冰岛的网上家园

SOC杂谈,关于安全管理平台和安全托管服务- -

SOC杂谈,关于安全管理平台和安全托管服务- -
                                       


1.SOC：安全产品管理平台还是安全信息管理平台
刚刚接触SOC的人都会对这个问题产生困惑，SOC，到底是什么？这里引用freshmeat兄的几个概念:
SOC(security operation center)：安全操作平台，Opertion这个词在IT中可以有很多解释，
                                在这里不妨直译为操作，那么既然是操作，SOC本身就该是
    以流程为主的平台。
SIM(security information management)：将安全事件收集、关联分析和存储是几个重点。
ROC(response operation center)：事件响应管理平台。
MSS(managed security service)：我的定义是安全托管服务，这部分后面详细分析。
那么SOC能做什么呢？用市场说话，按照现在的产品形态分，大抵可以分为“安全产品管理平台”与“安全
信息管理平台”两种，这里的安全管理平台涵盖比较狭义，专指对于我们现有的安全产品及其数据、策略
的管理，相当于一个硬管理平台； 而安全信息平台则更偏重于安全管理工作中的软性方面，例如
安全目标，规划，策略，流程，以及信息和事件分析等等。  当然现在很多产品兼而有对方的功能，
但目前大多数都是偏重于某一面的，在各产品发展到更成熟，能够容纳以上两方功能之前，从当前的
客户理解以及厂商推介来看，暂时不妨把SOC分为这两大类。
这里先插播一点题外话，由历史看未来，短浅了解一下国内安全的发展。
===========================================================================
从国内安全厂商的起源与发展看来，国内的专业安全厂商背景大致可以分为三批：
1.原产品厂商，具有某一方面的技术特长，在安全的某一块中独霸一方。
  a.国家政府、保密、军工、研究背景企业，大多具有某一方面的独特背景，集中在加密、认证
    等涉密产品方面。
  b.早期的国产防病毒软件厂商
  c.早期的防火墙厂商及其渠道。
这类厂商切入行业时间早，渗透深入，由于某些方面独特的技术或资质优势，雄霸一方比较稳固。
但是同时存在一些思维定势，对全面安全认识不够深入，自身架需要改革。由于原有市场的饱和、
国外势力的切入挤压等因素，这类厂商继续寻找新的扩展方向和盈利点，在市场大潮的推动下迅速
向第二类厂商 -- 专业安全服务厂商的势力范围逼近。
2.专业安全服务厂商，由专业安全服务(Professional security service)起家的厂商。这类
厂商具有相同的产生背景--在互联网大潮飞速发展之后诞生，随着今年大规模安全事件的爆发而聚合，
具有很强的专业安全技术素养，由技术人员为主导的创业型企业。  虽然大家都在开发安全产品，并且
很多并非靠安全服务而生，但是由于他们深厚的技术背景和独特的技术文化，我们还是把它们都划归
到一类，专业安全服务厂商。
这类企业具有深厚的基础技术实力(主要在黑客与反黑客技术方面)，具有很强的技术适应力，灵活
和强韧就是他们的特色，哪里有利润，哪里能够存活，他们就能够凭借自身的坚韧毅力迅速挤压进去，
看起来有些悲壮的草根安全企业。 同样也有他们的弱势，就是管理不够规范，缺乏技术方向的指导和
规划，业务人员和业务流程不够专业。
3.传统IT基础设施企业。典型的大而全的恐龙企业。例如IBM，HP，Cisco，随着他们业务范围的拓展
和安全市场带来的巨大投资，安全都成了他们业务蓝图中或重或轻的一块肥肉。当然，范围在国内这样
的恐龙也不是没有，联想和华为就是典型代表。
在以上三个方面中是国内安全企业的大致阶段和分类，同样国外也存在这样的发展状况，最后结合国内
和国外的安全厂商，我们可以大概给目前国内市场上正在争斗的划一个小框。
第一阵营: 原产品厂商。
Nokia + Checkpoint，  NetScreen ，天融信，天网 等
CA，Mcafee， Symantec，瑞星，金辰 等
三零盛安，北方计算，中科网威 等。
第二阵营: 专业安全服务厂商。
ISS，iS-One，神州绿盟，启明星辰 等
第三阵营: 传统IT企业。
IBM， Cisco， 联想，华为 等。
===========================================================================
这样一看，就可以看出我们的专业安全服务商的境地了，下游要被挤压，下游要被蚕食，再加上一大堆
的中间商和集成商依托自己的地域和关系背景优势处处出击，说是夹缝生存一点也不为过。
同样，按照上面的时间拓扑图大家也可以大致看出国内安全市场的对应发展：
1.产品认知阶段，大家只认为单一产品就能够完成全局安全，例如政府只认加密，企业只认防火墙或防病毒。
2.安全集成阶段，大家认识到单一产品不能维护全面安全，转而由产品采购转向安全集成。
3.安全管理阶段，不幸，安全集成由于流程或方向的问题仍然很难起到有效保护的作用；随着国际和
  国内标准的逐步完善，IT管理方法的慢慢成熟，大家开始引入标准和政策，以安全策略为指导，逐步
  建立符合自己情况的安全管理乃至IT管理框架。
这也是国内大部分厂商的基本认知和划分方法，细节上略有不同。
不客气地说一句，在第二阶段大家都没有做好，当前的大多数安全产品由于厂商或用户的技术或策略问题，
都没有得到有效利用，也没有完全发挥本身应有的安全保障功能；同时为了引得市场先机，那么大家都开始
了前瞻性的推动，安全管理平台应运而生。

2. 客户的需求和厂商的想法 SOC能做什么
因为各家技术背景的不同，在很快的时间内大家都各施法宝，拿出了自己特色的安全管理平台产品。
软平台：绿盟ESP/SOC，启明星辰 天清/SOC，iS-One SOC
软平台的特色就是以信息为核心，包括资产管理，流程管理，事件管理等模块，注重与对数据信息的分析
以及流程模式的监控，一般并不直接对具体安全产品下发安全执行策略，也不提供对安全产品的广泛控制
能力。 软平台“软”在注重务虚，注重监控，注重管理体制的改善。 例如绿盟ESP重在组织规划和软策略
下发，启明天清重在资产管理和风险控制，iS-One重在信息监控和流程管理。
硬平台：Symantec ESM， f-secure policy manager，Cisco VMS & ACL/Policy Manager
硬平台恰巧相反，他们以自身或第三方的安全产品作为基础和依托，重在提供一个集中管理和操控的平台，
能够直接对多种安全产品(例如Firewall，IDS，Scanner，Antivirus)进行管理和安全策略实现的下发。
硬平台重在能够能简单直观的对策略进行硬性实现，并且集中统一的传达到安全组件的各个终点。
例如ESM对IDS和Antivirus的事件监控，f-secure policy对于firewall规则和终端工作站补丁的管理，
Cisco VMS对网络准入规则和终端agent的防护策略管理等等，都是直接对具体安全组件管理和实现。
这里解释两个概念，软策略与硬策略。
简单说来，软策略就是信息安全策略中上层的部分，包括管理体系，组织结构，业务流程等等与人相关的方面；
硬策略则是安全策略的具体实现和终端执行部分，包括病毒升级和防护规则，防火墙和IDS管理规则等等。
也许以上部分很多概念划分比较模糊笼统，大家能够理解就好。
说了那么多，回到正题上来，安全管理平台(或具体的安全操作平台SOC)到底是产品管理，还是信息管理，
嘿嘿，我就不说了。
这个问题应该是见仁见智，从历史，发展，产品背景都可以看得出，是软是硬无非都是历史背景和各厂商的
技术局限性造成的: 缺乏丰富专业服务经验的传统产品商们当然会从自身产品入手，拓展产品管理平台的功能
使之成为一个准安全管理平台；而缺乏业界关系和人力、资产资源的专业安全服务商们则只好退而求其次，
暂时把产品管理的功能放在一边，注重发展能够和自己服务资源良好结合的软部分，再逐渐扩展他们的功能模块。
另一个方面从市场与用户的角度来看，短期内安全产品管理平台更直接，更有效，更能得到最快的TCO回报，
因此目前用户对于安全产品管理平台--我们的硬平台认知更加直接，也更容易接受；所以目前大多数用户
在接触到SOC概念的时候往往也都会糊涂，而提出第一个问题，到底是产品管理还是信息管理？我们的售前
人员可得小心了，别人不知道这是什么，你自己总得知道，这时如何引导客户接受产品信息和概念就是非常
重要的问题。记住一点，千万不要欺骗客户，呵呵。

3.从soc看安全外包服务
从长远的趋势看来，一个软硬结合的安全管理平台当然是再完美不过的了。幻想一下，在一个企业安全规划的
整体框架中，我们能够明晰的定义企业的安全目标和保护策略；这个策略能够紧密地结合和贴切我们的业务
流程，具有自顶向下的完整实现，定义了从组织结构、职责分工、责任划定、操作规范直到终端的各安全部件
的各级实施策略；能够简单明了的完成每级对象的策略下发(人与物的)；能够迅速的把各级事件向上汇报到中
心，具有完美的历史分析和趋势统计功能；然后这些报表能够让我们审视我们的安全策略是否得到无缝传递和
准确执行，并且能够让我们从中审视到存在的缺陷，然后递归的改善它.....
不好意思，无情的打破你的幻想，因为我们永远做不到。无论从政策，市场环境，竞争角度，技术细节等等各
方面来看，做到这样一个无缝的产品是很难的。因素有：
a.适应性
每家企业的体制结构和业务流程都是不同的，在SOC等产品应用和实施的过程中，不可避免的会遇到的一个问题
就是对于企业的适用性。客户采用你的方案后，能不能用，能不能有用，会不会对业务产生负面影响，都是很重
要的问题。对于此处，再次重复我对安全管理的立场，安全是应该服务于信息，而不仅仅是束缚信息。
b.成本投入
为了解决适应性问题，企业在使用过程中不可避免的会产生二次开发和应用培训的需求，因此而带来的成本投入
是一个两难问题，也是在其他领域中的ERP、PLM等服务性产品中所面临的重要问题。
c.人员投入
这里之所以把成本投入之中的人力资源单独划分开，是因为人力的投入往往是比现金成本更没底的东西，尤其是
在企业业务发展相当专门化的今天，是不是有必要投入这么多的人力成本和技术资源去完成企业安全计划，也是
企业在应用安全管理产品是所要考虑的一个重要问题。
d.此外还有一些其他因素，例如产品兼容性，业务扩展性和历史政治等方面的因素，在此暂不详细解释。
由此看来，对于SOC的目标客户市场我们还得做一个细细划分，SOC是不是企业安全发展战略中的万能灵药呢？
出于成本投入和效益产出考虑，显然SOC并不适用于所有的用户范围。
a.可能采用SOC的客户
大企业为主，本身具有一定的技术实力，具有良好的组织架构和安全战略眼光，有强烈的技术自主权，以IT类
业务为核心，相当重视信息的安全和保护。
b.有安全需求但不大可能采用SOC的客户
中小企业为主，业务可能相关，也可能很重要，但是出于人力和成本的考虑，不可能把安全放到那么高的位置，
有强烈的安全需求，但显然SOC不适合他，由此出现一个SOC领域空缺带。
无论是需要SOC的还是不需要的，只要有安全需求，那么安全服务就是相关领域安全业务的一个重要组成部分。
在SOC的实施过程中，用户无可避免的需要一个对安全有深入透彻并且具有一定战略眼光的安全团队协助他完成
框架的制定，流程的分析，业务的调整，技术的实施。并且这种模式不可能是一次性的，而是在整个SOC实施的
过程中，会出现一个少则两三年，多则到达永久合作的技术合作期，来协助客户完成业务改造以及策略的实施保证。
* 即使不需要SOC但是需要安全的大量中小型客户中，他们也需要一个团队来保障业务的正常开展。
SOC推行，服务是核心。
这里的服务指的是专业安全服务，包含安全咨询，风险评估，风险控制，安全维护等整个安全框架周期中的各阶段。
1.根据政策和企业发展战略制定企业安全保护目标。
2.根据企业保护轮廓制定安全策略。
3.把安全策略具体实现到人和物两方面，实现策略的软硬紧密结合。
4.协助企业进行安全策略的下发和执行保证。
5.协助企业修订和完善安全策略。
在行业分工明确的今天，不同业务类型的各个企业合作运行已经成为很普遍的事情，就拿通讯行业来说，通讯
外包服务已经组建成为一种流行趋势，例如IBM就把欧洲部分的通讯管理服务外包给了AT&T，在国内来说爱立信
和Avaya也已经在开展通讯外包服务，全套基础设施与管理维护都由服务提供商来提供，最终用户只按一个per-port
的报价来提供整体回报。
无论是从客户还是厂商角度看来，安全托管服务都是SOC实施中可能发生的众多问题的良好解决办法，甚至在SOC
市场之外，它也存在着更大的生存空间。想想看，我们可以请装修公司作装潢，请系统集成商作基础设施建设，
请保洁公司作卫生清理，为什么不可以请绿盟来给我们看防火墙日志？

4.现状和发展，以及存在的问题
其实安全托管我们一直在做，或者说现在也在做，现在很多专业安全服务厂商所进行的许多工作都可以看作初步的
安全托管服务。但对于成熟的托管服务看来，我们以前所做的都不过是一个雏形，还存在各种各样的问题亟需解决：
a.客户认可
在目前国内的IT应用发展来看，让客户认识和理解安全托管服务还有很大难度，原因不提。
b.厂商思维
厂商的思维方式也需要改变或完善，这里包括两方面，包括工程领导者以及其制定方针和工作模式，需要调整以
适应新业务模式的开展和推进；另一方面是工程执行者的思维，也需要转变已配合和学习新的工作方法。
c.专业人员
目前还缺乏大量专业方向有深入理解的咨询工程师，在职业和专业素养方面可能都有些欠缺，可能无法有效解决
托管服务中遇到的一些问题。
d.实施细则
对于安全托管服务 -- 这个远远不同于我们的传统安全服务的领域，有一些重要问题，还需要慎重考虑。例如
安全托管服务是合作模式还是完全外包模式？可以解决哪些问题？应该解决哪些问题？解决不了问题怎么办？
关于用户需求的SLA和责任纠纷？
e.资费标准
关于安全托管服务的一些基本要素考虑还不成熟，包括项目、职责的划分，以及如何收费等等问题，通讯行业
可以按每端口，我们是按人？按端口？按设备？按资产？
f.工程模式
目前的厂商工程人员工作模式划分，大都是按照行业或项目组划分，这种一人多用的问题在客户看来，在信任度
亲和度，以及解决问题的效率方面都会引起怀疑，甚至会造成交流的隔阂。而交流是安全托管服务中最重要的环节。
如果专人专项，那么在厂商看来又会带来人力资源重复浪费的成本问题，如何良好解决这个问题也需要考虑。
这里提出了很多已经遇到和可能遇到的问题，还需要大家讨论、推进和解决，总之一句话，安全行业要发展，就
应该实现产业化 -- 目前的国内安全还远远不是一个产业。
产业化包括很多方面，整个业界环境，对于市场氛围的推动，从业人员的普遍素质和基本规范，以及行业风气和
潜规范等等......
抛了太多砖，大家用力拿钻石砸过来......

最后顺便提一下类SOC和安全托管服务的国内现状：
绿盟ESP，在银河证券和上海电信有应用案例，成不成功就不好说了； 绿盟SOC，云南电信，进度开发中。
启明星辰天清，据说有几起案例，并且已经帮客户过了7799达标...这个好像国内也没几个过的吧...印象中
南京公安厅有一套试用。
启明星辰SOC，交通银行，进度开发中。
Symantec，借助ESM在全力推进SOC计划中，ESM应该卖出过两套，SOC，它的服务现在没有人......
iS-One SOC，江苏电信，实施完成；浙江电信，实施调查中，不过这个案例中似乎他们并没有打SOC的牌子。
华为 SOC，进度，内部使用开发中。
CA SOC，对于CA来说，开发这样一套东西并不是难事，他的eTrust系列无论优劣，本身已经很成熟了，做单
也很低调，无非就是叫不叫这个名字的问题。此外还有IBM的tivoli，也是非常庞大完整的套件，不过不来趟
你SOC的浑水而已了，人家那是作的真正的IT Services......
安全托管服务
绿盟，历史上有过安全高级顾问服务，类似托管服务的概念；未来有安全监控中心服务，不过暂时还没开展。
倒是已经进行过的很多项目有安全托管之实而无安全托管之名了。总结，上面所说的问题基本上都有，还需要
发展、实践，而后成熟。
启明星辰，没听说过有成功的托管案例，倒是在一些其它类型的服务或产品项目中维护了良好的客户关系，但是
也没听说过未来会做服务的...嘿嘿，也许根本就没打算做专业安全服务。
安氏，目前位置没见过托管服务的项目，但是有过短期安全监控项目的历史和经验；在长远看来，鉴于安氏长期
的服务底蕴，还是有可能建立良好的托管服务模式的。。
与专业安全厂商在这个领域的惨淡相比较，倒是一些其它产品厂商和二流安全服务厂商占据了一片天地，
举例:
TremdMicro的一堆代理们...对于防病毒软件的客户安全服务全包了，包括防杀毒升级服务器维护以及安全
事件响应...
此外，中科网威的堡垒客户上海证交所已经进行了至少两年的安全托管服务了。
还有就是一大堆叫不上名字的区域性厂商，凭借自身关系拉住一两个大客户作整体安全托管的了。

政府为何不能经营企业？
2009年05月22日08:50