如何建設安全營運中心來做MSS

【注：我們已經講過安全營運中心SOC不等于安全管理平台（或者說SOC平台），而是一個PPT的集合，甚至包括場地、處所。好久沒有看到有人再談及安全營運中心這個“中心”場所了。此文轉自一個博文，是昨天出爐的。原文叫《SOC不隻是監控和分析日志,MSS不是一日變成的》，是從提供MSS服務的視角寫的。現轉載于此，感覺以前看過一個類似的台灣人寫的文章】

托管安全服務Managed Security Services，安全營運中心Security Operation

Center，雲計算安全Cloud Computing Security，服務管理Service

Management，戰略外包Strategic

Outsourcing等等是近年比較熱門的話題，在這期間，筆者有幸服務于數家國内外知名的網絡安全廠商和技術服務商，現根據以往工作經驗和對業界的認

識，簡單地整理出實施部署可操作性安全外包服務的工作大綱，分享給大家。由于知識面和工作經驗的局限，以及對業界認識的不足，希望能得到大家的批評指正。

A.商業機會

業務越來越依賴資訊系統，安全對業務也越來越重要；但是安全保障工作尤其是基礎架構安全非組織的核心競争力，卻需要特别的專業技能人才方可勝任，造成自行管理成本高、效果差的局面；是以戰略外包成為不少組織節省開支和提升安全保障效果的最佳選擇。

業界的現狀是産品開發商遭遇同質化及低價競争、系統內建商謀求轉型、代理商尋求深挖客戶、營運商也在謀劃增值服務，是以需要創新業務模式來實作業務的不斷增長。

B.戰略規劃與設計

提出簡單的基于服務商、代理分銷合作商、最終使用者的業務模式如下：

中央服務商建立基于“雲計算”中央管理系統、二級管理系統和最終使用者的裝置或系統的三層架構體系，以及提供基于它們之上的針對分銷商的安全技術支援服務；

中央服務商可分開建立專門的二級管理服務商，服務***客戶；

大型代理、分銷、合作商可建立受中央管理系統支援的二級管理系統，中小型合作商或下級合作商可租用中央管理系統或二級管理系統的功能，服務所屬最終客戶；

系統服務的初始安裝設定費、服務年費由中央服務商和二級代理分銷及其它合作商按一定比例分成；

進行服務産品的評估和設計，相信各家會有不少的差别，主要是服務的内容範疇，評估和制定時要考慮如下幾個因素：

1.可操作性，如針對終端安全，要做每台工作站安全服務？還是剝離開它們隻做中央管理伺服器？要做遠端漏洞掃描還是主機本地審計？當然建議做可操作性較強的；

2.可達性，從網際網路的中央控制系統是否容易達到它們？要做網關安全如UTM、防火牆、入侵檢測與防禦的管理服務，還是包含内部網絡裝置的加強？當然要求服務對象是可安全地遠端通路到的系統；

3.難易程度，對有較多較深網絡安全資質的廠商，要冒險去做和客戶業務關系緊密的網站應用安全吧？細思量一下，或許不大适合；

4.标準化程度，是服務商廠家自家生産的裝置，還是其它知名廠商的通用系統，抑或客戶自開發的系統？自家的裝置好在有技術和客戶資源積累，知名廠商的往往會受代理、分銷、合作商的厚愛。

C.資源

基礎架構

1.租用營運商的資料中心放置中央控制系統，較穩定可靠和經濟，規模、容量和可用性需求據範圍不同而不同，不過類似中、小型網站的規模；

2.建立主安全營運中心SOC，除了較通常的辦公環境加強實體安全外，資料、語音系統的建立，可參考中、小型呼叫中心服務台的配置；

3.資料中心和SOC的異地災備，規模可比主站稍小，一般異地資料中心災備配置需比較高，甚至可線上路繁忙時起到負載均衡之用；異地營運中心的規模可較小一些，可考慮在分支機構劃出或合作夥伴處租用較小的辦公區域，以節省投資；

4.伺服器、網絡裝置、監控大螢幕等系統。

業務系統體系

它根據具體服務架構和服務産品而測試和開發，各家的差異可能會較大，一般而言，應該包含：

1.中央管理系統（托管于ISP資料中心的背景系統）

它提供安全系統體系架構，它是進行集中管理的一級控制中心，它連接配接和控制下屬二級控制中心，二級控制中心連接配接安全技術系統（裝置），系統之間互相認證與加密通訊；

2.SOC控制系統（呼叫中心使用的管理終端）

操作人員使用控制系統通過中央管理系統遠端連接配接二級控制中心和安全裝置，分級分權限管理，理想狀況是将管理和控制系統統一，操作人員通過無用戶端的https協定通路控制中心進行日常操作；

3.中央監控系統

建立基于TCP/IP的中央監控系統，用于實時監控各主、備中心，二級中心和終端系統的連能性，安全狀态，健康狀态等，可進行關鍵日志分析，它也可以被內建進中央管理系統。

技術支援體系

它也是根據範圍，可大可小，和其它呼叫中心和研發中心類似，如下列出基本的幾項：

1.工單系統，它可自行定制開發，這樣的好處是同中央管理系統及客戶的系統密切關聯，可是成本最高；可選用成熟的軟體産品，它們功能強大，而且通用性強；甚至可租用基于網際網路的工單系統，好處是又能省下一筆前期投資；

2.語音，數字PBX系統和VoIP建議都用，也是可大可小，可以自行搭建，也可找相關的服務商了解和選擇不同的服務菜單；

3.郵件，郵件系統應該同工單系統聯系起來，事件的郵件可産生工單，工單的處理過程會發送郵件，大多數市面上的工單系統都支援此功能；

4.短信，用于報警通知等，可找短信服務商談，或建立簡單的短信網關；

5.即時通訊，同郵件系統類似，最好也能和工單系統內建起來，友善内部協同工作及加強與客戶的溝通，比如在遠端排差故障時可派上用場；

6.客戶關系管理CRM，最好作為一部分內建進工單系統；

7.知識管理KM等，部分可同工單系統內建或關聯，以便教育訓練各方及加強溝通；

8.研發系統，研發管理和BUG修複，新功能需求等溝通。

人員

業務的轉型最重要從人員抓起，簡單列出各職能部門和人員的相關職責：

0.戰略規劃，新的業務由組織高層發動部署和實施；

1.市場，教育、教育訓練潛在客戶意識，增強市場接受度，開發與維護方案子產品；

2.銷售，方式方法較多，同合作夥伴尋求合作分利，及直接開發現有客戶；

3.營運中心支援，分初L1、中L2、高L3幾個不同級别，按業務規模和SLA情況設定輪流班，遠端服務客戶及維護相關系統；

4.現場支援，可自建一部分隊伍，另外同合作夥伴的技術力量相結合，提醒注意加強現場支援和營運中心溝通效率；

5.産品，軟硬體發貨，返修等，規模小的話可考慮整合現場支援；

6.研發，建議主要用于業務系統體系的設計、開發、測試和維護，加強同營運中心進階人員溝通其需求及維護工作；

7.商務，特别的是增加了授權費和服務年費等催繳工作；

D.文檔與流程

建立和維護技術操作文檔，主要清單如下：

0.服務白皮書、彩頁、成功案例、方案子產品等等

1.系統初始安裝流程及手冊

2.日常運維技術操作手冊

3.為使用者的特别配置而特别建立的操作指南

4.保密協定、合同模闆等

服務管理流程

要将技術（各類系統）和人員結合起來實作服務目标，最重要建立和運作适當的标準化作業流程：

0.服務級别管理，定義SLA，響應時間，恢複時間,支援時間，7×24，或5×9等，

1.設定支援團隊職責

定義組織架構，人員角色和職責描述

2.營運中心（服務台）服務管理流程

2.0.安排值班計劃制度，依服務級别協定靈活安排值班計劃，如有7×24客戶,保證周末和晚上至少有人在SOC監控中心，接聽電話和響應工單；

2.1.建立使用者、系統資産及權限管理流程，管理客戶、合作夥伴及服務商的使用者對各系統的通路權限；

2.2.建立事件響應及問題管理流程，應該是工單量最多的部分，工單來源包括電話、郵件、即時通訊和最建議各方使用的工單系統，需要包括：事件分級，SLA，事件更新等；

2.3.建立變更管理流程，觸發輸入包括：變更需求，系統更新比如打更新檔、解決突發安全事件等，流程控制點：變更評估、復原措施、同配置管理和事件管理關聯等；

2.4.建立配置管理流程，各級控制中心定期集中進行各系統配置的自動備份，當有重大變更前後手工備份系統配置；

2.5.建立遠端監控流程（安全事件、健康狀态），監控報告和流程，輸出結果給事件響應流程（觸發工單）；

2.6.建立災難恢複計劃，用于系統失效後恢複配置和正常的運作，還應該包括中央管理及控制系統災難恢複計劃；

2.7.建立和執行客戶關懷計劃，和解決疑難問題，安全報告，服務品質報告，特别事件報告，調查回訪等等用以提高客戶滿意度的機制。

3.現場支援流程

3.1建立和運作初始項目安裝、客戶教育訓練、驗收流程

3.2建立其它後續現場支援工作流程

4.建立系統返修管理，備、換、返貨政策和流程

5.建立維護授權管理，試用，服務及授權激活，服務延期續訂或中斷中止等流程

6.實施學習和教育訓練管理體系

建立技能教育訓練認證工程師項目，用于人力資源的規劃、激勵、成長開發，認證體系可以和SOC人員級别相适應，如分初L1-中L2-高L3三個級别。

最後，專業分工細化帶來各領域内的資深專家，協同合作需要水準整合專家。我不是什麼“專家”，簡單分享出近幾年安全營運中心服務管理工作中積累的一些實踐經驗，也願意為有需要的同仁提供幫助。

【參考】

探秘Symantec安全營運中心[合集]

分享Intel的安全營運中心最佳實踐

微軟的SOC設計

參觀AT&T的安全營運中心【視訊】

AT&T全球網絡營運中心GNOC