網路安全是一件專門和專業的事

編者按

2015年7月1日，新國家安全法施行，規定每年4月15日為全民國家安全教育日。聚焦網路安全現狀及高校網路安全建設，《中國教育網路》特邀多位專家學者撰文，針對網路安全領域的現狀與挑戰、網路安全領域學科建設和人才培養等話題進行了分析與探討。

設置專門的安全運行中心十分必要

網路安全是一件專門和專業的事

網路安全工作現狀分析

近日，中共中央印發《深化黨和國家機構改革方案》，該方案的主要內容之一是將「中央網路安全和信息化領導小組」改為「中央網路安全和信息化委員會」，並接手工信部管理國家計算機網路與信息安全管理中心。這意味著該委員會將加強安全保障職能。

國家計算機網路與信息安全管理中心（也稱國家計算機網路應急技術處理協調中心），其核心業務是為全社會提供網路安全預警防範和數據支撐，大到守護銀行、電力等網路系統，小到幫助老百姓識別「釣魚網站」等等。

在國家戰略的層面，網路安全受到更加強烈的重視，進一步升級成為一項獨立的、頂層的、全局的和統一的工作。

2017年6月1日起施行的《中華人民共和國網路安全法》，對網路安全運行有明確的「強制性」規定，如實行網路安全等級保護制度、確定網路安全負責人、留存網路日誌不少於六個月、制定網路安全事件應急預案等。

目前，宏觀上我國在網路安全頂層設計、機構設置、人才建設、技術創新、產業發展、宣傳教育等方面不斷加大力度，但從企業組織具體網路安全實踐的微觀角度來看，還存在種種問題：

1.安全防線各自為戰

為了不斷應對新的安全挑戰，企業和組織部署了防火牆、UTM（統一威脅管理）、入侵檢測和防護系統、漏洞掃描系統、防病毒系統、終端管理系統等，構建起了網路安全防線。這些系統看似安全實則存在較大隱患：這些安全設備獨立運行，各自的目標是抵禦來自某個方面的安全威脅，彼此之間缺乏聯繫和協同，容易形成所謂的「安全防禦孤島」。

而安全管理人員面對來自不同安全設備的海量且彼此割裂的安全信息，工作效率低下不說，更重要的是難以估計全局的安全態勢、難以發現真正的安全問題。

2.安全從業人員專業素質欠佳

從國內大量的網路安全實踐來看，安全管理人員群體總體上不太專業，許多人甚至是網路管理人員兼任，缺乏足夠的安全專業知識和技術。有些網路安全從業人員甚至認為網路安全就是部署網路安全設備，最多維護一下設備策略，即可以高枕無憂。日常的系統維護、策略更新、數據分析、態勢跟蹤等等沒有得到應有的重視。一旦出現安全事件，最先想到的是斷網，然後等待補丁升級。可見，人的因素是安全問題的最薄弱的環節。

3.缺乏獨立的安全機構設置

目前大多數信息化項目，一般都會考慮網路安全問題，會單獨採購安全設備、服務和培訓，但常常是作為網管工程的補充，屬於附加、從屬地位，使得「安全第一」經常流於形式。

長期以來，我們對網路安全「做」的遠遠沒有達到「說」的程度。從機構設置來看，多數機構組織都有專業的信息化部門，比如網路中心或信息中心等等，但很少有專門的網路安全部門。做得稍好一些的，在網路中心設置了計算機安全響應小組CERT，多數情況下是NOC代行網路安全管理的職責。

無論是CERT還是兼職NOC，都是附屬的機制，不是真正意義上的安全管理機構，缺乏系統性和獨立性，其功能和作用得不到有效發揮，其發展也受到很多限制。從道理上講，前面提到的兩個問題，都跟第三個問題有關。可以說，第三個問題是瓶頸問題。

SOC的必要性與意義

設置專門的安全運行中心SOC（Security Operating Center）是解決微觀上安全管理問題的有效手段。

SOC是整合安全設施、統一安全策略、集中數據分析的專門和專業的安全管理機構，對組織的網路安全進行綜合的管理和運營。

一般來說，SOC由四個部分組成：

1.綜合安全管理

負責內控管理，包括資產安全管理、系統補丁管理、異常流量管理、完整性檢查等。

2.安全事件管理

負責安全事件信息收集、異常行為發現與跟蹤、安全事件追溯與響應等。

3.資產風險管理

負責信息資產漏洞信息收集與分析、漏洞級別度量、風險評估與響應。

4.運維管理

負責日常運維工作的服務保障，包括各種時鐘同步、系統管理、資產配置庫、資產工作狀態和拓撲信息、安全知識管理、安全考核管理、流程管理實現等。

與NOC相比，SOC專門和專業地負責網路安全，而NOC關注的是網路的通達性和性能。可見，SOC是獨立於其他網路管理職能的機制。

SOC不是單純的產品，而是一個複雜的系統（產品+服務+運維），是技術、流程和人的有機結合，其關鍵優勢在於通過持續不斷的監測分析數據活動，改善安全事件的檢測和響應。而廣義的SOC則不僅針對安全設備進行管理，還要針對所有IT資源，甚至是業務系統進行集中的安全管理，包括對IT資源的運行監控、事件採集分析、風險管理與運維等內容，即面向業務的SOC。

隨著安全的需求日益迫切，越來越多的企業和組織將會選擇部署SOC。

美國提出的可管理的安全服務MSS，已形成很大的市場規模。有電信運營背景、專業安全廠商背景及其他背景的MSSP（管理安全服務提供商），這些MSSP在全球範圍內建立了多處SOC，比如IBM有7個SOC和6個安全中心、Symantec有4個SOC和8個安全研究中心。Garner預測2018年的安全外包服務將達185億美元，成為僅次於諮詢的第二大安全支出子行業。

我國除了電信、民航、金融等高度信息化的單位引入了SOC外，大部分企業和組織僅有NOC這樣的機構。

SOC作為安全領域的全新防禦體系，超越了目前普遍應用的安全產品的局限性，將網路安全防禦上升到了一個新的高度。SOC並不只是一種系統機構和產品創新，而是一種整體性的網路安全新機制，是各種安全解決方案的有機協調，為企業組織安全資源整合提供了整體解決方案。

一些建議

網路安全是一件專門和專業的事情

網路安全已經被我國國務院學位委員會作為一級學科列入學科名錄，涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網路安全的研究領域，它是一門涉及計算機、通信、數學、管理等的眾多領域的綜合性學科，從學科規劃可以看出網路安全是一門專門和專業的學問，這是毋庸置疑的。在當今大數據、人工智慧等新技術蓬勃發展的今天，網路安全領域也要跟上新技術革命的浪潮，在頂層設計、法律制度、人才產業及自主核心技術等方面持續發展，開創網路安全領域新局面。

國家層面，我們已經把網路安全當作信息化中最重要最緊迫的工作之一加以重視。在微觀層面，我們同樣要有這樣的認識高度，把網路安全當作一件專門和專業的工作，高度重視。

加強SOC建設

SOC是企業組織安全運營的獨立的必須部門，具備直接向企業組織首席信息官CIO的報告的職責和權利。若實際中沒有設置該部門，該工作仍然需要其他部門代行，其效果往往是安全風險無法有效控制、安全管理無法有效實施。

由於SOC的專業性，其人員配備將更加合理，專業榮譽感更強，職業發展路徑更清晰。制約安全管理水平的人員素質問題將得到有效改善。

由於SOC的專業性，將具有對安全資產的集中管理能力、對安全機構的頂層設計能力、對安全策略的統一協調能力、對安全事件的閉環響應能力。「安全防禦孤島」問題也將大大改善。

網路安全服務外包

在業界用戶建設SOC安全運營中心一般有三種方法：1.自建。組織根據自身業務、安全策略、風險控制政策等要求自行設計和研發SOC框架，組建專門的安全管理團隊並自行承擔SOC運維（適用於安全技術及管理能力強的專業組織）；2.外包。通過部分自建或租用MSSP的SOC基礎設施，外購集成安全服務，交由專業的安全管理團隊進行運維；3.共建。藉助專業安全公司搭建自己的SOC平台，根據組織業務、自身技術能力、管理水平等實際進行SOC運維，具備條件和能力的可自行承擔運維服務，有組織自身無法承擔如業務要求提供24×7不間斷安全監控、為用戶提供呼叫中心服務、安全漏洞掃描、滲透測試等，可選擇將此部分安全服務通過外包方式進行。

一般來說，安全運行中心SOC的建設是一項艱巨的任務，如何使SOC的各項功能儘快完善並使其作為網路安全工作的集中體現融合到業務中，是有挑戰性的任務。對大多組織而言，建立自建SOC並且自己配備所需的安全員工，成本較高。對於不能自建的、或者缺乏專業網路安全人員或預算不足以支撐起SOC運營所需的龐大的員工、房產、培訓和購買必要工具的支出，可以採取外包運營的方式。況且SOC建設完成後還要投入日常運行監控中，需要24小時不間斷的監控，外包是很好的選擇。

綜合考慮各個因素，對於許多教育機構，尤其是中小學和缺乏資源支持的普通大中專學校，將安全運營服務外包出去，交由專業團隊日常運維監控是客觀上可能且符合實際的一個好的選擇。（責編：王左利）

（作者單位為電子科技大學計算機學院）

本文刊載於《中國教育網路》2018年5月刊

更多內容請查看專題↓↓↓

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！