對於安全管理而言,按照ISO27001的十一個方面,其中首要的一條就是所謂“安全策略”。當然,這裏的安全策略並不是和類似防火牆類設備的ACL策略等量齊觀的,按筆者的理解它應是具有全局性、根本性、全面性的安全管理辦法或法律、法規。不同層面有不同的安全策略,比如國家層面、行業層面、企業層面、部門層面等。
而信息系統等級保護就是國家層面關於信息安全管理的根本策略,而等級保護要求三級(含)以上必須建立安全管理中心,具體要求如下:
1.應對通信線路、主機、網絡設備和應用軟件的運行狀況、網絡流量、用戶行爲等進行監測和報警,形成記錄並妥善保存;
2.應組織相關人員定期對監測和報警記錄進行分析、評審,發現可疑行爲,形成分析報告,並採取必要的應對措施;
3.應建立安全管理中心,對設備狀態、惡意代碼、補丁升級、安全審計等安全相關事項進行集中管理。
可以看出安全管理中心(或者稱爲安全運營中心,簡稱爲SOC;下文均使用安全運營中心),應該是:
1.統一的安全問題監控平臺;
2.統一的安全問題分析和處理平臺;
3.統一的安全設備管控平臺。
那麼除了上述特質,安全運營中心應該還應該是一個:
1.集中的企業宏觀層面的安全策略的統一制定、修訂和發佈的平臺
2.集中的系統微觀層面的安全策略的統一管控平臺
3.集中的安全組織的統一管理、安全人員的統一培訓平臺;
4.集中的人力資源安全的統一管理平臺;
5.集中的安全流程統一創建、跟蹤和落實平臺。
但是,在現實中,安全運營中心的建設均存在這樣或那些的問題,主要包括(這裏僅列舉一些比較純粹的技術問題,對於管理人員的安全意識等不做分析):
1.由於傳統的網絡管理方式,天然就存在系統分散的特性,這種分散性就造成統一化、集中化地管理困難問題,這其實不僅僅存在於安全管理,即使是IT管理也天生就存在這個問題;
2.由於分散性的存在,就天生的造成了對於各類原始信息採集的困難、分析的困難;
3.正是由於分散性的存在,就天生的造成了對於各類安全系統、設備管理和控制的極度困難。
另外,許多系統的建設天生就沒有統一考慮安全方面因素,到後期的修修補補也無濟於事,總是感到“按下了葫蘆,浮起了瓢”。
正是由於存在上述問題,造成現階段對於建立統一安全運營中心存在極大困難,各大行業、企業在這個問題上也躑躅不前,即使已經建立的企業也鮮有成功案例。
那麼,在現階段,特別是虛擬化、雲計算(個人認爲除非量子計算機能儘快投入商用,否則在5-15年內依然是雲計算天下)的大行其道時,建立安全運營中心就具備了比以往更好的客觀條件!可以以比過往花費更少的金錢和精力來建立集中的安全運營中心!
首先,雲計算天生就是爲集中化規劃、部署而生的,這體現在如下幾個方面:
1.易於在前期對於運行於節點上的虛擬計算機系統進行統一安全規劃;
2.易於進行集中的安全系統維護和剩餘信息重用控制;
3.易於部署各類適應虛擬化環境的安全系統或軟件(筆者認爲今後若干年,此類安全產品應占有決定性的地位;
其次,雲特別是企業的私有云天生就應該在安全方面比傳統方式更有優勢,這體現在:
1.易於建立統一的密鑰及證書中心
2.易於建立統一的身份鑑別中心;
3.易於建立統一的訪問控制中心,無論在系統、數據庫還是應用層面;
再次,虛擬化天生就在業務的連續性管理、備份及恢復上具備決定性的優勢;
最後,更爲重要的是虛擬化和雲計算更易於對如下方面提供支持:
1.集中化的安全問題收集;
2.集中化的安全問題監控、分析和處理;
3.集中化的設備安全策略管控;
4.集中化的安全審計。
未完,待續...