务管理目标的基本方法。

从定义上来讲，流程（Processes）是指按照一个既定的目标组织起来的一组逻辑上相关的活动，流程管理的目标就是要通过规划和控制从而确保流程是有效的（Effective）和有效率的（Efficient）。

 安全运维流程包括安全事件处理流程、安全故障定位流程、应急响应流程、日常操作流利等一系列的管理流程，是决定着SOC服务质量的关键，也是SOC成功运行的关键。

（3）技术平台（Technology）

SOC的技术平台则体现为一种集中的安全管理形式，它能够将众多的安全设备、安全技术集中管理起来，能够对安全设备及应用系统的日志进行集中管理、分析，为系统的安全状态监控、故障快速定位、事件关联分析、系统分析报表等提供技术基础平台支持。

 SOC技术平台的关键是事件收集机制、事件关联机制及与运维流程进行有效结合的实现。

二、安全运维平台的组成

理想情况下的安全运营管理平台是一个集中安全策略管理（SPM，Security Policy Management）、安全风险管理（SVM，Security Vulnerability Management）、安全知识管理（SKM，Security Knowledge Management）、安全运营管理（SOP，Security Operation Process，关注流程和质量）、安全产品管理（SIM，Security Implement Management）于一体的统一安全管理平台（Unified Security Management Platforms）。从技术实现上，这个统一的安全管理平台不仅仅像SOC/SIM那样关注安全事件、关注安全产品状态的收集和监控，而是更希望能够借助面向服务架构（SOA，Services-Oriented Architecture）来建设一种平台，从根本上来实现各种安全产品和技术以及安全管理的集成化和自动化。

 因此，安全运维管理平台即是一个管理平台，也是一个技术平台。从功能上来讲应该包含以下内容：

（1）安全集成管理（SIM）

通常在组织的安全体系组成中，其安全功能的实现由多种安全设备或软、硬件系统来实现，比如安全防护产品（防火墙、防病毒等）、安全检测产品（IDS、漏洞扫描等），这些系统都有自己独立部署和管理方式，加之安全建设是逐步完成的，这些系统之间缺乏一个统一的管理平台，一旦出现安全问题，也无法有效的从这些分散的系统之中快速定位并解决问题。

因此安全设施的集中管理是SOC功能必不可少的一个组成。

（2）安全风险管理（SVM）

安全风险管理是指一个有效的风险管理平台，它能够对组织根据组织资产、威胁及系统的安全弱点等对组织的安全风险进行统一的管理，包括风险的评估、风险的分级以及风险管理的措施等。

在技术方面，安全风险管理能够将组织内的系统的技术脆弱性进行集中的评估和管理，并能够提供周期性评估报告和改进建议。

（3）安全知识管理（SKM）

安全知识管理主要体现的组织的安全知识库建设方面。日常的安全运维，本身即是一个知识不断积累的过程，安全知识库的建设有利于提供组织的整体安全管理能力。SOC的安全知识管理能够记录安全事件处理过程、处理方法等，同时能够提供日常安全基础知识、安全漏洞信息、安全技术发展等，形成组织内统一的安全知识管理平台。

 （4）安全流程管理（SOP）

有效的安全的运维，不是仅仅依赖于产品或技术，更重要的对服务流程的控制。SOC的建设，不仅仅是安全产品的部署与管理，还需要一系列的操作流程和事件处理流程来配合，SOC能够将这些安全运维处理流程有效的管理起来，与相应的产品平台和技术手段相结合，才能够有效发挥这样一个统一管理平台的作用。

安全运维流程通常包括安全事件处理流程、安全故障定位流程、应急响应流程、日常操作流利等，这些操作流程和制度是整体安全策略的组成部分，通过SOC的平台，这些流程将是安全管理决策分析的重要依据和安全知识积累的来源。

（5）安全策略管理（SPM）

信息安全管理是以安全策略为中心的，如何制订完善的信息安全策略，并保证信息安全策略的有效执行，是SOC这个集中的安全管理平台里的一部分。

三、安全运维中心（SOC）的重点

 安全运维中心（SOC）的建设，无论从人员、流程、技术和平台等方面来讲，都是非常复杂的一个体系，这个体系期望从多个方面将上述内容整合在一起，提供一个有效的、可操作的管理方式，最终的目的还是为了提高安全运维的有效性（Effective and Efficiency）。

但无论从技术层面上，还是管理层面上，当前的SOC系统都无法达到有效的投资预期：

首先，从技术层面上，由于SOC涉及到的产品、系统及目标要求较多，单就日志收集与归并查询方面来讲，当前市场上的任何一个SOC产品都还不能达到理想效果，更谈不上数以千计的安全软、硬件产品的集中综合管理。安全设备的集中管理，需要更广泛的开放式标准接口的应用，而不是仅仅局限在自身产品或特定范围内的标准，随着Web服务及XML技术的发展，我们期望着真正的"工业标准"的出现。

其次，从管理层面上，基于流程的安全运维管理，更多的时候体现的是一种管理模式和管理技术，这种管理模式和组织的业务类型、业务模式及组织性质有相当大的关系，而这种管理方式要通过一个安全平台来进行整合，无疑于实施另外一套"ERP"，所以难度亦可想而知。

在当前国内的环境下，SOC的建设还处于热炒的阶段，真正的应用还仅仅局限在核心业务对IT建设依赖性较高、信息化建设相对完善的领域。除此之外，企业实施SOC的屈指可数，成功实施的更是少之又少。可以这样说，经过了几年的建设后，无论是产品本身还是SOC平台都还需要向用户进一步证明其可扩展性、对安全事件的挖掘能力和趋势分析，以及用户的投资回报（ROI：Return On Investment）。不管怎么说，目前的SOC与用户的期望值还是有相当大的差距。

- EOF -