SOC安全运营中心

馥琳

SOC安全运营中心
介绍
什么是SOC（安全运营中心）？
安全运营中心是指为保证信息资产的安全, 采用集中管理方式统一管理相关安全产品, 搜集所有安全信息, 并通过对收集到各种安全事件进行深层的分析、统计和关联、及时反映被管理资产的安全基线, 定位安全风险, 对各类安全时间及时提供处理方法和建议的安全解决方案。
安全运营中心（SOC ) 的主要思想是采用多种安全产品的Agent和安全控制中心，最大化地利用技术手段，在统一安全策略的指导下，将系统中的各个安全部件协同起来，实现对各种网络安全资源的集中监控、统一策略管理、智能审计及多种安全功能模块之间的互动，并且能够在多个安全部件协同的基础上实现实时监控、安全事件预警、报表处理、统计分析、应急响应等功能，使得网络安全管理工作由繁变简，更为有效。
架构
安全运营中心（SOC）的体系架构具备适应性强（能够适用于不同节点接入网络和系统环境）、可扩充性强、集中化安全管理等优点，其框架体系主要是为了解决目前各类安全产品各自为阵、难以组成一个整体安全防御体系的问题。真正的整体安全是在一个整体的安全策略下，安全产品、安全管理、安全服务以及管理制度相互协调的基础上才能够实现。安全运营中心（SOC ）框架如图所示。一般由四个中心组成。

• 四个中心
  

综合安全管理中心：安全管理中心还提供各种专项的安全集中管理功能来保证用户对某些专门安全问题的管理，主要加强内控管理，例如资产安全管理、系统补丁管理、异常流量管理、完整性检查等。
安全事件管理中心：全面收集安全设备、网络设备、主机、服务和应用的安全事件信息；通过分类、过滤、规范化、归并发送到安全事件库；经过综合安全事件关联分析，发现和确认一些攻击信息、违反合规约性以及异常行为；能够提供安全事件追溯，为调查取证提供有效的证据；对于确认的高风险安全事件可以通过自动响应机制，一方面给出多种告警方式（如控制台显示、邮件、短信等），另一方面通过安全联动机制阻止攻击（如OPSEC、路由器远程控制、交换机远程控制等）；真正体现出安全事件管理领域的“动态自动防御”精髓。
资产风险管理中心：全面收集信息资产的漏洞信息，通过综合关联分析去除各种误报，发现有用信息，给出级别度量。系统能够自动完成以往专家完成的风险计算工作，进行定损分析，并自动触发任务单和响应来降低风险，达到管理和控制风险的效果。
运维管理中心：该中心提供日常运维工作的服务保障体系；包括各种时钟同步、系统管理、资产配置库、资产工作状态和拓扑信息、安全知识管理、安全考核管理、流程管理实现等。例如工单管理用于追踪安全事件、资产风险和事故的处理情况；预警管理可以实现主动的预警，通过企业安全管理中心和各个安全服务供应商共同合作，形成一条完成的预警－处理链，可以保证在漏洞出现还未被利用前就送达各个管理员并保证被采取了应对的措施；还有通过对日常工作的进行评价来促使我们找到如何提高安全水平的方法。

• 功能
  

⒈统一管理
安全运营中心（S O C）建立在安全设备部署的基础之上，主要围绕安全的预防、发现、反应环节搭建，实现了安全预警、集中监控、安全事件处理等更高层次的安全管理。这些建立在安全设备部署之上的安全管理包括：预防环节的安全预警信息通告，安全评估结果综合分析的安全信息库；发现环节的收集防火墙、入侵检测、日志系统、防病毒系统中的有关安全事件，呈现安全告警的集中安全监控系统；反应环节的以电子流的方式，进行安全事件处理流转，保存安全事件处理经验的安全事件运行系统。
安全运营中心（S O C ) 对各种安全产品的监控和管理，可以利用各个安全子系统中已有的信息采集和控制机制来实现，也可以采用直接与安全设备交互的方式进行，主要取决于各个安全子系统自身的构架以及提供的管理接口。
⒉安全事件实时监控与实时通报
网络安全工作的本质在于控制网络安全风险，风险管理是安全管理的核心。考察安全成本和安全威胁后果之间的关系，以可接受的成本来降低安全风险到可接受的水平。全网上的各种安全设备和产品每天都要产生大量的各种安全事件。对这些事件的集中监视是控制网络风险、保证网络业务正常运行的重要手段。安全运营中心专注于全网中安全相关事件的实时监控，收集并汇总重大安全事件的数据（如：大规模蠕虫事件，重大攻击事件等），进行关联性分析，全面提高对网络事件的快速反应能力；同时，将安全事件备份到后台的数据库中，以备查询和生成安全运行报告。
安全事件通报与业务系统、工作流紧密结合。安全运营中心在发现某业务系统内出现安全事件后，还将及时把这些安全事件通知各业务系统的管理员以便及时予以处理
⒊全网统一安全策略
对于网络的安全运行维护，最具有挑战性的莫过于保持全网策略的一致性。尤其是对于日新月异的网络安全技术，需要经常性频繁应对出现的新漏洞，根据新的业务调整安全策略。安全运营中心支持统一、集成的策略管理，包括策略的制定、分发和策略执行情况的检查。安全策略管理包括设备安全策略、事件响应策略和全局安全策略等。
统一安全策略管理制订全网的安全策略，这些策略文件可下发给各相关部门，通过直接（也可以手工）的方式进行配置落实。策略的管理能够通过全局策略的调整、业务的变化、各网管和部门反馈来的意见等情况，不断调整、优化安全策略。
⒋基于角色的安全事件可视化
安全运营中心提供统一的安全管理，并为不同级别和性质的管理员提供不同层次和性质的管理视图。一般全网系统是一个复杂的分布式大规模网络，因此核心层、分布层以及接入层的网络管理员具有不同的职责。系统不但能够提供运行核心层的管理员对所有安全系统宏观的管理视图，也能够为各地主要业务网络的管理员对自己管辖区域内的安全设备和安全系统部件进行区域自治管理，此外，还能够通过安全运营中心（ＳＯＣ）对分布于整个网络的某个安全子系统，进行整体安全策略的发放和状态监测及管理。安全运营中心（ＳＯＣ）根据需要设置可视化条件，实时在全网拓扑图中显示最重要的多组事件，包括设备名称、事件定位、风险概况、脆弱性等信息
⒌安全事件关联分析
安全运营中心（ＳＯＣ）要对各个不同安全设备（入侵检测、漏洞扫描、防火墙等）报告的安全信息进行集中的数据挖掘和分析，进行全局的相关性分析和报表显示，以发现低级安全事件相关联后表现出的高级安全事件，以及异常行为之间、漏洞和入侵之间的对应关系，便于对攻击的确认和安全策略的调整。安全运营中心一般支持基于规则的关联分析、基于统计的关联分析和基于漏洞的关联分析等３种形式。根据此关联分析的功能，结合网络的业务应用系统的事件特征，通过分析与制定安全域与业务安全控制策略和基于业务应用的流程异常监控，制定相关的特定关联分析规则，配合事件监控、拓扑管理及综合显示等方面的内容，从而实现业务安全监控及追踪功能的事件定位。
⒍宏观分析与安全决策支持
安全运营中心（S O C）应支持对各安全设备上报的有安全数据进行宏观统计、分析和决策支持。宏观统计分析主要是在大量数据的基础上，对安全事件进行综合分析，比如将攻击信息和安全漏洞信息关联起来，产生详尽的安全报告，提供安全决策支持，强有力地支持全网安全事件的及时发现（检测）、准确定位（追踪）、尽快处理（应急响应）、进一步防范（预警）以及全网安全策略制定（策略）。网络运行维护管理员根据宏观分析提供的全局安全状况和安全态势信息，并结合网络的管理体系、人员管理规章制度、管理流程以及行政管理规定, 为针对安全事件的处理决策提供支持。
⒎安全事件全局预警
对于像冲击波、红色代码等危害较大的网络蠕虫的较大规模入侵，从一个地区向另一地区渗透可能有一定的延时。在这段延时期间，安全运营中心（SOC ）有义务将这种警报发布到尚未受攻击的区域中去，以起到提前布防的预警作用。
⒏安全事件知识库
为了实现安全事件的集中收集、记录、审计和流程化处理（集中、分类、入库、处理），共享最新安全知识，保证安全人才的储备，安全运营中心（S O C ）建立安全事件知识库。知识库将各级安全运营中心的安全管理信息收集起来，为各级安全维护人员形成统一的安全共享知识库，以完成安全信息管理和W E B 发布，主要实现安全管理信息、安全事件库、安全策略配置库、安全技术信息交流、处置预案库、补丁库、安全知识库等栏目的信息发布管理和浏览。安全管理员可以通过安全知识库的辅助工具学习，了解相关知识，辅助进行运维工作。
NOC的工作要符合服务水平协议（SLA），并且以减少宕机时间的方式管理事件，话句话说，就是关注可用性和性能。SOC则度量他们保障知识产权和敏感客户数据的能力，关注于安全。
产品

• 启明星辰泰合安管平台(SOC)产品简介
  

泰合信息安全运营中心（Security　Operation　Center）系统是一个面向全网IT资源的集中安全管理平台。她通过对网络中各类IT资源的安全域划分，以及海量异构网络与安全事件的采集、处理和分析，面向业务信息系统建立一套可度量的风险模型，使得各级管理员能够实现全网的资产运行监控、事件分析与审计、风险评估与度量、预警与响应、态势分析，并借助标准化的流程管理实现持续的安全运营。
借助泰合信息安全运营中心（SOC）系统，客户可以将日常安全管理工作变无序为有序、化复杂为简单，全面提升网络安全管理能力：
1.从局部安全提升为全局安全
2.从单点防御提升为协同防御
3.从模糊管理提升为量化管理

• 产品功能
  

泰合信息安全运营中心系统基于开放式的软件平台设计架构，由多个功能模块组成，用户可以自由选择搭配，后续还能够无缝升级。
  
系统的主要功能包括：
1、网络运行监控
系统能够对全网的各类网络设备、安全设备、主机、数据库、应用系统等实时、细粒度的运行监控，及时发现网络中的可用性故障，并进行故障定位和告警响应，确保重要业务信息系统的可用性和业务连续性。
系统能够形象地展示出用户的网络拓扑，并动态展示拓扑节点的运行状态，还能够根据用户管理的组织和部门结构在地图上展示出设备或者设备组的地理位置。
2、事件及流量管理
系统能够采集全网中各类网络设备、安全设备、主机、数据库、应用系统等的日志、告警和事件，并对这些信息进行范式化、过滤、归并，形成统一的事件格式，包括统一事件严重等级、统一事件类型和名称等，使得管理员能够在系统的管理控制台上方便地浏览所有安全事件，并确保信息的一致性。针对所有安全事件，系统能够借助泰合独有的事件关联分析引擎进行多种事件关联分析，包括规则关联、漏洞管理、统计关联，等等。
除了采集各类安全事件，系统还能够采集形如NetFlow的流量日志。针对采集来的NetFlow流量日志的分析，系统能够建立网络流量模型，通过泰合特有的基于流量基线的分析算法，发现网络异常行为。
3、脆弱性管理
系统支持将各类第三方漏洞扫描、应用扫描和人工评估的漏洞信息整合到一起，形成基于资产和业务的漏洞信息库，并计算资产和业务的脆弱性。系统能够对新发现的漏洞信息进行预警通告。
4、安全预警与风险管理
系统可以遵循《GB-T20984-2007信息安全技术信息安全风险评估规范》标准的推荐要求对用户业务信息系统进行风险评估与分析，结合资产及业务的价值、脆弱性和威胁信息，计算资产或业务的风险等级，并进行预警和展示。系统还能对重要的威胁事件、漏洞信息进行预警和展示。
5、态势分析
泰合安全运营中心系统是国内首个具备态势宏观分析能力的安全管理平台。针对系统收集到的海量安全事件，系统借助地址熵分析、三元组分析、热点验证分析等数据挖掘技术，帮助管理员从宏观层面把握整体安全态势，对重大威胁进行识别、定位、预测和跟踪。
6、响应管理
系统具备完善的响应管理功能，能够根据用户设定的各种触发条件，通过多种方式（例如邮件、短信、声音、SNMPTrap等）通知用户，并触发可以自定义的响应处理流程，直至跟踪到问题处理完毕，从而实现安全事件的闭环管理。
系统支持设备控制脚本，允许管理员自动对设备进行操作控制，及时阻断攻击源。系统内置工作流引擎，能够进行响应处理流程的自定义。系统具备开放式接口，能够与第三方运维管理系统实现对接。
7、知识管理
系统具有国内最完善的安全管理知识库系统，内容涵盖安全事件库、安全策略库、安全公告库、预警信息库、漏洞库、关联规则库、处理预案库、工作流程库、案例库、报表库等，并提供定期或者不定期的知识库升级服务。
8、用户管理
系统采用三权分立的管理体制，默认设置了用户管理系统管理员、安全运营中心管理员、审计管理员分别管理。系统用户管理采用基于角色的访问控制策略，即依据对系统中角色行为来限制对资源的访问。
9、自身系统管理
实现了系统自身安全及维护管理。主要包括组织管理、系统数据库及功能组件运行状态监控、日志维护及其他一些与系统本身相关的运行维护的管理和配置功能。
10、信息展示
系统为客户提供了多样化的信息展示方式。包括：整合网络的可视化视图、具体应用服务的运行细粒度视图、基于规则的安全事件交叉视图、基于资产及安全域的风险视图，等等。
11、报表报告
系统具备实时和调度报表功能，能够根据各种统计条件实时动态地产生丰富的统计报表，也可以根据客户自定义的调度计划定期自动生成报表报告。系统支持客户自定义报表功能，能够生成各类客户化的报表报告。

• 典型应用
  

• 技术优势
  

提供全面的一站式安全运营中心解决方案，内置网络管理、安全管理和运维管理功能，并能够灵活选择功能模块。
系统简单实用、界面美观大方、内置丰富的仪表板，适用于各级管理人员。
支持对超过130种国内外主流设备和系统日志及事件的高速采集、范式化、关联分析、安全存储和响应。
具有国内最完善的安全管理知识库，内容涵盖安全事件库、安全策略库、安全公告库、预警信息库、漏洞库、关联规则库、处理预案库、工作流程库、案例库、报表库等，并可以升级具备国内最领先的安全事件关联分析与态势感知能力，实现对全网安全风险的量化分析、安全态势评估，并具有态势预测的能力内置基于工作流的安全突发事件响应管理功能及处理流程强大的客户化定制能力，包括基于开放架构的管理平台和一支国内最专业的定制开发团队。
参考文献：
1、http://nssffcs.blog.51cto.com/860714/178845
2、安全管理平台(SOC)在国家电子政务外网中的应用 郭红 王勇 吴亚非
3、http://netsecurity.51cto.com/art/201111/302069.htm

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！