目前的省级电信IP网络，涵盖了IP干线网、下属城域网、各业务网络、直属单位网络，规模庞大，网内各种路由交换设备、业务支撑系统、用户接入设备、服务器等，种类各异、数量繁多。并且，随着近年来互联网的普及，互联网接入用户呈爆发性增长态势。为如此规模庞大的用户提供高质量的网络服务，网络设备、业务系统、服务器的安全运行非常关键。

　　电信部门为了保证网络的正常运行，在网络中部署了许多不同类型的安全设备，包括防火墙、入侵检测、VPN、UTM、流量管理设备等等。这些设备虽然能够在各自领域发挥不同作用，但从单个设备的角度来说，其发现的网络威胁仍然是片面的，用户无法了解到整体网络的运行状况。

　　1. 电信IP网络面临的安全威胁

　　1.1. 病毒和蠕虫对网络的肆意破坏

　　最近这几年来，随着各种病毒与蠕虫事件层不出穷和肆意传播，给电信运营商网络带来极大的破坏，经常造成网络拥塞致使网络访问中断，服务器资源耗尽生产业务系统死机等安全问题，严重影响了电信运营商网络的业务效率。而更为关键的是电信运营商网络现有的防病毒系统没有办法定位蠕虫病毒在哪里，什么时候被感染的，现在感染情况如何，哪些设备受到影响需要恢复以及如何加强员工防病毒的意识等。

　　1.2. 海量的安全事件淹没了真正的安全威胁

　　在信息系统的运行过程中，我们的信息网络系统每天都会产生上几十万、甚至上百万条的各种日志和报警信息，而同时这些信息格式不同、技术特征不同，使得我们的技术人员根本没有足够的时间和精力去分析和处理这些日志信息，真正的安全威胁就像大海里的一根针一样难以被有效地发现。

　　1.3. 复杂、多变的安全管理

　　目前电信运营商网络的安全系统会涉及到很多设备，如：网络设备、安全设备以及各种应用软件系统，而它们都有各自独立的部署方式和运行机制，这样就使得我们在配置、监控等环节面临着众多技术难题，特别是难以从全局的风险角度(特别是我们很多业务应用都涉及到多个网段、多个设备，多个系统的现状)去进行策略分析和处理，最终导致了技术分析的复杂性，安全策略管理不一致性，以及应用安全管理变化的不可预见性等，因而要实现统一、协调相关的各种安全资源就需要一种有效的技术平台作为安全支撑，而这正是作为我们电信运营商网络安全需求的根源，是目前电信运营商网络提高整体安全水平着重需要解决的问题。

　　1.4. 安全技术人员的匮乏

　　电信运营商网络的维护人员负担着繁重的网络维护和网络安全保障工作。面对如此庞大的网络业务支持需要和层出不穷的网络安全产品的管理，大大超出了目前电信运营商网络现有技术人员的支撑范围。而由各种网络设备所产生的大量警报信息和复杂的安全管理流程更是增加了技术管理员人的工作量，并对其专业的安全技能要求更高了，不仅是网络的专家，还要是系统的、应用的以及各种安全技术的专家，这样就造电信运营商网络技术人员的严重匮乏，特别是随着电信运营商网络应用的不断拓展，单纯依靠人员或专家的自身能力来解决问题已经成为制约整个电信运营商网络发展的重要瓶颈。

　　1.5. 缺乏整体安全风险的集中监控

　　安全是整体的，它涉及到整个电信运营商网络的信息系统，虽然我们在电信运营商网络的建设过程中，我们投入了大量的人力、物力和财力建设网络安全防护体系，但这些并不意味着我们的网络就已经变得十分安全和坚固了，特别是在二级网络和终端网络，我们常常受到着来自于病毒、黑客、网络蠕虫、恶意软件和那些心怀不轨的人对我们攻击。如何在核心网络进行集中的安全监控，如何能够实时地掌握网络中各个部门、各个网段、各个应用系统的安全风险，以便我们能及时进行应对和响应，从而减少响应时间达到将风险影响程度降到最低，最大程度的减少网络安全事故、减少由于网络安全事故造成的损失或者避免发生网络安全事故是我们当前的重中之重。

　　1.6. 繁琐、低效的安全响应处理措施和流程

　　当出现安全问题，比如说电信运营商网络经常遭受蠕虫病毒感染时，我们也往往进行病毒的检查、杀毒等安全措施，但经常发现病毒总是清除不了，重复性杀毒工作很多，员工仍然经常通过很多非法途径感染病毒且觉得无所谓，好的经验和方法不能形成大家和各级单位处理的规范等问题，这样使得我们技术人员的安全响应慢，工作效率低等现象。

　　1.7. 难以理解的原始数据报告

　　作为电信运营商网络的各级部门单位来说，特别是作为各级单位的决策者或部门主管经常想了解目前整体的安全情况和下一步安全建设的依据，但往往只能面对下级技术部门所提供的一大堆数据技术资料，根本无法做出正确的分析和安排，使得我们的安全建设不能有效得不到上层的理解和支持等;同时其它部门对其数据的要求和目的也会有差别，因此如何提供知识化、基于特定部门和应用系统的角色化报告是整个电信运营商网络目前和将来发展中一个较为突出的安全问题。

　　2. 安全运营中心介绍

　　安全运营中心(SOC)就是在这样的用户需求下诞生的。它主要负责监控、分析和管理企业信息系统的整体安全态势，并为整个信息系统的安全运营提供决策服务。SOC的建设主要依据ISO/IEC 27000系列信息安全标准，结合安全服务的非常好的实践，以资产管理为基础，以风险管理为核心，以事件管理为主线，通过深度数据挖掘、事件关联等技术，辅以有效的网络管理与监视，安全报警响应，工单处理等功能，对企业内部各类安全事件进行集中管理和智能分析，最终实现对企业安全风险态势的统一监控分析和预警处理。

　　安全运营中心的主要功能包括：

　　- 资产管理：通过对关键资产的实时监控，以及对资产所产生的事件进行风险分析和处理，从而维护企业中各种资产的安全性。

　　- 脆弱性管理：对系统中的相应资产进行脆弱性监视，方便用户随时掌握各资产的名称、IP、机密性、可用性、完整性及脆弱性等参数信息。

　　- 风险管理：根据多项指标计算出资产所面临风险数值，并根据指标的变化实时计算得出资产当前的风险状况。

　　- 事件管理：通过多种方式采集网络中各类安全事件，对采集到的事件执行标准化、过滤、归并等事件处理过程，并根据预先定义的分类规则对事件进行归纳分类，同时存储到事件数据库中，供实时关联分析和事后数据挖掘使用。

　　- 安全策略管理：协助用户制定各种级别，针对不同对象(人员、设备、应用)的安全策略，实现企业安全策略的快速导入以及安全策略的集中分级管理。

　　- 工单管理：将安全事件的处理过程以工单的形式进行。工单可以自动在干系人见进行流转，直至最终被处理。

　　- 安全知识库管理：安全知识库包括安全知识文章、漏洞库、补丁库、事故案例库等。用户在事件处置过程中可以参考知识库中的内容，并且在处理完成时可以选择是否将处置后的事件作为新的知识存储到知识库中。

　　- 报表管理：生成和管理各类事件及资产信息的报表。报表管理以组的方式对系统中的报表对象及已经生成的报表进行管理，为用户提供了各类统计信息的直观综合的视图。

　　3. 安全运营中心建设方案

　　基于省级电信网络的规模非常庞大，每天产生的安全事件以海量计，并且考虑到电信的管理划分以及电信业务发展的需求，我们在该网络中以级联的方式部署SOC系统。这样，可以以分布式方式处理安全事件，既能够减轻集中部署方式下中心服务器的性能压力，又能够符合电信网络目前按区域进行管理的结构，与现实管理范围进行很好结合。如下图：

　　分别在省中心网络和各个地市的网络中部署安全运营中心，省中心部署的安全运营中心作为地市安全运营中心的上级中心，逻辑上呈星形部署。每个安全运营中心负责收集和分析本地网络范围内的网络设备上传的安全事件，并将处理后的事件按照规则在本地处理或者同时上传给省中心的安全运营中心。在实际应用中，一般的安全事件仅在地市一级安全运营中心进行处理，重要的安全事件上报省安全运营中心。同时，地市安全运营中心每天、每周、每月定期生成安全事件报表进行上报。

　　4. 总结

　　SOC目前已经受到越来越多的用户的青睐，尤其是网络规模比较大用户，因为单靠人工已经无法对大范围网络中的海量安全事件进行有效处理。虽然SOC发展仍然面临标准有待完善等问题，但其技术先进性、实用性是不可否认的。随着SOC技术的日益成熟以及用户对SOC管理理念的逐步接受，SOC的商用前景将十分广阔。