SOC建设:从PPT到PPTD 作者:蒋鲁宁

人、过程和技术(PPT:People,Process and Technology)是管理体系建设的三个关键要素,特别是针对质量管理和安全的管理体系尤为如此。在信息安全领域中,管理体系建设既包括面向整个组织的信息安全管理系统,也包括信息安全运行中心(SOC)这样的组织建设。前者面向整个企业的信息安全风险管理,后者面向企业信息安全威胁和事件的集中监控。PPT这三要素本质是组织的资产(人力资源、过程资产、技术资产),而不仅仅是管理对象。对于一个安全运行中心从管理的视角,就是如何配置、优化和有效运用这些资产来提供安全的完整的态势、威胁的精准识别以及事件的快速响应等。

在PPT三要素中,人作为其中之一是显而易见的。具有与执行角色职责相适应的知识和技能团队是安全运行决策、安全运行管理与安全运行执行的前提条件。但即使所有人员都有极强的能力,也可能因为各行其是而造成管理和执行的混乱。每人各行其是并非故意为之,而是缺乏制度性安排的必然。故仅仅依赖人员自身,结果会有很大的不确定性。例如风险评估会因人而异无统一的工程步骤而无法确认每一次评估的结论都是可信的,这种不确定性问题解决的途径是过程。根据能力成熟模型理论,过程是组织能力而不是个人能力,良好定义的过程可以消除管理和执行的随意性,从统计意义上能够预期得到的结果。能力成熟度越高,越能产生稳定的管理和执行绩效,因此通过过程来固化组织执行实践,通过持续改进来进行过程优化是管理体系保持生命力的可靠保证。技术作为一个要素是在过程管理的基础上提升管理体系有效性的依托和杠杆,有效性包括效果和效率,即通过适当的技术运用,可以获得仅仅依赖人而无法得到产出,可以加速过程的流转。

SOC作为一个安全运行指挥控制的组织,不是以安全技术产品为主轴或仅凭技术产品就能运作的,而是需要协同PPT这三个要素。从人的层面,SOC首先在组织结构层面加以设计,确保组织所需要的安全运行角色存在并有相应能力的人员承担;从过程的层面,需要建立计划管理、风险管理、事件响应、问题追溯等完整的安全运行过程体系,并打造这个运行体系的持续改善机制;从技术层面,需要配置与组织机构相适应的安全运行技术支撑平台和工具。PPT三个要素不是孤立的,而是相互依托与促进。例如通过工作流引擎来提升过程执行效率和执行质量,通过安全解析专家发挥安全解析技术平台的功效,通过持续威胁监控系统支持实时地风险管理等。

近几年大数据技术的兴起为许多行业带来的新的机遇,信息安全领域也不例外,对这个领域中影响最大也是收益最大的可能就是安全运行中心。但如果仅仅将大数据技术视作为技术要素,SOC从大数据应用中获得的收益会大打折扣。大数据技术的前提是大数据,SOC融入大数据技术基础是将安全相关的大数据作为组织的资产进行管理,即将大数据与PPT同等地位看待,也就是从PPT转向PPTD。这意味建立SOC时不仅仅规划人员、过程和技术,也要规划大数据,并通过对大数据的规划来拓展人员、过程和技术的能力和功效、变革传统的SOC路线。大数据的规划是面向大数据的安全价值的规划,其中包括大数据需求管理、大数据数据源识别、大数据获取和大数据价值挖掘等方面。

SOC采用PPTD的概念会对传统PPT模式的SOC产生不小的冲击,例如对于人员层面需要引入数据科学家团队,该团队与安全专家协同进行大数据安全解析;对于过程层面需要在管理过程域、工程过程域和支持过程域中引入大数据管理和运行的过程,例如大数据生命周期管理过程等;在技术层面需要建立大数据基础设施和新一代SOC技术平台,其中包括利用NoSQL数据库和分布存储计算来处理T级网络行为数据(例如日志、协议流等)。所有这些都给SOC的建设者、管理者和运行者带来挑战,一旦能够应对这些挑战,就可能为安全运行带来质的变化。

2017-01-13 15:21
来源:中国信息安全杂志(2016.04)
热门推荐更多
热点新闻更多