什么是SOC?
SOC英文名,Security Operate Center ,中文名,安全运营中心,国内也有人叫安管平台、安全运维中心等等。
安全运营中心(
SOC
)的建设是目前很多行业用户关注的建设方向,尤其是在电信、移动等运营商以及银行等行业对基于集中安全管理平台来建设
SOC
的方式,已经越来越被人所关注。但是什么是
SOC
,这样一个概念在业界并没有形成统一的理解。目前被应用与
SOC
建设中的一些起步比国内早
3-4
年的国外厂商,如
Arcsight
、
e-security
、
eIQnetworks
、
Open System
、
NF
等公司,大多数把自己的产品归为
SEM (
安全事件管理
)
或者
SIM
(安全信息)产品,而没有标榜自己是
SOC
解决方案。那么什么是
SOC
,通过我们分析目前安全建设中面临的一些问题,也许可以看到结论。
在实际大中型网络应用环境中,由于通常采用分期或者分系统建设,在不同的时期和不同应用系统经常会采用不同厂商的安全产品和方案,并引入了相当多异构的安全技术。而来源与防火墙、入侵检测、漏洞扫描、防病毒等等安全设备的事件随着互联网攻击行为和蠕虫的泛滥,在一个中等规模的网络上就可以形成海量安全事件。这些事件中又存在非常多的误报和重复现象,在进行事件分析时,由于只考虑事件本身的严重程度,没有和实际的业务和资产情况结合,使得一些潜在的威胁往往被忽略。
从上面我们可以看到,海量事件和漏洞信息需要有专门安全事件管理工具进行收集过滤、管理和分析;事件和业务资产的结合分析、需要使用信息资产管理工具的支持;而对安全产品的使用、资产风险的分析、安全事件的处理,又需要完善的工作和管理制度、以及专业的维护人员体系。
分析之后我们可以得出这样一个结论:
SOC
的建设并不应该理解为单一
四个中心
事件监控中心
:
监控各个网络设备、操作系统等日志信息,以及安全产品的安全事件报警信息等,以便及时发现正在和已经发生的安全事件,例如网络蠕虫攻击事件、非授权漏洞扫描事件、远程口令暴力破解事件等,及时协调和组织各级安全管理机构进行处理,及时采取积极主动措施,保证网络和业务系统的安全、可靠运行。
漏洞评估中心
:
通过漏洞评估中心可以掌握全网各个系统中存在的安全漏洞情况,结合当前安全的安全动态和预警信息,有助于各级安全管理机构及时调整安全策略,开展有针对性的安全工作,并且可以借助弱点评估中心的技术手段和安全考核机制可以有效督促各级安全管理机构将安全工作落实。
综合分析决策支持与预警中心
:
综合分析决策支持与预警中心是综合安全运行管理平台的核心模块,其接收来自安全事件监控中心、性能监控中心和故障监控中心的事件与性能故障信息,依据资产与脆弱性管理平台进行综合的事件与性能故障协同关联分析,并基于资产(
CIA
属性
+
价值)和网络拓扑进行风险评估关联分析,按照风险优先级针对各个业务区域和具体事件产生预警,参考网络安全运行知识管理平台的信息,并依据安全策略配置管理平台的策略驱动响应管理中心进行响应处理。
应急管理中心
:
仅仅及时检测到安全事件是不够的,必须做出即时的、正确的响应才能保证网络的安全。应急管理中心作为
SOC
的重要组成部分之一为应急响应服务实现工具化、程序化、规范化提供了管理平台。应急响应中心
......
五个功能模块
策略和配置管理
:
网络安全的整体性要求需要有统一安全策略的管理。通过为全网安全管理人员提供统一的安全策略,指导各级安全管理机构因地制宜的做好安全策略的部署工作,有利于在全网形成安全防范的合力,提高全网的整体安全防御能力,同时通过
SOC
策略和配置管理平台的建设可以进一步完善整个
IP
网络的安全策略体系建设,为指导各项安全工作的开展提供行动指南,有效解决目前因缺乏口令、认证、访问控制等方面策略而带来到安全风险问题。
安全知识管理
:
安全运行知识管理平台是安全运行知识库信息管理和发布系统,不仅可以充分共享各种安全运行信息资源,而且也会成为各级网络安全运行管理机构和技术人员之间进行安全知识和经验交流的平台,有助于提高人员的安全技术水平和能力。实现综合安全运行管理系统
WEB
门户,提供统一界面以安全
WEB
的形式发布最新的安全信息,并将处理的安全事件方法和方案收集起来,形成一个安全共享知识库,该知识库的数据以数据库的形式存储及管理,为培养高素质的网络技术人员提供培训资源。
为了保证各级综合安全运行管理平台之间的信息通畅和管理信息的高效、安全的传递,也为了实现安全信息的共享和利用,网络安全信息管理平台提供了一个集中存放、管理、查询安全知识的管理平台。其主要功能是传递各级安全运行管理信息,形成安全共享知识库,为培养高素质网络安全技术人员提供培训资源。信息内容包括厂家设备信息、来自
CERT
和
CVE
等来源的安全最佳惯例的完整数据库、安全运行管理信息、风险评估信息、网络安全技术信息、网络安全策略以及安全案例库等安全知识。
功能特点
安全事件集中收集和处理
:
通过通用代理(
Universal Agent
)的部署,在所辖网络、不同的承载业务网及其相关支撑网络和系统上的不同安全信息采集点
(
防病毒控制台、入侵检测系统控制台、漏洞扫描管理控制台、身份认证服务器和防火墙等,安全运营中心监测点的通用代理引擎及集中器部署
)
,通过安全通讯方式
,
集中收集安全事件到安全管理中心中的安全管理服务器进行处理,即:聚并、过滤、范式化、并进行基于资产及域的风险关联分析产生准确的风险管理,从而实现了针对全网的安全事件的集中收集和处理。
具备了实时监控能力,又可利用安全事件回放的功能和其强大的统计分析显示报告系统功能,具备了事后调查取证的能力。
实时事件关联分析
:
事件监控中心对来自不同安全系统的报警信息进行实时的关联分析,关联分析的整个过程都是在内存中进行的,并根据威胁程度的大小对安全事件进行排序,对不同威胁程度的安全事件通过不同颜色来着重显示。
风险管理是一个评价对整个企业的威胁并确保这些威胁所构成的风险在可接受程度内的连续过程甚至也包括那些尚属未知的威胁。风险是由威胁、价值和漏洞组成的。威胁是那些对网络资产可能构成危险的活动。网络资产的价值以及驻留在网络中的信息的价值本质上都是主观的因此会随时间而改变。它通常是由系统在公司中所发挥的作用以及该系统所存储或处理的数据来限定的。漏洞系指可导致威胁造成破坏的系统和软件薄弱环节。
采用能计算威胁和风险分数并将这些统计数据关联到针对该环境而定制的基于规则的计算结果中的专用公式为企业提供了威胁和风险评估。系统的评分功能可连续处理低水平攻击,以识别出表示高风险威胁的模式。其独特的评分算法可通
SOC
解决方案的响应管理是通过工作流系统实现的。该系统是专门针对安全事件的处理过程,根据具体的安全响应流程进行定制的。其工作流程如下图所示:
事件监控中心监测到安全事件后有专人生成新的工单,一方面有专人会通过系统报警的方式收到通知并在规定的时间内对工单进行接收,并进入对安全事件的处理阶段,另一方面工单跟踪模块会对工单被派发后的整个过程进行跟踪,进行工单收回、重新派发等工作。工单处理结果可能有两种可能:一种是安全事件被解决,这个工单就被关闭,同时工单的内容被保存到知识库中,作为历史记录和以后参考用;另一种情况是安全事件因为某些原因没有被彻底解决,这个工单所包含的问题会被重新处理考虑,生成新的工单,进入新的工单处理流程。
应急响应管理完善了从防护到检测再到响应的一个安全事件处理过程的闭环。
全面知识管理
:SOC
的知识管理平台既提供一般知识管理功能,比如安全知识库、培训和人员考核等,也提供了强大的漏洞库、事件特征库、补丁库、安全配置知识库和应急响应知识库等。
xxxx
公司作为国家
CNCVE
项目的承担单位拥有自主产权的漏洞库和事件特征库,
SOC
的漏洞库和事件特征库兼容了国内国际上流行的各种漏洞库,比如
CNCVE
,
CVE
,
Bugtraq
等,同时启明星辰的积极防御实验室会及时发布最新发现的各种安全漏洞,并定期对已知漏洞进行总结。
多样化显示方式
:
提供不同的数据视图,包括:整个网络的可视化视图、具体应用服务器的深入视图、关于以规则为基础的相关数据的交叉视图,以及可显示与最优风险水平不同的统计视图。需要考察的一些更新特性包括:彩色代码告警、风险预测、政策偏差、地理地图、地形投影。