熊猫cajin西法福利图:什么是SOC

什么是SOC（安全运营中心）安全运营中心（SOC）的建设是目前很多行业用户关注的建设方向，尤其是在电信行业对基于集中安全管理平台来建设SOC的方式，已经越来越被人所关注。但是什么是SOC，这样一个概念在业界并没有形成统一的理解。目前被应用与SOC建设中的一些起步比国内早3-4年的国外厂商，如Arcsight、e-security、eIQnetworks、Open System、NF等公司，大多数把自己的产品归为SEM (安全事件管理)或者SIM（安全信息）产品，而没有标榜自己是SOC解决方案。那么什么是SOC，通过我们分析目前安全建设中面临的一些问题，也许可以看到结论。
      
      在实际大中型网络应用环境中，由于通常采用分期或者分系统建设，在不同的时期和不同应用系统经常会采用不同厂商的安全产品和方案，并引入了相当多异构的安全技术。而来源与防火墙、入侵检测、漏洞扫描、防病毒等等安全设备的事件随着互联网攻击行为和蠕虫的泛滥，在一个中等规模的网络上就可以形成海量安全事件。这些事件中又存在非常多的误报和重复现象，在进行事件分析时，由于只考虑事件本身的严重程度，没有和实际的业务和资产情况结合，使得一些潜在的威胁往往被忽略。
   
      从上面我们可以看到，海量事件和漏洞信息需要有专门安全事件管理工具进行收集过滤、管理和分析；事件和业务资产的结合分析、需要使用信息资产管理工具的支持；而对安全产品的使用、资产风险的分析、安全事件的处理，又需要完善的工作和管理制度、以及专业的维护人员体系。

      分析之后我们可以得出这样一个结论：SOC的建设并不应该理解为单一产品或者一些安全产品的集合，SOC实际是一个整体安全建设的过程和成果。它应该由安全信息平台、安全事件平台、运营维护制度、安全支持服务、安全功能代理、专业维护人员等一系列产品、服务、人员、制度的建设所构成。在某种程度上，我们可以认为它的建设和组成和ERP有相似之处，甚至可以认为这就是一个ESP（Enterprise Security Planning）的建设。
  

如下图所示，XX安全运营中心（XX Security Operation Center，SOC）是由“四个中心、五个功能模块”组成的综合安全运行管理中心。
        “四个中心”是：漏洞评估中心、事件监控中心、综合分析决策支持与预警中心和响应管理中心；
        “五个功能模块”是：策略配置管理、资源管理、用户管理、安全知识管理和中心自身安全；

    四个中心
        事件监控中心
监控各个网络设备、操作系统等日志信息，以及安全产品的安全事件报警信息等，以便及时发现正在和已经发生的安全事件，例如网络蠕虫攻击事件、非授权漏洞扫描事件、远程口令暴力破解事件等，及时协调和组织各级安全管理机构进行处理，及时采取积极主动措施，保证网络和业务系统的安全、可靠运行。
        漏洞评估中心
通过漏洞评估中心可以掌握全网各个系统中存在的安全漏洞情况，结合当前安全的安全动态和预警信息，有助于各级安全管理机构及时调整安全策略，开展有针对性的安全工作，并且可以借助弱点评估中心的技术手段和安全考核机制可以有效督促各级安全管理机构将安全工作落实。
        综合分析决策支持与预警中心
综合分析决策支持与预警中心是综合安全运行管理平台的核心模块，其接收来自安全事件监控中心、性能监控中心和故障监控中心的事件与性能故障信息，依据资产与脆弱性管理平台进行综合的事件与性能故障协同关联分析，并基于资产（CIA属性+价值）和网络拓扑进行风险评估关联分析，按照风险优先级针对各个业务区域和具体事件产生预警，参考网络安全运行知识管理平台的信息，并依据安全策略配置管理平台的策略驱动响应管理中心进行响应处理。
        应急管理中心
仅仅及时检测到安全事件是不够的，必须做出即时的、正确的响应才能保证网络的安全。应急管理中心作为SOC的重要组成部分之一为应急响应服务实现工具化、程序化、规范化提供了管理平台。应急响应中心主要是通过工单管理系统来实现的。应急响应中心接收由风险管理中心根据安全威胁事件生成的事件通知单，并对事件通知单的处理过程进行管理，将所有事件响应过程信息存入后台数据库，并可生成事件处理和分析报告。响应管理中心负责针对所管辖网络的安全事件、风险与故障告警利用通知系统（E-mail、短信和即时消息）、工单系统、联动系统和补丁管理系统进行响应处理。

       五个功能模块
        策略和配置管理
网络安全的整体性要求需要有统一安全策略的管理。通过为全网安全管理人员提供统一的安全策略，指导各级安全管理机构因地制宜的做好安全策略的部署工作，有利于在全网形成安全防范的合力，提高全网的整体安全防御能力，同时通过SOC策略和配置管理平台的建设可以进一步完善整个IP网络的安全策略体系建设，为指导各项安全工作的开展提供行动指南，有效解决目前因缺乏口令、认证、访问控制等方面策略而带来到安全风险问题。
        安全知识管理
安全运行知识管理平台是安全运行知识库信息管理和发布系统，不仅可以充分共享各种安全运行信息资源，而且也会成为各级网络安全运行管理机构和技术人员之间进行安全知识和经验交流的平台，有助于提高人员的安全技术水平和能力。实现综合安全运行管理系统WEB门户，提供统一界面以安全WEB的形式发布最新的安全信息，并将处理的安全事件方法和方案收集起来，形成一个安全共享知识库，该知识库的数据以数据库的形式存储及管理，为培养高素质的网络技术人员提供培训资源。
为了保证各级综合安全运行管理平台之间的信息通畅和管理信息的高效、安全的传递，也为了实现安全信息的共享和利用，网络安全信息管理平台提供了一个集中存放、管理、查询安全知识的管理平台。其主要功能是传递各级安全运行管理信息，形成安全共享知识库，为培养高素质网络安全技术人员提供培训资源。信息内容包括厂家设备信息、来自CERT和CVE等来源的安全最佳惯例的完整数据库、安全运行管理信息、风险评估信息、网络安全技术信息、网络安全策略以及安全案例库等安全知识。
        资源管理
资源管理平台主要包括两个方面：人力资源管理和资产管理。人力资源管理保证在需要的时候，可以找到合适的人。资产管理主要是管理SOC监控范围的各个系统和设备，是风险管理、事件监控协同工作和分析的基础。
        用户管理
安全运营中心提供用户集中管理的功能，对用户可以访问的资源权限进行细致的划分，具备安全可靠的分级及分类用户管理功能，要求支持用户的身份认证、授权、用户口令修改等功能；支持不同的操作员具有不同的数据访问权限和功能操作权限。系统管理员应能对各操作员的权限进行配置和管理，要有完整的安全控制手段,对用户和系统管理员的权限进行分级管理, 相应的账号和口令加密存放，充分保证用户信息的安全性。对系统操作员的密码有安全保障机制。用户的账号等数据以数据库的形式进行加密存储及管理；对用户数据的管理要保证其完整性和一致性,在系统出错的情况下,对用户数据要有有效的保护措施。
        中心自身安全
安全运营中心作为整个网络安全运行的监控者和管理者，其中的每一步关键操作都会对整个网络安全产生重要影响，甚至会改变网络运行方式和运行状态，因此综合安全运行管理中心体系自身的安全性非常重要。综合安全运行管理中心体系的自身安全包括多方面，如物理安全，数据安全，通讯安全等。综合安全运行管理中心在总体设计时必须考虑综合安全运行管理中心体系的使用安全和管理流程安全。
        在所有组件之间进行可选的加密方式确保安全的通信
        引擎可利用数字证书对所有用户类代理进行身份验证
        增强的用户和管理界面可采用基于SSL的身份验证
        补丁软件的自动管理组件可从中央服务器中自动下载补丁软件
        可在所有组件之间实现统一的配置
   功能特点
        安全事件集中收集和处理
通过通用代理（Universal Agent）的部署，在所辖网络、不同的承载业务网及其相关支撑网络和系统上的不同安全信息采集点(防病毒控制台、入侵检测系统控制台、漏洞扫描管理控制台、身份认证服务器和防火墙等，安全运营中心监测点的通用代理引擎及集中器部署)，通过安全通讯方式,集中收集安全事件到安全管理中心中的安全管理服务器进行处理，即：聚并、过滤、范式化、并进行基于资产及域的风险关联分析产生准确的风险管理，从而实现了针对全网的安全事件的集中收集和处理。
具备了实时监控能力，又可利用安全事件回放的功能和其强大的统计分析显示报告系统功能，具备了事后调查取证的能力。
        实时事件关联分析
事件监控中心对来自不同安全系统的报警信息进行实时的关联分析，关联分析的整个过程都是在内存中进行的，并根据威胁程度的大小对安全事件进行排序，对不同威胁程度的安全事件通过不同颜色来着重显示。
风险管理是一个评价对整个企业的威胁并确保这些威胁所构成的风险在可接受程度内的连续过程 – 甚至也包括那些尚属未知的威胁。风险是由威胁、价值和漏洞组成的。威胁是那些对网络资产可能构成危险的活动。网络资产的价值以及驻留在网络中的信息的价值本质上都是主观的因此会随时间而改变。它通常是由系统在公司中所发挥的作用以及该系统所存储或处理的数据来限定的。漏洞系指可导致威胁造成破坏的系统和软件薄弱环节。
采用能计算威胁和风险分数并将这些统计数据关联到针对该环境而定制的基于规则的计算结果中的专用公式为企业提供了威胁和风险评估。系统的评分功能可连续处理低水平攻击，以识别出表示高风险威胁的模式。其独特的评分算法可通过采用高级关联技术而检测出不同类型的威胁和攻击，可使企业识别出杂音、减少假肯定次数并迅速识别出真正的威胁，从而加快响应速度。
        漏洞关联
漏洞关联的目的在于要识别出假肯定警报，同时为那些尚未确定是否为假肯定或假警报的事件分配一个置信等级。这种方法的主要优点在于，它能极大提高威胁运算的有效性并可提供适用于自动响应和/或告警的事件。
漏洞关联引擎使安全人员能确定不同事件的优先级从而及时地对这些事件作出响应。从多个来源收集漏洞数据。然后将这一数据关联到从代理处收集的资产威胁数据并为每个系统分配一个风险分数。
当观察到事件时，安全管理员可实时和自动地将正在发生的该事件与系统的漏洞分数进行比较和评价并确定是否应该采取措施。如果系统不容易遭到该事件的攻击，则无需采取任何行动。
通过将若干加权暴露参数相加，即可分配一个绝对的漏洞分数。在多个系统上进行规范化可提供适用于风险运算的系数。
        资产与脆弱性管理
资产与脆弱性管理实现对网络综合安全运行管理系统所管辖的设备和系统对象的管理。它将其所辖IP设备资产与风险的重要程度关系，依据风险评估的结果、定期的漏洞扫描结果和本模块的信息资产拓扑自动发现功能相结合，遵从BS7799标准的基于资产CIA属性，按照资产信息、漏洞、补丁与备件分类导入或登记入库，并为其他安全运行管理模块提供信息接口,比如响应管理中心、综合分析决策支持与预警平台等。
        安全事件监控
安全事件监控负责实时监控网络的安全事件状态，是实时掌握全网的安全威胁状况的重要手段之一。通过事件监控模块监控网络各个网络设备、主机系统等日志信息，以及安全产品的安全事件日志信息等，及时发现正在和已经发生的安全事件，通过响应管理中心模块采取措施，保证网络和业务系统的安全、可靠运行。实时将其结果输入综合分析决策支持与预警平台。
安全事件监控中心还包括网络异常流量监控模块。蠕虫和DDOS攻击是影响网络正常运行的主要安全威胁之一。通过异常流量监控模块实时监控重要网络链路的流量状况，可以及时检测网络中的异常流量，采取有效措施降低异常流量对网络的影响。
        安全策略配置管理
通过安全策略配置管理平台的建设可以进一步完善整个网络的安全策略配置管理体系建设，为全网安全运行管理人员提供统一的安全策略，为各项安全工作的开展提供指导，有效解决目前因缺乏口令、认证、访问控制等方面策略而带来的安全风险问题。安全策略配置管理平台模块基于拓扑和协议负责全网的基本网络安全策略配置模板的制定（主要针对路由器、网络交换机、防火墙和VPN设备），并将安全策略转换为可执行的脚本，便于策略的有效执行和快速配置部署。
配置管理是对网络设备进行运行参数配置（主要针对网络设备、防火墙和VPN设备等），对网络资源进行分配以及对用户服务级别进行管理和网络资源管理，包括网络设备发现和拓扑图呈现功能。
        性能监控
性能监控负责监控网络的性能运行状态，性能管理模块通过可视化界面对网络运行情况进行实时监控，包括各种使用的网络协议的比例、服务器的使用性能以及用户对网络资源的使用情况监控，便于网络管理人员掌握网络的各种运行状况，及时发现网络运行中的异常情况；性能管理的作用是维护网络服务质量和网络运行效率。其提供网络设备的性能特征，以供网络趋势分析、网络扩建、网络控制时参考，为此性能管理要提供性能监测功能、性能分析功能，以及性能管理控制功能。
        故障监控
故障监控中心负责网络设备和网络以及服务故障进行发现、监控和处理。故障管理的作用是迅速发现和纠正网络故障，动态维护网络的有效性。故障管理负责监视网络设备的故障告警，进行故障诊断及定位分析，告警日志的创建及维护，并通过冗余设备或冗余路由即时恢复措施重新提供服务。
        终端管理
终端管理负责管理监控终端网络行为的系统，其功能：监视并用于防止系统终端的任何重要数据泄漏。综合安全运行管理中心此功能实现依赖于终端管理系统的部署。
系统为终端引擎的内部安全设定了安全策略，自动运行于客户后台。管理员可以实时监控数据的流动，但不影响客户对机器的正常使用。终端没有中止的功能，用户不能删除或者中止该程序，只有服务器端才有权远程卸载该程序。这样所有用户都受到安全策略的控制，有效防止了信息的外流。 终端引擎将会控制和记录终端引擎信息，诸如通讯软件、打印、邮件、互联网、可移动存储设备的使用，日志文件的查看等等。
        能够收集任何发生在终端引擎的信息泄漏事件，将终端引擎信息传入服务器。
        任何可移动存储设备均在服务器控制台控制之下，不存在信息泄漏。
        对需要传送的信息流进行加密授权及解密授权，无权不能传送数据。
        安全管理协议可以控制每一台终端，保证所有信息不外泄。
       漏洞评估管理
SOC的漏洞评估中心通过人工审计和漏洞扫描工具两种方式，收集整个网络的弱点情况并进行统一管理，使得管理人员可以清楚的掌握全网的安全健康状况。
弱点评估管理具有统一的可视界面，显示各个系统的安全漏洞分布情况，包括以下内容：
        以显著的图示方式表示各个系统的漏洞级别；
        该漏洞相关的链接信息，包括CVE编号、漏洞描述、受影响的系统类型以及漏洞的解决方案等信息；
        统计信息，即给出漏洞的分布、数量等统计信息。
SOC支持多种漏洞扫描工具，包括启明星辰的天镜漏洞扫描系统、ISS Scanner、eEye Retina、Nessus、Foundstone Foundscan等。
        响应管理
SOC解决方案的响应管理是通过工作流系统实现的。该系统是专门针对安全事件的处理过程，根据具体的安全响应流程进行定制的。其工作流程如下图所示：
     
事件监控中心监测到安全事件后有专人生成新的工单，一方面有专人会通过系统报警的方式收到通知并在规定的时间内对工单进行接收，并进入对安全事件的处理阶段，另一方面工单跟踪模块会对工单被派发后的整个过程进行跟踪，进行工单收回、重新派发等工作。工单处理结果可能有两种可能：一种是安全事件被解决，这个工单就被关闭，同时工单的内容被保存到知识库中，作为历史记录和以后参考用；另一种情况是安全事件因为某些原因没有被彻底解决，这个工单所包含的问题会被重新处理考虑，生成新的工单，进入新的工单处理流程。
应急响应管理完善了从防护到检测再到响应的一个安全事件处理过程的闭环。
        全面知识管理
SOC的知识管理平台既提供一般知识管理功能，比如安全知识库、培训和人员考核等，也提供了强大的漏洞库、事件特征库、补丁库、安全配置知识库和应急响应知识库等。xxxx公司作为国家CNCVE项目的承担单位拥有自主产权的漏洞库和事件特征库，SOC的漏洞库和事件特征库兼容了国内国际上流行的各种漏洞库，比如CNCVE，CVE，Bugtraq等，同时启明星辰的积极防御实验室会及时发布最新发现的各种安全漏洞，并定期对已知漏洞进行总结。
        多样化显示方式
提供不同的数据视图，包括：整个网络的可视化视图、具体应用服务器的深入视图、关于以规则为基础的相关数据的交叉视图，以及可显示与最优风险水平不同的统计视图。需要考察的一些更新特性包括：彩色代码告警、风险预测、政策偏差、地理地图、地形投影、体系结构映射、应用装载、交易中的异常“显示点”、建筑物出口，以及电子系统访问点等。还可实现关于以资产及业务为基础的风险的视图，如“对资产及业务的影响”和“攻击的可能性”等简单而有效的视图，使企业能更轻松地根据自身的独特需求来安排纠正措施的优先级。
事件监控中心提供了多种实时显示方式，如网络拓扑方式、雷达方式、柱形图等，直观的将安全威胁数据呈现给用户。

        安全智能
提供了安全管理员强大的安全智能功能，包括：
        统一的任何时间/任何地点管理控制台
        实时关联
        全集成事故响应管理系统
        高性能分布式体系结构
        资产-风险漏洞评分
        广泛的设备和应用程序支持
        用户协作区
        直观的更新和系统健康管理
        签名管理功能

        丰富直观的报表
提供可靠的报告功能，其特性包括事件级和行政级报告。被授权操作员和分析员可从事件个案数据库中轻松检索事件个案。系统可对逐个个案或多组个案生成个案报告。系统可为管理人员和行政主管人员轻松生成个案监控和汇总报告。此外，还可对进行配置，使之能自动生成事件报告供公司管理层或第三方分享。
SOC提供了丰富的报表模板供用户选择，除了文字总结还可以用清晰直观的图形化方式将报表呈现给用户。
        
        高容错性和高可用性
提供多冗余的同时适应企业规模的增长：
一个代理可以支持一个或多个引擎（ENGINE），当一个主送引擎出现故障时代理可自动切换到备送引擎，这样就可以确保SOC的高容错性和高可用性。
        广泛的平台支持
xxxxSOC支持从各种主流安全系统收集安全事件数据，并可以和网管系统实现结合管理。目前支持的产品有：
        防火墙系统：Checkpoint NG, NGAI and Provider/1; Cisco PIX; Netscreen; Secure Computing Sidewinder G2
        入侵监测系统：启明星辰天阗IDS，Enterasys Dragon, ISS RealSecure, Cisco Secure IDS(v3:POP; v4:RDEP); Snort; Symantec Manhunt; nCircle IP360
        防病毒系统：Sophos; Symantec Corporate (Norton); McAfee ePO; Trend Micro
        漏洞扫描系统：启明星辰天镜Scanner; eEye Retina; nCircle IP360; Nessus; ISS Scanner, Foundstone Foundscan
        网管系统：HP OpenView; MicroMuse NetCool; CA UniCenter
        其他：Windows Event Log; UNIX Syslog; Tripwire; SNMP, SNMP Traps
        定制化：基于日志的数据源通常可以在一周左右定制化完成