分类： 安全

SOC建设的失败原因
http://bbs.cisps.org/viewtopic.php?f=42&t=27306
------------------------------------
作者: wwanke [ 2011-03-23 21:59 ]
文章标题 : SOC建设的失败原因
------------------------------------
参加过一些SOC

　　游侠在2011年3月到思福迪（LogBase）之后，因为公司的业务重点问题，关注点开始转移到：日志管理综合审计系统、数据库安全审计系统、运维操作审计系统（内控堡垒主机），也经常在网上搜一些相关的资料。

　　这不是，搜到一篇不错的，原文是《SOC理解》，但是很可惜没找到作者，那在这里向原作者致敬了。正文开始：

　　1.在soc的用途方面大家理解上的偏差

日志审计系统是“我要什么”   主要收集各类设备的日志：路由器、防火墙、交换机、数据库等的日志 主要基于agent、syslog、snmp trap等 主要面向合规中“审计”部分的要求 收集上来的一般是原始日志   相对而言，soc偏重运营、工单处理 是收集日志上来之后“我要怎么办” 如筛选日志审计系统中报警级别“高”以上的日志 一线监控提交给二线监控，做分析，或提交客户 主要...

Author: jonatham

我们可以通过以下比较来发现（SAAS）的优越

1：人力成本

SAAS

1：无操作系统的限制，可扫描所有IP的设备
2：扫描仪为安全加密设备，无需用户升级或补丁。所有的升级，补丁和监控都由IDC免费提供。IDC提供冗余系统配件的维护并进行常规数据备份。
3： 对数据的容量储存没有任何限制。数据可无限的储存在IDC基础设施中。
4： 无需任何软件维护
5：点.对点的数据加密储存和传输
6： 所有数据自动整合。无论是整个企业或部分企业的报告，或者多个扫描设备产生的趋势报告均可即时产生。
...

　　医院信息系统是支撑医疗体系改革的“四梁八柱”之一，是计算机技术对医院管理、临床医学、医院信息管理长期影响、渗透以及相互结合的产物，它与医院建设和医学科学技术的发展同步。然而随着医院信息化的迅猛发展，信息的高度集中使得核心数据泄密的隐患也越来越突出，在利益的驱使下非正常的统方行为、患者信息泄密行为屡有发生，各级医疗机构急需采取“教育为先、制度为主、技术为辅”的综合管理手段，多管齐下，对敏感数据进行实时监控，对违规操作进行追根溯源和智能控制，全面提升信息系统安全管理水平，有效遏制违法、违纪活动的发生。
...

　　数据中心是企业的业务系统与数据资源进行集中、集成、共享、分析的场地、工具、流程等的有机组合。从应用层面看，包括业务系统、基于数据仓库的分析系统;从数据层面看，包括操作型数据和分析型数据以及数据与数据的集成/整合流程;从基础设施层面看，包括服务器、网络、存储和整体IT运行维护服务。下面我们了解下入侵防护IPS选型要求，以便更好的了解数据中心的概念。

　　（1）采用全面深人的协议分析技术，结合模式匹配、协议识别、协议异常检测、关联分析等多种技术，准确识别各种攻击。

　　（2）覆盖广泛的攻击特征库，与CVE、Bugtraq兼容，能够对至少多种攻击行为进行检测。厂商提供对规则库的升级更新，频率不低于每周一次。
...

　　安全不等于合规

　　根据IDC的报告，在2011年，企业用户预计在身份和访问管理软件上面将花费40亿美元。在安全和漏洞管理软件方面预计会花费25亿美元。虽然在这些方面进行投资有许多很好的理由，但对企业用户来说过度花费肯定是毫无理由的。不幸的是，有太多的公司的确如此。

　　为什么会是这样？首先，当今大多数企业都必须遵守众多的法律法规：萨班斯-奥克斯利法案, HIPAA, PCI DSS, FISMA…并且这个清单还在不断加长。在了解到攻击也发生升级变化后，为了远离这些类型的风险就需要采取精心炼制的坚固防御措施。
...

　　核心提示：要被称之为一款有效的数据泄露防护(DLP)解决方案，其所需提供的绝不仅仅是精确的保护，还必须能够让用户快速部署和轻松管理。现今的大部分DLP解决方案还停留在第一代阶段，具有三大硬伤，即高误报率、复杂而耗时的部署以及资源使用高度密集的事件管理。对于一个DLP项目而言，最重要是其被部署后的表现，能否客户轻松、舒适的获得其需要的数据安全。

　　要被称之为一款有效的数据泄露防护(DLP

　　如果您能来到这里，说明信息化在您的组织（公司）已经达到了一定的水平，至少您的组织正在使用互联网。而且，我们相信您的组织会越来越多地使用信息科技来推动业务流程创新和提升商业竞争力。

　　为了确保您的组织的成功，您需要认真对待信息安全，信息安全对各类型的组织越来越重要，有如下三个主要原因：

　　1.在科技飞速发展变化的环境中，组织的运作越来越多地依赖于他们的信息系统；

　　2.公众越来越关心个人的机密信息是否得以被正确地使用；

　　3.罪犯分子和恐怖分子对信息系统和数据的威胁一直在增长。
...

电信网和互联网安全等级保护实施指南

目 次 I
前 言 III
电信网和互联网安全等级保护实施指南 1
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 安全等级保护概述 3
4.1 安全等级保护对象 3
4.2 安全等级保护目标 3
5 安全等级保护的实施过程 4
5.1 基本原则 4
5.2 相关角色和职责 4
5.3 基本过程 5

　　在企业级用户当中，有一类用户对安全要求极其严苛，他们一旦出问题将会关系到国计民生，这就是国内的涉密单位。在用户分类中，瑞星把政府机关、军队、军工、与军事研究相关的科研院校、金融、基础公用设施单位等，列为涉密网络，为其提供最高等级的安全产品和安全服务。瑞星发布的《2010中国企业安全报告》中指出，基于政治目的涉密网络攻击呈现独特特点。

　　涉密网络安全威胁概况

　　目前，几乎所有的重要单位都实现了机密资料的无纸化储存，对内网用户实行了严格的身份与权限控制，大大提高了办公效率。与此同时，其中储存的重要资料和信息也被黑客窥测，存在外泄和不当应用的风险。
...

　　越来越多的公司开始对用户进行安全意识培训，从而提高软件质量，降低终端雇员的错误率。

　　加速这种趋势的原因是，许多企业都要求雇佣的软件公司能够遵守更严格的安全标准。此外，越来越多的企业意识到，雇员的错误可能导致高额的罚款，甚至导致数据安全漏洞。

　　波士顿一家卫生保健公司发现自身有多处违反HIPAA标准的地方。几天后，公司的高管决定投资为雇员进行加强安全意识的培训。与此同时，一家明尼苏达州销售生产率软件（productivity software）的公司为其众多的软件开发人员进行了安全培训。这两家公司都是受外部因素的影响开始进行培训项目：审计失败，且用户的需求在增长。
...

　　【IT168 专稿】随着企业管理与应用的不断“Web”化，Web安全威胁愈演愈烈，这给企业用户带来不小的压力，然而对于安全厂商而言Web安全或许是一次不错的试金石。总体来看，Web安全市场可以分为两大支流，其中一个叫内容安全管理，另外一个叫应用安全管理。内容安全管理主要以上网行为管理产品为代表，主要侧重于企业web应用，是用户端的一个管理;另外一块就是以Web应用防火墙为代表。

　　伴随着Web应用的不断发展，市面上的Web应用防火墙品牌与功能也越来越多，什么样的Web应用防火墙才是一款好的安全设备?很荣幸采访到梭子鱼网络有限公司中国区总经理何平(Arron He)一同探讨Web应用防火墙采购与部署情况。
...

　　来自高校Web的安全挑战

　　为了响应2010年上海世博会网络安全工作的号召，上海各高校都积极深入发展门户网站的安全建设，推行信息公开，提高高校工作的透明度，充分发挥高校信息平台对学生的学习和生活等各方面的帮助。其门户网站（edu.cn）是该校电子门户及办公系统建设的重要组成部分，作为该校面向社会的窗口，发布学生信息，提供“网上办公”、“在线通告”等业务，为老师和学生提供方便。

　　来自Web的安全挑战：

　　随着高校业务资源逐渐向数据中心高度集中，Web成为一种普适平台，上面承载了越来越多的核心业务。Web的开放性带来丰富资源、高效率、新工作方式的同时，也使机构的重要信息暴露在越来越多的威胁中。根据了解该校门户网站承载了各2级学院的网上业务，网页以动态内容居多。去年，该研究生院网站遭遇SQL群注（Mass SQL Injection）攻击，网站发布的重要信息被篡改成为大量签名，“HaCkeD By:Skz0r_l337-Underground-Security”(意为：由Skz0r_l337-Underground-Security入侵），各级页面不再具有正常的观感。访问网站时还发现，该网站已被Google列为含有恶意代码的网站。最为棘手的是：期间持续发生"网页被篡改－恢复－再次被篡改－再次恢复…"的现象。间歇还伴随有针对WEB服务器的DDoS攻击，网站访问峰值严重超过服务器正常所能处理的最大负荷。
...

　　目前市场上各种U盘存储设备品种繁多，因其便于携带、方便存取的优点，成为大多数企业作为存储日常工作文档、报表、图纸、源代码等资料的必备工具。不少人用它私自下载和保存公司涉密文件，甚至将涉密U盘携带外出。有调查显示，50%的企业因USB设备使用不当，而造成有意或无意的机密数据丢失。员工还可以随意接入各类外设和移动存储设备（如：U盘、移动硬盘、手机/MP3/MP4、CF/MD/SD卡、数码相机等）带走内部资料，造成别有用心者有可乘之机。

　　企业在面对各种U盘泄露问题时，还常常碰到以下的安全难题：如：U盘等移动存储设备不能不用，但又必须保证企业的信息和数据安全。U盘的意外遗失或损坏是不可预估的，即便U盘被企业外部人员获取，也要能防止泄密。
...