信息安全是什么?
安全监控是什么?
安全监控工作人员要干什么?
1、SOC平台
在两家央企担任安全工程师3年了,企业综合安全管理平台建设都面临着很奇怪的问题。其中最令人感到难过的就是国内SOC厂商的不给力。国内几大安全厂商都在努力的做SOC产品,然而,各种SOC产品均存在着不同程度的问题。主要原因还是产品设计者与企业实际使用者的脱节,另外,产品供方销售的高层路线也让安全监控工程师苦不堪言。买了一个奇怪的东西放在那,不能用,用不起来,不让好好用,没有效果依然是安全监控的责任,这让我这干了3年的家伙感到很闹心。
于是,我有一个想法,好好学习一套开源的安全监控工具,所有问题都自己来解决,所有问题都靠自己开发搞定。这样,应该能解决中小企业场景下的安全监控问题了。
2、安全监控点的部署
目前,各家企业均是现有网络后有安全,先有信息系统后有信息安全,所有信息安全相关手段都是浮在网络和信息系统之上,不敢深入,生怕影响业务工作的正常开展。这就导致了安全域的混乱,同时也导致了安全监控盲点较多。除此之外,企业在信息安全方面完全是成本性的投资,采购安全产品以保障实质安全是一项较为麻烦的事情,站在信息安全角度看,又需要进一步的购置设备,这种企业与信息安全之间的矛盾是影响企业保障自身信息安全的一项很关键的问题。
为了解决这些监控和防护的需要,又不让企业过分投资资金,就需要我们充分发挥自己的主观能动性,把信息安全开源起来,利用所有开源的资源,做好有限资源下的信息安全防护。
3、安全体系建设
回首自己3年的工作经验,企业往往分为内网、DMZ、对内服务的数据中心、工控网络和互联网。
这些网络本质上可划分为不同安全防护等级的安全域,在安全域边界,需要有防火墙之类的网络隔离设备对网络安全域进行隔离,在各个安全域内部的核心转发交换机上,需要有IDS进行安全监控,在DMZ对外提供服务WEB服务前,需要有WAF作为安全防护手段,在这些安全域之间的连接点出,也需要对双向流量进行抓取和监控,同时,各个区域都需要有准入设备以保障网络的安全。
为了满足企业体系化安全需要,现提出安全需要的设备如下:统一安全管理监控中心SOC、防火墙、VPN、IDS、NAC、WAF以及终端杀毒软件(主机审计)。
4、安全事件处置问题
目前安全监控工程师面临的又一个问题是,安全监控与安全事件处置之间的关系。
企业面临的安全威胁多种多样,安全监控中心面临的压力又比较大,需要对多种来源的安全设备日志进行分析和处理,在发现和确定信息安全事件之后,并没有时间和精力处理安全事件,应该把安全事件转交给网络安全和终端安全专业人员处置。
同时,中小企业面临的问题是安全管理人员专业水平不足,不足以发现各类安全问题,也不足以处理安全问题,因此,存在一定的安全服务外包需求。
为了解决上述问题,我想在此博客上记录我通过开源安全产品的手段,做好一种基于企业安全域的安全监控方案的过程。
在过程中,欢迎大家积极参与与讨论。