【前言】本文已经在媒体上发表,现刊载于51CTO
Last Modified: 2011-7-12
一、市场定义
国内信息安全建设已经从过去的局部优化阶段进入了全局优化的阶段。安全管理平台(SOC,Security Operations Center)作为构建在已有单点安全防御体系之上的整合安全管理解决方案,在中国信息安全建设中扮演着越来越重要的角色。
从进入中国伊始,安全管理平台(SOC)的发展之路就极具中国特色,并逐步形成了一套与国内信息安全建设发展相适应的技术体系。
国际上,一般将SOC看作是安全运营中心,它是一个对ITC(In-the-Cloud)服务及配套的CPE(Customer-Premise-Equipment)设施进行全面监控、运维、管理的场所,并涵盖相关的物理安全防护设施、办公设施、人员组织、工作流程和技术支撑环境。
国际上一般将SOC归入MSS(Managed Security Service,可管理安全服务)市场或者安全服务市场,而将SOC的核心技术支撑平台之一——SIEM(Security Information and Event Management,安全信息与事件管理)归入安全管理软件市场。
经过多年的发展,SOC在国内市场也基本上沿着产品和服务两种模式前进。
在产品层面,国内更多地将SOC的技术支撑平台部分称作安全管理平台,并经常指代 SOC本身。安全管理平台的一般性定义是:安全管理平台是一个以资产为核心,以安全事件管理为关键流程,采用安全域划分的思想,建立一套实时的资产风险模 型,协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。
在服务层面,国内也出现了通过建设SOC来支撑其MSS业务的安全服务厂商或IDC服务商。同时,还有一些企业和组织建立了自己的安全运营中心对其内部客户提供安全管理服务。
目前,国内的SOC市场主要是以安全管理平台市场为主。本文的回顾与展望将着重阐述安全管理平台市场,并将简要提及SOC服务市场。
二、2010年市场回顾
随着IT建设的不断深入,以及IT安全管理水平的不断提升,用户对IT安全管理有了更高的期望。为了顺应国内客户的实际需求,2010年市场推出的安全管理平台大都具备了网络管理与安全管理融合的特点,尤其在政府行业表现明显。
从产品维度来看, 2010年的国内安全管理平台(SOC)市场主要有以下特点:
·安全管理平台融入了网络管理的功能。由于国内客户IT建设阶段和发展现状使然,大 部分客户在引入IT安全建设的同时还在完善IT网络建设,因而很自然地对同属于IT管理的安全管理和网络管理提出了融合的需求。这展示出了国内安全管理平 台的发展更加贴近中国本土客户市场的趋势。
·安全管理平台的功能设计更加面向业务信息系统。新一代的安全管理平台在设备资产安 全的基础上,更加强调面向业务,面向客户价值的安全管理。安全管理平台的功能设计更多地考虑到这方面的客户需求,新出现的功能主要包括业务建模、业务价值 分析、业务视图、业务风险评估、业务影响性分析等。
·安全管理平台朝工具化和体系化两个方向同时发展。为了满足大型客户以及中小型客户 对于安全管理的不同诉求,安全管理平台出现了两个发展方向。针对大型客户,安全管理平台向体系化方向发展,强调安全运维和流程管理,结合ITIL,强调与 企业和组织的IT服务管理整合,将安全管理平台的核心技术与整个IT服务体系融合。针对中小型客户,安全管理平台的核心技术被裁减和重新包装,进入不同的 细分市场领域,例如出现了安全监控系统、安全信息与事件管理系统、日志管理系统、综合审计系统、安全风险评估系统,等等。
从服务维度来看,随着以电信运营商为代表的新一轮安全管理平台建设的活跃期到来,涌现出了不少面向行业客户的定制型安全服务,以及定制的SOC技术平台,客户领域涉及运营商、大型企业、政府主管部门等。
三、2011年市场趋势分析
展望2011年,安全管理平台将继续在朝着为业务支撑系统提供集中管理的方向夯实,更加贴近客户的业务价值,并具备更好的客户体验。保障客户的关键业务系统及(或)重要信息系统的安全将成为安全管理平台的核心诉求。
3.1 2011年市场发展驱动力
2011年安全管理平台市场将继续高速发展,并将继续高于信息安全市场的平均复合增长率。驱动市场前进的主要动因包括:
·日益复杂的外部威胁的增长:随着包括APT(Advanced Persistent Threat,先进持续性威胁)、以及针对SCADA(Supervisory Control And Data Acquisition,数据采集与监视控制)设施的Stuxnet病毒在内的各种复杂的攻击的层出不穷,企业和组织需要更加智能的全局安全监控与分析系 统来及时发现各种外部入侵和攻击。
·合规性需求的不断强化:在中国市场,主要表现为政府和国有企业领域的信息系统等级化保护建设的强制性要求,以及金融领域的各种内控指引要求以及PCI-DSS要求。此外,还包括《企业内部控制基本规范》、SOX等合规性要求。
·客户的IT架构日益复杂、业务系统建设更加敏捷快速:随着诸如云计算、虚拟化等新 的IT技术的引入,客户的IT架构将日趋重要和复杂,这对安全管理平台提出了更高的技术要求。同时,客户业务系统的建设过程将更加敏捷,业务变动将更加频 繁,这也对面向业务的安全管理平台提出了技术挑战,并提供了驱动力。
3.2 2011年市场发展趋势
根据2010年的市场回顾,以及2011年市场驱动力的分析,2011年国内安全管理平台市场将体现出以下发展趋势和特点:
·网络管理与安全管理继续融合,网络及应用性能管理 (Network/Application Performance Management)将成为安全管理平台必不可少的组成部分。尤其针对中国市场的中小型客户而言,这个表现将更为显著。出于降低管理复杂度和投资成本的 考虑,这些客户将需要整合了网络与安全功能的一体化管理系统,对全网的IT资源进行全面的运行监控、安全分析和基本的事件应急响应自动化。而这也符合安全 与网络密不可分的客观实际。
·日志审计将成为安全管理平台的一个重要功能点。为了应对日益增强的合规管理与审计需求,日志审计功能将成为安全管理平台的一个重要功能点。日志审计功能将充分利用作为安全管理平台核心技术的事件关联分析引擎技术,为客户提供更加智能化的日志合规审计能力。
·安全管理平台将更加注重运维管理。安全管理平台将从单纯考虑产品的功能向注重产 品、实施和运维整个平台生命周期的统筹考虑转变。客户将更加强调安全管理平台的实施、部署和后期运营维护,强调安全管理平台支撑下的安全运维组织、流程, 以期落实安全管理工作的流程化、例行化。
·安全管理平台将具备对云和虚拟化环境下的IT资源监控、分析能力。随着云计算和虚拟化技术的逐步运用,安全管理平台作为客户的统一管理平台,将需要对客户的云和虚拟化环境下的IT资源进行监控、审计和分析。
·面向业务的功能将更加丰富多样。借助业务建模,新一代的安全管理平台将更加贴近用户的业务系统,从业务系统的角度来进行业务事件、威胁和风险管理的功能设计,为用户的业务支撑系统提供更好的综合安全保障。
·行业化的安全管理平台将出现。行业定制成为安全管理平台的一大发展方向,并将首先在较成熟的行业领域得到应用。
以上是从产品维度的趋势分析。从服务维度来看,MSSP们将考虑借助云计算和虚拟化技术构建支撑其MSS运营的SOC技术平台。同时,将有更多的企业和组织考虑或采纳MSS形式的安全监控/安全事件管理/日志审计/威胁管理/风险管理服务。
3.3 2011年市场发展主要制约因素及其建议
尽管2011年国内安全管理平台市场将持续高速增长,但依然会受到来自多方面的因素制约。这主要体现在安全管理平台的客户满意度普遍不高的问题上。针对这个制约因素,需要从客户和平台提供商两个方面分别做出努力。
对于安全管理平台提供商而言,需要改进现有的业务运作模式,从单纯的注重产品销售向注重客户体验转变,围绕改善客户体验质量来进行平台设计、咨询、实施和运维。同时,安全管理平台提供商还要利用其积累下来的成熟管理理念和最佳实践帮助客户建立合理的安全管理平台建设预期。
对于客户而言,最关键的就是要建立对于当前安全管理平台的合理预期,并且要从组织、流程和技术三方面统筹规划、分步实施,建立起技术和管理的良性互动。
另外,从服务维度来看,基于SOC的MSSP主要面临的问题是相关法律环境的不完 善,以及缺乏信誉和保险体系。尽管国家陆续出台了多个鼓励信息服务产业发展的政策,但是由于相关法律环境的不健全,以及MSSP和客户的不成熟,很难定义 出合理可行的SLA(Service Level Agreement,服务水平协议),从而导致服务条款难以界定,责任和义务难以划分,使得MSSP难以盈利,客户安全难以得到切实保障。而这些问题的改 善同样需要MSSP和客户的共同努力,以及国家政策层面的支持。
本文出自 “专注安管平台” 博客,请务必保留此出处http://yepeng.blog.51cto.com/3101105/572069