安全运营中心发展现状与应用探讨汇总

安全运营中心（SOC）发展现状与应用探讨

随着电信企业信息化建设步伐的加快，如何有效化解安全风险，有效应对各种突发性安全事件已成为不容忽视的问题。与普通企业相比，电信运营商的信息安全系统不仅部署地域分散，规模庞大，而且与业务系统耦合性较高；如何将现有安全系统纳入统一的管理平台，实现安全形势全局分析和动态监控已成为各级信息系统维护部门面临的主要问题。SOC(SecurityOperationCenter)安全运营中心应运而生，是目前流行的电信级安全解决方案。SOC的出现对应数据的集中管理趋势，通过集中收集、过滤、关联分析安全事件，提供安全趋势报告，及时作出反应，实现对风险的有效控制。

目前主要安全厂商陆续推出了SOC解决方案，中国移动、中国电信也相继拿出若干省市开展SOC建设试点工作。由于国内没有成熟的运维经验，SOC发展过程遇到一些问题，导致人们对SOC产生不少认识误区，直接影响了SOC的大规模推广。本文全面分析了SOC 的定位、主要功能、技术难点以及发展趋势，并探讨了SOC存在的主要问题，希望帮助人们全面理解SOC，更好地推动这一新生事务的发展。

1.SOC概述

信息系统发展的一个显著特点是：资源平台化、数据集中化。信息安全保障系统作为信息系统的重要组成部分，其发展也必须符合信息系统发展趋势。安全运行中心是描述“对安全事件(SecurityIncident)提供检测和响应服务的所有平台”通用术语。SOC的核心是检测和响应功能，通俗一点讲，就是基于获取的海量安全事件，分析整个系统的安全状态和安全趋势，对危害严重的安全事件及时做出反应。

1.1.SOC的安全子系统组成

依据信息系统生命周期理论，与信息的产生、传输、存储、分析、处理五个环节相对应，SOC系统包括下列功能模块：

※事件发生器（E）模块

事件发生器负责生成安全事件，可分为基于数据的事件发生器和基于状态的事件发生器。前者指传感器，如网络入侵检测系统、主机检测系统、防火墙等，主要产生由操作系统、应用、网络操作引发的事件；后者指轮询器（Poller），产生响应外部激励（如Ping、SNMP 命令）的事件，外部激励主要用来检查服务状态、数据完整性。这类事件的典型例子是网管系统中轮询工作站向管理工作站发送的告警信息。

※收集模块（C）

收集模块负责从不同传感器收集信息并转换为标准格式，从而形成统一信息方便后续处理。

※存储模块（D）

和其他模块相比，存储模块标准化程度很高，可以简单理解为数据库，惟一特殊的是需要进行相关性处理，识别来自同一源或不同源的重复事件。

※分析模块（A+K）

该模块负责分析存储在数据库中的事件，为响应模块提供响应的充分依据（告警信息）。分析过程又离不开知识库（K模块）的支持，知识库存储入侵路径、系统安全模型、安全策略等知识。分析模块是SOC系统最复杂的部分，包括相关性分析、结构化分析、入侵路径分析、行为分析。

※响应模块（R）

响应模块功能负责对安全事件做出及时有效响应，涵盖反击正在发生安全事件的所有响应（Reaction）和报告工具。由于牵扯到人的因素，响应行为具有相当的主观性，很多时候需要根据长期积累的基于经验的最佳实践或建议。但其重要性不能低估。响应模块不仅需要对外提供自动化的控制台接口、事件快速响应接口、实时监控接口、统计分析接口；还需向用户提供永久性风险评估报告、中长期安全行为报告、系统状态报告。

1.2.SOC vs NOC

目前电信运营商都已建立网管中心（NOC）。根据ITU提出的FCAPS模型，网管系统的主要功能是故障管理(Fault)、配置管理(Configuration)、计费管理(Accounting)、性能管理(Performance)、安全管理(Security)。表面上NOC有安全管理功能，似乎SOC与NOC功能重叠；实际上由于二者定位不同，功能、作用差别很大。概括起来，网管中心与安全运营中心主要区别如下：

※NOC的安全管理功能侧重访问控制，强调控制对计算机网络中信息的访问，保护系统、服务、数据免受非法入侵、破坏；SOC注重对安全攻击的检测和响应。

※NOC的安全功能着眼于“事前预防”，即先采取措施预防非法攻击；而SOC的安全功能属于“事后处理”，换句话说，出现安全事件怎样阻断攻击，怎么反击。

※网管中心强调对网络的全面管理，在五大功能中安全管理只占很少一部分；而SOC 完全面向安全管理，安全功能更专业、全面。

※SOC在收集安全事件时，有时采用轮询方式，利用某些网管系统的监控功能。

长期以来，人们在NOC的建设、管理、维护方面积累了丰富的经验，SOC的建设和

运行可以合理借鉴这些经验。例如，在组织架构和管理模式方面SOC可以参照NOC的做法；但在工作流程设计上SOC最好采用与NOC平行的模式。出于简化管理考虑，国外也有将SOC和NOC放在一起的成功案例。

2.SOC涉及的关键技术

在安全事件的一体化处理流程中，SOC采用一系列新技术，在有效提高应用系统安全性的同时，尽量减轻安全事件相关操作对业务系统性能的影响。SOC建设中涉及的关键技术有负载均衡技术、模式分析技术、结构化分析技术、快速响应技术。

2.1.负载均衡

在SOC的设计和建设过程，必须优先考虑性能因素。虽然原始信息越多、越详细，越有助于SOC分析和检测正在发生的攻击企图，但采集、处理过多的信息对SOC处理能力提出挑战，严重影响性能。一方面，每个传感器每秒钟可能产生成百上千条消息，全部类型各异的传感器实时上报消息对SOC收集模块的处理能力提出很高要求。另一方面，收集模块也轮询获取系统状态，过于频繁的轮询会占用被管理系统宝贵的CPU资源，直接影响其业务的运行。

与保证服务器端服务类似，提高SOC的伸缩性、可用性可以采用：

※负载均衡技术，如高可用性（HA）、集群（Cluster）、双机热备。

※源过滤技术，传感器预先过滤掉不重要的信息，减轻SOC的处理压力。

2.2.模式分析（相关性）

安全事件分析处理的好坏直接关系着SOC系统的后续处理，分析模块综合分析来自不同设备、数量庞大的事件序列，通过模式匹配找出安全事件之间的内在联系（相关性），最终产生高度合成的准确分析结果。模式分析的基本内容包括：

1)识别重复信息，对于收到的多条重复信息进行筛选或过滤，以减轻存储负担。

2)序列模式匹配，判别一系列消息是否由同一入侵企图触发。

3)事件模式匹配，通过基于时间的上下文分析，识别缓慢分布式入侵过程。

4)安全策略匹配，基于行为匹配识别符合安全策略规则的某些事件，如管理员登陆、认证。

5)系统威胁分析，判断目标系统是否受已检测到攻击企图的威胁，并分析此类攻击对系统安全的整体影响。

2.3.脆弱性分析

脆弱性（Vulnerability）是指系统存在的安全漏洞或不安全的行为，这些信息可能损害