信息安全谈：解读怎样迈向胜利的SOC之路

在当代虚拟全球中，构成信息安全事情的来源为病毒、蠕虫或木马，不变的安全事情来源就是“人”。为因应各式各样攻击手法、契合政府或企业法规要求，企业采取各种信息安全科技，包括防毒、防火墙、主机型／网络型进侵进攻系统、身分认证与存取权限维护系统及身分安全、VPN甚至网络存取控制等，各种技术提供当代化信息安全防护很好的处理方案，不依靠单一厂商或产品。 信息安全事情维护，包括监控、剖析及反响，这些多样化科技的结合对企业也发生新的挑战，即是没有一个方式可以规范化、往重复化及关连这些存在于不一样科技之事情。 此外，关于维护职员而言，通常维护防毒系统为一组职员，维护IPS为一组职员，而维护防火墙也许又为另一组。导致关于全体信息安全之维护发生“一人一把号，各吹各的调”的窘境，关于及时信息安全事情之关连剖析也发生极大难处，由于要将上下游事情串起，于信息安全事情后之调查时间会格外地冗长。 有鉴于此，企业为了达到安全水平，须要树立一个集中式资源，以跨越及整合这些不一样层面之信息安全产品及维护资源，达到监控、剖析及高速照应，因而企业IT组织会树立信息安全监控中心(SOC, Security Operations Center)。以下将针对树立SOC应该思考哪些层面、举行哪些预备及如何于职员、流程及技术上达到均衡举行标明。 为了SOC而SOC 企业为什么要树立SOC？为了契合政府或企业法规要求，很多企业为了树立而树立，当然政府或企业法规遵照也是企业目的之一，但一个成功的谋划团队，必须针对不时变化的企业目的定义出树立SOC目的。 关于SOC 之任务，因应行将上路之个资法，SOC 首要任务又多了一项，能提供相关之证据举证，SOC 关于历史事情处理及保管，也扮演很首要的角色。而SOC另一个首要任务是及时关于信息安全事情维护，包括侦测、通报、处理及报答，而所使用的任务范围，依据不一样企业贸易需求来定义其维运架构，进而决议所需收留及维护之信息装备，即技术方法，可达到的任务及使用实务。 以”侦测内部员工之滥用行为”而言，依据统计调查，数据透露及信息安全危害所带来的影响，尽大局部来自于内部员工之滥用，由于内部员工明白企业信息环境，维护员甚至明白相关信息安全维护方法手法及范围，因而有心的恶意员工很简单规避信息安全规范。关于内部员工滥用行为之侦测，尽对是因应个资法第一着眼重点，对此SOC的侦测及处理重点如下：