2. 安全运营中心介绍

　　安全运营中心(SOC)就是在这样的用户需求下诞生的。它主要负责监控、分析和管理企业信息系统的整体安全态势，并为整个信息系统的安全运营提供决策服务。SOC的建设主要依据ISO/IEC 27000系列信息安全标准，结合安全服务的非常好的实践，以资产管理为基础，以风险管理为核心，以事件管理为主线，通过深度数据挖掘、事件关联等技术，辅以有效的网络管理与监视，安全报警响应，工单处理等功能，对企业内部各类安全事件进行集中管理和智能分析，最终实现对企业安全风险态势的统一监控分析和预警处理。

　　安全运营中心的主要功能包括：

　　- 资产管理：通过对关键资产的实时监控，以及对资产所产生的事件进行风险分析和处理，从而维护企业中各种资产的安全性。

　　- 脆弱性管理：对系统中的相应资产进行脆弱性监视，方便用户随时掌握各资产的名称、IP、机密性、可用性、完整性及脆弱性等参数信息。

　　- 风险管理：根据多项指标计算出资产所面临风险数值，并根据指标的变化实时计算得出资产当前的风险状况。

　　- 事件管理：通过多种方式采集网络中各类安全事件，对采集到的事件执行标准化、过滤、归并等事件处理过程，并根据预先定义的分类规则对事件进行归纳分类，同时存储到事件数据库中，供实时关联分析和事后数据挖掘使用。

　　- 安全策略管理：协助用户制定各种级别，针对不同对象(人员、设备、应用)的安全策略，实现企业安全策略的快速导入以及安全策略的集中分级管理。

　　- 工单管理：将安全事件的处理过程以工单的形式进行。工单可以自动在干系人见进行流转，直至最终被处理。

　　- 安全知识库管理：安全知识库包括安全知识文章、漏洞库、补丁库、事故案例库等。用户在事件处置过程中可以参考知识库中的内容，并且在处理完成时可以选择是否将处置后的事件作为新的知识存储到知识库中。

　　- 报表管理：生成和管理各类事件及资产信息的报表。报表管理以组的方式对系统中的报表对象及已经生成的报表进行管理，为用户提供了各类统计信息的直观综合的视图。

　　3. 安全运营中心建设方案

　　基于省级电信网络的规模非常庞大，每天产生的安全事件以海量计，并且考虑到电信的管理划分以及电信业务发展的需求，我们在该网络中以级联的方式部署SOC系统。这样，可以以分布式方式处理安全事件，既能够减轻集中部署方式下中心服务器的性能压力，又能够符合电信网络目前按区域进行管理的结构，与现实管理范围进行很好结合。如下图：

　　分别在省中心网络和各个地市的网络中部署安全运营中心，省中心部署的安全运营中心作为地市安全运营中心的上级中心，逻辑上呈星形部署。每个安全运营中心负责收集和分析本地网络范围内的网络设备上传的安全事件，并将处理后的事件按照规则在本地处理或者同时上传给省中心的安全运营中心。在实际应用中，一般的安全事件仅在地市一级安全运营中心进行处理，重要的安全事件上报省安全运营中心。同时，地市安全运营中心每天、每周、每月定期生成安全事件报表进行上报。

　　4. 总结

　　SOC目前已经受到越来越多的用户的青睐，尤其是网络规模比较大用户，因为单靠人工已经无法对大范围网络中的海量安全事件进行有效处理。虽然SOC发展仍然面临标准有待完善等问题，但其技术先进性、实用性是不可否认的。随着SOC技术的日益成熟以及用户对SOC管理理念的逐步接受，SOC的商用前景将十分广阔。