一 背景

网络安全是一个动态的过程，主要表现在以下两个方面：攻击者的手段在不断变化，攻击方法和工具也在不断更新，随着网络内设备的增多，各类漏洞的不断出现更是为攻击者提供了新的滋生土壤。网内业务不断变化，软件系统在变，工作人员在变，妄图通过一个系统、一个方案解决所有问题是不现实、不可能的。因此，网络安全需要不断的人力、物力、财力等投入，需要持续的运营、维护和优化，SOC也便应时而生。

二 SOC简介

2.1 SOC简介

S->Security（安全），即SOC处理的事件或流程应该是与企业网络安全相关的
O->Operations（运营），代表着一种动态的动作，包括但不限于实时的检测和响应
C->Center（中心），体系化的建设，多领域安全产品和服务“叠加”而成的综合防线

一般地，SOC被定义为：以资产为核心，以安全事件管理为关键流程，采用安全域划分的思想，建立一套实时的资产风险模型，协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。
本质上，SOC不是一款单纯的产品，而是一个复杂的系统，他既有产品，又有服务，还有运维(运营)，SOC是技术、流程和人的有机结合。SOC产品是SOC系统的技术支撑平台，这是SOC产品的价值所在。

安全运营中心监控和分析网、服务器、终端、数据库、应用、网站和其他的系统，寻找可能代表一个安全事件或者受侵害的异常活动。SOC负责确保潜在的安全事件能够被正确识别、分析、防护、调查取证和报告。

2.2 为什么用SOC

过去我们都让安全专家来管理各种类型的防火墙、IDS和诸如此类的安全措施，这主要是因为安全问题一般都发生在网络中非常具体的某个地点。但是，现在的情况已经变化，安全问题已经不再像当年那么简单。安全是一个动态的过程，因为敌方攻击手段在变，攻击方法在变，漏洞不断出现；我方业务在变，软件在变，人员在变，妄图通过一个系统、一个方案解决所有的问题是不现实的，也是不可能的，安全需要不断地运营、持续地优化。安全措施应当被实施在应用层、网络层和存储层上。它已经成为您的端对端应用服务中的一部分，与网络性能的地位非常接近。

2.3 SOC起源

SOC的提出首先来源于安全服务提供商，他们首先提出了可管理安全服务（MSS）概念。从1998~2001年国外SOC发展的大致情况看，SOC发展一直都是作为服务（中心）和产品（平台）两个维度来发展的。现在的SOC究竟是服务还是产品，取决于你的发展策略：

1）SOC可以用于建立MSS运营平台，成为MSS的基础，这个SOC是一个中心，有固定的场所，有一个SOC技术支撑平台，有组织人员、有一套运营的流程，为第三方提供安全管理服务；

2）SOC可以用于建立企业和组织的安全运营中心。这个中心首先要有一套SOC平台，然后借助这个平台，企业和组织进行安全运维。如果仅仅购买一个平台，而不考虑运维，就像买了一把扫帚而不用，房间是不会自己变干净的。

2.4 建设SOC安全运营中心的三种方法

• 自建型SOC：自己搭建平台，建立自己的组织和流程，并进行运维。其中平台部分，用户可以自己设计并开发平台，也可以外购一个技术平台；
• 外包型SOC：购买MSS服务，租用MSSP(管理安全服务提供商)的SOC，或者叫做安全服务外包，包括租用安全基础设施；
• 共建SOC：目前比较多见的方式，自己搭建SOC技术平台，建立核心的组织结构和流程，处理核心的安全问题，然后利用外脑（外包服务）来进行协维、咨询；该方式是前两种方式的综合。

三 SOC核心能力

3.1 网络管理能力

SOC平台可通过SNMP、SSH、Telent等协议，监控多种网络设备的运行状态，并对运行异常进行报警。监控功能包括：

1、监控设备运行状态，如系统CPU、内存、 系统时间、设备持续运行时间。

2、监控端口信息，如各端口的活动状态及地址变化。

3、监控流量信息，采集当前时刻设备总流量、 总流出数据量、总流入数据量等。

4、自动发现网络拓扑，以图形化的界面展示， 并提供视图操作及输出功能。

3.2 安全资产管理能力

SOC平台提供资产信息库维护能力，可对资产信息进行增加、删除、修改等，并支持资产检索功能，对被管设备资产信息可以按照设备IP地址、设备所属单位、设备类型、所属安全域、所属业务系统等条件进行单独或组合查询。

3.3 风险管理能力

SOC平台支持基于IS013335和ISOl7799标准的风险计算分析和展现。可以从地域、业务系统、IP地址段等视角查看资产风险，及时掌握资产中产生的安全事件、配置脆弱性和安全漏洞。

3.4 工单管理能力

SOC平台通过工单管理，实现对安全事件的快速闭环响应。

通过事件监控中心监测到安全事件后，手工或系统自动生成新的工单，并通过系统报警或邮件的方式，通知相关责任人进行处理。工单管理会对工单被派发后的整个过程进行跟踪，进行工单收回、重新派发等工作。

3.5 事件收集采集能力

SOC平台能够通过多种方式收集事件源发送的安全事件信息，收集方式包含以下几种：

1、通过文件方式，读取事件源的日志文件，获取其中与安全有关的信息；

2、通过SNMP Trap和syslog方式，接收事件源发来的安全事件；

3、通过JDBC、ODBC数据库接口获取事件源存放在各种数据库中的安全相关信息或数据库操作日志；

4、通过OPSEC接口，接收来自该类型的安全事件服务器发送来的事件。

5、通过第三方应用程序或者自研agent，结合以上方式或者标准输出，直接将安全事件转发给安全事件采集系统。

3.6 事件处理和关联分析能力

SOC平台中事件处理功能，主要负责对安全事件进行标准化、过滤、合并、集中存储。

SOC平台中关联分析采用基于规则关联或资产漏洞、威胁情报关联的方式，实时对事件进行统计分析，当满足条件的事件发生时，将触发对应的安全响应动作，如声音报警、邮件报警、手机短信报警等多种方式。

3.7 知识库管理能力

SOC平台的知识管理平台除提供一般知识管理功能， 比如安全知识库、培训和人员考核等，也提供了强大的漏洞库、事件特征库、补丁库、安全配置知识库和应急响应知识库等。

3.8 丰富的报表展现能力

SOC平台报表提供对系统内的各类安全数据，进行全方位多角度的展现能力。如资产类型分布、攻击类事件分布、安全告警趋势等，并提供用户自定义及报表导出能力。

3.9 第三方系统集成能力

SOC平台第三方系统集成能力是SOC平台能够对网络安全进行综合评定的又一基础。SOC平台可以通过Webservice接口或第三方提供的API，从第三方系统或去必要信息，或者驱动第三方系统或设备进行有目的的工作。如SOC平台可以通过驱动漏洞扫描系统，对指定的资产进行漏洞扫描，并通过结果接口获取扫描结果，参与到事件的关联分析中。

四 SOC功能模块

4.1 安全设备集中管理

4.1.1 统一日志管理（集中监控）

包括各安全设备的安全日志的统一监控；安全日志的统一存储、查询、分析、过滤和报表生成等功能、安全日志的统一告警平台和统一的自动通知等；

模块分析：大型网络中的不同节点处往往都部署了许多安全产品，起到不同的作用。首先要达到的目标是全面获取网络安全实时状态信息，解决网络安全管理中的透明性问题。解决网络安全的可管理控制性问题。从安全管理员的角度来说，最直接的需求就是在一个统一的界面中可以监视到网络中每个安全产品的运行情况，并对他们产生的日志和报警信息进行统一分析和汇总。

4.1.2 统一配置管理（集中管理）

包括各安全设备的安全配置文件的集中管理，提高各管理工具的维护管理水平，提高安全管理工作效率；有条件的情况下实现各安全产品的配置文件（安全策略）的统一分发，修正和更新；配置文件的统一在（离）线管理，定期进行采集和审核，对安全产品的各种属性和安全策略进行集中的存储、查询。

模块分析：目前企业中主要的安全产品如防火墙、入侵检测和病毒防护等往往是各自为政，有自己独立的体系和控制端。通常管理员需要同时运行多个控制端，这就直接导致了对安全设备统一管理的要求。不过从目前国内的情况来说，各不同厂商的安全产品统一管理的难度较大，统一监控更容易实现，在目前现状中也更为重要。

目前国内现状是各个安全公司都从开发管理自己设备的管理软件入手，先做到以自己设备为中心，把自己设备先管理起来，同时提出自己的协议接口，使产品能够有开放性和兼容性。这些安全设备管理软件和网络管理软件类似，对安全设备的发现和信息读取主要建立在SNMP协议基础上，对特定的信息辅助其他网络协议。获取得内容大部分也和网络设备管理相同，如CPU使用情况，内存使用情况，系统状态，网络流量等。

4.1.3 各安全产品和系统的统一协调和处理（协同处理）

协调处理是安全技术的目标，同时也符合我国对信息安全保障的要求即实现多层次的防御体系。整体安全技术体系也应该有多层次的控制体系。不仅仅包含各种安全产品，而且涉及到各主机操作系统、应用软件、路由交换设备等等。

模块分析：目前国内有部分提法是IDS和防火墙的联动就是基于这种思路的，但是实际的使用情况中基本上没有客户认同这点，原因当然有很多，但实际上要实现这点还需要较长的技术积累。

4.1.4 设备的自动发现

网络拓扑变化后能自动发现设备的调整并进行基本的探测和给出信息。

模块分析：大部分企业内部的网络的拓扑都是在变化的，如果不支持设备的自动发现，就需要人工方式解决，给管理员造成较大的工作压力，也不能掌握网络的实际拓扑，这样不便于排错和发现安全故障。可以采用自动搜寻拓扑的机制。如IBM TivoliNetview可以自动发现大多数网络设备的类型，或通过更改MIB库，来随时添加系统能识别的新的设备。

4.2 安全服务集中管理

4.2.1 安全培训管理

建立安全情报中心和知识库（侧重安全预警平台），包括：最新安全知识的收集和共享；最新的漏洞信息和安全技术,；实现安全技术的交流和培训。持续更新发展的知识和信息是维持高水平安全运行的保证。

模块分析：虽然这个模块的技术含量较低，但要为安全管理体系提供有效的支持，这个模块是非常重要的，有效的安全培训和知识共享是提示企业的整体安全管理执行能力的基础工作，也有助于形成组织内部统一有效的安全信息传输通道，建立安全问题上报、安全公告下发、处理和解决反馈的沟通平台。

4.2.2 风险分析自动化

自动的搜集系统漏洞信息、对信息系统进行入侵检测和预警，分析安全风险，并通过系统安全软件统一完成信息系统的补丁加载，病毒代码更新等工作，有效的提高安全工作效率，减小网络安全的"时间窗口"，大大提高系统的防护能力。

模块分析：安全管理软件实施的前提是已经部署了较完善的安全产品，如防火墙，防病毒，入侵检测等。有了安全产品才能够管理和监视，安全管理平台的作用在于在现有各种产品的基础上进行一定的数据分析和部分事件关联工作，例如设置扫描器定期对网络进行扫描，配合该时间段的入侵检测系统监控日志和补丁更新日志，就可以对整网的技术脆弱性有个初步的了解。

4.3 业务流程安全管理

4.3.1 初步的资产管理（资产、人员）

统一管理信息资产，汇总安全评估结果，建立风险管理模型。提供重要资产所面临的风险值、相应的威胁、脆弱性的查询、统计、分析功能。

模块分析：国内外安全厂商中资产管理功能都很简单，和现有的财务、运营软件相差非常大，基本上是照般了BS7799中的对资产的分析和管理模块。

4.3.2 安全管理系统与网管系统的联动（协调处理）

安全管理系统和网络管理平台已经组织常用的运营支持系统结合起来，更有效的利用系统和人力资源，提高整体的运营和管理水平。

模块分析：如果可能的话，由于各产品的作用体现在网络中的不同方面，统一的安全管理平台必然要求对网络中部署的安全设备和部分运营设备的安全模块进行协同管理，这也是安全管理平台追求的最高目标。但这并非是一个单纯的技术问题，还涉及到行业内的标准和联盟。目前在这方面作的一些工作如 Check Point公司提出的opsec开放平台标准，即入侵检测产品发现攻击和check point防火墙之间的协调，现在流行的IPS概念，自动封锁攻击来源等，都在这方面作了较好的尝试，在和整体的网络管理平台的结合方面，目前国内外作的工作都较少，相对来说一些大型的IT厂商如IBM/CISCO/CA由于本身就具备多条产品线（网络、安全、应用产品），其自身产品的融合工作可能已经作了一些，但总体来说成熟度不高。

4.3.3 与其它信息系统的高度融合

实现与OA、ERP等其他信息系统的有机融合，有效的利用维护、管理、财务等各方面信息提高安全管理水平。安全管理的决策分析和知识经验将成为公司管理的重要组成部分。

4.4 组织的安全管理

4.4.1 组织构成

根据企业的不同情况建立专职或兼职的安全队伍，从事具体的安全工作。由于信息安全工作往往需要多个业务部门的共同参与，为迅速解决业务中出现的问题，提高工作效率，公司必须建立跨部门的协调机制。具体协调机构应由专门的安全组织负责，并明确牵头责任部门或人员。有条件的企业或者组织应成立独立的安全工作组织。

4.4.2 组织责任

a)建立健全相关的安全岗位及职责；

b)制定并发布相关安全管理体系，定期进行修正；

c)对信息系统进行安全评估和实施，处理信息安全事故；

f)部门间的协调和分派并落实信息安全工作中各部门的职责。

以上是SOC必须具备的一些模块，现阶段国内外也有一些厂商推出了安全管理平台软件，从推动整个行业发展来看当然是好现象，但萝卜快了不洗泥，其中也存在一些发展中的问题，比如作为一个SOC必然要求具备统一的安全日志审计功能，但单一安全设备审计软件不能等同于安全管理平台，究其原因为国内现有安全厂商中安全设备厂商占多数，优势项目是在已有安全设备上添加统一日志管理和分析功能，由于是单个厂商的行为缺乏整体的行业标准，导致目前的安全审计软件普遍缺乏联动性，不支持异构设备，就算是对java的支持各个厂商的实现力度也不同，普遍只具备信息统计功能和分析报告的功能。

在目前的安全管理平台提供商中，能提供完整的产品体系厂商非常少。而号称专业的安全产品厂商，因为安全产业起步很晚，这些厂商只能在某个领域做深，还无法提供整套的安全产品线，这也是一个现实。作为用户应该认清需求，把各种安全产品在自己网络中结合起来，深入了解安全管理平台提供商的实力，才能够达到安全目的，满足自己的安全需求。

最后，从投入产出比的角度来说，因为SOC往往只是一个软件平台的开发工作，大多数情况下不需要或者较少需要新的硬件投入，总投入往往不是很大，如果上了SOC后即使不能完善和推荐安全管理体系，也可以起到减轻管理员的工作负担，增强管理员的控制力度，并对整个网络内的安全状况进行统一监控和管理的作用，这样总体来说安全管理平台SOC的投入产出就非常值得。

四 价值

基于某一个具体设备或系统，如WAF、IDS、IPS、漏洞扫描系统进行网络安全分析，信息较分散，容易增加误判、漏判的概率，且需要大量的专业人员，知识积累较困难，应急响应慢。

SOC平台通过收集各类相关安全信息，并进行相互之间的关联分析、印证，从多角度对网内资产进行安全分析和评估，并将安全运维工作流程化，极大提高了发现事件并及时处理响应的能力，同时通过知识积累和系统运维的完善，不断加强和完善网络的安全防护能力、攻击发现及应急响应能力。

SOC的关键优势在于通过持续不断的检测分析数据活动，改善了安全事件的检测。通过夜以继日的分析跨组织网络、终端、服务器和数据库的活动，SOC团队确保及时检测和相应安全事件。SOC提供的24/7监控为组织提供了对抗安全事件和入侵的先机，而且无关资源、时间或者攻击类型。

五 最佳实践

许多安全领导人将更加关注人为因素，而非技术因素，不再依赖一个脚本，而是直接评估和减轻威胁。SOC连续工作管理已知威胁，同时识别新的风险，在风险承受能力范围内满足公司和客户的需求，而防火墙、IPS等技术系统可以防止基本攻击，重大事件上则需要进行人为分析。

为达到最佳效果，SOC必须跟上最新威胁情报，并利用这些信息来改善内部检测和防御机制。SOC消耗的数据来自组织内部和相关信息的外部资源，从而提供洞察威胁和漏洞。这个外部网络情报包括新闻提要、签名更新、事件报告、威胁简报和脆弱性警报，这些都有助于SOC跟上不断发展的网络威胁现状。SOC员工必须为SOC监视工具不断注入威胁情报，保持最新的威胁情报信息，而SOC则必须区分真正的威胁和非威胁。

真正成功的SOC利用安全自动化变得更加有效和高效。通过结合高度娴熟的安全分析师与安全自动化，提高组织分析能力，加强安全措施，更好的防止数据泄露和网络攻击。许多组织内部没有足够的资源来完成这个需求，则需要向提供SOC服务的管理安全服务提供商需求帮助。

参考链接

• http://nic.upc.edu.cn/2019/1225/c7404a231384/page.htm