安全运营中心监控与报警系统 安全运营中心英文

什么是SOC？

 

         SOC英文名，Security Operate Center ，中文名，安全运营中心，国内也有人叫安管平台、安全运维中心等等。

SOC ）的建设是目前很多行业用户关注的建设方向，尤其是在电信、移动等运营商以及银行等行业对基于集中安全管理平台来建设 SOC 的方式，已经越来越被人所关注。但是什么是 SOC ，这样一个概念在业界并没有形成统一的理解。目前被应用与 SOC 建设中的一些起步比国内早 3-4 年的国外厂商，如 Arcsight 、 e-security 、 eIQnetworks 、 Open System 、 NF 等公司，大多数把自己的产品归为 SEM ( 安全事件管理 ) 或者 SIM （安全信息）产品，而没有标榜自己是 SOC 解决方案。那么什么是 SOC

    

从上面我们可以看到，海量事件和漏洞信息需要有专门安全事件管理工具进行收集过滤、管理和分析；事件和业务资产的结合分析、需要使用信息资产管理工具的支持；而对安全产品的使用、资产风险的分析、安全事件的处理，又需要完善的工作和管理制度、以及专业的维护人员体系。

SOC

四个中心 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

    事件监控中心 :

    漏洞评估中心 :

    综合分析决策支持与预警中心 : 综合分析决策支持与预警中心是综合安全运行管理平台的核心模块，其接收来自安全事件监控中心、性能监控中心和故障监控中心的事件与性能故障信息，依据资产与脆弱性管理平台进行综合的事件与性能故障协同关联分析，并基于资产（ CIA 属性 +

    应急管理中心 : 仅仅及时检测到安全事件是不够的，必须做出即时的、正确的响应才能保证网络的安全。应急管理中心作为 SOC 的重要组成部分之一为应急响应服务实现工具化、程序化、规范化提供了管理平台。应急响应中心 ......

五个功能模块

    策略和配置管理 : 网络安全的整体性要求需要有统一安全策略的管理。通过为全网安全管理人员提供统一的安全策略，指导各级安全管理机构因地制宜的做好安全策略的部署工作，有利于在全网形成安全防范的合力，提高全网的整体安全防御能力，同时通过 SOC 策略和配置管理平台的建设可以进一步完善整个 IP

: 安全运行知识管理平台是安全运行知识库信息管理和发布系统，不仅可以充分共享各种安全运行信息资源，而且也会成为各级网络安全运行管理机构和技术人员之间进行安全知识和经验交流的平台，有助于提高人员的安全技术水平和能力。实现综合安全运行管理系统 WEB 门户，提供统一界面以安全 WEB

CERT 和 CVE

功能特点

    安全事件集中收集和处理 : 通过通用代理（ Universal Agent ）的部署，在所辖网络、不同的承载业务网及其相关支撑网络和系统上的不同安全信息采集点 ( 防病毒控制台、***检测系统控制台、漏洞扫描管理控制台、身份认证服务器和防火墙等，安全运营中心监测点的通用代理引擎及集中器部署 ) ，通过安全通讯方式 ,

具备了实时监控能力，又可利用安全事件回放的功能和其强大的统计分析显示报告系统功能，具备了事后调查取证的能力。

:

风险管理是一个评价对整个企业的威胁并确保这些威胁所构成的风险在可接受程度内的连续过程甚至也包括那些尚属未知的威胁。风险是由威胁、价值和漏洞组成的。威胁是那些对网络资产可能构成危险的活动。网络资产的价值以及驻留在网络中的信息的价值本质上都是主观的因此会随时间而改变。它通常是由系统在公司中所发挥的作用以及该系统所存储或处理的数据来限定的。漏洞系指可导致威胁造成破坏的系统和软件薄弱环节。

采用能计算威胁和风险分数并将这些统计数据关联到针对该环境而定制的基于规则的计算结果中的专用公式为企业提供了威胁和风险评估。系统的评分功能可连续处理低水平***，以识别出表示高风险威胁的模式。其独特的评分算法可通

SOC

事件监控中心监测到安全事件后有专人生成新的工单，一方面有专人会通过系统报警的方式收到通知并在规定的时间内对工单进行接收，并进入对安全事件的处理阶段，另一方面工单跟踪模块会对工单被派发后的整个过程进行跟踪，进行工单收回、重新派发等工作。工单处理结果可能有两种可能：一种是安全事件被解决，这个工单就被关闭，同时工单的内容被保存到知识库中，作为历史记录和以后参考用；另一种情况是安全事件因为某些原因没有被彻底解决，这个工单所包含的问题会被重新处理考虑，生成新的工单，进入新的工单处理流程。

应急响应管理完善了从防护到检测再到响应的一个安全事件处理过程的闭环。

     全面知识管理 :SOC 的知识管理平台既提供一般知识管理功能，比如安全知识库、培训和人员考核等，也提供了强大的漏洞库、事件特征库、补丁库、安全配置知识库和应急响应知识库等。 xxxx 公司作为国家 CNCVE 项目的承担单位拥有自主产权的漏洞库和事件特征库， SOC 的漏洞库和事件特征库兼容了国内国际上流行的各种漏洞库，比如 CNCVE ， CVE ， Bugtraq 等，同时启明星辰的积极防御实验室会及时发布最新发现的各种安全漏洞，并定期对已知漏洞进行总结。

 多样化显示方式 : 提供不同的数据视图，包括：整个网络的可视化视图、具体应用服务器的深入视图、关于以规则为基础的相关数据的交叉视图，以及可显示与最优风险水平不同的统计视图。需要考察的一些更新特性包括：彩色代码告警、风险预测、政策偏差、地理地图、地形投影。