随着我国网络与信息安全建设的快速发展,越来越多的政府与企业网络部署了各式各样的安全设备或者安全系统,这些安全设备和系统分别针对不同的安全威胁,门类繁多,从防火墙、防病毒、入侵检测、WEB防火墙,到数据库审计、终端管理等等,构成了一张网络安全防御的大网。但是,由于这些设备类型不同、功能不同、体系架构不同、生产厂家不同,互相之间缺乏协同,并没有形成很好的合力。由此,安全管理平台应运而生。
目前,国内一般把安全管理平台描述为一个以资产和业务系统为核心,以安全事件管理为关键流程,建立一套实时的资产和业务风险模型,协助管理人员进行安全监测、事件分析、风险评估、预警与应急响应处理,并出具全局性安全报表报告的集中化管理平台。
安全管理平台理念的出发点与国际上同类型系统是类似的,但是其在国内的发展具有鲜明的中国特色。与国内不同的是,国外没有明确的安全管理平台系统,而是将其核心的技术部分单独提出来,叫做安全信息与事件管理(Security Information and Event Management)系统,简称SIEM。同时,国际上将安全管理平台的运营维护称作安全运营中心(Security Operations Center),简称SOC。
安全管理平台的概念一经提出,受到了国内客户的高度认可与关注。然而,由于技术水平和认识程度所限,经过多年的发展,目前国内安全管理平台的建设始终受到制约。
进入2010年后,国际上安全管理平台类市场格局发生了较大变化。在2010年,HP收购了国际领先的SIEM厂商ArcSight,大举进军安全管理领域。而就在2011年10月份,McAfee和IBM分别宣布收购了SIEM厂商NitroSecurity和Q1Labs。
面对近几年国际市场的风起云涌,国内的安全管理平台发展状况如何?未来的发展方向又将如何?为此,笔者走进了国内网络与信息安全领域的领先厂商北京启明星辰信息安全技术有限公司,并对启明星辰安全管理平台业务团队进行了深入访谈。
正确认识安全管理平台
在位于中关村软件园的启明星辰大厦,笔者见到了启明星辰安全管理平台业务团队的成员们。
“安全管理平台业务团队在启明星辰被称作泰合中心,启明星辰的安全管理平台被称作‘泰合安全运营中心系统’,简称‘TSOC’,”泰合中心平台管理部负责人钟毅说到,“泰合中心负责泰合安全管理平台类系统的研发、咨询、项目实施与运维。”
作为中国最早研发和最先进的安全管理平台之一,经过9年的持续积累,TSOC已经获得了十多项发明专利,并得到了国家多项专项基金的支持。目前,启明星辰的安全管理平台业务已经从2008年到2010年连续三年位居中国安全管理平台市场占有率第一。
“安全管理平台建设的目标就在于将原有仅针对某一方面的安全系统整合起来,并且与用户现有网络中的各种IT资源及其所承载的业务系统紧密结合,面向客户的业务信息系统构建起一个全局性的态势感知网络,让安全管理者能够从业务全局的角度了解安全的整体运行状态,并且进行集中化的安全监控与安全事件处理,”泰合中心产品经理叶蓬说到,“要达到这个目标,安全管理平台的提供厂商与客户方需要共同努力。而正是由于厂商与客户两方面存在的一些问题,制约了当前国内安全管理平台市场的发展。”
在安全管理平台发展的初期,由于关键技术不够成熟,自身积累不够深厚,以及产品定位过高,导致不少示范性的项目没有达到预期,既伤害了客户对于安全管理平台建设的信心,也阻碍了安全管理厂商自身的发展。时至今日,很多安全管理平台厂商依然在关键技术上尚未取得突破。
从客户方面来看,由于一些厂商没有向客户传递精准的安全管理平台定义及定位,未能帮助客户建立对于安全管理平台的正确认知,从而使得客户无法理解安全管理平台的真正价值,结果导致客户的失望,也影响了安全管理平台的顺利发展。
“安全管理平台市场的发展,需要厂商与客户的共同努力。”叶蓬表示,“无论是厂商还是用户,都看到了安全管理平台所具有的价值,都认定它是安全建设的必然方向,那么,大家就需要从各自的角度出发,向前迈进。”
经过多年的积累与发展,目前启明星辰已经在安全管理平台的多项核心技术上取得了突破,在性能和功能上都能够满足当前客户的核心需求。同时,启明星辰也不断地帮助客户建立起对于安全管理平台的正确认知,即安全管理平台只是一个工具,安全管理平台本身并不能带来安全,而需要使用者正确合理地运行维护,这不仅是技术的问题,还是管理的问题,流程的问题。
谈及对安全管理平台的认知,叶蓬表示,本质上来说,安全管理平台不等于SOC(安全运营中心)。SOC包括了技术、组织、流程等多个方面,而安全管理平台仅仅是指SOC的技术支撑平台。只是出于简化,经常将SOC就称作安全管理平台。久而久之,反而在国内产生了很多误导,从而导致对安全管理平台的定位错误。例如,有很多人认为建SOC就是上安全管理平台,而忽略了组织和流程。
对于安全管理平台的定位,叶蓬打了一个形象化的比喻,他将安全管理平台比作一把扫帚,“用户买了一把扫帚回家,房间不会自己就变得干净起来,还需要人去打扫。安全管理平台如果没有人正确地使用起来,就不会产生价值。而安全管理平台产品所做的就是不断研制出先进的扫帚,甚至是一台吸尘器,并提供更多地操作指南(即安全管理最佳实践)。”
对于启明星辰在安全管理平台技术上的突破,泰合中心总监文华说:“目前,衡量安全管理平台水平的几项关键技术包括海量异构事件采集技术、安全事件关联分析技术、安全信息可视化技术、海量事件快速查询技术、海量数据环境下的报表生成技术、安全态势感知技术,等等。目前,启明星辰在上述关键技术上都取得了突破。以海量事件采集为例,我们的软件现在的性能已经可以达到每秒处理5万条事件,已经远远超过了国内同行,与国际领先厂商不相上下。而取得这个突破,在于我们长期以来在大数据分析领域的技术积累,这也是当前国际上研究的热点技术之一。目前,我们已经掌握了通过分布式并行计算技术获得高性能计算能力的技术,并用于海量事件采集、海量事件快速查询和海量事件报表生成。下一步我们将会把这些技术成果与虚拟化技术结合起来,建立起面向安全管理的云计算平台。我们的安全管理平台现在已经可以在虚拟化环境下运行。”
针对国内外安全管理平台概念上的差异,泰合中心产品经理叶蓬表示,国内外安全管理平台建设的出发点与发展思路基本上是一致的,只是叫法不同而已。叶蓬认为,国内外的安全管理平台厂商基本上都是在沿着产品与服务两个维度前进。从产品维度看,安全管理平台更注重技术,强调通过技术手段构建一套软件平台,用户部署后,能够让其管理者实现对网络安全的全局管控。从服务维度看,则将安全管理平台打包成安全服务,用户无需运维,甚至不必部署,即可获得对网络安全的全局管控,并能够将安全管理日常工作托付给专业服务人员。目前,启明星辰在这两个维度上都有涉足,而泰合中心就承担了安全管理平台产品维度的职责。
市场集中度逐步提高
谈及当前国内安全管理平台市场的发展现状,叶蓬表示十分看好。“现在市场容量每年都在增加,随着技术和用户认知的日渐成熟,越来越多的客户正在从观望转向采取具体行动进行安全管理平台的建设。泰合安全管理平台的销量每年都在大幅增长。”
针对近来频现的安全管理平台国际市场的并购事件,叶蓬认为大型厂商纷纷进入安全管理平台市场,不仅说明了这个市场的成熟,也表明安全管理平台业务是一个需要在资金、技术、人员上进行大投入的业务。叶蓬说:“因为安全管理平台是一个整合了其他安全产品的集中管控平台,处于网络安全的核心位置,因此技术要求十分高,同时对安全厂商长期履行服务能力的要求也很高,这不是中小型安全厂商所能承受的。安全管理平台业务的进入门槛将会越来越高,未来,只有位于金字塔尖的少数几家领导性安全厂商才能做大这块业务,市场集中度将越来越高。”
目前为止,排名前四的安全管理平台厂商占据了国内接近60%的市场份额,在各个安全细分市场中集中化程度最高。
技术趋势
对于国内安全管理平台的未来,叶蓬总结出了六点产品与技术发展趋势:
1) 更先进的海量数据处理与分析技术,例如大数据分析(Big Data Analysis)技术,将应用于安全管理平台的事件分析,安全管理平台将向智能化方向发展;
2) 网络管理将不断与安全管理融合,越来越多的国内客户在建设安全管理平台的同时需要集成网络管理的功能;
3) 安全审计,尤其是日志审计将成为安全管理平台的一个重要功能点;
4) 安全管理平台将更加注重使用价值,并与客户自身业务紧密结合。客户已经认识到,要真正建设好一个安全管理平台,不仅需要考虑平台的功能,更需要注重平台、实施和运维等整个平台生命周期的统筹;
5) 随着云计算和虚拟化技术的逐步运用,安全管理平台作为客户的统一管理平台,将需要对客户的云和虚拟化环境下的IT资源进行监控、审计和分析;
6) 安全管理平台的市场细分将更加显著,针对不同类型的客户需求,安全管理平台将以不同的面貌出现,其中,行业化定制将成为安全管理平台的一个发展方向。
“目前,启明星辰已经在多个行业推出了安全管理平台的定制版本,以贴近该行业客户的具体需求。例如,我们已经推出了公安行业版。”泰合中心平台管理部负责人钟毅说。此外,公司还专门成立了针对运营商的安全管理平台研发团队,目前针对中国电信的SOC和中国移动的SMP都推出了定制版安全管理平台。
钟毅认为,由于国内各行业安全建设水平的差异,在安全管理平台的需求上存在显著的差异,需要针对不同行业客户的特点,裁剪和定制出具有该行业特点的安全管理平台,这样才能更加符合客户的实际需要,进而促进这个市场的发展。
“除了针对像运营商、公安这样的大型垂直行业客户推出定制版之外,我们还专门推出了针对中小型企业和中等规模政府部门的简化版安全管理平台,”叶蓬说到,“所有这些版本都是基于相同的基础平台框架,以及丰富的功能模块库,然后在这基础上针对不同类型的客户需求进行功能组合与包装。这样就大大缩短了细分产品的上市时间,也能更好地调配研发资源,并实现资源投入效益最大化。技术平台化、功能模块化、产品行业化,这就是我们的产品发展战略。”
钟毅表示,好的产品只是一个好的工具,我们还需要从客户的角度为他们提供量身定制的解决方案,为此,泰合中心设有专门的解决方案专家团队,公司各事业部也有各行业各业务领域的专家提供支撑。我们同时还在不断向客户输出安全管理的业界最佳实践,帮助他们更好地使用我们的工具。泰合中心有专门的实施团队,为客户建立运行安全管理平台所必需的人员、组织和流程提供全面的咨询服务,还能够帮助客户进行安全管理平台的代管代维。泰合中心有专门的知识工程团队,为客户的安全管理平台输出各种安全领域知识,包括案例库、预案库、事件库、流程库,等等。只有为客户提供全价值链的安全管理平台服务,才能够帮助客户实现安全管理平台的价值,才能够真正将安全管理平台业务做大做强。而这,也恰恰是一般的中小安全厂商所难以提供的。目前,泰合中心在北京和上海设有研发中心,团队成员超过100人。