安全信息管理平台SOC

信息安全神经中枢——信息安全管理平台（SOC）信息安全管理平台，又叫作安全管理平台（security management）、安全信息管理中心（SIM,security information management）、安全信息与事件管理平台（SIEM,security information event management）、安全运营中心（SOC，security operation center），等。

在国内外有多种多样的称呼，总之其目的是管理安全相关的信息。

我们这里所提到的信息其实说的通俗一点就是日志信息和性能监控信息。

信息安全管理平台（习惯上我们称之为SOC）就是把各式各样的设备（网络设备-交换/路由，安全设备-防火墙/IPS，系统设备-win/linux）中的日志信息收集过来，经过SOC系统的处理与分析，在海量数据中挖掘出对于用户来说重要的、危险的、有用的信息。

SOC的发展：第一代SOC：由事件/信息收集器演变而来的作为信息集中管理的平台，多数厂家只是支持自己的产品日志格式，国内都定义为：日志收集器。

国内安全/网络设备生产厂家都有各自的日志收集器，并附带管理自己设备的功能；第二代SOC：由于第一代SOC能做到的工作只是作为信息收集，并不能对于其收集的各项事件信息进行分析和处理，所以第二代SOC在2005年左右在个厂家兴起。

其核心技术就是加入了国外流行的概念：关联分析。

关联分析其核心技术是“状态机”，通过定义资产信息和分析事件状态的变化来对信息进行深入的分析和对攻击/异常行为的判断。

国内厂家在第二代SOC上已经花费了大量的资金和时间，但效果并不理想。

第三代SOC：从现实情况来看，第二代SOC并没有得到国内大部分用户的认可和信任。

于是，第三代SOC的诞生引起了大家的兴趣。

在原有第二代SOC的基础之上，各厂家纷纷对SOC进行了“改装”，有的加入了网络管理模块，有的加入运维管理模块，还有的加入各式各样能嵌入的信息系统，导致现在第三代SOC越来越庞大，越来越臃肿。

网络安全管理平台SOC
产品背景
产品简介
安全管理控制平台在应用、核心、边界、汇集等各个层次上安全控制功能，基于业务工作流，面向身份、权限、流量、域名和数据报文，开展一致性请求检测，实现完整性保护；基于信息资产登记，开展响应服务的一致性检测，支持机密性保护，突破未知网络攻击发现与威胁识别分析能力的提升。

产品特点
多元异构数据汇聚融合，具备PB量级数据的接入、存储、共享能力。

多类型网络安全威胁数据统计分析，支持拒绝服务攻击、木马僵尸网络、恶意代码、网站后门、网页篡改、域名劫持、蠕虫利用、漏洞利用等公告及数据类型的统计和关联分析，具备对未知攻击的感知发现能力。

提供态势要素信息提取功能，具备威胁识别、安全事件交互式分析和关联展示能力。

具有网络安全预警及持续诊断功能，支持多操作哦系统平台，具备网络化、自动化交付能力，支持安全事件全生命周期的持续监控、处置、跟踪等。

技术参数
平台架构
产品介绍。

在前一篇文章里，已经对安全运维外包（MSS）这种服务模式进行了简单的分析，下面我们再来看看安全运维服务的另一种模式，安全运维中心（SOC）的建设。

正是由于安全外包服务所面临的各种各样的问题，企业或组织在选择安全运维模式时，更多的是在考虑依靠自身的力量建立完全属于自己安全运维队伍，来保障自身网络与业务系统的安全。

组织一旦决定建设自身的安全运维环境，那么将必然面临以下问题：•安全运维队伍：如何建立一个高效、具备解决问题能力的安全运维队伍？•安全运维流程：如何建立适合核心业务需求的安全事件处理机制、流程？•安全运维平台：依靠何种手段将众多的安全基础设施管理起来？要解决以上三个问题，组织的安全运维中心的概念就应运而生了。

安全运维中心有时称为安全运营中心（SOC，Security Operations Center）。

一、安全运维中心的内容之前我们讨论过过，安全运维的主要目的即是保证安全手段（产品+ 技术）的应用能够达到预期的良好效果（Effect）和提高效率（Efficiency）。

因此，从整体上说，安全运维工作是一个综合的管理与运营维护能力，需要的不仅仅是一个综合的安全设备管理技术或管理工具，而是一个能够将整体的安全组织、安全策略、安全技术、安全风险、安全事件、安全操作等统一的管理并保证其运转（Operations）有效（Effective and Efficiency）的一个平台，这样的平台，我们可以称之为安全运维中心（SOC）。

安全运维中心（SOC）至少包含三个方面的内容：（1）安全人员（People）信息安全保障技术框架（IATF）里认为人员在安全保障框架的核心。

人是信息系统的主体，是信息系统的拥有者、管理者和使用者，是信息保障体系的核心。

在安全运维中心（SOC）里，安全运维人员也是保障整个运维平台稳定、高效的核心。

SOC的安全运维人员包括日常运维小组、应急响应小组和安全专家等3个主要组成。

安全运维人员的安全技能、安全意识、服务能力的高低在安全运维的效果中起着至关重要的作用。

1.在soc的用途方面大家理解上的偏差对于用户，关心的是自己网络或者业务所面临的安全风险，以及利用soc整合人员、流程应对安全事件，更好、更全面的了解现状和快速做出反应。

对于soc提供商，关心的是自己的技术如何，拥有多少的模块，支持多少的设备，漏洞库的数目等等，而没有站在用户的角度来思考问题。

2.在成熟度上的不足soc更像是个概念性的东西，而且厂家还尚未把这个概念摸透就匆匆上马抢占市场，其实都是半成品，糊弄不懂的还可以。

可以说soc中的各个模块距离成熟都还很远，更别说这整个的系统了。

3.在易用性上的不足soc所呈现所提供的界面、模块，出现的报警信息，都还不能做到傻瓜化，门槛较高，本来都该soc提供的分析功能，全都变成要人来判断了，那么soc还有什么意义4.差异化造成的问题由于企业的不同，soc必然会结合企业的主要业务、安全组织架构、流程来进行差异化，这导致每个soc必然要有大量的单独开发过程，模块的重用比较低，影响厂家的研发速度和升级换代，对厂家的利润空间进行了挤压。

而开发并不能深入了解企业的业务，导致系统和业务的贴合不够紧密5.恶性竞争虽然soc刚刚起步，但国内的各大安全厂商纷纷来抢夺这块大蛋糕，某省的电信企业招标，竞标之激烈超出企业的想象，最后夺标的压价之低差不多就是赔本作。

这种不从自身做起，而只靠打价格战的做法，实在是对整个行业都不利的soc的问题太多，不是短时期能解决的，我有个想法，以后会和大家交流========== =========================SOC和SIEM这两个概念大家已经说了很多了，之间的区别其实很大，根本不是一个概念上的东西！SOC是一个安全运营组织，SIEM是一个以安全信息和安全事件为基础的技术管理平台，因此区别是首先表现在构成上就是很大不同，当然相同之处都是安全策略工具的组成部分！首先SOC（传统意义上的安全运营中心）不是任何客户都适用的，它有很多重要的功能不是产品技术能解决和实现的（就像大家了解到的流程、人员等），它的基本结构往往都是由于客户本身的实际需求和自身条件不具备等原因，导致SOC的畸形和失效！！！就像很多电信运营商建立了所谓的SOC却得不到应有的期望一样，就其原因还是自身条件不具备、实际需求不具备等，例如组织梯队不健全，很多省级电信运营商负责安全的专职人员也就1到2人，甚至兼职！因此你可以想象一下安全运营工作由谁来执行，由谁来改进，由谁来审核...，所以更不用说SOC其它重要组成部分的缺失了。

安全管理平台（SOC）的发展趋势分析-网御神州1SOC一词的起源SOC（Security Operations Center）是一个外来词。

而在国外，SOC这个词则来自于NOC（Network Operation Center，即网络运行中心）。

NOC强调对客户网络进行集中化、全方位的监控、分析与响应，实现体系化的网络运行维护。

随着信息安全问题的日益突出，安全管理理论与技术的不断发展，需要从安全的角度去管理整个网络和系统，而传统的NOC在这方面缺少技术支撑，于是，出现了SOC的概念。

不过，至今国外都没有形成统一的SOC的定义。

维基百科也只有基本的介绍：SOC（Security Operations Center）是组织中的一个集中单元，在整个组织和技术的高度处理各类安全问题。

SOC具有一个集中化的办公地点，有固定的运维管理人员。

国外各个安全厂商和服务提供商对SOC的理解也差异明显。

2SOC产生的动因为了不断应对新的安全挑战，企业和组织先后部署了防火墙、UTM、入侵检测和防护系统、漏洞扫描系统、防病毒系统、终端管理系统，等等，构建起了一道道安全防线。

然而，这些安全防线都仅仅抵御来自某个方面的安全威胁，形成了一个个“安全防御孤岛”，无法产生协同效应。

更为严重地，这些复杂的IT资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件，形成了大量“信息孤岛”，有限的安全管理人员面对这些数量巨大、彼此割裂的安全信息，操作着各种产品自身的控制台界面和告警窗口，显得束手无策，工作效率极低，难以发现真正的安全隐患。

另一方面，企业和组织日益迫切的信息系统审计和内控要求、等级保护要求，以及不断增强的业务持续性需求，也对客户提出了严峻的挑战。

针对上述不断突出的客户需求，从2000年开始，国内外陆续推出了SOC（Security Operations Center）产品。

目前国内的SOC产品也称为安全管理平台，由于受到国内安全需求的影响，具有很强的中国特色。

61开发测试Development and Testing2020 . 09 中国金融电脑安全运营平台SOC 建设思考与实践国家开发银行信息科技局 卫剑钒 雷东生当前，作为企业提高信息安全水平的主要工具，安全管理平台（Security Operation Center，SOC）建设成为企业安全管理工作进入成熟阶段的关键性标志之一，同时也是企业满足关键信息基础设施安全保护合规要求的重要举措。

对此，国家开发银行（以下简称“国开行”）针对性启动了统一信息安全运营平台项目建设，并通过构建以SOC 平台为核心的安全运营体系，初步实现了对主要信息安全威胁的“可知、可管、可控”。

一、SOC 平台的建设思路1.规划先行、充分调研SOC 本身并不是新生事物，然而，多年来业界对SOC 的认可度和应用效果却评价不一，部分单位投入大量人力、财力建成的SOC 未能发挥出预期功效。

针对这一现状，国开行对业界的主流产品以及同业SOC 平台的建设运营情况进行了深入调研，以求能充分了解项目痛点、吸收先行者的宝贵经验，在避免“踩雷”的同时，尽可能提高项目质量。

与此同时，国开行还借此机会，摸清理顺了本单位对SOC 平台建设的诸多特色需求。

基于上述准备，国开行按照规划先行的建设思路，在SOC 平台正式立项之前，即首先启动了SOC 规划咨询项目，包括引入专业的第三方安全咨询机构，开展SOC 平台建设需求分析和详细设计，提出产品选型技术路线建议，制定可落地的平台实施方案等。

通过咨询项目，国开行共梳理设计出包括五项核心功能在内的约200个功能需求点，并对威胁防御、威胁情报、大屏展示和机器学习等四项关键技术进行了深入研究。

通过对规划研究成果和企业现状审慎评估，国开行决定对当前技术实现难度较大、不够成熟的需求指标（如机器学习）执行分步实施策略。

同时，在咨询项目成果的基础上，还通过专项调研增加了蜜罐产品的部署需求，实现了对内网威胁的精准识别。

SOC 平台功能需求梳理如图1所示。

soc指标SOC（Security Operations Center）是安全运营中心的缩写，是指一个专门负责监视、分析和应对安全事件的机构或团队。

SOC通常由安全分析师、网络工程师、安全管理员等成员组成，其主要任务是监控和保护网络系统、应用和数据的安全。

SOC通常借助安全信息和事件管理系统（SIEM）等工具来收集、分析和报告安全事件，以及实施实时响应和处置措施。

为了评估一个SOC的绩效，常常会使用一些指标来衡量其运营效果。

以下是一些常见的SOC指标：1. 平均响应时间（Average Response Time）：指SOC对安全事件的响应所需的平均时间。

较短的响应时间通常意味着SOC能够更快地检测和应对潜在的威胁。

2. 平均解决时间（Average Resolution Time）：指SOC解决安全事件所需的平均时间。

较短的解决时间通常表明SOC具有高效的工作流程和技术手段。

3. 检测率（Detection Rate）：指SOC能够准确检测到的安全事件比例。

高的检测率意味着SOC能够更好地识别潜在的威胁，并采取适当的措施。

4. 虚警率（False Positive Rate）：指SOC报警中误报的比例。

较低的虚警率意味着SOC能够减少误报的干扰，更准确地将注意力集中在真正的威胁上。

5. 恢复时间（Recovery Time）：指SOC从安全事件中恢复正常运营所需的时间。

较短的恢复时间意味着SOC能够更快地恢复业务功能并降低损失。

这些指标可以帮助评估SOC的绩效，并作为改进和优化SOC 运营的依据。

然而，具体的SOC指标可能因组织的安全需求和威胁环境的不同而有所差异。

SOC安全运营中心（SOC）具备多个能力域，包括但不限于以下几点：
1. 纵深防御能力：SOC可实现网络阻断系统和其他安全系统的联动阻断机制，如与网络入侵检测系统、主机检测系统、W AF安全检测系统等实时联动，实现7*24小时针对互联网的IP阻断机制，以解放最基本的应急处置工作量。

2. 日志信息采集与分析能力：SOC可以通过收集操作系统日志、web应用日志和防火墙网络设备日志等，以及安全告警、流量回溯等信息，进行攻击研判。

3. 自动化应急处置能力：SOC可以实现自定义自动化应急处置功能，例如在SOC（网络安全管理平台）里实现SOP（标准作业程序）功能。

当一个主机被失陷时，可以通过SOP功能实现网卡阻断的功能点，从而提高应急处置效率。

4. 分层分工的监控团队：SOC可以进行分析研判，将监控团队分为一线和二线，这样的分层分工可以让应急响应更加有效率地进行。

请注意，SOC的能力域可能会因具体设置和用途而有所不同，以上信息仅供参考。

OSSIM企业级开源SOCOSSIM即开源安全信息管理系统(OPEN SOURCE SECURITY INFORMATION MANAGEMENT)是目前一个非常流行和完整的开源安全架构体系。

OSSIM通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台。

它的目的是提供一种集中式、有组织的,能够更好地进行监测和显示的框架式系统。

OSSIM明确定位为一个集成解决方案,其目标并不是要开发一个新的功能,而是利用丰富的、强大的各种程序(包括Snort、Rrd、Nmap、 Nessus以及Ntop等开源系统安全软件)。

在一个保留他们原有功能和作用的开放式架构体系环境下,将他们集成起来。

而OSSIM项目的核心工作在于负责集成和关联各种产品提供的信息,同时进行相关功能的整合。

由于开源项目的优点,这些工具已经是久经考验,同时也经过全方位测试、可靠的工具。

OSSIM结构体系实际上,从过程上考虑,安全可以分为评估、防护、检测、响应这四个步骤,现在已经有了不少优秀的开源软件与这四个步骤相对应。

但是问题在于这四个步骤属于一个动态、无缝过程,而所有的开源工具只是针对单一安全问题,如何将现有的安全工具进行综合利用并将他们无缝综合,OSSIM给出了很好的答案,那就是——集成。

OSSIM由数据收集、监视、检测、审计以及控制台这五个模块构成。

这5个模块包含了目前安全领域从事件预防到事件处理一个完整的过程,在目前的安全架构中,OSSIM是最为完备的。

这五个功能模块又被划分为三个层次,分别是高层的安全信息显示控制面板、中层的风险和活动监控以及底层的证据控制台和网络监控,各个层次提供不同功能,共同保证系统的安全运转。

在OSSIM中,整个过程处理被划分为两个阶段,这两个阶段反映的是一个事件从发生到处理的不同的历史时期,这两个阶段分别为预处理阶段,这一阶段的处理主要有监视器和探测器来共同完成,它们主要是为系统提供初步的安全控制;另一个事后处理阶段,这一阶段的处理更加集中,更多的是反映在事件发生之后系统安全策略的调整和整个系统的安全配置的改进。

soc指标
SOC指标(Security Operations Center)，也称为安全运营中心，是一个用于监控、检测和响应安全事件的中心化团队或部门。

以下是关于SOC指标的具体说明：
平均响应时间(Average Response Time)：指SOC对安全事件的响应所需的平均时间。

较短的响应时间通常意味着SOC能够更快地检测和应对潜在的威胁。

平均解决时间(Average Resolution Time)：指SOC解决安全事件所需的平均时间。

较短的解决时间通常表明SOC具有高效的工作流程和技术手段。

检测率(Detection Rate)：指SOC能够准确检测到的安全事件比例。

高的检测率意味着SOC能够更好地识别潜在的威胁，并采取适当的措施。

此外，除了上述关键性能指标外，SOC指标还包括可用性、可靠性、可维护性等，这些指标共同用于评估和改进SOC的运营能力。

网络安全管理平台S O C 公司内部编号：（GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-
网络安全管理平台SOC
产品背景
产品简介
安全管理控制平台在应用、核心、边界、汇集等各个层次上安全控制功能，基于业务工作流，面向身份、权限、流量、域名和数据报文，开展一致性请求检测，实现完整性保护；基于信息资产登记，开展响应服务的一致性检测，支持机密性保护，突破未知网络攻击发现与威胁识别分析能力的提升。

产品特点
多元异构数据汇聚融合，具备PB量级数据的接入、存储、共享能力。

多类型网络安全威胁数据统计分析，支持拒绝服务攻击、木马僵尸网络、恶意代码、网站后门、网页篡改、域名劫持、蠕虫利用、漏洞利用等公告及数据类型的统计和关联分析，具备对未知攻击的感知发现能力。

提供态势要素信息提取功能，具备威胁识别、安全事件交互式分析和关联展示能力。

具有网络安全预警及持续诊断功能，支持多操作哦系统平台，具备网络化、自动化交付能力，支持安全事件全生命周期的持续监控、处置、跟踪等。

技术参数
平台架构产品介绍。

SoC的定义多种多样，由于其内涵丰富、应用范围广，很难给出准确定义。

一般说来，SoC称为系统级芯片，也有称片上系统,意指它是一个产品，是一个有专用目标的集成电路，其中包含完整系统并有嵌入软件的全部内容。

同时它又是一种技术，用以实现从确定系统功能开始，到软/硬件划分，并完成设计的整个过程。

折叠基本概念SOC，或者SoC，是一个缩写，包括的意思有：1）SoC：System on Chip的缩写，称为系统级芯片,也有称片上系统,意指它是一个产品,是一个有专用目标的集成电路,其中包含完整系统并有嵌入软件的全部内容。

2）SOC：Security Operations Center的缩写，称为安全运行中心，或者安全管理平台，属于信息安全领域的词汇。

一般指以资产为核心，以安全事件管理为关键流程，采用安全域划分的思想，建立一套实时的资产风险模型，协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。

3）民航SOC：System Operations Center的缩写，指民航领域的指挥控制系统。

4)SOC：state of charge的缩写，指荷电状态。

当蓄电池使用一段时间或长期搁置不用后的剩余容量与其完全充电状态的容量的比值，常用百分数表示。

SOC=1即表示为电池充满状态。

控制蓄电池运行时必须考虑其荷电状态。

5）一个是Service-Oriented Computing，“面向服务的计算”6）SOC(Signal Operation Control) 中文名为信号操作控制器，它不是创造概念的发明，而是针对工业自动化现状提出的一种融合性产品。

它采用的技术是正在工业现场大量使用的成熟技术，但又不是对现有技术的简单堆砌，是对众多实用技术进行封装、接口、集成，形成全新的一体化的控制器。

以前需要一个集成商来做的工作，现在由一个控制器就可以完成，这就是SOC。

7）SOC（state of charge）在电池行业，SOC指的是充电状态，又称剩余容量，表示电池继续工作的能力。

安全运营中心（SOC）的建设方式对于最终用户而言，如果已经决定要引入SOC，那么要如何建设SOC安全运营中心？注意，这里的SOC 包括技术、流程和组织三个部分，不单指SOC技术平台。

目前，业界通行的做法有三种：1）自建SOC，自己搭建平台，建立自己的组织和流程，并进行运维。

其中平台部分，用户可以自己设计并开发平台，也可以外购一个技术平台；2）购买MSS服务，租用MSSP的SOC，或者叫做安全服务外包，包括租用安全基础设施；3）共建SOC——目前比较多见的方式，自己搭建SOC技术平台，建立核心的组织结构和流程，处理核心的安全问题，然后利用外脑（外包服务）来进行协维、咨询。

其中，第三种方式可以看成是前两种方式的综合。

对于自建型SOC（或者称作自运维型SOC），首先要处理的问题是如何构建SOC实体，也就是要有一个场地的问题，这篇文章《如何创建自己的SOC》可以参考。

如果SOC中心建立起来，怎么运维使用起来呢？回答这个问题之前，应该先对SOC运维有一个正确的理解，树立正确的认知，这篇文章《如何用好SOC》可以帮助我们厘清一些问题。

然后，可以看看业界的一些最佳实践，看看其他人是怎么去运维自己的SOC的，例如这个Intel的SOC运维实践，或者微软的SOC设计实践。

对于外包型SOC（也就是购买MSS的方式），顾名思义，就是要让专业的人去做专业的事。

与所有其他IT运维服务一样，对于用户而言，选择外包型SOC首先要考虑的就是ROI （投资回报）的问题，SLA的问题（风险合理转嫁的问题）。

用户应该知道国内外MSS发展的现状以及国内目前现状，要对MSSP有个理性、正确的认识和预期。

正如这篇文章中提到的，MSS不是交钥匙工程！客户不可能因为将安全外包给了MSSP就不用承担安全的责任了。

实际上，客户的安全责任最终还是客户自己承担。

就算MSSP赔偿你损失，很多东西也无法挽回了。

选择MSS，就是在选择一个重要的、长期的合作伙伴，是一种特别的信任。