賴建華 劉輝

摘要：本文介紹了SOC基本概念，闡述大型組織分級建設(shè)SOC必要性的基礎(chǔ)上，構(gòu)想了SOC分級體系結(jié)構(gòu)，并從能力建設(shè)、數(shù)據(jù)流動、協(xié)同處置和自身安全等視角說明了SOC分級建設(shè)的幾個要點。

關(guān)鍵詞：SOC;安全運營中心;IT資產(chǎn)

中圖分類號：TN915.05 ? ? ? ? ?文獻(xiàn)標(biāo)識碼：A

SOC（Security Operation Center）即安全運營中心，是指以資產(chǎn)為核心，以安全風(fēng)險、安全威脅管理為關(guān)鍵流程，收集各類安全設(shè)備及資產(chǎn)的安全事件和日志信息，通過分析及時反映資產(chǎn)的安全狀態(tài)，協(xié)助安全人員進(jìn)行風(fēng)險分析、事件分析、預(yù)警管理和應(yīng)急響應(yīng)處置的集中安全運營系統(tǒng)。從本質(zhì)上講，SOC不只是一款單純的產(chǎn)品，而是一個復(fù)雜的系統(tǒng)，它包含產(chǎn)品、服務(wù)和運營，是技術(shù)、流程和人的有機(jī)結(jié)合。而SOC產(chǎn)品是SOC系統(tǒng)的技術(shù)支撐平臺。當(dāng)前，48.5%的部委機(jī)關(guān)和56.3%的中央企業(yè)已經(jīng)部署和使用了安全運營中心，并有效提升了安全管理效率，如安全事件的平均響應(yīng)時間，從3年前的平均3天左右，降低到現(xiàn)在1 h以內(nèi)。實踐已經(jīng)證明了SOC在網(wǎng)絡(luò)安全建設(shè)中的作用，但對于大型組織來說，一個單一的安全運營中心很難滿足需求，需要考慮多個SOC分級建設(shè)的問題[1]。

1 分級建設(shè)必要性

1.1 降低單點性能的需要

大型組織的IT資產(chǎn)種類多、數(shù)量大，構(gòu)建單一SOC很可能在網(wǎng)絡(luò)吞吐、處理能力、數(shù)據(jù)存儲等方面面臨困難。通過分級部署，可以將任務(wù)分割，處于最下級的SOC只負(fù)責(zé)本級IT資產(chǎn)的安全運營和安全事件的向上通報;處于上級的SOC除了本級IT資產(chǎn)的安全運營之外，接收下級SOC安全事件的通報。這樣可大幅降低單個SOC的性能需求。

1.2 確保權(quán)責(zé)匹配的需要

大型組織往往有自己的網(wǎng)絡(luò)安全部門，位于不同層級的安全團(tuán)隊有不同的安全權(quán)責(zé)。如果只建一個總的SOC，下級安全團(tuán)隊很難借助SOC的力量實施安全運營，容易導(dǎo)致權(quán)責(zé)不匹配、運營效率低下的問題。實施SOC分級建設(shè)，各級安全團(tuán)隊在承擔(dān)相應(yīng)安全責(zé)任的同時，可有效利用本級SOC實施安全運營，達(dá)到權(quán)責(zé)的匹配和平衡。

1.3 能力分級建設(shè)的需要

對于安全部門來說，不同層級的安全團(tuán)隊，其職責(zé)和能力要求是不一樣的。對于SOC的建設(shè)也是如此，針對不同層級的實際情況，可進(jìn)行定制化建設(shè)。針對下級SOC來說，可取消沒有條件或者沒必要建設(shè)的內(nèi)容;而對于最上層的SOC來說，可加大建設(shè)力度，積極建設(shè)大數(shù)據(jù)、機(jī)器學(xué)習(xí)、威脅情報等核心高階能力。

2 SOC分級體系結(jié)構(gòu)

圖1左側(cè)是三級SOC的示意，在實際應(yīng)用中，具體層級數(shù)量根據(jù)各組織的實際情況劃定。圖1右側(cè)是單個SOC平臺的層次模型，位于最底層的是信息探測收集層，其功能是通過主動探測或者被動接收的方式，收集匯聚資產(chǎn)、漏洞、日志、告警等安全信息;接口層的功能是針對不同類型的安全信息，提供相應(yīng)的對接接口，確保數(shù)據(jù)的完整采集;分析層的功能是對各種數(shù)據(jù)進(jìn)行關(guān)聯(lián)處理和基于資產(chǎn)的映射;應(yīng)用層的功能是實現(xiàn)SOC的各種界面交互和響應(yīng)的模塊，為用戶提供方便的操作、管理接口。

信息探測收集層的功能模塊可以是SOC內(nèi)部集成，也可以由外部其他安全產(chǎn)品實現(xiàn)，如漏洞掃描功能可以集成到SOC內(nèi)部，也可以由外部獨立的產(chǎn)品實現(xiàn)。如果由外部產(chǎn)品實現(xiàn)，則該產(chǎn)品需要將掃描結(jié)果推送給SOC。對日志類信息，主要依靠外部產(chǎn)品的推送，如主機(jī)安全日志、防火墻日志、Web訪問日志等。此外，下級SOC也需要將部分分析結(jié)果推送給上級SOC，上級SOC也需要將一些管理信息推送給下級SOC，從而實現(xiàn)安全信息在全局范圍內(nèi)的流動。

接口層的功能是，對于主動探測得到的信息，按預(yù)先定義的格式進(jìn)行存儲;對于外部產(chǎn)品推送的信息，則進(jìn)行格式解析后進(jìn)行存儲。如果SOC平臺還要整合第三方產(chǎn)品，則需要第三方廠商提供相應(yīng)接口或者具體的數(shù)據(jù)格式。若第三方廠商未能提供相關(guān)信息，則需要人工分析后進(jìn)行對接。

分析層除了各類分析技術(shù)的實現(xiàn)外，還有對應(yīng)的安全知識庫。分析技術(shù)有關(guān)聯(lián)分析、規(guī)則比對、機(jī)器學(xué)習(xí)等，而安全知識庫涉及關(guān)聯(lián)規(guī)則庫、漏洞信息庫、威脅情報庫、響應(yīng)處置流程等。其中關(guān)聯(lián)分析主要根據(jù)分析對象的屬性特征和相應(yīng)規(guī)則進(jìn)行關(guān)聯(lián)性分析，進(jìn)而得到網(wǎng)絡(luò)安全威脅告警、用戶行為特征、攻擊者畫像等信息;規(guī)則比對主要利用規(guī)則庫去匹配流量特征，從而發(fā)現(xiàn)可疑行為;機(jī)器學(xué)習(xí)則在大數(shù)據(jù)的基礎(chǔ)上，運用各種算法實現(xiàn)對已知威脅的定位和未知威脅的預(yù)測。

應(yīng)用層的核心是各類信息的展示和運營流程的輔助管理，如角色管理、資產(chǎn)管理、風(fēng)險管理、響應(yīng)處置管理、分析查詢、報表生成、系統(tǒng)維護(hù)等。應(yīng)用層的功能應(yīng)該突出管理性和易用性，管理性是指能夠輔助安全運維，實現(xiàn)相關(guān)事務(wù)的閉環(huán)管理;易用性是指界面簡潔美觀、操作方便快捷。

3 分級建設(shè)要點

SOC分級建設(shè)是一個復(fù)雜的系統(tǒng)工程，需要綜合考慮資金投入、人員配備、上下級聯(lián)動、權(quán)責(zé)劃分等問題，本文沒有對相關(guān)問題進(jìn)行面面俱到的闡述，主要對其中可能涉及的關(guān)鍵問題進(jìn)行分析，具體有以下4點。

3.1 能力分級、按需建設(shè)

McAfee[2]在《擾亂破壞者是技能還是科學(xué)？——了解威脅追蹤人員的角色以及網(wǎng)絡(luò)安全領(lǐng)域SOC的持續(xù)演變》文章中，將SOC建設(shè)從低到高分成0～4五個成熟度級別，不同級別對應(yīng)了不同的安全能力水平，具體如表1所示。對于分級建設(shè)的SOC來說，不同層級的SOC可對照不同的級別要求進(jìn)行建設(shè)，各層次的功能模塊也可綜合各種因素進(jìn)行針對性選擇。對于最上層的SOC，安全團(tuán)隊可充分發(fā)揮擁有全局?jǐn)?shù)據(jù)的優(yōu)勢，借助大數(shù)據(jù)、機(jī)器學(xué)習(xí)等技術(shù)，分析全局安全態(tài)勢和威脅情報信息，并將相關(guān)成果轉(zhuǎn)化成策略下發(fā)至下級SOC。

3.2 數(shù)據(jù)匯聚和策略分發(fā)

下級SOC產(chǎn)生的威脅信息，向上級SOC推送。因此從邏輯上看，下級SOC是上級SOC信息探測收集層的功能模塊。具體推送內(nèi)容并不固定，可根據(jù)需要進(jìn)行選擇定制，通常包括運行狀態(tài)、惡意文件/流量、告警信息、流量統(tǒng)計信息等;上級SOC匯聚所有下級SOC的數(shù)據(jù)，形成整個組織的安全大數(shù)據(jù)，為后續(xù)的深入分析提供基礎(chǔ)。此外，上級SOC可以將新增的安全策略、規(guī)則等分發(fā)到下級SOC，實現(xiàn)全局的同步更新。

3.3 協(xié)同聯(lián)動、快速處置

不同層級、同一層級的SOC之間既要明確分工職責(zé)，又要建立通暢快捷的協(xié)同聯(lián)動機(jī)制。對于明確屬于本SOC內(nèi)部解決的問題，應(yīng)盡量不動用其他SOC的資源，但是處置完畢之后形成的成果，應(yīng)快速共享至其他SOC，以促進(jìn)效益的最大化。對于涉及多個SOC的安全威脅，則通過人員協(xié)作和數(shù)據(jù)共享等方式，共同解決，形成的成果同樣需快速共享至其他SOC。共享的方式一般是上報至最上層的SOC，然后由最上層逐級下發(fā)[3]。

3.4 確保系統(tǒng)自身安全

SOC作為安全運營的中心，應(yīng)確保自身的安全性，避免成為被攻擊的目標(biāo)。要做好自身安全，應(yīng)當(dāng)從以下幾個方面著手：一是規(guī)范開發(fā)流程，進(jìn)行代碼審計，確保系統(tǒng)的原生安全;二是上線之前開展?jié)B透測試，發(fā)現(xiàn)潛在安全漏洞和攻擊路徑，并及時整改;三是充分考慮身份認(rèn)證、權(quán)限控制和通信加密問題，避免攻擊者針對系統(tǒng)開展服務(wù)器偽造、越權(quán)訪問、數(shù)據(jù)污染等攻擊。

4 結(jié)語

對于大型組織來說，要持續(xù)維持整個網(wǎng)絡(luò)和所有信息系統(tǒng)的安全是個艱巨的任務(wù)。SOC分級建設(shè)有利于安全資源的合理分配和投入，也增加了建設(shè)部署的靈活性和可行性。在實際建設(shè)和運營過程中，各SOC之間的協(xié)同聯(lián)動、數(shù)據(jù)共享是建設(shè)的重點和難點，也是提升安全運營效率的關(guān)鍵，需要深入分析組織的實際情況，制定針對性的規(guī)范化制度流程，并在實踐中不斷調(diào)整完善。

參考文獻(xiàn)

[1] 安氏互聯(lián)網(wǎng)安全系統(tǒng)（中國）有限公司.網(wǎng)絡(luò)安全管理中心系統(tǒng)平臺建設(shè)方案建議.（2018-10-17）[2019-06-24]. https：//wenku.baidu.com/view/2370b9a227fff705cc1755270722192e45365894.html.

[2] McAfee.Disrupting the disruptors，art or science？[EB/OL]（2017-09-07）[2019-07-16] https：//www.mcafee.com/enterprise/en-?us/assets/reports/restricted/rp-disrupting-disruptors.pdf.

[3] 尹夢潔，JIE Y M.中國電信SOC平臺建設(shè)方案[J].湖南郵電職業(yè)技術(shù)學(xué)院學(xué)報，2013，12（4）：19-23.