SOC 安全運營中心

一 背景

網絡安全是一個動態的過程，主要表現在以下兩個方面：攻擊者的手段在不斷變化，攻擊方法和工具也在不斷更新，隨著網絡內設備的增多，各類漏洞的不斷出現更是為攻擊者提供了新的滋生土壤。網內業務不斷變化，軟件系統在變，工作人員在變，妄圖通過一個系統、一個方案解決所有問題是不現實、不可能的。因此，網絡安全需要不斷的人力、物力、財力等投入，需要持續的運營、維護和優化，SOC也便應時而生。

二 SOC簡介

2.1 SOC簡介

S->Security（安全），即SOC處理的事件或流程應該是與企業網絡安全相關的

O->Operations（運營），代表著一種動態的動作，包括但不限于實時的檢測和響應

C->Center（中心），體系化的建設，多領域安全產品和服務“疊加”而成的綜合防線

一般地，SOC被定義為：以資產為核心，以安全事件管理為關鍵流程，采用安全域劃分的思想，建立一套實時的資產風險模型，協助管理員進行事件分析、風險分析、預警管理和應急響應處理的集中安全管理系統。

本質上，SOC不是一款單純的產品，而是一個復雜的系統，他既有產品，又有服務，還有運維(運營)，SOC是技術、流程和人的有機結合。SOC產品是SOC系統的技術支撐平臺，這是SOC產品的價值所在。

安全運營中心監控和分析網、服務器、終端、數據庫、應用、網站和其他的系統，尋找可能代表一個安全事件或者受侵害的異常活動。SOC負責確保潛在的安全事件能夠被正確識別、分析、防護、調查取證和報告。

2.2 為什么用SOC

過去我們都讓安全專家來管理各種類型的防火墻、IDS和諸如此類的安全措施，這主要是因為安全問題一般都發生在網絡中非常具體的某個地點。但是，現在的情況已經變化，安全問題已經不再像當年那么簡單。安全是一個動態的過程，因為敵方攻擊手段在變，攻擊方法在變，漏洞不斷出現；我方業務在變，軟件在變，人員在變，妄圖通過一個系統、一個方案解決所有的問題是不現實的，也是不可能的，安全需要不斷地運營、持續地優化。安全措施應當被實施在應用層、網絡層和存儲層上。它已經成為您的端對端應用服務中的一部分，與網絡性能的地位非常接近。

2.3 SOC起源

SOC的提出首先來源于安全服務提供商，他們首先提出了可管理安全服務（MSS）概念。從1998~2001年國外SOC發展的大致情況看，SOC發展一直都是作為服務（中心）和產品（平臺）兩個維度來發展的。現在的SOC究竟是服務還是產品，取決于你的發展策略：

1）SOC可以用于建立MSS運營平臺，成為MSS的基礎，這個SOC是一個中心，有固定的場所，有一個SOC技術支撐平臺，有組織人員、有一套運營的流程，為第三方提供安全管理服務；

2）SOC可以用于建立企業和組織的安全運營中心。這個中心首先要有一套SOC平臺，然后借助這個平臺，企業和組織進行安全運維。如果僅僅購買一個平臺，而不考慮運維，就像買了一把掃帚而不用，房間是不會自己變干凈的。

2.4 建設SOC安全運營中心的三種方法

自建型SOC：自己搭建平臺，建立自己的組織和流程，并進行運維。其中平臺部分，用戶可以自己設計并開發平臺，也可以外購一個技術平臺；

外包型SOC：購買MSS服務，租用MSSP(管理安全服務提供商)的SOC，或者叫做安全服務外包，包括租用安全基礎設施；

共建SOC：目前比較多見的方式，自己搭建SOC技術平臺，建立核心的組織結構和流程，處理核心的安全問題，然后利用外腦（外包服務）來進行協維、咨詢；該方式是前兩種方式的綜合。

三 SOC核心能力

3.1 網絡管理能力

SOC平臺可通過SNMP、SSH、Telent等協議，監控多種網絡設備的運行狀態，并對運行異常進行報警。監控功能包括：

1、監控設備運行狀態，如系統CPU、內存、 系統時間、設備持續運行時間。

2、監控端口信息，如各端口的活動狀態及地址變化。

3、監控流量信息，采集當前時刻設備總流量、 總流出數據量、總流入數據量等。

4、自動發現網絡拓撲，以圖形化的界面展示， 并提供視圖操作及輸出功能。

3.2 安全資產管理能力

SOC平臺提供資產信息庫維護能力，可對資產信息進行增加、刪除、修改等，并支持資產檢索功能，對被管設備資產信息可以按照設備IP地址、設備所屬單位、設備類型、所屬安全域、所屬業務系統等條件進行單獨或組合查詢。

3.3 風險管理能力

SOC平臺支持基于IS013335和ISOl7799標準的風險計算分析和展現。可以從地域、業務系統、IP地址段等視角查看資產風險，及時掌握資產中產生的安全事件、配置脆弱性和安全漏洞。

3.4 工單管理能力

SOC平臺通過工單管理，實現對安全事件的快速閉環響應。

通過事件監控中心監測到安全事件后，手工或系統自動生成新的工單，并通過系統報警或郵件的方式，通知相關責任人進行處理。工單管理會對工單被派發后的整個過程進行跟蹤，進行工單收回、重新派發等工作。

3.5 事件收集采集能力

SOC平臺能夠通過多種方式收集事件源發送的安全事件信息，收集方式包含以下幾種：

1、通過文件方式，讀取事件源的日志文件，獲取其中與安全有關的信息；

2、通過SNMP Trap和syslog方式，接收事件源發來的安全事件；

3、通過JDBC、ODBC數據庫接口獲取事件源存放在各種數據庫中的安全相關信息或數據庫操作日志；

4、通過OPSEC接口，接收來自該類型的安全事件服務器發送來的事件。

5、通過第三方應用程序或者自研agent，結合以上方式或者標準輸出，直接將安全事件轉發給安全事件采集系統。

3.6 事件處理和關聯分析能力

SOC平臺中事件處理功能，主要負責對安全事件進行標準化、過濾、合并、集中存儲。

SOC平臺中關聯分析采用基于規則關聯或資產漏洞、威脅情報關聯的方式，實時對事件進行統計分析，當滿足條件的事件發生時，將觸發對應的安全響應動作，如聲音報警、郵件報警、手機短信報警等多種方式。

3.7 知識庫管理能力

SOC平臺的知識管理平臺除提供一般知識管理功能， 比如安全知識庫、培訓和人員考核等，也提供了強大的漏洞庫、事件特征庫、補丁庫、安全配置知識庫和應急響應知識庫等。

3.8 豐富的報表展現能力

SOC平臺報表提供對系統內的各類安全數據，進行全方位多角度的展現能力。如資產類型分布、攻擊類事件分布、安全告警趨勢等，并提供用戶自定義及報表導出能力。

3.9 第三方系統集成能力

SOC平臺第三方系統集成能力是SOC平臺能夠對網絡安全進行綜合評定的又一基礎。SOC平臺可以通過Webservice接口或第三方提供的API，從第三方系統或去必要信息，或者驅動第三方系統或設備進行有目的的工作。如SOC平臺可以通過驅動漏洞掃描系統，對指定的資產進行漏洞掃描，并通過結果接口獲取掃描結果，參與到事件的關聯分析中。

四 SOC功能模塊

4.1 安全設備集中管理

4.1.1 統一日志管理（集中監控）

包括各安全設備的安全日志的統一監控；安全日志的統一存儲、查詢、分析、過濾和報表生成等功能、安全日志的統一告警平臺和統一的自動通知等；

模塊分析：大型網絡中的不同節點處往往都部署了許多安全產品，起到不同的作用。首先要達到的目標是全面獲取網絡安全實時狀態信息，解決網絡安全管理中的透明性問題。解決網絡安全的可管理控制性問題。從安全管理員的角度來說，最直接的需求就是在一個統一的界面中可以監視到網絡中每個安全產品的運行情況，并對他們產生的日志和報警信息進行統一分析和匯總。

4.1.2 統一配置管理（集中管理）

包括各安全設備的安全配置文件的集中管理，提高各管理工具的維護管理水平，提高安全管理工作效率；有條件的情況下實現各安全產品的配置文件（安全策略）的統一分發，修正和更新；配置文件的統一在（離）線管理，定期進行采集和審核，對安全產品的各種屬性和安全策略進行集中的存儲、查詢。

模塊分析：目前企業中主要的安全產品如防火墻、入侵檢測和病毒防護等往往是各自為政，有自己獨立的體系和控制端。通常管理員需要同時運行多個控制端，這就直接導致了對安全設備統一管理的要求。不過從目前國內的情況來說，各不同廠商的安全產品統一管理的難度較大，統一監控更容易實現，在目前現狀中也更為重要。

目前國內現狀是各個安全公司都從開發管理自己設備的管理軟件入手，先做到以自己設備為中心，把自己設備先管理起來，同時提出自己的協議接口，使產品能夠有開放性和兼容性。這些安全設備管理軟件和網絡管理軟件類似，對安全設備的發現和信息讀取主要建立在SNMP協議基礎上，對特定的信息輔助其他網絡協議。獲取得內容大部分也和網絡設備管理相同，如CPU使用情況，內存使用情況，系統狀態，網絡流量等。

4.1.3 各安全產品和系統的統一協調和處理（協同處理）

協調處理是安全技術的目標，同時也符合我國對信息安全保障的要求即實現多層次的防御體系。整體安全技術體系也應該有多層次的控制體系。不僅僅包含各種安全產品，而且涉及到各主機操作系統、應用軟件、路由交換設備等等。

模塊分析：目前國內有部分提法是IDS和防火墻的聯動就是基于這種思路的，但是實際的使用情況中基本上沒有客戶認同這點，原因當然有很多，但實際上要實現這點還需要較長的技術積累。

4.1.4 設備的自動發現

網絡拓撲變化后能自動發現設備的調整并進行基本的探測和給出信息。

模塊分析：大部分企業內部的網絡的拓撲都是在變化的，如果不支持設備的自動發現，就需要人工方式解決，給管理員造成較大的工作壓力，也不能掌握網絡的實際拓撲，這樣不便于排錯和發現安全故障。可以采用自動搜尋拓撲的機制。如IBM TivoliNetview可以自動發現大多數網絡設備的類型，或通過更改MIB庫，來隨時添加系統能識別的新的設備。

4.2 安全服務集中管理

4.2.1 安全培訓管理

建立安全情報中心和知識庫（側重安全預警平臺），包括：最新安全知識的收集和共享；最新的漏洞信息和安全技術,；實現安全技術的交流和培訓。持續更新發展的知識和信息是維持高水平安全運行的保證。

模塊分析：雖然這個模塊的技術含量較低，但要為安全管理體系提供有效的支持，這個模塊是非常重要的，有效的安全培訓和知識共享是提示企業的整體安全管理執行能力的基礎工作，也有助于形成組織內部統一有效的安全信息傳輸通道，建立安全問題上報、安全公告下發、處理和解決反饋的溝通平臺。

4.2.2 風險分析自動化

自動的搜集系統漏洞信息、對信息系統進行入侵檢測和預警，分析安全風險，并通過系統安全軟件統一完成信息系統的補丁加載，病毒代碼更新等工作，有效的提高安全工作效率，減小網絡安全的"時間窗口"，大大提高系統的防護能力。

模塊分析：安全管理軟件實施的前提是已經部署了較完善的安全產品，如防火墻，防病毒，入侵檢測等。有了安全產品才能夠管理和監視，安全管理平臺的作用在于在現有各種產品的基礎上進行一定的數據分析和部分事件關聯工作，例如設置掃描器定期對網絡進行掃描，配合該時間段的入侵檢測系統監控日志和補丁更新日志，就可以對整網的技術脆弱性有個初步的了解。

4.3 業務流程安全管理

4.3.1 初步的資產管理（資產、人員）

統一管理信息資產，匯總安全評估結果，建立風險管理模型。提供重要資產所面臨的風險值、相應的威脅、脆弱性的查詢、統計、分析功能。

模塊分析：國內外安全廠商中資產管理功能都很簡單，和現有的財務、運營軟件相差非常大，基本上是照般了BS7799中的對資產的分析和管理模塊。

4.3.2 安全管理系統與網管系統的聯動（協調處理）

安全管理系統和網絡管理平臺已經組織常用的運營支持系統結合起來，更有效的利用系統和人力資源，提高整體的運營和管理水平。

模塊分析：如果可能的話，由于各產品的作用體現在網絡中的不同方面，統一的安全管理平臺必然要求對網絡中部署的安全設備和部分運營設備的安全模塊進行協同管理，這也是安全管理平臺追求的最高目標。但這并非是一個單純的技術問題，還涉及到行業內的標準和聯盟。目前在這方面作的一些工作如 Check Point公司提出的opsec開放平臺標準，即入侵檢測產品發現攻擊和check point防火墻之間的協調，現在流行的IPS概念，自動封鎖攻擊來源等，都在這方面作了較好的嘗試，在和整體的網絡管理平臺的結合方面，目前國內外作的工作都較少，相對來說一些大型的IT廠商如IBM/CISCO/CA由于本身就具備多條產品線（網絡、安全、應用產品），其自身產品的融合工作可能已經作了一些，但總體來說成熟度不高。

4.3.3 與其它信息系統的高度融合

實現與OA、ERP等其他信息系統的有機融合，有效的利用維護、管理、財務等各方面信息提高安全管理水平。安全管理的決策分析和知識經驗將成為公司管理的重要組成部分。

4.4 組織的安全管理

4.4.1 組織構成

根據企業的不同情況建立專職或兼職的安全隊伍，從事具體的安全工作。由于信息安全工作往往需要多個業務部門的共同參與，為迅速解決業務中出現的問題，提高工作效率，公司必須建立跨部門的協調機制。具體協調機構應由專門的安全組織負責，并明確牽頭責任部門或人員。有條件的企業或者組織應成立獨立的安全工作組織。

4.4.2 組織責任

a)建立健全相關的安全崗位及職責；

b)制定并發布相關安全管理體系，定期進行修正；

c)對信息系統進行安全評估和實施，處理信息安全事故；

f)部門間的協調和分派并落實信息安全工作中各部門的職責。

以上是SOC必須具備的一些模塊，現階段國內外也有一些廠商推出了安全管理平臺軟件，從推動整個行業發展來看當然是好現象，但蘿卜快了不洗泥，其中也存在一些發展中的問題，比如作為一個SOC必然要求具備統一的安全日志審計功能，但單一安全設備審計軟件不能等同于安全管理平臺，究其原因為國內現有安全廠商中安全設備廠商占多數，優勢項目是在已有安全設備上添加統一日志管理和分析功能，由于是單個廠商的行為缺乏整體的行業標準，導致目前的安全審計軟件普遍缺乏聯動性，不支持異構設備，就算是對java的支持各個廠商的實現力度也不同，普遍只具備信息統計功能和分析報告的功能。

在目前的安全管理平臺提供商中，能提供完整的產品體系廠商非常少。而號稱專業的安全產品廠商，因為安全產業起步很晚，這些廠商只能在某個領域做深，還無法提供整套的安全產品線，這也是一個現實。作為用戶應該認清需求，把各種安全產品在自己網絡中結合起來，深入了解安全管理平臺提供商的實力，才能夠達到安全目的，滿足自己的安全需求。

最后，從投入產出比的角度來說，因為SOC往往只是一個軟件平臺的開發工作，大多數情況下不需要或者較少需要新的硬件投入，總投入往往不是很大，如果上了SOC后即使不能完善和推薦安全管理體系，也可以起到減輕管理員的工作負擔，增強管理員的控制力度，并對整個網絡內的安全狀況進行統一監控和管理的作用，這樣總體來說安全管理平臺SOC的投入產出就非常值得。

四 價值

基于某一個具體設備或系統，如WAF、IDS、IPS、漏洞掃描系統進行網絡安全分析，信息較分散，容易增加誤判、漏判的概率，且需要大量的專業人員，知識積累較困難，應急響應慢。

SOC平臺通過收集各類相關安全信息，并進行相互之間的關聯分析、印證，從多角度對網內資產進行安全分析和評估，并將安全運維工作流程化，極大提高了發現事件并及時處理響應的能力，同時通過知識積累和系統運維的完善，不斷加強和完善網絡的安全防護能力、攻擊發現及應急響應能力。

SOC的關鍵優勢在于通過持續不斷的檢測分析數據活動，改善了安全事件的檢測。通過夜以繼日的分析跨組織網絡、終端、服務器和數據庫的活動，SOC團隊確保及時檢測和相應安全事件。SOC提供的24/7監控為組織提供了對抗安全事件和入侵的先機，而且無關資源、時間或者攻擊類型。

五 最佳實踐

許多安全領導人將更加關注人為因素，而非技術因素，不再依賴一個腳本，而是直接評估和減輕威脅。SOC連續工作管理已知威脅，同時識別新的風險，在風險承受能力范圍內滿足公司和客戶的需求，而防火墻、IPS等技術系統可以防止基本攻擊，重大事件上則需要進行人為分析。

為達到最佳效果，SOC必須跟上最新威脅情報，并利用這些信息來改善內部檢測和防御機制。SOC消耗的數據來自組織內部和相關信息的外部資源，從而提供洞察威脅和漏洞。這個外部網絡情報包括新聞提要、簽名更新、事件報告、威脅簡報和脆弱性警報，這些都有助于SOC跟上不斷發展的網絡威脅現狀。SOC員工必須為SOC監視工具不斷注入威脅情報，保持最新的威脅情報信息，而SOC則必須區分真正的威脅和非威脅。

真正成功的SOC利用安全自動化變得更加有效和高效。通過結合高度嫻熟的安全分析師與安全自動化，提高組織分析能力，加強安全措施，更好的防止數據泄露和網絡攻擊。許多組織內部沒有足夠的資源來完成這個需求，則需要向提供SOC服務的管理安全服務提供商需求幫助。

參考鏈接

http://nic.upc.edu.cn/2019/1225/c7404a231384/page.htm

網絡 通用安全

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。