防火牆+防毒≠安全,入侵偵測系統+不監控= 0為了提供一個更好的安全管理辦法,一些安全產品供應商開始把他們若干產品的管理操作平台整合為一集中式的安全管理平台。然而,這種類型的安全管理系統是不能夠有效確實地管理其它供應商(3rd Party)的安全產品,在企業或組織內同時採用兩種品牌的同質性安全設備是很平常的,更不用說同時具備多種異質性安全設備所帶給管理人員的困擾。要投資龐大人力與時間,並配合不同廠家的監控分析介面來進行多種異質性安全設備的監控,對企業與管理人員來說,不諦是天方夜譚,也讓資安維運成為Mission Impossible。因此,採用能夠跨廠家(Vendor Independent)的監控異質資安設備的平台所建構的mini-SOC便成為資安監控實務面最可行的方式,(如圖三)
眾所周知的,駭客是一群團結的人士,不吝於分享個人的經驗與工具,使得駭客入門的門檻愈來愈低。相對於駭客,資安防護人員的交流就顯得偏低,無法結合眾人之智以達制敵之實,國際間對於此等議題也漸漸重視,開始了國與國間的經驗分享,如CERT。但對於企業與組織,如何利用mini-SOC的建置,進一步獲得自身以外的有益資安資訊,也是資訊與資安主管人員關心的事。在台灣,行政院科技顧問組於2002年7月公佈「六年國家發展計畫」之要點計畫﹕「數位台灣(e-TAIWAN)」其中「六百萬戶寬頻到家」架構中列有「建置安全的資訊通信環境」子計畫,子計畫下涵蓋N-SOC計畫,並著重以下項目:
*掌握及處理最新的病毒/蠕蟲疫情、弱點及駭客資訊。
*鈄對資安威脅資訊、事件相關性及未知威脅,進行資料之分析統計。
*提供政府機關監控服務。
經由蒐集彙整不同SOC所傳遞共通格式的資安資訊,經過關聯性統計分析後,能儘早發現大規模的攻擊入侵行為,適時對政府機關發佈警訊以利各機關即時因應。此種機制,對於地區性的資安環境提升,是相當正面的。N-SOC的建置已在進行中,各單位也在SOC的議題中耕耘,將來如何進行SOC間的互連與特定資料分享,未來也將陸續介紹。
mini-SOC雖不像服務提供商建置的資通安全防護中心(SOC)如此大規模與具可看性,卻也麻雀雖小五臟俱全,人員(People)、流程(Processes)與技術(Technologies)是mini-SOC的三要素(如圖四),也應充份考慮與資訊安全管理系統(ISMS,Information Security Management System) (如圖五)與維運服務面(Operation、Maintenance、Service) 相結合,才能盡全功。
人員面(People)這部份需要相當時間來遴選或培訓適任之人才,有些組織則外聘適任之資安顧問與資安分析師,分階段的進行內部技術轉移,不論是內部或外部資源,良好的管理是不二法門。
人員(People)面工作項目mini-SOC的人員面依其作業特性, 涵蓋以下工作︰
*背景調查: 包含了學經歷,資歷,專業技能,專業證照,語言等項目。
*忠誠查核: 包含其過往經歷的道德評價,警政機關的良好紀錄證明,周邊誘因評估等項目。
*員工保密合約(Non-Disclosure Agreement)的簽定
*職位鑑定,任用,升遷與績效評估。
*教育訓練計畫。
*人員輪調計畫。
*人員委外合約。
組織架構與編制
mini-SOC的組織架構圖,人員的編制可依各組織的特別要求而異,例如: 7x24服務等級的人員編制也許是5x8服務等級的2~4倍;另外,編制人員的數量也與被監控的資安設備成正比成長。
IT/Operation 主管
資安支援團隊
*資安顧問。
*資安工程師。
非值班人員
*資料庫管理員。
*網路管理員。
值班人員
*資安分析師。
行政人員
*市場專員。
*合約專員。
mini-SOC中,人員(People)面的各個元素(Component)教育訓練
mini-SOC中的資安專業人員,除了其本身的資質與資安設備的基礎課程之外,唯有透過定期的mini-SOC相關教育訓練,來充實並更新其資安新知,增強其資安防護能力 ;針對不同對象的mini-SOC資安成員,也有共通的與不同的培訓計畫,分述如下:
高階管理人員培訓計畫
IT/Operation 經理
*SMS Console
*SMS Security-Event-Collector Configuration Training
*SMS Incident Handling
*SMS Pre-Engagement
*SMS Deployment
*SMS Advance Features
*Data Center equipment training
*Data Center capacity planning
*Man power planning and resource allocation training
*Business Continuity and Disaster Recovery training
資安支援團隊培訓計畫
資安工程師
*SMS Security-Event-Collector Configuration Training
*SMS Pre-Engagement
*SMS Deployment
*SMS Advance Features
*Microsoft MCSE (Win2000 track)
*At least one of the certification mentioned in the matrix above.
資安顧問
*SMS Console
*SMS Security-Event-Collector Configuration Training
*SMS Incident Handling
*SMS Pre-Engagement
*SMS Deployment
*SMS Advance Features
*SMS Pre Sales
*At least one of the certification mentioned in the matrix above.
值班人員培訓計畫
資安分析師
*SMS Console
*SMS Incident Handling
*Shall have a formal academic training in IT
*At least one of the certification mentioned in the matrix above
非值班人員培訓計畫
資料庫管理員
*Certified Microsoft MCDBA
*SMS data structure training
網路管理員
*Microsoft MCSE forWin2000
*Certified Firewall Administrator according to mini-SOC implementation
*Require at least Cisco CCNA certified
mini-SOC ISMS PDCA教育訓練
*Module-1
*資訊安全與資訊安全管理簡介
*資訊安全的現實面與應用面
*Risk Assessment介紹與實務
*Module-2
*ISO 17799/BS7799標準的歷史與發展
*資訊安全的範圍界定、環境與其他相關標準
*ISMS標準:ISO17799/BS7799/CNS17800
*ISO17799/BS7799/CNS17800標準的條文架構
*ISO17799/BS7799 Part 1-資訊安全標準實務
*資訊安全十大要項
*CNS17800/BS7799 Part 2-資訊安全認證規範
*Module-3
*ISMS相關工具(Tool Kits)
*ISMS維運(Operation and Maintenance)
*Information Security Manager EXAM