SOC:管理重在风险和脆弱性管理

SIM和SOC讲的都是安全管理，也都是现在热门的关键词，二者有什么不同？哪一个更适合用户？为什么外资厂商都在推他们的SIM产品，而国内的知名企业重点宣传的是SOC产品？

安全是近期的热门关键词，SIM(安全信息管理)和SOC(安全管理平台)又可谓是其中的热中之热。一段时间来，包括ArcSight、启明星辰、东软等都相继推出或重点宣传各自的管理产品。不过仔细分析，你会发现这样一个有趣的现象：外资厂商都在推他们的SIM产品，而国内的知名企业重点宣传的是SOC产品。二者之间到底有什么区别，SOC和SIM孰优孰劣？为此，记者近日走访了东软公司网络安全产品和营销中心解决方案部部长曹鹏，请他来帮助分析其中的不同。

SOC重在风险和脆弱性

曹鹏告诉记者，SIM和SOC的最大区别是：SIM关注的是威胁管理，SOC关注的是脆弱性和风险。所谓威胁，是来自系统外部的，即网络中的坏人，他们对网络发出的种种危险性动作。例如，某个黑客对于某家电子商务网站感兴趣，为了搞破坏，他就会想方设法找到对方的公网IP地址，准备伺机下手。威胁的特点是只能描述其程度，却很难量化。所谓脆弱性，是指系统与生俱来的弱点，例如系统本身具有的缓冲区溢出漏洞。这种漏洞可能是潜在的，还没有被发现。据统计，平均1000行程序代码中就有1个bug存在。风险是和企业资产息息相关。例如，同样一个漏洞，如果出现在相对封闭的医院网络中，一般来说，其风险不大；反之，如果出现在一个校园网中，其风险就会大得多。

曹鹏介绍，目前，在安全管理方面，的确存在着这样两个阵营：国外厂商，包括ArcSight、CA等公司都在推行其SIM类产品；而国内的知名企业，包括东软在内，其管理产品都是以SOC的形态出现。这并非意味着国内的产品跟不上形势，与此相反，他认为，相对来说，SOC产品对于用户来说更实用。SOC不但包括了内容、脆弱性管理等，而且还结合中国国情，囊括了符合四部委的安全等级保护的内容。

NetEye SOC以人、技术、操作为核心

众所周知，目前，许多企业面临的安全管理问题主要表现在以下几个方面：第一，安全设备、网络设备、主机系统等各类设备产生了大量日志数据和安全信息，使得技术人员无法快速获取有价值的信息；第二，各类设备产生安全信息的数据格式各不相同，无法实现网络安全信息的集中整理和关联分析，导致定损关联也变成纸上谈兵；第三，安全事件发生后，由于缺乏合理的任务调度处理流程和针对事件处理过程的跟踪机制，导致安全事件不能被快速、有效处理，同时，技术人员的工作效率也无法衡量；第四，缺少统一的安全知识共享平台，导致组织整体安全水平不高；第五，信息安全管理和安全技术相对孤立，缺乏衔接二者的接口，使得管理和技术都只能事倍功半。

针对上述种种困难，东软NetEye提出了以信息资产为核心，以风险管理为途径，有效结合了安全管理和安全技术，建立主动、安全的防御体系，有效降低安全风险的安全运维解决方案。NetEye安全运维平台简化了安全管理的数据模型，解决了海量数据和信息孤岛的困扰。来自网络各类设备的安全信息都会存储到一个通用数据库中，然后根据定制的安全策略对这些数据进行分析。所有的信息与资产关联，完成风险分析、风险监视、风险处理。东软NetEye安全运维解决方案的最大魅力在于它提供的完善扩展能力。NetEye安全运维平台提供了稳定的基础框架，包含了工单管理、资产管理、风险管理、策略管理、安全预警等通用的基本功能模块，同时还提供了丰富的接口，可供行业用户进行定制扩展开发，构建全新的功能部件和通信接口。同时，面向特定应用、特定业务可进行针对性的管理监控，从而实现安全解决方案与用户实际业务情况最大程度的贴合。

曹鹏举了一个例子来说明SOC的功用。小王是某家企业的安全管理员，一天，他发现核心路由器上有一个重要的漏洞，于是他把这个信息报告给了直接领导，并等待领导的指示。过了一段时间,SOC发现这个漏洞还没有及时被修补。于是，它首先发了一封电子邮件给小王，提醒他注意，这个漏洞没有修补。过了几天，小王还没有动静，SOC给小王的直接领导发出了警告。又过了几天，漏洞还没有变化，这次，为了解决问题，SOC干脆把邮件发送给公司相关的IT人员，请大家共同关注这个漏洞。这样一来，公司核心应用系统、OA(办公自动化)等系统管理员都了解到这个漏洞。一方面，他们会了解这个漏洞可能给关键应用带来影响；另一方面，他们也会督促小王，尽快把事情解决。也就是说，从某种程度上，SOC能够弥补企业管理制度上的缺陷，把人、技术、操作有机地结合在一起。

用户逐步认可SOC

对于SOC的功用，正在逐步得到用户的认可。作为公司的项目负责人，曹鹏讲了他的感受：用户对于SOC正在从原来的不了解，变为逐步接受。现在SOC的用户正在从国家项目扩展到省级，甚至地市级用户也开始关注、采用SOC了。不久前，他们就参与了北京市某区政府的招标活动。

曹鹏介绍，由于SOC不同于以往的防火墙、IDS类产品，后者比较通用，技术含量相对不高，因此，很容易被取代。而SOC产品与用户的审计等核心系统紧密相关，一旦系统升级，它也面临着调整和改动。因此，要求厂商的服务能力比较高，要有软件定制开发及长期运维服务的能力。所以，总体来说，SOC用户更认可国内的知名企业为他们做服务。

漏洞公告:雅虎Messenger曝严重漏洞

McAfee的研究人员日前报告，他们已证实了雅虎的即时通信工具Yahoo Messenger的视频功能存在一处零日漏洞。据报道，该漏洞由中国的研究人员最先发现，McAfee的研究员王炜(Wei Wang)在一篇博客中称，他和他的同事们已在Messenger V8.1.0.413中再现了这个漏洞。他认为，这看起来像是一个典型的堆栈溢出(Heap Overflow)漏洞。用户若接受了视频聊天邀请就可能成为受害者。

据McAfee称，这个漏洞可招致远程执行代码类攻击。McAfee同时表示，他们目前尚未发现任何利用该漏洞的攻击代码出现，并且已联系了雅虎的安全小组，告知了这一问题。

王炜同时还指出，这个新发现的漏洞与雅虎6月已封堵的一处漏洞并不相同。安全研究公司eEye Digital Security此前报告称，雅虎的即时通信客户端软件版本8中其实存在好几处安全漏洞，这些漏洞均可招致黑客远程控制用户的电脑。

McAfee就最新发现的这个漏洞向用户提出了如下建议：一，在雅虎补丁封堵上该漏洞之前，最好不要接受陌生人的视频邀请；二，在雅虎封堵漏洞之前封锁TCP 5100端口的数据输出。

(赛迪网)