網(wǎng)絡(luò )安全是一個(gè)動(dòng)態(tài)的過(guò)程，主要表現在以下兩個(gè)方面：

攻擊者的手段在不斷變化，攻擊方法和工具也在不斷更新，隨著(zhù)網(wǎng)絡(luò )內設備的增多，各類(lèi)漏洞的不斷出現更是為攻擊者提供了新的滋生土壤。

網(wǎng)內業(yè)務(wù)不斷變化，軟件系統在變，工作人員在變，妄圖通過(guò)一個(gè)系統、一個(gè)方案解決所有問(wèn)題是不現實(shí)、不可能的。

因此，網(wǎng)絡(luò )安全需要不斷的人力、物力、財力等投入，需要持續的運營(yíng)、維護和優(yōu)化，SOC也便應時(shí)而生。

安全運營(yíng)中心業(yè)界通常稱(chēng)為SOC（Security Operations Center），SOC采用集中管理方式，統一管理相關(guān)安全產(chǎn)品，搜集所有網(wǎng)內資產(chǎn)的安全信息，并通過(guò)對收集到的各種安全事件進(jìn)行深層的分析、統計和關(guān)聯(lián)，及時(shí)反映被管理資產(chǎn)的安全情況，定位安全風(fēng)險，對各類(lèi)安全事件及時(shí)發(fā)現和定位，并及時(shí)提供處理方法和建議，協(xié)助管理員進(jìn)行事件分析、風(fēng)險分析、預警管理和應急響應處理。

安全運營(yíng)中心核心能力

SOC平臺能夠對各種多源異構數據源產(chǎn)生的信息進(jìn)行收集、過(guò)濾、格式化、 歸并、存儲，并提供了諸如模式匹配、 風(fēng)險分析、異常檢測等能力，使用戶(hù)對整個(gè)網(wǎng)絡(luò )的運行狀態(tài)進(jìn)行實(shí)時(shí)監控和管理，對各種資產(chǎn)(主機、服務(wù)器、IDS、IPS、WAF等)進(jìn)行脆弱性評估，對各種安全事件進(jìn)行分析、統計和關(guān)聯(lián)，并及時(shí)發(fā)布預警，提供快速響應能力。

其核心能力如下：

• 網(wǎng)絡(luò )管理能力

SOC平臺可通過(guò)SNMP、SSH、Telent等協(xié)議，監控多種網(wǎng)絡(luò )設備的運行狀態(tài)，并對運行異常進(jìn)行報警。監控功能包括：

1. 監控設備運行狀態(tài)，如系統CPU、內存、 系統時(shí)間、設備持續運行時(shí)間；

2. 監控端口信息，如各端口的活動(dòng)狀態(tài)及地址變化；

3. 監控流量信息，采集當前時(shí)刻設備總流量、 總流出數據量、總流入數據量等；

4. 自動(dòng)發(fā)現網(wǎng)絡(luò )拓撲，以圖形化的界面展示， 并提供視圖操作及輸出功能。

• 安全資產(chǎn)管理能力

SOC平臺提供資產(chǎn)信息庫維護能力，可對資產(chǎn)信息進(jìn)行增加、刪除、修改等，并支持資產(chǎn)檢索功能，對被管設備資產(chǎn)信息可以按照設備IP地址、設備所屬單位、設備類(lèi)型、所屬安全域、所屬業(yè)務(wù)系統等條件進(jìn)行單獨或組合查詢(xún)。

• 風(fēng)險管理能力

SOC平臺支持基于IS013335和ISOl7799標準的風(fēng)險計算分析和展現?？梢詮牡赜?、業(yè)務(wù)系統、IP地址段等視角查看資產(chǎn)風(fēng)險，及時(shí)掌握資產(chǎn)中產(chǎn)生的安全事件、配置脆弱性和安全漏洞。

• 工單管理能力

SOC平臺通過(guò)工單管理，實(shí)現對安全事件的快速閉環(huán)響應。

通過(guò)事件監控中心監測到安全事件后，手工或系統自動(dòng)生成新的工單，并通過(guò)系統報警或郵件的方式，通知相關(guān)責任人進(jìn)行處理。工單管理會(huì )對工單被派發(fā)后的整個(gè)過(guò)程進(jìn)行跟蹤，進(jìn)行工單收回、重新派發(fā)等工作。

• 事件收集采集能力

SOC平臺能夠通過(guò)多種方式收集事件源發(fā)送的安全事件信息，收集方式包含以下幾種：

1. 通過(guò)文件方式，讀取事件源的日志文件，獲取其中與安全有關(guān)的信息；

2. 通過(guò)SNMP Trap和syslog方式，接收事件源發(fā)來(lái)的安全事件；

3. 通過(guò)JDBC、ODBC數據庫接口獲取事件源存放在各種數據庫中的安全相關(guān)信息或數據庫操作日志；

4. 通過(guò)OPSEC接口，接收來(lái)自該類(lèi)型的安全事件服務(wù)器發(fā)送來(lái)的事件；

5. 通過(guò)第三方應用程序或者自研agent，結合以上方式或者標準輸出，直接將安全事件轉發(fā)給安全事件采集系統。

• 事件處理和關(guān)聯(lián)分析能力

SOC平臺中事件處理功能，主要負責對安全事件進(jìn)行標準化、過(guò)濾、合并、集中存儲。

SOC平臺中關(guān)聯(lián)分析采用基于規則關(guān)聯(lián)或資產(chǎn)漏洞、威脅情報關(guān)聯(lián)的方式，實(shí)時(shí)對事件進(jìn)行統計分析，當滿(mǎn)足條件的事件發(fā)生時(shí)，將觸發(fā)對應的安全響應動(dòng)作，如聲音報警、郵件報警、手機短信報警等多種方式。

• 知識庫管理能力

SOC平臺的知識管理平臺除提供一般知識管理功能， 比如安全知識庫、培訓和人員考核等，也提供了強大的漏洞庫、事件特征庫、補丁庫、安全配置知識庫和應急響應知識庫等。

• 豐富的報表展現能力

SOC平臺報表提供對系統內的各類(lèi)安全數據，進(jìn)行全方位多角度的展現能力。如資產(chǎn)類(lèi)型分布、攻擊類(lèi)事件分布、安全告警趨勢等，并提供用戶(hù)自定義及報表導出能力。

• 第三方系統集成能力

SOC平臺第三方系統集成能力是SOC平臺能夠對網(wǎng)絡(luò )安全進(jìn)行綜合評定的又一基礎。SOC平臺可以通過(guò)Webservice接口或第三方提供的API，從第三方系統獲取必要信息，或者驅動(dòng)第三方系統或設備進(jìn)行有目的的工作。如SOC平臺可以通過(guò)驅動(dòng)漏洞掃描系統，對指定的資產(chǎn)進(jìn)行漏洞掃描，并通過(guò)結果接口獲取掃描結果，參與到事件的關(guān)聯(lián)分析中。

安全運營(yíng)中心價(jià)值

基于某一個(gè)具體設備或系統，如WAF、IDS、IPS、漏洞掃描系統進(jìn)行網(wǎng)絡(luò )安全分析，信息較分散，容易增加誤判、漏判的概率，且需要大量的專(zhuān)業(yè)人員，知識積累較困難，應急響應慢。

SOC平臺通過(guò)收集各類(lèi)相關(guān)安全信息，并進(jìn)行相互之間的關(guān)聯(lián)分析、印證，從多角度對網(wǎng)內資產(chǎn)進(jìn)行安全分析和評估，并將安全運維工作流程化，極大提高了發(fā)現事件并及時(shí)處理響應的能力，同時(shí)通過(guò)知識積累和系統運維的完善，不斷加強和完善網(wǎng)絡(luò )的安全防護能力、攻擊發(fā)現及應急響應能力。

產(chǎn)品概述

靈狐科技安全運營(yíng)中心（Security Operations Center，簡(jiǎn)稱(chēng)SOC）是企業(yè)信息安全體系的支撐平臺，以資產(chǎn)為核心，安全事件分析處理為主線(xiàn)，監控企業(yè)安全風(fēng)險狀況的同時(shí)，確保企業(yè)信息安全閉環(huán)。安全運營(yíng)中心通過(guò)內置綜合分析、集中監控、集中運維、統一管理的功能，配合企業(yè)安全業(yè)務(wù)流程，將技術(shù)、流程、人進(jìn)行有機的結合，實(shí)現企業(yè)全面、綜合的信息安全管理。