大型組織SOC分級建設構想

賴建華 劉輝

摘要：本文介紹了SOC基本概念，闡述大型組織分級建設SOC必要性的基礎上，構想了SOC分級體系結構，并從能力建設、數據流動、協同處置和自身安全等視角說明了SOC分級建設的幾個要點。

關鍵詞：SOC;安全運營中心;IT資產

中圖分類號：TN915.05 ? ? ? ? ?文獻標識碼：A

SOC（Security Operation Center）即安全運營中心，是指以資產為核心，以安全風險、安全威脅管理為關鍵流程，收集各類安全設備及資產的安全事件和日志信息，通過分析及時反映資產的安全狀態，協助安全人員進行風險分析、事件分析、預警管理和應急響應處置的集中安全運營系統。從本質上講，SOC不只是一款單純的產品，而是一個復雜的系統，它包含產品、服務和運營，是技術、流程和人的有機結合。而SOC產品是SOC系統的技術支撐平臺。當前，48.5%的部委機關和56.3%的中央企業已經部署和使用了安全運營中心，并有效提升了安全管理效率，如安全事件的平均響應時間，從3年前的平均3天左右，降低到現在1 h以內。實踐已經證明了SOC在網絡安全建設中的作用，但對于大型組織來說，一個單一的安全運營中心很難滿足需求，需要考慮多個SOC分級建設的問題[1]。

1 分級建設必要性

1.1 降低單點性能的需要

大型組織的IT資產種類多、數量大，構建單一SOC很可能在網絡吞吐、處理能力、數據存儲等方面面臨困難。通過分級部署，可以將任務分割，處于最下級的SOC只負責本級IT資產的安全運營和安全事件的向上通報;處于上級的SOC除了本級IT資產的安全運營之外，接收下級SOC安全事件的通報。這樣可大幅降低單個SOC的性能需求。

1.2 確保權責匹配的需要

大型組織往往有自己的網絡安全部門，位于不同層級的安全團隊有不同的安全權責。如果只建一個總的SOC，下級安全團隊很難借助SOC的力量實施安全運營，容易導致權責不匹配、運營效率低下的問題。實施SOC分級建設，各級安全團隊在承擔相應安全責任的同時，可有效利用本級SOC實施安全運營，達到權責的匹配和平衡。

1.3 能力分級建設的需要

對于安全部門來說，不同層級的安全團隊，其職責和能力要求是不一樣的。對于SOC的建設也是如此，針對不同層級的實際情況，可進行定制化建設。針對下級SOC來說，可取消沒有條件或者沒必要建設的內容;而對于最上層的SOC來說，可加大建設力度，積極建設大數據、機器學習、威脅情報等核心高階能力。

2 SOC分級體系結構

圖1左側是三級SOC的示意，在實際應用中，具體層級數量根據各組織的實際情況劃定。圖1右側是單個SOC平臺的層次模型，位于最底層的是信息探測收集層，其功能是通過主動探測或者被動接收的方式，收集匯聚資產、漏洞、日志、告警等安全信息;接口層的功能是針對不同類型的安全信息，提供相應的對接接口，確保數據的完整采集;分析層的功能是對各種數據進行關聯處理和基于資產的映射;應用層的功能是實現SOC的各種界面交互和響應的模塊，為用戶提供方便的操作、管理接口。

信息探測收集層的功能模塊可以是SOC內部集成，也可以由外部其他安全產品實現，如漏洞掃描功能可以集成到SOC內部，也可以由外部獨立的產品實現。如果由外部產品實現，則該產品需要將掃描結果推送給SOC。對日志類信息，主要依靠外部產品的推送，如主機安全日志、防火墻日志、Web訪問日志等。此外，下級SOC也需要將部分分析結果推送給上級SOC，上級SOC也需要將一些管理信息推送給下級SOC，從而實現安全信息在全局范圍內的流動。

接口層的功能是，對于主動探測得到的信息，按預先定義的格式進行存儲;對于外部產品推送的信息，則進行格式解析后進行存儲。如果SOC平臺還要整合第三方產品，則需要第三方廠商提供相應接口或者具體的數據格式。若第三方廠商未能提供相關信息，則需要人工分析后進行對接。

分析層除了各類分析技術的實現外，還有對應的安全知識庫。分析技術有關聯分析、規則比對、機器學習等，而安全知識庫涉及關聯規則庫、漏洞信息庫、威脅情報庫、響應處置流程等。其中關聯分析主要根據分析對象的屬性特征和相應規則進行關聯性分析，進而得到網絡安全威脅告警、用戶行為特征、攻擊者畫像等信息;規則比對主要利用規則庫去匹配流量特征，從而發現可疑行為;機器學習則在大數據的基礎上，運用各種算法實現對已知威脅的定位和未知威脅的預測。

應用層的核心是各類信息的展示和運營流程的輔助管理，如角色管理、資產管理、風險管理、響應處置管理、分析查詢、報表生成、系統維護等。應用層的功能應該突出管理性和易用性，管理性是指能夠輔助安全運維，實現相關事務的閉環管理;易用性是指界面簡潔美觀、操作方便快捷。

3 分級建設要點

SOC分級建設是一個復雜的系統工程，需要綜合考慮資金投入、人員配備、上下級聯動、權責劃分等問題，本文沒有對相關問題進行面面俱到的闡述，主要對其中可能涉及的關鍵問題進行分析，具體有以下4點。

3.1 能力分級、按需建設

McAfee[2]在《擾亂破壞者是技能還是科學？——了解威脅追蹤人員的角色以及網絡安全領域SOC的持續演變》文章中，將SOC建設從低到高分成0～4五個成熟度級別，不同級別對應了不同的安全能力水平，具體如表1所示。對于分級建設的SOC來說，不同層級的SOC可對照不同的級別要求進行建設，各層次的功能模塊也可綜合各種因素進行針對性選擇。對于最上層的SOC，安全團隊可充分發揮擁有全局數據的優勢，借助大數據、機器學習等技術，分析全局安全態勢和威脅情報信息，并將相關成果轉化成策略下發至下級SOC。

3.2 數據匯聚和策略分發

下級SOC產生的威脅信息，向上級SOC推送。因此從邏輯上看，下級SOC是上級SOC信息探測收集層的功能模塊。具體推送內容并不固定，可根據需要進行選擇定制，通常包括運行狀態、惡意文件/流量、告警信息、流量統計信息等;上級SOC匯聚所有下級SOC的數據，形成整個組織的安全大數據，為后續的深入分析提供基礎。此外，上級SOC可以將新增的安全策略、規則等分發到下級SOC，實現全局的同步更新。

3.3 協同聯動、快速處置

不同層級、同一層級的SOC之間既要明確分工職責，又要建立通暢快捷的協同聯動機制。對于明確屬于本SOC內部解決的問題，應盡量不動用其他SOC的資源，但是處置完畢之后形成的成果，應快速共享至其他SOC，以促進效益的最大化。對于涉及多個SOC的安全威脅，則通過人員協作和數據共享等方式，共同解決，形成的成果同樣需快速共享至其他SOC。共享的方式一般是上報至最上層的SOC，然后由最上層逐級下發[3]。

3.4 確保系統自身安全

SOC作為安全運營的中心，應確保自身的安全性，避免成為被攻擊的目標。要做好自身安全，應當從以下幾個方面著手：一是規范開發流程，進行代碼審計，確保系統的原生安全;二是上線之前開展滲透測試，發現潛在安全漏洞和攻擊路徑，并及時整改;三是充分考慮身份認證、權限控制和通信加密問題，避免攻擊者針對系統開展服務器偽造、越權訪問、數據污染等攻擊。

4 結語

對于大型組織來說，要持續維持整個網絡和所有信息系統的安全是個艱巨的任務。SOC分級建設有利于安全資源的合理分配和投入，也增加了建設部署的靈活性和可行性。在實際建設和運營過程中，各SOC之間的協同聯動、數據共享是建設的重點和難點，也是提升安全運營效率的關鍵，需要深入分析組織的實際情況，制定針對性的規范化制度流程，并在實踐中不斷調整完善。

參考文獻

[1] 安氏互聯網安全系統（中國）有限公司.網絡安全管理中心系統平臺建設方案建議.（2018-10-17）[2019-06-24]. https：//wenku.baidu.com/view/2370b9a227fff705cc1755270722192e45365894.html.

[2] McAfee.Disrupting the disruptors，art or science？[EB/OL]（2017-09-07）[2019-07-16] https：//www.mcafee.com/enterprise/en-?us/assets/reports/restricted/rp-disrupting-disruptors.pdf.

[3] 尹夢潔，JIE Y M.中國電信SOC平臺建設方案[J].湖南郵電職業技術學院學報，2013，12（4）：19-23.