安全信息管理平台SOC

信息安全神经中枢——信息安全管理平台（SOC）信息安全管理平台，又叫作安全管理平台（security management）、安全信息管理中心（SIM,security information management）、安全信息与事件管理平台（SIEM,security information event management）、安全运营中心（SOC，security operation center），等。

在国内外有多种多样的称呼，总之其目的是管理安全相关的信息。

我们这里所提到的信息其实说的通俗一点就是日志信息和性能监控信息。

信息安全管理平台（习惯上我们称之为SOC）就是把各式各样的设备（网络设备-交换/路由，安全设备-防火墙/IPS，系统设备-win/linux）中的日志信息收集过来，经过SOC系统的处理与分析，在海量数据中挖掘出对于用户来说重要的、危险的、有用的信息。

SOC的发展：第一代SOC：由事件/信息收集器演变而来的作为信息集中管理的平台，多数厂家只是支持自己的产品日志格式，国内都定义为：日志收集器。

国内安全/网络设备生产厂家都有各自的日志收集器，并附带管理自己设备的功能；第二代SOC：由于第一代SOC能做到的工作只是作为信息收集，并不能对于其收集的各项事件信息进行分析和处理，所以第二代SOC在2005年左右在个厂家兴起。

其核心技术就是加入了国外流行的概念：关联分析。

关联分析其核心技术是“状态机”，通过定义资产信息和分析事件状态的变化来对信息进行深入的分析和对攻击/异常行为的判断。

国内厂家在第二代SOC上已经花费了大量的资金和时间，但效果并不理想。

第三代SOC：从现实情况来看，第二代SOC并没有得到国内大部分用户的认可和信任。

于是，第三代SOC的诞生引起了大家的兴趣。

在原有第二代SOC的基础之上，各厂家纷纷对SOC进行了“改装”，有的加入了网络管理模块，有的加入运维管理模块，还有的加入各式各样能嵌入的信息系统，导致现在第三代SOC越来越庞大，越来越臃肿。

网络安全管理平台SOC
产品背景
产品简介
安全管理控制平台在应用、核心、边界、汇集等各个层次上安全控制功能，基于业务工作流，面向身份、权限、流量、域名和数据报文，开展一致性请求检测，实现完整性保护；基于信息资产登记，开展响应服务的一致性检测，支持机密性保护，突破未知网络攻击发现与威胁识别分析能力的提升。

产品特点
多元异构数据汇聚融合，具备PB量级数据的接入、存储、共享能力。

多类型网络安全威胁数据统计分析，支持拒绝服务攻击、木马僵尸网络、恶意代码、网站后门、网页篡改、域名劫持、蠕虫利用、漏洞利用等公告及数据类型的统计和关联分析，具备对未知攻击的感知发现能力。

提供态势要素信息提取功能，具备威胁识别、安全事件交互式分析和关联展示能力。

具有网络安全预警及持续诊断功能，支持多操作哦系统平台，具备网络化、自动化交付能力，支持安全事件全生命周期的持续监控、处置、跟踪等。

技术参数
平台架构
产品介绍。

在前一篇文章里，已经对安全运维外包（MSS）这种服务模式进行了简单的分析，下面我们再来看看安全运维服务的另一种模式，安全运维中心（SOC）的建设。

正是由于安全外包服务所面临的各种各样的问题，企业或组织在选择安全运维模式时，更多的是在考虑依靠自身的力量建立完全属于自己安全运维队伍，来保障自身网络与业务系统的安全。

组织一旦决定建设自身的安全运维环境，那么将必然面临以下问题：•安全运维队伍：如何建立一个高效、具备解决问题能力的安全运维队伍？•安全运维流程：如何建立适合核心业务需求的安全事件处理机制、流程？•安全运维平台：依靠何种手段将众多的安全基础设施管理起来？要解决以上三个问题，组织的安全运维中心的概念就应运而生了。

安全运维中心有时称为安全运营中心（SOC，Security Operations Center）。

一、安全运维中心的内容之前我们讨论过过，安全运维的主要目的即是保证安全手段（产品+ 技术）的应用能够达到预期的良好效果（Effect）和提高效率（Efficiency）。

因此，从整体上说，安全运维工作是一个综合的管理与运营维护能力，需要的不仅仅是一个综合的安全设备管理技术或管理工具，而是一个能够将整体的安全组织、安全策略、安全技术、安全风险、安全事件、安全操作等统一的管理并保证其运转（Operations）有效（Effective and Efficiency）的一个平台，这样的平台，我们可以称之为安全运维中心（SOC）。

安全运维中心（SOC）至少包含三个方面的内容：（1）安全人员（People）信息安全保障技术框架（IATF）里认为人员在安全保障框架的核心。

人是信息系统的主体，是信息系统的拥有者、管理者和使用者，是信息保障体系的核心。

在安全运维中心（SOC）里，安全运维人员也是保障整个运维平台稳定、高效的核心。

SOC的安全运维人员包括日常运维小组、应急响应小组和安全专家等3个主要组成。

安全运维人员的安全技能、安全意识、服务能力的高低在安全运维的效果中起着至关重要的作用。

1.在soc的用途方面大家理解上的偏差对于用户，关心的是自己网络或者业务所面临的安全风险，以及利用soc整合人员、流程应对安全事件，更好、更全面的了解现状和快速做出反应。

对于soc提供商，关心的是自己的技术如何，拥有多少的模块，支持多少的设备，漏洞库的数目等等，而没有站在用户的角度来思考问题。

2.在成熟度上的不足soc更像是个概念性的东西，而且厂家还尚未把这个概念摸透就匆匆上马抢占市场，其实都是半成品，糊弄不懂的还可以。

可以说soc中的各个模块距离成熟都还很远，更别说这整个的系统了。

3.在易用性上的不足soc所呈现所提供的界面、模块，出现的报警信息，都还不能做到傻瓜化，门槛较高，本来都该soc提供的分析功能，全都变成要人来判断了，那么soc还有什么意义4.差异化造成的问题由于企业的不同，soc必然会结合企业的主要业务、安全组织架构、流程来进行差异化，这导致每个soc必然要有大量的单独开发过程，模块的重用比较低，影响厂家的研发速度和升级换代，对厂家的利润空间进行了挤压。

而开发并不能深入了解企业的业务，导致系统和业务的贴合不够紧密5.恶性竞争虽然soc刚刚起步，但国内的各大安全厂商纷纷来抢夺这块大蛋糕，某省的电信企业招标，竞标之激烈超出企业的想象，最后夺标的压价之低差不多就是赔本作。

这种不从自身做起，而只靠打价格战的做法，实在是对整个行业都不利的soc的问题太多，不是短时期能解决的，我有个想法，以后会和大家交流========== =========================SOC和SIEM这两个概念大家已经说了很多了，之间的区别其实很大，根本不是一个概念上的东西！SOC是一个安全运营组织，SIEM是一个以安全信息和安全事件为基础的技术管理平台，因此区别是首先表现在构成上就是很大不同，当然相同之处都是安全策略工具的组成部分！首先SOC（传统意义上的安全运营中心）不是任何客户都适用的，它有很多重要的功能不是产品技术能解决和实现的（就像大家了解到的流程、人员等），它的基本结构往往都是由于客户本身的实际需求和自身条件不具备等原因，导致SOC的畸形和失效！！！就像很多电信运营商建立了所谓的SOC却得不到应有的期望一样，就其原因还是自身条件不具备、实际需求不具备等，例如组织梯队不健全，很多省级电信运营商负责安全的专职人员也就1到2人，甚至兼职！因此你可以想象一下安全运营工作由谁来执行，由谁来改进，由谁来审核...，所以更不用说SOC其它重要组成部分的缺失了。

安全管理平台（SOC）的发展趋势分析-网御神州1SOC一词的起源SOC（Security Operations Center）是一个外来词。

而在国外，SOC这个词则来自于NOC（Network Operation Center，即网络运行中心）。

NOC强调对客户网络进行集中化、全方位的监控、分析与响应，实现体系化的网络运行维护。

随着信息安全问题的日益突出，安全管理理论与技术的不断发展，需要从安全的角度去管理整个网络和系统，而传统的NOC在这方面缺少技术支撑，于是，出现了SOC的概念。

不过，至今国外都没有形成统一的SOC的定义。

维基百科也只有基本的介绍：SOC（Security Operations Center）是组织中的一个集中单元，在整个组织和技术的高度处理各类安全问题。

SOC具有一个集中化的办公地点，有固定的运维管理人员。

国外各个安全厂商和服务提供商对SOC的理解也差异明显。

2SOC产生的动因为了不断应对新的安全挑战，企业和组织先后部署了防火墙、UTM、入侵检测和防护系统、漏洞扫描系统、防病毒系统、终端管理系统，等等，构建起了一道道安全防线。

然而，这些安全防线都仅仅抵御来自某个方面的安全威胁，形成了一个个“安全防御孤岛”，无法产生协同效应。

更为严重地，这些复杂的IT资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件，形成了大量“信息孤岛”，有限的安全管理人员面对这些数量巨大、彼此割裂的安全信息，操作着各种产品自身的控制台界面和告警窗口，显得束手无策，工作效率极低，难以发现真正的安全隐患。

另一方面，企业和组织日益迫切的信息系统审计和内控要求、等级保护要求，以及不断增强的业务持续性需求，也对客户提出了严峻的挑战。

针对上述不断突出的客户需求，从2000年开始，国内外陆续推出了SOC（Security Operations Center）产品。

目前国内的SOC产品也称为安全管理平台，由于受到国内安全需求的影响，具有很强的中国特色。

61开发测试Development and Testing2020 . 09 中国金融电脑安全运营平台SOC 建设思考与实践国家开发银行信息科技局 卫剑钒 雷东生当前，作为企业提高信息安全水平的主要工具，安全管理平台（Security Operation Center，SOC）建设成为企业安全管理工作进入成熟阶段的关键性标志之一，同时也是企业满足关键信息基础设施安全保护合规要求的重要举措。

对此，国家开发银行（以下简称“国开行”）针对性启动了统一信息安全运营平台项目建设，并通过构建以SOC 平台为核心的安全运营体系，初步实现了对主要信息安全威胁的“可知、可管、可控”。

一、SOC 平台的建设思路1.规划先行、充分调研SOC 本身并不是新生事物，然而，多年来业界对SOC 的认可度和应用效果却评价不一，部分单位投入大量人力、财力建成的SOC 未能发挥出预期功效。

针对这一现状，国开行对业界的主流产品以及同业SOC 平台的建设运营情况进行了深入调研，以求能充分了解项目痛点、吸收先行者的宝贵经验，在避免“踩雷”的同时，尽可能提高项目质量。

与此同时，国开行还借此机会，摸清理顺了本单位对SOC 平台建设的诸多特色需求。

基于上述准备，国开行按照规划先行的建设思路，在SOC 平台正式立项之前，即首先启动了SOC 规划咨询项目，包括引入专业的第三方安全咨询机构，开展SOC 平台建设需求分析和详细设计，提出产品选型技术路线建议，制定可落地的平台实施方案等。

通过咨询项目，国开行共梳理设计出包括五项核心功能在内的约200个功能需求点，并对威胁防御、威胁情报、大屏展示和机器学习等四项关键技术进行了深入研究。

通过对规划研究成果和企业现状审慎评估，国开行决定对当前技术实现难度较大、不够成熟的需求指标（如机器学习）执行分步实施策略。

同时，在咨询项目成果的基础上，还通过专项调研增加了蜜罐产品的部署需求，实现了对内网威胁的精准识别。

SOC 平台功能需求梳理如图1所示。

soc指标SOC（Security Operations Center）是安全运营中心的缩写，是指一个专门负责监视、分析和应对安全事件的机构或团队。

SOC通常由安全分析师、网络工程师、安全管理员等成员组成，其主要任务是监控和保护网络系统、应用和数据的安全。

SOC通常借助安全信息和事件管理系统（SIEM）等工具来收集、分析和报告安全事件，以及实施实时响应和处置措施。

为了评估一个SOC的绩效，常常会使用一些指标来衡量其运营效果。

以下是一些常见的SOC指标：1. 平均响应时间（Average Response Time）：指SOC对安全事件的响应所需的平均时间。

较短的响应时间通常意味着SOC能够更快地检测和应对潜在的威胁。

2. 平均解决时间（Average Resolution Time）：指SOC解决安全事件所需的平均时间。

较短的解决时间通常表明SOC具有高效的工作流程和技术手段。

3. 检测率（Detection Rate）：指SOC能够准确检测到的安全事件比例。

高的检测率意味着SOC能够更好地识别潜在的威胁，并采取适当的措施。

4. 虚警率（False Positive Rate）：指SOC报警中误报的比例。

较低的虚警率意味着SOC能够减少误报的干扰，更准确地将注意力集中在真正的威胁上。

5. 恢复时间（Recovery Time）：指SOC从安全事件中恢复正常运营所需的时间。

较短的恢复时间意味着SOC能够更快地恢复业务功能并降低损失。

这些指标可以帮助评估SOC的绩效，并作为改进和优化SOC 运营的依据。

然而，具体的SOC指标可能因组织的安全需求和威胁环境的不同而有所差异。