注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

amei@纯真年代

感恩的心,知足者常乐!

 
 
 

日志

 
 

SOC工作的一点想法  

2014-04-03 09:46:40|  分类: 工作小记 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

整理文档时,发现了一篇自己去年写的文章,应该是在参加完几个省安全工作交流后有感而发写的一个东东。那时大家都还在迷茫之中,有些抱怨、有点悲观,我们虽然稍微有点摸索到感觉,但是也还是感到不那么清晰,那时的大家,非常需要信心和坚持。时隔一年,现在的安全工作有了很大起色,我们的内心也感到道路越来越清晰,回看那时的这篇文章,觉得保持信心、坚持不懈很重要。安全的路还很长,未来的困难可能会更多,希望我们可以继续保持信心、坚持不懈,相信明天一定会更好!

现特把这篇文章放到日志中,以鼓励自己和所有做安全的战友们!

  -----------------------------------------------------------------------------------------------------------------------

谈一些做安全工作的感想,个人观点,说的不对还请多批评指正:

1、目前安全还在起步阶段,打基础非常重要

和SOC战线的同事们交流,大家都感到好忙好忙,有太多事情要做,领导的期望值很高,其他部门对我们的期望也很高,会觉得都已经建立了SOC这样一支专业的安全队伍,配了专人,就应该解决所有的安全问题。但实际上我们心里很虚,完全没有底,有时还会觉得有点迷茫,我们那么忙碌,怎么还见不到效果。多数情况下,SOC的人在做救火队员,抱着扫描仪到处扫描检查,有安全事件发生就去处理,这些事情很重要也很急迫,确实要做,却也同时使得我们曾经规划好要做的一些安全的基础工作一拖再拖,没能真正开展。

但越是深入安全专业,越是感到太多太多的基础工作还没有做起来,安全工作很难系统化开展,SOC的人非常非常的忙碌,却总是在做一些“点”上的事情,很少有时间和精力去打基础。在目前SOC人员配备不足的情况下,SOC是在做救火队员和建立防御体系两者间该怎么平衡,SOC该有重点的做些什么,才可以让安全工作真正走上正规,这些都是我们心中大大的问号。

个人觉得,非传统网络安全目前还是一个比较新的专业,不像传统交传数这些专业发展多年早已形成了一套成熟的工作思路,不能拿对传统成熟专业的要求来对“安全”这一新专业,这些传统专业现在是要做精做细,而安全专业现在更多是要打好基础。其实回想传统的交换、传输、数据这些专业,在它们刚刚发展起来的时候,也是一样要经过很长时间一番沉淀和积累,安全更是如此。

2、安全专业的特点注定了做安全不能抓大放小,不能闷头自处:

安全最大的特点就是木桶效应,要顾及到全网,包括我们重要的和不重要的所有网元,不像传统专业,分等分级之后,抓好重点系统就可以,安全虽然也要抓重点,但是也不能有遗漏,一点点遗漏都可能造成大问题。安全另一个大的特点就是开放性,一个安全问题的解决往往不是靠自己,而是靠安全问题的源头方,一个安全事件发生,常常要靠好几个省联合分析和处置,所以跨省之间建立快速联动机制显得非常重要。

 结合上面两点,谈一下几个安全重点工作的想法:

1. 把资产安全管理起来:全面的掌握全网所有的资产情况是做安全专业的最基础工作,现在很多的安全事件不是我们已知的网元出问题,而是某个无人知晓的网元被黑客控制,而常常这个无人知晓的网元,正是在我们重要系统的内部,这种非常危险的状况总是无法避免,每次安全检查都有此类问题发生,我们总是后知后觉。所以,把全网的资产安全管理起来是做好安全最基础的工作,通过全网段扫描等方法,尽量不遗漏一个网元,先能让每个资产落地到具体的维护部门,才好下一步落实它们的安全整改工作。

我们现在的这块想法还比较简单,抛一个砖。

手段方面,我们想利用SOC平台把资产管理起来,虽然资产清单不掌握在SOC手中,但是IP地址段是可以掌握的,可以把地址段落实到每个维护单位,资产由各单位自己报自己录,SOC来扫描反查,发现有没有资产对应的主机,就请各单位自己补,SOC负责核查是否IP可达的主机都有资产对应,此外,想通过SOC平台建立每个资产的安全基线,目前想法还比较简单,主要是端口白名单、操作系统、数据库、URL等一些信息,安全扫描的结果导入SOC平台,自动与资产关联,形成安全事件工单,与安全基线对比,形成基线核查结果。

管理方面,我们想制定一个《资产安全管理办法》,对资产安全信息的维护职责和流程进行明确。

 2. 从建设口把安全规范起来:对新建系统提出基础的安全要求(比如要求满足安全域划分、应用服务器和数据库服务器不能共用、关键系统要配置安全防护设备等),在建设时解决这些安全基础问题,后续安全工作也会有条件开展。把住安全验收关,让安全问题解决在系统上线前。这样,也许在投资上没法对安全明确定量标准,但要满足这些安全标准,建设自身就不得不考虑投资。

 3. 理顺SOC与各维护单位之间的职责:安全不是SOC一家的事,更应该是维护单位的职责,在安全工作开展之初,理顺SOC和各维护单位之间关系很重要,要让“安全”成为“基础维护”范畴内容之一,而不是大家一提到安全,就觉得和自己无关,都是SOC的事情。这样,才能在全专业建立起安全的意识,大家才会把“安全”理所当然的当成维护职责内的事情。当然,以后如果SOC继续发展壮大,成为像NOC一样的有更多人员的实体操作单位时,可以考虑逐渐上收各系统的安全设备(如防火墙、IPS等)集中维护,可以更好的管控全网的安全。

 这块安徽在安全工作开始之初遇到不少这样的问题,不过领导一直比较支持这个观点,经过和各单位之间反复的磨合,现在还算比较顺,各单位可以较好的认领各自的安全职责,也基本接受“安全是基本维护职责内容之一”这一观点,SOC在做全网安全工作总牵头时,比较能得到各单位的响应和支持。个人感觉,这个工作的顺利开展非常需要领导思想上的认同和大力的支持。 

4. 工具手段运用:要做到全网所有网元安全工作尽量不要遗漏,靠人是不可能的,工具手段的运用显得更加重要,现在建的系统很多,但真正能用的好的很少,一个原因是厂家设计的系统初始时一定会有很多不满足我们实际工作要求的地方,另一个原因是我们自己对安全理解还不深入,怎么使用这些工具,自己也没多少主意,所以要靠我们自己去结合实际工作需求来不断琢磨这些工具的使用,和厂家不断磨合,这要花很大的精力,但却非常重要,如果工具用得好,可以让安全工作有一个质的改变。 

5. 全网联动:

目前在省内层面,我们可能考虑更多的是人的联动,怎样形成一种“习以为常”的安全事件响应机制,就像我们传统专业的应急响应一样,当某一类的安全事件一出,哪些人员马上各就各位,很清楚的知道自己要做什么。我们的目前的想法还比较简单,想先来完善现在的安全预案,根据具体的安全事件场景来制定可操作性强一些的预案,通过演练来熟悉预案,让安全响应成为一种习惯。

在全国层面,可能要考虑的是人和手段一起联动,现在各省都有SOC人员,都建设了不少安全系统,如何能联动使用发挥全网性的功能,日常时如何能联动发现安全问题,安全问题发生时如何联合分析快速找到安全源头、快速找到解决方法,这方面个人也没有想到很好的方法,这有赖于我们大家对手段的好好琢磨使用,多一些机会联动处理安全事件,可能会慢慢有一些好的想法。

  评论这张
 
阅读(138)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017