安全运营中心发展现状与应用探讨材料.doc

安全运营中心（SOC）发展现状与应用探讨 随着电信企业信息化建设步伐的加快，如何有效化解安全风险，有效应对各种突发性安全事件已成为不容忽视的问题。与普通企业相比，电信运营商的信息安全系统不仅部署地域分散，规模庞大，而且与业务系统耦合性较高；如何将现有安全系统纳入统一的管理平台，实现安全形势全局分析和动态监控已成为各级信息系统维护部门面临的主要问题。SOC(SecurityOperationCenter)安全运营中心应运而生，是目前流行的电信级安全解决方案。SOC的出现对应数据的集中管理趋势，通过集中收集、过滤、关联分析安全事件，提供安全趋势报告，及时作出反应，实现对风险的有效控制。 目前主要安全厂商陆续推出了SOC解决方案，中国移动、中国电信也相继拿出若干省市开展SOC建设试点工作。由于国内没有成熟的运维经验，SOC发展过程遇到一些问题，导致人们对SOC产生不少认识误区，直接影响了SOC的大规模推广。本文全面分析了SOC的定位、主要功能、技术难点以及发展趋势，并探讨了SOC存在的主要问题，希望帮助人们全面理解SOC，更好地推动这一新生事务的发展。 SOC概述 信息系统发展的一个显著特点是：资源平台化、数据集中化。信息安全保障系统作为信息系统的重要组成部分，其发展也必须符合信息系统发展趋势。安全运行中心是描述“对安全事件(SecurityIncident)提供检测和响应服务的所有平台”通用术语。SOC的核心是检测和响应功能，通俗一点讲，就是基于获取的海量安全事件，分析整个系统的安全状态和安全趋势，对危害严重的安全事件及时做出反应。 SOC的安全子系统组成 依据信息系统生命周期理论，与信息的产生、传输、存储、分析、处理五个环节相对应，SOC系统包括下列功能模块： ※事件发生器（E）模块 事件发生器负责生成安全事件，可分为基于数据的事件发生器和基于状态的事件发生器。前者指传感器，如网络入侵检测系统、主机检测系统、防火墙等，主要产生由操作系统、应用、网络操作引发的事件；后者指轮询器（Poller），产生响应外部激励（如Ping、SNMP命令）的事件，外部激励主要用来检查服务状态、数据完整性。这类事件的典型例子是网管系统中轮询工作站向管理工作站发送的告警信息。 ※收集模块（C） 收集模块负责从不同传感器收集信息并转换为标准格式，从而形成统一信息方便后续处理。 ※存储模块（D） 和其他模块相比，存储模块标准化程度很高，可以简单理解为数据库，惟一特殊的是需要进行相关性处理，识别来自同一源或不同源的重复事件。 ※分析模块（A+K） 该模块负责分析存储在数据库中的事件，为响应模块提供响应的充分依据（告警信息）。分析过程又离不开知识库（K模块）的支持，知识库存储入侵路径、系统安全模型、安全策略等知识。分析模块是SOC系统最复杂的部分，包括相关性分析、结构化分析、入侵路径分析、行为分析。 ※响应模块（R） 响应模块功能负责对安全事件做出及时有效响应，涵盖反击正在发生安全事件的所有响应（Reaction）和报告工具。由于牵扯到人的因素，响应行为具有相当的主观性，很多时候需要根据长期积累的基于经验的最佳实践或建议。但其重要性不能低估。响应模块不仅需要对外提供自动化的控制台接口、事件快速响应接口、实时监控接口、统计分析接口；还需向用户提供永久性风险评估报告、中长期安全行为报告、系统状态报告。 SOC vs NOC 目前电信运营商都已建立网管中心（NOC）。根据ITU提出的FCAPS模型，网管系统的主要功能是故障管理(Fault)、配置管理(Configuration)、计费管理(Accounting)、性能管理(Performance)、安全管理(Security)。表面上NOC有安全管理功能，似乎SOC与NOC功能重叠；实际上由于二者定位不同，功能、作用差别很大。概括起来，网管中心与安全运营中心主要区别如下： ※NOC的安全管理功能侧重访问控制，强调控制对计算机网络中信息的访问，保护系统、服务、数据免受非法入侵、破坏；SOC注重对安全攻击的检测和响应。 ※NOC的安全功能着眼于“事前预防”，即先采取措施预防非法攻击；而SOC的安全功能属于“事后处理”，换句话说，出现安全事件怎样阻断攻击，怎么反击。 ※网管中心强调对网络的全面管理，在五大功能中安全管理只占很少一部分；而SOC完全面向安全管理，安全功能更专业、全面。 ※SOC在收集安全事件时，有时采用轮询方式，利用某些网管系统的监控功能。 长期以来，人们在NOC的建设、管理、维护方面积累了丰富的经验，SOC的建设和运行可以合理借鉴这些经验。例如，在组织架构和管理模式方面SOC可以参照NOC的做法；但在工作流程设计上SOC最好采用与NOC平行的模式。出于简化管理考虑，国外也有将SOC和NOC放在一起的成