安全运营（SOC）概述

一、安全运营（SOC：Security Operations Center）

       一般地，SOC被定义为：以资产为核心，以安全事件管理为关键流程，采用安全域划分的思想，建立一套实时的资产风险模型，协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。 
        本质上，SOC不是一款单纯的产品，而是一个复杂的系统，他既有产品，又有服务，还有运维(运营)，SOC是技术、流程和人的有机结合。SOC产品是SOC系统的技术支撑平台，这是SOC产品的价值所在。

二、为什么用SOC?

    过去我们都让安全专家来管理各种类型的防火墙、IDS和诸如此类的安全措施，这主要是因为安全问题一般都发生在网络中非常具体的某个地点。但是，现在的情况已经变化，安全问题已经不再像当年那么简单。安全是一个动态的过程，因为敌方攻击手段在变，攻击方法在变，漏洞不断出现；我方业务在变，软件在变，人员在变，妄图通过一个系统、一个方案解决所有的问题是不现实的，也是不可能的，安全需要不断地运营、持续地优化。安全措施应当被实施在应用层、网络层和存储层上。它已经成为您的端对端应用服务中的一部分，与网络性能的地位非常接近。

三、起源

SOC的提出首先来源于安全服务提供商，他们首先提出了可管理安全服务（MSS）概念。从1998~2001年国外SOC发展的大致情况看，SOC发展一直都是作为服务（中心）和产品（平台）两个维度来发展的。现在的SOC究竟是服务还是产品，取决于你的发展策略：

   1）SOC可以用于建立MSS运营平台，成为MSS的基础，这个SOC是一个中心，有固定的场所，有一个SOC技术支撑平台，有组织人员、有一套运营的流程，为第三方提供安全管理服务；

   2）SOC可以用于建立企业和组织的安全运营中心。这个中心首先要有一套SOC平台，然后借助这个平台，企业和组织进行安全运维。如果仅仅购买一个平台，而不考虑运维，就像买了一把扫帚而不用，房间是不会自己变干净的。

四、业界最终用户建设SOC安全运营中心的三种方法

   1）自建型SOC：自己搭建平台，建立自己的组织和流程，并进行运维。其中平台部分，用户可以自己设计并开发平台，也可以外购一个技术平台；
   2）外包型SOC：购买MSS服务，租用MSSP(管理安全服务提供商)的SOC，或者叫做安全服务外包，包括租用安全基础设施； 
   3）共建SOC：目前比较多见的方式，自己搭建SOC技术平台，建立核心的组织结构和流程，处理核心的安全问题，然后利用外脑（外包服务）来进行协维、咨询；该方式是前两种方式的综合。

       自建型SOC主要涉及SOC的创建和运维，SOC的创建可以参考《Building a Security Operations Center》，运维可参考《How to SOC it to the bad guys》以及。

        针对外包型SOC，选择时除了考虑有强有力的基础实施、人员、流程和制度管理外，还应该有很好的信誉和资质，能够给用户带来安全感。

五、MSSP如何构建SOC

        对于自己搭建SOC安全运营中心，但主要不是自用，而是用它去做MSS的MSSP在构建SOC时同样要考虑技术、流程和组织三个方面的内容。具体操作的时候，也有两个方式：  

1）自建型MSSP，也就是自己来，以我为主的方式。可以利用自身现有的积累和优势，拓展成为一个MSSP，如国内的安全宝。

2）共建型MSSP，就是几个人（几家单位）一起来，各自贡献自己的优势，参与方可能包括基础设施提供商、运维和服务提供商，还有技术平台提供商，等等。