在现代虚拟世界中，造成信息安全事件的来源为病毒、蠕虫或木马，不变的安全事件来源就是“人”。为因应各式各样攻击手法、符合政府或企业法规要求，企业采取各种信息安全科技，包含防毒、防火墙、主机型/网络型入侵防御系统、身分认证与存取权限管理系统及身分安全、VPN甚至网络存取控制等，各种技术提供现代化信息安全防护很好的解决方案，不依赖单一厂商或产品。

　　信息安全事件管理，包含监控、分析及反应，这些多样化科技的结合对企业也产生新的挑战，即是没有一个方式可以标准化、去重复化及关连这些存在于不同科技之事件。

　　此外，对于管理人员而言，通常管理防毒系统为一组人员，管理IPS为一组人员，而管理防火墙也许又为另一组。导致对于整体信息安全之管理产生“一人一把号，各吹各的调”的窘境，对于实时信息安全事件之关连分析也产生极大困难，由于要将上下游事件串起，于信息安全事件后之调查时间会格外地冗长。

　　有鉴于此，企业为了达到安全水平，需要建设一个集中式资源，以跨越及整合这些不同层面之信息安全产品及管理资源，达到监控、分析及快速响应，因此企业IT组织会建设信息安全监控中心(SOC, Security Operations Center)。以下将针对建设SOC应该考虑哪些层面、进行哪些准备及如何于人员、流程及技术上达到平衡进行说明。

　　为了SOC而SOC

　　企业为什么要建设SOC？为了符合政府或企业法规要求，很多企业为了建设而建设，当然政府或企业法规遵循也是企业目标之一，但一个成功的规划团队，必须针对不断变动的企业目标定义出建设SOC目标。

　　关于SOC 之任务，因应即将上路之个资法，SOC 重要任务又多了一项，能提供相关之证据举证，SOC 对于历史事件处理及保存，也扮演很重要的角色。而SOC另一个重要任务是实时对于信息安全事件管理，包含侦测、通报、处理及回报，而所应用的任务范围，根据不同企业商业需求来定义其维运架构，进而决定所需收容及管理之信息设备，即技术方法，可达到的任务及应用实务。

　　以”侦测内部员工之滥用行为”而言，根据统计调查，数据泄漏及信息安全危害所带来的影响，绝大部分来自于内部员工之滥用，由于内部员工了解企业信息环境，管理员甚至了解相关信息安全保护措施手法及范围，因此有心的恶意员工很容易规避信息安全规范。对于内部员工滥用行为之侦测，绝对是因应个资法第一着眼重点，对此SOC的侦测及处理重点如下：

　　-应用系统上尝试多次登入但失败之行为

　　-防火墙上侦测来自固定来源 IP 对于不同目标 IP 之存取但被拒绝之行为

　　-尝试对外异常联机，包含FTP、SSH、Remote Desktop等

　　-尝试更改防火墙、服务器或其它重要信息安全设备之重要设定

　　-非上班时间或异常时间之管理员账号登入

　　-非申请之使用管理员账号登入

　　孙子兵法：完善的程序及演练

　　SOC 程序与流程在人员与技术中间扮演缓冲角色，通常一个菜鸟信息安全分析师不知如何上手，而SOC具备一个好的程序及流程，信息安全分析师即可先照本宣科，进而慢慢上手。而且通常SOC系统技术在企业特别需求及要求上，有时很难从技术层面完成，程序及流程即可填补不足之处，以人工方式根据程序及流程指引来达成企业特别需求。

　　通常维运一个SOC需要非常多程序及流程，而CMMI(Capability Maturity Model Integration) 可以提供企业一个架构来进行维护及加强，对大部分组织而言，CMMI Level 3 应该是一个基本目标。

　　一旦程序与流程建立后，经常需要异动及更新，建议可以使用wiki文件系统来进行文件管理，且wiki可透过web接口提供使用者对文件内容实时动态修改或更新。也建议于SOC维运人员的监控屏幕上，设计两个画面，一个为信息安全监控所需画面，一个为程序及流程参考或搜寻画面。

　　SOC之流程，通常会将其分成下列四个主要象限，分别进行流程定义：

　　1.商业流程：定义所有能有效维运SOC的管理及行政程序。

　　2.技术流程：维护所有信息系统相关管理及设定。

　　3.维运流程：记录每天维运相关机制，如轮值班表、交班程序等。

　　4.分析流程：包含所有对信息安全事件的事中侦测及事后分析之相关流程定义。

　　当所有范围流程定义完成后，一个成熟的SOC必须经常进行模拟演练，模拟演练范围必须包含所有流程及程序，及相关定义的内外部组织。于模拟演练过程中，为了测试 SOC 于各种状况之反应，会放入很多模拟情境，并且于每次模拟演练结束后，所有相关之参与人员必须召开一个 “lessons and learned” 会议来检视所有短缺之处，如何于教育训练或者流程及技术方面进行加强。

(责任编辑：)