安全运维中心现状、问题与展望

admin

摘要　本文讨论了安全运维中心（SOC）的起源以及当前的应用状况，结合SOC系统在运营商企业中的应用，分析了当前安全运维中心存在的问题，给出了一些解决方法，并提出了安全运维中心相关领域未来的发展方向。
1、引言
　　当前，信息安全日益受到重视，典型的安全管理系统通常由多种安全设备组成，如防火墙、IDS（入侵检测系统）等，这些安全设备通常由不同的厂商生产，随着网络规模的增大，安全设备的增多，企业安全管理呈现出如下一些问题：
　　●不同设备之间缺乏互操作性；
　　●不同安全设备着眼于网络安全中的某一方面，缺乏整个网络的安全统一视图；
　　●缺少对全网安全事件的查询、统计、分析等功能；
　　●缺少全网安全事件的监控、事件定位等功能；
　　●安全操作的工作量增大，发生了安全事件时可能需要在不同的设备上分别进行操作，难以进行全网安全资源的调配和优化；
　　●不能关联企业的信息资产进行风险管理以及预警管理，使得安全管理一直处于被动管理阶段；
　　●安全设备以网络为中心进行安全管理，并不能体现企业最关心的应用系统的安全状况，如运营商中的BOSS系统、ERP系统等。
　　为了解决上述问题，一些研究组织和厂商提出了安全运维中心（security operations center，SOC）的概念，通过SOC系统对企业网络的整体安全状况进行监控。
2、SOC起源及现状
　　在国外SOC系统与网管系统（network management system，NMS）/网管中心（network operations center，NOC）等系统紧密相关，在SOC的建设过程中比较关注SOC与NOC的集成与互操作，在这种理念下实现的SOC更加关注的是安全事件的管理，也就是常说的SIM（security information management）或SEM（security event management）。以SIM为中心的SOC在实现时可以和NOC等共用一些数据收集模块或者支撑模块。根据ITU-T TMN管理模型，网络管理包括故障管理、性能管理、配置管理、安全管理、计费管理。因此，在国外SOC也常被看作是网管中更加细化的安全管理，如同在运营商中经常应用的一些故障管理系统一样，SOC常常作为网管系统的一部分或是与网管系统紧密联结的安全管理系统。因此，在国外网管系统和SOC系统的关系更倾向于如图1所示。

图1　国外网管系统与SOC系统关系

　　在国内，一般SOC是独立于网管系统进行建设的，并且NOC和SOC可能在企业中由不同的部门来维护，因此在建设的过程中的共用模块也就分别单独建设。在NOC和SOC分别建设的情况下，SOC和NOC在互操作方面往往也就不完善。所以，照搬国外以SIM为中心的SOC的建设模式并不能适应目前国内的实际情况。
　　独立建设的SOC在功能等方面与SIM有一定区别。当SOC与网管系统共享模块时，SIM中很多事件收集、设备配置、系统互操作等方面的功能通常可以重用NOC中的模块，而在国内独立建设SOC时，就必须在SOC中完全实现这些相应的功能。因此，在国内网管系统和SOC系统的关系更倾向于如图2所示。

图2　国内网管系统与SOC系统关系

　　当前，国内外并没有一套完整的被广泛认可的能够指导SOC建设的理论模型或方法论，而电信相关的标准组织在安全管理方面的研究与标准制定工作还相对落后，ITU-T近几年才加大了安全相关标准的制定工作和与其他安全规范组织的合作与交流。不同厂家对SOC的认识不同，实现的功能也就相差很大，缺少像TMN功能模型一样的规范来指导SOC的建设。在SOC领域各个厂商都认可的一点就是SIM是SOC的核心功能，而在关于资产管理、流程管理等方面不同的厂家有不同的看法以及不同的实现。
　　在SIM中，很多厂家都借鉴了TMN模型，根据TMN模型（体系结构、信息模型）来指导SIM的实现，例如安全事件的收集、事件的过滤、聚合、关联等，因此，仅根据SIM来看，SIM和网管中的事件处理过程是相似的，采用的一些处理技术也是类同的，所不同的是基于不同的知识库形成的具体事件处理规则不同。
3、SOC目前存在的问题及解决方法
　　当前，国内外的很多运营商都已经部署或者正在部署SOC系统或者类似的安全管理系统，SOC系统在运营商的安全管理中发挥着越来越大的作用。
　　3.1　SOC系统存在的问题
　　总体而言，SOC系统仍然处于发展阶段，在建设的过程中通常也存在一些问题，主要表现在如下方面。
　　（1）管理信息模型缺乏
　　在典型的电信运营商网络中，SOC系统需要管理多种安全设备，并与这些安全设备之间实现互操作来阻断或者消除安全攻击或者安全事件。为了更好地保障安全，部署的各种设备之间应该实现互操作，共同解决企业中的安全问题。
　　目前的安全设备或安全系统缺乏统一的管理信息模型，SOC系统在管理不同厂家生产的同一类安全设备时，只能分别根据不同厂家产品提供的管理接口进行相应的管理以及信息获取，这样就难以在SOC系统中形成统一的对安全设备的管理功能。
　　同类设备之间缺乏统一的管理信息模型导致不同的安全设备之间难以实现互操作，如防火墙和IDS之间。在电信网络中，不同类型的设备之间可以实现互联互通，共同完成一定的功能，但是在安全设备共同组成的管理系统中，因为没有统一的管理信息模型，导致各种安全设备不能互操作共同完成一定的安全管理功能，各种安全设备只能独立地进行基于一个视点的安全管理功能。
　　部分安全管理功能只能依赖SOC系统等这样的上级管理系统。因为统一管理信息模型的缺乏，安全设备之间不能进行互操作，所以只能由上级的SOC系统对所有的安全事件进行关联分析，然后做出相应的判断并通过人工调整安全设备的方式进行相应配置处理。因为没有统一的管理信息模型，SOC系统定位问题后，也难以自动地向安全设备发出相应配置改变指令。
　　缺乏统一的管理信息模型致使SOC系统对安全设备的管理功能不明确，SOC管理应该有哪些功能，管理到什么粒度等都比较模糊。
　　（2）SOC系统管理功能不统一
　　目前SOC系统应该包括哪些功能模块在业界内没有形成统一的认识，也没有相关的标准组织对此制定相应的规范。运营商中的网管系统、BOSS支撑系统等都有一些标准组织制定的规范可以作为厂家实现时的参考，如ITU的TMN相关标准，TMF的NGOSS相关规范等。但是目前为止，国际相关组织对安全管理相关的规范大多还仅仅面向具体的安全技术对安全管理系统还没有相关的标准或者规范。这样，不同的SOC厂家对SOC系统的理解不同，对同样的功能模块理解也不相同，导致SOC系统的功能多样化。因此，针对SOC系统需要类似运营支撑系统中的eTOM这样的通用过程框架来指导SOC系统的建设。
　　（3）SOC系统与其他系统关系的定位不明确
　　在运营商网络中，部署着各种运营支撑系统、网络管理系统、企业管理系统等，为了实现企业中的过程自动化，这些系统各自功能定位非常明确，系统之间的关系也比较明确，系统之间的接口也相对明确。SOC系统应该要为这些系统提供安全支撑，但是其与这些系统之间的关系并不很明确，与这些系统之间的数据交互目前也没有确定。因此，目前来讲，SOC系统还是一个“安全信息孤岛”。
　　3.2　解决的方法
　　SOC系统存在的问题也是目前安全设备厂商和运营商共同面临的问题，这些问题的解决需要安全设备厂商以及相关的组织共同努力逐步解决。当前，ITU-T也加大了对安全相关的标准制定的力度，并更加积极地和一些企业组织进行合作共同制定适合运营商的安全标准。针对SOC系统存在的问题，在SOC系统建设的过程中也难以完全解决，但是可以通过以下的一些方法来降低这些问题带来的影响。
　　在建设的过程中，从业务支撑的视点出发来指导SOC系统的建设，而不是从SOC系统结构的视点出发来进行系统建设。因为SOC系统的功能模块、管理信息模型等并没有一个统一的标准，所以在建设的过程中满足企业实际的安全支撑需要是最重要的。如图3所示，在SOC系统建设的过程中，运营商重点关注的应该是业务视点与部署视点，特别是在业务视点中要关注信息安全架构、SOC系统定位、SOC系统与其他系统的关系等。
　　在SOC系统建设的过程中，要多与运维流程进行结合而不是关注于SOC系统的某一功能点，即图3中的根据业务需求而在部署后实际应用的流程。SOC系统没有统一的功能模块，同样也没有统一的运维流程。因此，在目前的SOC系统建设中，更重要的是如何发挥SOC系统的作用，结合运维流程应用SOC系统目前的各种功能进行安全运维和管理。

图3　SOC系统生命周期与方法论

4、SOC发展展望
　　SOC系统逐渐地在运营商的日常安全运维中发挥着越来越重要的作用。虽然目前SOC系统还存在着一些问题，随着安全企业、相关组织以及运营商的努力，SOC系统会越来越完善。根据运营商网络中其他系统的发展趋势，可以展望SOC系统的发展。
　　●SOC系统的发展最终也会形成像eTOM这样的过程框架，通过这个过程框架，运营商和SOC开发商以及安全设备商之间形成了一种通用的“安全语言”。
　　●安全设备也会形成像其他电信设备那样的统一的模型，不同类型的安全设备之间最终会发展到互操作；不同安全设备一起组成的安全管理网络，可以整体发挥作用，共同保障企业的信息安全。
　　●SOC系统与被管设备之间、SOC系统与其他系统之间的接口模型、通信协议等会形成更加开放的标准。
5、结束语
　　随着信息化的发展，政治、经济、生活等方面对信息网络和信息系统的依赖性日益提高，信息安全问题也显得越来越重要，建立集中的安全运营中心是电信运营商有效管理成千上万台安全设备和网络设备，处理海量的安全信息和安全事件的必由之路。虽然SOC系统存在着一些问题并仍然处于发展阶段，但是这并不阻碍SOC系统的应用，越来越广泛的应用也会进一步促进这些问题的解决。电信运营商应根据SOC系统的发展趋势，结合SOC安全相关规范、模型的制定，逐步完善目前的系统，使SOC系统在保障信息网络的安全，保证电信业务稳定运营方面发挥更大的作用。