本刊記者 | 黃海峰

安全管理平臺(tái)部署尚存瓶頸中國(guó)電信提出五大應(yīng)對(duì)策略

本刊記者 | 黃海峰

SOC并不是新技術(shù)，已被國(guó)內(nèi)相關(guān)企業(yè)和機(jī)構(gòu)研究了近10年，但是還面臨多個(gè)應(yīng)用挑戰(zhàn)，目前在大型企業(yè)應(yīng)用部署中并不是很多。

隨著安全問(wèn)題日益凸顯，運(yùn)營(yíng)商部署了大量的安全產(chǎn)品，但是同時(shí)也面臨巨大的可管理性問(wèn)題。運(yùn)營(yíng)商為進(jìn)一步提高網(wǎng)絡(luò)安全保護(hù)水平，促進(jìn)網(wǎng)絡(luò)安全管理工作流程化，建設(shè)安全管理平臺(tái)（SOC，Security Operation Center）日益提上日程。

據(jù)記者了解，中國(guó)電信一直非常重視SOC平臺(tái)的建設(shè)，已在集團(tuán)、江蘇、廣州等多個(gè)節(jié)點(diǎn)建設(shè)了試點(diǎn)SOC平臺(tái)，初步具備了對(duì)于IP網(wǎng)的網(wǎng)絡(luò)異常流量監(jiān)控、安全事件的集中監(jiān)控、安全風(fēng)險(xiǎn)評(píng)估、垃圾郵件集中自動(dòng)化處理等能力，這給SOC的進(jìn)一步發(fā)展積累了寶貴經(jīng)驗(yàn)。

構(gòu)建SOC是大勢(shì)所趨

由于用戶量快速增加，互聯(lián)網(wǎng)安全形勢(shì)依然嚴(yán)峻。而手機(jī)終端的增多和云計(jì)算等新技術(shù)的應(yīng)用讓運(yùn)營(yíng)商安全管理更加復(fù)雜。隨著運(yùn)營(yíng)商各項(xiàng)安全工作的深入開(kāi)展，一個(gè)突出的問(wèn)題開(kāi)始顯現(xiàn)。

一位安全廠商人士表示，運(yùn)營(yíng)商對(duì)各安全設(shè)備和安全控制系統(tǒng)的管理分散，缺乏全網(wǎng)統(tǒng)一的集中控制和處理機(jī)制，難以從全局掌握全網(wǎng)的安全情況，很難及時(shí)調(diào)整安全策略以適應(yīng)網(wǎng)絡(luò)安全動(dòng)態(tài)性和整體性要求。

“運(yùn)營(yíng)商的網(wǎng)絡(luò)規(guī)模、覆蓋以及用戶數(shù)量遠(yuǎn)遠(yuǎn)超過(guò)一般企業(yè)，近幾年其用戶和業(yè)務(wù)一直在飛快增長(zhǎng)，如中國(guó)電信，這使得運(yùn)營(yíng)商安全管理正面臨了工作量巨大和管理運(yùn)維人員較少的矛盾，所以構(gòu)建SOC是大勢(shì)所趨?！睎|軟集團(tuán)網(wǎng)絡(luò)安全產(chǎn)品營(yíng)銷中心副總經(jīng)理曹鵬表示。

“我們已經(jīng)加大了對(duì)SOC平臺(tái)的研究，并增加了更多的安全人員，期待SOC的盡快規(guī)模應(yīng)用。”中國(guó)電信運(yùn)維部吳湘東告訴記者。

綠盟科技行業(yè)營(yíng)銷中心專家唐洪玉表示，安全管理平臺(tái)有兩類：一是運(yùn)營(yíng)型平臺(tái)，即用來(lái)對(duì)運(yùn)營(yíng)商的用戶提供安全服務(wù)，開(kāi)展業(yè)務(wù)；二是運(yùn)維型平臺(tái)，即用于內(nèi)部的安全運(yùn)維管理。這兩類平臺(tái)的設(shè)計(jì)理念、功能和呈現(xiàn)等方面有很大不同。

據(jù)記者了解，中國(guó)電信運(yùn)維部正在建設(shè)的安全管理平臺(tái)，主要是運(yùn)維型安全管理平臺(tái)，用于電信內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)維管理。該平臺(tái)對(duì)安全運(yùn)維工作非常重要，是實(shí)現(xiàn)全網(wǎng)安全的監(jiān)控、分析、實(shí)施、管理和支撐必不可少的技術(shù)手段。

SOC部署尚存四大挑戰(zhàn)

SOC是運(yùn)營(yíng)商目前關(guān)注的焦點(diǎn)，但其部署仍面臨多方面挑戰(zhàn)。

一是技術(shù)方面，SOC在功能上需要不斷滿足網(wǎng)絡(luò)技術(shù)架構(gòu)演進(jìn)所帶來(lái)的網(wǎng)絡(luò)安全新變化的要求。“網(wǎng)絡(luò)演進(jìn)帶來(lái)第一大問(wèn)題就是大規(guī)模流量，5年前，我們當(dāng)時(shí)提出和構(gòu)建的SOC平臺(tái)，無(wú)論要求和設(shè)計(jì)都是針對(duì)小流量的，但現(xiàn)在大規(guī)模流量的增長(zhǎng)讓其不能適應(yīng)?！眳窍鏂|表示。同時(shí)，SOC建設(shè)還面臨地址缺乏的問(wèn)題。目前各大運(yùn)營(yíng)商開(kāi)始做局部的IPv6試點(diǎn)和部署，這使IP網(wǎng)絡(luò)設(shè)備出現(xiàn)新的變化。另外，移動(dòng)互聯(lián)網(wǎng)正在快速發(fā)展，SOC對(duì)終端和業(yè)務(wù)管控變得非常困難。

二是SOC需在功能上解決目前安全系統(tǒng)可適合和可控能力不足的問(wèn)題。SOC一個(gè)很大的問(wèn)題就是大量重復(fù)無(wú)關(guān)緊要的事件和漏洞告警，如何從中發(fā)掘有效信息？如中國(guó)電信大網(wǎng)，每月安全事件超過(guò)幾百萬(wàn)件，從中找尋有效信息相當(dāng)困難。

三是缺乏有效的安全管理機(jī)制、SOC標(biāo)準(zhǔn)化以及流程配套的安全策略制定。曹鵬表示，SOC部署面臨的最大挑戰(zhàn)是監(jiān)管技術(shù)和管理體系遠(yuǎn)沒(méi)有實(shí)現(xiàn)標(biāo)準(zhǔn)化，運(yùn)營(yíng)商需要能夠全面構(gòu)建SOC平臺(tái)的綜合型廠商。

四是部署挑戰(zhàn)。唐洪玉表示，安全管理平臺(tái)需要快速適應(yīng)安全新形勢(shì)和新環(huán)境的變化，如物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、云計(jì)算、新的安全攻擊等，這就要求 SOC平臺(tái)擁有良好的技術(shù)架構(gòu)和基礎(chǔ)，能夠及時(shí)擴(kuò)充和升級(jí)，實(shí)現(xiàn)對(duì)新形勢(shì)的適應(yīng)，在這個(gè)過(guò)程中，相應(yīng)的安全子系統(tǒng)扮演著重要角色。但是，運(yùn)營(yíng)商SOC部署需要考慮多個(gè)網(wǎng)絡(luò)環(huán)節(jié)和多個(gè)安全需求，從何處下手部署SOC同樣難以判斷。

日漸豐富的新型業(yè)務(wù)，正使運(yùn)營(yíng)商面臨著空前的安全管理挑戰(zhàn)。

中國(guó)電信積極布局

在近五年的SOC試點(diǎn)研究中，中國(guó)電信積累了較多的經(jīng)驗(yàn)。吳湘東介紹了中國(guó)電信的主要措施。

其一，中國(guó)電信考慮采用云計(jì)算的架構(gòu)，通過(guò)安全管理平臺(tái)架構(gòu)資源池化和分布式計(jì)算實(shí)現(xiàn)海量數(shù)據(jù)的收集和分析，提升全局網(wǎng)絡(luò)安全態(tài)勢(shì)把控和風(fēng)險(xiǎn)控制能力。

其二，移動(dòng)終端安全管理。與工信部安全中心聯(lián)合研究安全管理平臺(tái)對(duì)移動(dòng)終端安全防范，主要內(nèi)容包括安全產(chǎn)品研發(fā)、終端殺毒與管理、軟件的配置管理、信息采集以及故障診斷。雙方計(jì)劃對(duì)基礎(chǔ)網(wǎng)絡(luò)安全的管理，向更深層次的應(yīng)用安全管理演進(jìn)，從而解決終端智能化帶來(lái)的安全問(wèn)題。

其三，盡快解決IPv6協(xié)議棧問(wèn)題。中國(guó)電信深度研究SOC自身防護(hù)系統(tǒng)對(duì)IPv6的支持，這包括了許多基礎(chǔ)網(wǎng)絡(luò)本身的安全和訪問(wèn)控制等。

其四，整合了分散專業(yè)安全子系統(tǒng)和集中安全信息收集系統(tǒng)。如中國(guó)電信將DDOS、終端安全、異常流量、域名、內(nèi)容、僵尸等安全子系統(tǒng)整合起來(lái)。

其五，構(gòu)建層次化安全運(yùn)維管理組織架構(gòu)。中國(guó)電信將重點(diǎn)業(yè)務(wù)和重點(diǎn)安全事件都明確下來(lái)，重點(diǎn)保護(hù)和監(jiān)控。對(duì)服務(wù)對(duì)象，也做了安全需求等級(jí)分類。