安全运营中心（SOC）发展趋势探讨

安全运营中心（SOC）发展趋势探讨

中国网通集团研究院/傅坚 陈斌 季文羽中

随着电信企业信息化建设步伐的加快，如何有效化解安全风险，有效应对各种突发性安全事件已成为不容忽视的问题。与普通企业相比，电信运营商的信息安全系统不仅部署地域分散，规模庞大，而且与业务系统耦合性较高；如何将现有安全系统纳入统一的管理平台，实现安全形势全局分析和动态监控已成为各级信息系统维护部门面临的主要问题。SOC(Security Operation Center)安全运营中心应运而生，是目前流行的电信级安全解决方案。SOC的出现对应数据的集中管理趋势，通过集中收集、过滤、关联分析安全事件，提供安全趋势报告，及时作出反应，实现对风险的有效控制。

目前主要安全厂商陆续推出了SOC解决方案，中国移动、中国电信也相继拿出若干省市开展SOC建设试点工作。由于国内没有成熟的运维经验，SOC发展过程遇到一些问题，导致人们对SOC产生不少认识误区，直接影响了SOC的大规模推广。本文全面分析了SOC的定位、主要功能、技术难点以及发展趋势，并探讨了SOC存在的主要问题，希望帮助人们全面理解SOC，更好地推动这一新生事务的发展。

SOC概述

信息系统发展的一个显著特点是：资源平台化、数据集中化。信息安全保障系统作为信息系统的重要组成部分，其发展也必须符合信息系统发展趋势。安全运行中心是描述“对安全事件(Security Incident)提供检测和响应服务的所有平台”通用术语。SOC的核心是检测和响应功能，通俗一点讲，就是基于获取的海量安全事件，分析整个系统的安全状态和安全趋势，对危害严重的安全事件及时做出反应。

依据信息系统生命周期理论，与信息的产生、传输、存储、分析、处理五个环节相对应，SOC系统包括下列功能模块：

※ 事件发生器（E）模块

事件发生器负责生成安全事件，可分为基于数据的事件发生器和基于状态的事件发生器。前者指传感器，如网络入侵检测系统、主机检测系统、防火墙等，主要产生由操作系统、应用、网络操作引发的事件；后者指轮询器（Poller），产生响应外部激励（如Ping、SNMP命令）的事件，外部激励主要用来检查服务状态、数据完整性。这类事件的典型例子是网管系统中轮询工作站向管理工作站发送的告警信息。

※ 收集模块（C）

收集模块负责从不同传感器收集信息并转换为标准格式，从而形成统一信息方便后续处理。

※ 存储模块（D）

和其他模块相比，存储模块标准化程度很高，可以简单理解为数据库，惟一特殊的是需要进行相关性处理，识别来自同一源或不同源的重复事件。

※ 分析模块（A+K）

该模块负责分析存储在数据库中的事件，为响应模块提供响应的充分依据（告警信息）。分析过程又离不开知识库（K模块）的支持，知识库存储入侵路径、系统安全模型、安全策略等知识。分析模块是SOC系统最复杂的部分，包括相关性分析、结构化分析、入侵路径分析、行为分析。

※ 响应模块（R）

响应模块功能负责对安全事件做出及时有效响应，涵盖反击正在发生安全事件的所有响应（Reaction）和报告工具。由于牵扯到人的因素，响应行为具有相当的主观性，很多时候需要根据长期积累的基于经验的最佳实践或建议。但其重要性不能低估。响应模块不仅需要对外提供自动化的控制台接口、事件快速响应接口、实时监控接口、统计分析接口；还需向用户提供永久性风险评估报告、中长期安全行为报告、系统状态报告。

SOC各个模块之间关系如图1所示。

1.SOC vs安全子系统

对于计算机信息系统的安全，国内外形成这样一个共识——系统安全是一个动态的过程。在以安全策略为中心的P2DR2模型中，安全过程被分为四个阶段，分别是制定风险评估（Risk Analysis）、实施事前的预防（Prevention）实施事中的检测（Detection）以及事后的响应（Response）。这四个阶段构成一个完整的信息系统安全生命周期，风险分析产生安全策略，安全策略决定预防、检测和响应措施。

安全运营中心（SOC）在P2DR2模型中的位置如图2所示，其中SOC跨越检测、响应两个阶段，涵盖相应的检测、响应措施。通过将检测和响应有机联系在一起，不仅可以实现对攻击的“早发现，早阻断”，而且有助于及时发现系统安全漏洞，推动安全策略的持续改进、保护措施的完善。

SOC五大功能模块中，事件发生器模块、响应模块与安全子系统联系紧密：

※ 安全事件主要由传感器产生，最典型的传感器是入侵检测系统，但也可以是任何具备日志功能的过滤系统，如防火墙、具备访问控制列表功能的路由器、具备MAC地址过滤功能的交换机和无线Hub、Radius服务器；甚至是网络监听设备（Sniffer）、蜜罐系统（Honey Pot）。

※ 除了需要安全子系统及时报告安全事件，SOC对安全事件的响应常常也借助于安全系统，例如防火墙与入侵检测系统联动，在防火墙中动态添加过滤规则。

※ 在事件收集过程中，出于安全性考虑，往往采用加、解密技术保证消息的机密性和完整性。

2.SOC vs NOC

目前电信运营商都已建立网管中心（NOC）。根据ITU提出的FCAPS模型，网管系统的主要功能是故障管理(Fault)、配置管理(Configuration)、计费管理(Accounting)、性能管理(Performance)、安全管理(Security)。表面上NOC有安全管理功能，似乎SOC与NOC功能重叠；实际上由于二者定位不同，功能、作用差别很大。概括起来，网管中心与安全运营中心主要区别如下：

※ NOC的安全管理功能侧重访问控制，强调控制对计算机网络中信息的访问，保护系统、服务、数据免受非法入侵、破坏；SOC注重对安全攻击的检测和响应。

※ NOC的安全功能着眼于“事前预防”，即先采取措施预防非法攻击；而SOC的安全功能属于“事后处理”，换句话说，出现安全事件怎样阻断攻击，怎么反击。

※ 网管中心强调对网络的全面管理，在五大功能中安全管理只占很少一部分；而SOC完全面向安全管理，安全功能更专业、全面。

※ SOC在收集安全事件时，有时采用轮询方式，利用某些网管系统的监控功能。

长期以来，人们在NOC的建设、管理、维护方面积累了丰富的经验，SOC的建设和运行可以合理借鉴这些经验。例如，在组织架构和管理模式方面SOC可以参照NOC的做法；但在工作流程设计上SOC最好采用与NOC平行的模式。出于简化管理考虑，国外也有将SOC和NOC放在一起的成功案例。

SOC涉及的关键技术

在安全事件的一体化处理流程中，SOC采用一系列新技术，在有效提高应用系统安全性的同时，尽量减轻安全事件相关操作对业务系统