运维安全 soc 安全运维中心

在前一篇文章里，已经对安全运维外包（MSS）这种服务模式进行了简单的分析，下面我们再来看看安全运维服务的另一种模式，安全运维中心（SOC）的建设。(WwW.nIubB.nEt)

正是由于安全外包服务所面临的各种各样的问题，企业或组织在选择安全运维模式时，更多的是在考虑依靠自身的力量建立完全属于自己安全运维队伍，来保障自身网络与业务系统的安全。组织一旦决定建设自身的安全运维环境，那么将必然面临以下问题：

? 安全运维队伍：如何建立一个高效、具备解决问题能力的安全运维队伍？

? 安全运维流程：如何建立适合核心业务需求的安全事件处理机制、流程？

? 安全运维平台：依靠何种手段将众多的安全基础设施管理起来？ 要解决以上三个问题，组织的安全运维中心的概念就应运而生了。安全运维中心有时称为安全运营中心（SOC，Security Operations Center）。

一、安全运维中心的内容

之前我们讨论过过，安全运维的主要目的即是保证安全手段（产品 + 技术）的应用能够达到预期的良好效果（Effect）和提高效率（Efficiency）。因此，从整体上说，安全运维工作是一个综合的管理与运营维护能力，需要的不仅仅是一个综合的安全设备管理技术或管理工具，而是一个能够将整体的安全组织、安全策略、安全技术、安全风险、安全事件、安全操作等统一的管理并保证其运转（Operations）有效（Effective and Efficiency）的一个平台，这样的平台，我们可以称之为安全运维中心（SOC）。

安全运维中心（SOC）至少包含三个方面的内容：

（1）安全人员（People）

信息安全保障技术框架（IATF）里认为人员在安全保障框架的核心。人是信息系统的主体，是信息系统的拥有者、管理者和使用者，是信息保障体系的核心。在安全运维中心（SOC）里，安全运维人员也是保障整个运维平台稳定、高效的核心。

SOC的安全运维人员包括日常运维小组、应急响应小组和安全专家等3个主要组成。安全运维人员的安全技能、安全意识、服务能力的高低在安全运维的效果中起着至关重要的作用。

（2）运维流程（Process）

在专业概念里，IT服务管理是以流程和服务为中心的IT管理方法。IT服务管理中的两个核心要素就是质量（Quality）和流程（Processes）。 IT服务管理目标就是不断改进IT服务的质量，而对流程的控制则是实现服务管理目标的基本方法。

从定义上来讲，流程（Processes）是指按照一个既定的目标组织起来的一组逻辑上相关的活动，流程管理的目标就是要通过规划和控制从而确保流程是有效的（Effective）和有效率的（Efficient）。

安全运维流程包括安全事件处理流程、安全故障定位流程、应急响应流程、日常操作流利等一系列的管理流程，是决定着SOC服务质量的关键，也是SOC成功运行的关键。

（3）技术平台（Technology）

SOC的技术平台则体现为一种集中的安全管理形式，它能够将众多的安全设备、安全技术集中管理起来，能够对安全设备及应用系统的日志进行集中管理、分析，为系统的安全状态监控、故障快速定位、事件关联分析、系统分析报表等提供技术基础平台支持。

soc 安全运维中心(SOC)

SOC技术平台的关键是事件收集机制、事件关联机制及与运维流程进行有效结合的实现。[wWw.niubB.NeT)

二、安全运维平台的组成

理想情况下的安全运营管理平台是一个集中安全策略管理（SPM，Security Policy Management）、安全风险管理（SVM，Security Vulnerability Management）、安全知识管理（SKM，Security Knowledge Management）、安全运营管理（SOP，Security Operation Process，关注流程和质量）、安全产品管理（SIM，Security Implement Management）于一体的统一安全管理平台（Unified Security Management Platforms）。从技术实现上，这个统一的安全管理平台不仅仅像SOC/SIM那样关注安全事件、关注安全产品状态的收集和监控，而是更希望能够借助面向服务架构（SOA，Services-Oriented Architecture）来建设一种平台，从根本上来实现各种安全产品和技术以及安全管理的集成化和自动化。

因此，安全运维管理平台即是一个管理平台，也是一个技术平台。从功能上来讲应该包含以下内容：

（1）安全集成管理（SIM）

通常在组织的安全体系组成中，其安全功能的实现由多种安全设备或软、硬件系统来实现，比如安全防护产品（防火墙、防病毒等）、安全检测产品（IDS、漏洞扫描等），这些系统都有自己独立部署和管理方式，加之安全建设是逐步完成的，这些系统之间缺乏一个统一的管理平台，一旦出现安全问题，也无法有效的从这些分散的系统之中快速定位并解决问题。

因此安全设施的集中管理是SOC功能必不可少的一个组成。

（2）安全风险管理（SVM）

安全风险管理是指一个有效的风险管理平台，它能够对组织根据组织资产、威胁及系统的安全弱点等对组织的安全风险进行统一的管理，包括风险的评估、风险的分级以及风险管理的措施等。

在技术方面，安全风险管理能够将组织内的系统的技术脆弱性进行集中的评估和管理，并能够提供周期性评估报告和改进建议。

（3）安全知识管理（SKM）

安全知识管理主要体现的组织的安全知识库建设方面。日常的安全运维，本身即是一个知识不断积累的过程，安全知识库的建设有利于提供组织的整体安全管理能力。SOC的安全知识管理能够记录安全事件处理过程、处理方法等，同时能够提供日常安全基础知识、安全漏洞信息、安全技术发展等，形成组织内统一的安全知识管理平台。

（4）安全流程管理（SOP）

有效的安全的运维，不是仅仅依赖于产品或技术，更重要的对服务流程的控制。SOC的建设，不仅仅是安全产品的部署与管理，还需要一系列的操作流程和事件处理流程来配合，SOC能够将这些安全运维处理流程有效的管理起来，与相应的产品平台和技术手段相结合，才能够有效发挥这样一个统一管理平台的作用。

安全运维流程通常包括安全事件处理流程、安全故障定位流程、应急响应流程、日常操作流利等，这些操作流程和制度是整体安全策略的组成部分，通过SOC的平台，这些流程将是安全管理决策分析的重要依据和安全知识积累的来源。