安全运行中心(SOC)设计.docVIP

安全运行中心（SOC） 安全运行中心（SOC）的概念起始于2000年下半年，它和管理安全服务（MSS）是相辅相成的关系。前者体现了集中监控、整体安全的概念，后者的中心思想是安全管理的委托外包。它们之间有着紧密的联系，但是却没有内在的必然联系。只不过在当前业界的实践中，许许多多的管理安全服务提供商（MSSP）都是通过建设SOC来提供服务的。 SOC概念的出现是整个安全管理逐渐成熟的标志，反映了管理和技术层对于设备和应用的安全属性、安全产品等的健康状况、策略、配置、事件、响应等的关注和重视。SOC也是提高网络安全投入产出比、最大限度集中利用安全专家队伍智慧、提高对网络突发事件的响应能力的重要手段，它甚至是网络运行的自主控制权的集中体现。 如下图所示，中心集中部署的监视、策略控制、配置管理、响应等模块通过与分布在网络各个分支远端节点的信息交互发生作用。 它的作用可以用四个中心来描述：策略中心、事件中心、响应中心和情报和知识中心。 图：安全运行中心 策略中心 对于电信级大规模网络的运行维护，最为挑战性的莫过于保持全网策略的一致性。尤其是对于日新月异的网络安全技术，需要经常性的频繁应对出现的新漏洞、根据新的业务调整安全策略。如何做好全网的策略配置管理以及相应的审计？答案就是集中的安全运行中心。 通过SOC，管理层的安全策略可以统一地转变为实际的网络配置，并且得到定期的、不定期的、及时的评估审计。 策略中心制订全网的安全策略，这些策略文件可由省级网管（或PSOC）通过Web方式获得，通过手工或者直接的方式进行配置落实。 策略中心能够收集从各省市网管、业务部门反馈来的针对每个策略的意见，从而不断调整优化安全策略。 安全策略管理中心还负责维护所有安全策略的版本信息。 策略中心的逻辑功能包括： 账号、认证设置 访问策略配置 审计策略配置 响应策略配置 应用、软件升级策略 备份和恢复策略 基于角色的安全策略查询 安全策略的配置管理（Configuration Management） 事件中心 电信级网络的各种安全设备和产品每天都要产生海量的各种安全事件。对这些事件的集中监视是控制网络风险、提高网络服务水平的重要手段。 安全事件中心提供全网安全事件的集中监控服务。它与NOC使用同一个事件系统，但专注于安全相关事件的监控。 安全事件中心进行实时的安全监控，并且将安全事件备份到后台的数据库中，以备查询和生成安全运行报告。 安全事件中心可根据安全策略设置不同事件的处理策略，如可将关键系统的特定安全事件升级为事故，并自动收集相关信息，生成事故通知单(Trouble Ticket)进入事故处理系统。 各个省市的网管或者PSOC可通过Web和其它方式，从事件监控中心获得本省的安全事件视图，生成本地的安全运行报告。 事件中心的逻辑功能包括： 可用性和完整性监视 认证和访问事件 网络行为异常事件 策略变更事件 其它可配置的安全事件 事故（故障）通知单的生成与升级 提供基于角色的安全事件查询 安全历史事件储存和备份 安全历史事件分析和报表 响应中心 仅仅及时检测到安全事件是不够的，必须做出即时的、正确的响应，才能保证网络的健康水平。 安全事件应急响应中心提供全网安全事故的集中处理服务。它与NOC 使用同一个事故处理系统，但专注于安全事故的处理。 安全响应中心接收从事件监视系统发来的事故通知单，以及手工生成的事故通知单，并对事故通知单的处理过程进行管理。 安全响应中心为全网和省级网管（或PSOC）提供本地事故处理后台支持，和省际（或者国际）方面的协调。同时对于严重的安全事故，中心SOC可直接介入。 安全事件应急响应中心将所有事故响应过程信息存入后台数据库，并可生成运行事故处理和分析报告。 响应中心的逻辑功能包括： 告警处理（Alert Handling）和升级（Escalation） 事故处理跟踪（Problem Tracking）和事故通知单系统（Trouble Ticket System） 事件响应过程的存储、检索、分析、报表 紧急响应知识库和专家队伍 为省级网管（或者PSOC）提供安全事件的响应支持、指导、直至直接介入 情报中心 SOC不仅能够成为全网安全运行的策略、事件和响应中心，还可以作为全网的安全情报中心和知识库，最新安全信息的集散地和全网安全人才的培训基地。这些持续更新发展的情报和知识是全网维持高水平安全运行状况和高水平安全队伍的保证。情报中心的逻辑功能包括： 最新安全知识的收集和共享，也包括漏洞信息和安全技术 最新安全产品的评估，跟踪最新的安全产品发展 安全技术的交流和培训，保证全网的安全人才储备 4.5 技术可行性 电信网络系统由数以万计的各种计算机设备、网络设