網絡安全運營中心總體設計與方案構想

汪銳 徐吉輝 鐘曉歌

摘要：隨著網絡規模與信息技術的快速發展，網絡安全領域緊前工作已經從裝備建設進入體系優化階段，安全運營中心（Security Operation Center，SOC）應運而生。針對某企業信息系統網絡安全防護體系現狀進行了需求挖掘，分析了構建網絡SOC的必要性，研究提出了SOC的構建目標，提出了以企業核心業務保障為關鍵、網絡安全管理和網絡運行維護管理一體化的SOC建設思路，針對性設計了安全管理平臺功能架構，并從技術層面給出了可行的實施方案。網絡SOC通過采集各類基礎信息，能夠實現對全網安全防護裝備態勢的實時監測；能夠對安全事件、威脅告警等關聯分析，提供全網態勢感知能力；智能識別未知網絡攻擊行為，進行分析預警；以資產數據與安管系統作為基礎，對企業核心業務系統及防護體系進行安全風險評估，支撐構建具有主動防御能力的安全防護體系。

關鍵詞：安全運營中心；主動防御；安全態勢感知

中圖分類號：TN91文獻標志碼：A文章編號：1008-1739（2022）19-58-06

0引言

伴隨網絡和信息化技術的不斷發展，各行業信息化加速，信息系統集成化、規模化，隨之帶來的網絡安全風險也逐漸增多。近年來，國內企業加大安全體系建設力度，部署以防火墻、入侵檢測等為代表的各類網絡安全防護裝備，但是裝備的簡單堆砌僅針對性解決邊界、主機等單方面面臨的威脅，無法實現安全防護系統策略、響應等全生命周期整體聯動。面對海量告警信息，安全運維崗位人員難以從中提取有效數據，整體安全態勢和運行情況呈黑盒，無法支撐網絡態勢感知及預測決策，難以及時發現和有效應對隱患，人力資源浪費，運維難度較大。大型復雜信息系統的網絡安全問題是一項系統工程，需要用系統工程思維去解決風險問題，迫切需要一個集運行維護、態勢感知、應急響應三位一體的機構，網絡安全運營中心（Security Operation Center，SOC）概念應運而生。本文針對某企業網絡安全管理需求現狀，結合國內外SOC系統的研究情況，對該企業SOC的建設提出技術解決方案。

1安全運營中心建設需求分析

1.1安全運營中心概念

Security Operation Center，SOC[1]是指為保證企業信息系統的安全、穩定運行，統一運維管理多型網絡安防裝備，集中管理設備相關安全信息。同時，高效整合技術、服務、流程和人員等要素，通過機器學習、數據挖掘、人工智能、安全自動化編排與響應等工具和技術，實時采集各類安全告警信息與網絡威脅，并進行統計整理和動態分析，實時更新信息系統安全基線，快速定位安全問題；依據網絡安全事件應對方案預案等進行影響域分析、網絡攻擊取證、攻擊追蹤溯源、現場應急處置、針對性加固及總結評估。其核心功能是，向上利用安全產品的采集器或傳感器，將安全事件、安全告警、設備性能、系統運行狀態等信息收集到安全管理中心；向下對安全防護裝備統一分發配置策略，實現網絡基礎資源、安全防護資源的集中監控與統一安全管理。面對網絡安全事件，不同防護設備能夠實現一體化策略協同聯動，實現企業對網絡安全的實時動態監測、安全威脅預警、統計報表導出、數據聯動分析、應急處置響應等功能，提高企業網絡安全整體運維能力。

1.2網絡安全管理現狀

某企業信息系統的網絡安全防護裝備體系自建成以來，在網絡態勢研判及各網絡安全防護分系統的統一運行維護方面存在較大差距：一方面，依托網絡管理中心進行網絡安全運營與態勢研判，主要通過手動管理和人工分析，無自動化工具進行輔助決策，缺乏一套智能化統一運維管理與態勢分析研判系統，導致問題難以及時定位，處理進度無法實時跟蹤，處置結果不能動態反饋；另一方面，隨著后續網絡安全防護系統的增量建設和更新換代，病毒防護、入侵檢測、漏洞掃描、主機管控等增加或更新的網絡安防子系統無法納入現有統一安全管理系統，不能實現分系統間的一體聯動。因此，在網絡安全防護系統增量建設的同時，亟需同步建設一個能夠實現對全網各安全分系統統一管理、綜合收集統計安全信息、智能分析研判并實時呈現全網網絡安全態勢的網絡態勢研判與運營中心，提高網絡管理中心網絡運維管理與安全防護水平。

1.3 SOC建設目標

SOC要從組織管理制度、方案預案體系、技術平臺架構和運維崗位人員等多方面進行統籌考量，在現有網絡安全防護裝備體系的基礎上，建立一套安全管理信息平臺（Security Management Information Platform，SMIP），為安全管理工作提供決策支撐[2][3]。該平臺建設目標主要有以下幾點：

①能夠協助運行維護人員進行常態化的安全管控與統一運維。

②能夠實現對海量分散的安全基礎數據進行全面地采集、過濾、分析、審核，并借助智能化的分析方法提取出真實安全問題，進行全維度功能及性能監測、告警研判和溯源定位。

③能夠進行安全問題事前管理，在網絡攻擊未發生前就感知網絡運行態勢[4]；借助分析算法和量化模型預知企業網絡安全風險。

④能夠從企業核心業務安全運行的維度出發，主動適配業務運行安全需求，使安全防護能力與業務穩定運行高度耦合，覆蓋業務系統的建設、使用、管理、運維等全生命周期。

2安全管理中心建設思路

2.1面向核心業務

對于企業而言，網絡安全不是狹義主機終端安全、網元設備安全、業務數據安全或信息資產安全，而是要保障關鍵業務系統安全穩定運行。安全管理的目標不再是網絡基礎設施本身不會遭受網絡攻擊或網絡攻擊風險降低，而是要求從業務的角度看待網絡安全體系架構，需要建立一套以企業關鍵業務為核心的安全管理體系，最終達到對網絡承載的關鍵業務的可用性、連續性以及穩定性保障的目標。

一個面向核心業務、一體聯動的安全管理系統，應該從網絡承載業務本身考慮，通過對業務進行需求挖掘、數學建模、連貫運行監測、價值估計、風險評估、可視化呈現[6]、安全域管理和基礎資產安全管理等各個環節，同步利用主動監控、被動掃描2種手段，自主采集承載網中構成業務系統的各種基礎信息化設施的安全信息，從業務運行的角度進行歸一化，開展監控、分析、審計、告警、響應、存儲和報告。

通過建立SOC，消除煙囪效應，將一個個單點設備形成的安全防御孤島真正連結起來，形成圍繞企業核心業務為主體的統一信息管理平臺，實現對業務連貫性的監測、業務安全性的審計和業務風險性的量化。

2.2安管網管一體化

隨著各類業務對信息系統依賴性的不斷增強，對系統安全提出了更高的要求。以前更多強調終端病毒感染、木馬外聯控制、漏洞挖掘利用等具體問題怎么辦，但對于一個對時效性、連續性要求較高的業務系統來說，更重視的是業務的可用性，因此網絡運行維護與安全運行維護相互影響，同時大多數網絡安全問題是由網絡可用性問題引發，最重要的是大多數安全事件的發生都是以承載網為傳播載體。網絡管理和安全管理技術、制度、策略等融合，進行統一運維，集中管理網絡基礎資源環境，共同監控泛終端、網元裝備、安防裝備、數據庫、中間件、網絡服務和物理環境，做到全維度的集中監控和故障告警，保障基礎網絡設施穩定運行；同時，SOC將網管與安管采集的各類日志、告警、事件等信息關聯分析[7]，能夠快速定位安全事件和網絡故障，解放部分人力資源，提高運維效率。

3 SMIP設計

SMIP是一套配合安全管理體系的技術支撐平臺[8]，將安全有關產品、方案進行整合，提供一個統一的安全管理界面。面向決策人員，可以通過安管平臺對全網或相關業務信息系統的整體安全運行狀況有一個直觀的了解、清晰的掌控；對于運維人員，可以通過安管平臺的管理界面，對網絡和業務信息系統實施有計劃、持續地監視、檢測、審計、分析、評估、預警、響應和報告，并能夠實現相互之間的協同工作。

按照邏輯架構，SMIP自下而上可分為基礎資源層、協議轉換層、數據采集層、核心功能層、數據庫層以及UI展示層[9][10]，如圖1所示。

3.1基礎資源層

基礎資源層主要是安全管理的硬件實體及軟件系統，是SMIP管理的主要資產，包括安防裝備、網元裝備、泛終端主機、中間件，特別需要指出的是云平臺下的虛擬設備與虛擬云資源。

3.2數據采集與協議服務層

協議服務層與數據采集層共同作用，向上傳遞基礎資源信息，向下分發核心處理單元指令。協議服務層為數據采集層提供多種網絡接口，數據采集層負責通過各類傳感器和采集器，獲取網絡基礎資源、網元設備、安元設備等重要配置信息、日志信息、告警信息等，并將所有信息通過歸一化處理為標準的數據格式，送往核心功能層。

3.3核心功能層

功能層是整個安全管理系統的核心，主要包括運維管理、安全審計、態勢研判和風險管理4個功能模塊。

3.3.1運維管理

（1）監控

能夠實時監控承載網南北向和東西向流量峰值、均值、帶寬占有率及異常流量等情況；能夠實時監控基礎資源池中多種類、多型號、多品牌網元裝備、安防裝備、泛在終端、信息系統及各種應用系統的運行狀態和性能指標；能夠及時從多個維度分析監控對象指標要素，計算設置告警閾值，并通過聲光告警輔助運維人員工作。

（2）告警處理

實時采集各類安防裝備告警信息，通過告警時間、告警等級、告警詳細內容，進行過濾歸并處理與智能分析，并按照不同告警類型，開展相應處置管理流程。對各類告警信息相互印證，最終提取形成安全事件，觸發對應的應急響應流程；并行開展網絡安全風險分析和威脅情報分析，按照識別的企業安全風險要素，定量化評估當前網絡態勢。

（3）應急響應

根據網絡安全事件本身、影響域、危害等級及業務價值，依照相關應急預案與處置流程，安全運維人員協同網絡運維人員、業務技術人員、應急處置領導小組等，按照“誰主管誰負責、誰運行誰負責”的原則，進行突發事件橫向通報、現場處置、查證溯源、總結評估等工作。

（4）故障診斷

由于SMIP集成了網絡安全管理和網絡運行管理雙重功能，因此應具備常態故障診斷定位及處置功能。借助數據庫中相關資產、配置等，按照“故障出現、區域定位、診斷排查、故障清除、重現驗證、復盤總結”等步驟，最終達到定位準確、機理清楚、處置有效的故障診斷目標。

3.3.2態勢研判

網絡與安全的態勢從認知到感知，需要將安全事件、安全威脅、異常流量分析結果指標化，并通過可視化技術展示。

（1）事件管理

事件采集模塊實現了不同設備海量安全事件的采集、歸一化、過濾，通過智能化關聯分析，結合歷史信息，提取真正的安全事件，進行預警，為下一步研判提供支撐。

（2）威脅管理

按照專項與常態化2種模式，對企業承載網發布網絡安全威脅指數：一是發生具體網絡安全事件后，形成專項威脅評估報告；二是形成機制化的安全威脅指數分析與評估，結合網絡威脅情報，定期對重點網絡區域網絡安全威脅狀態及其發展趨勢進行研究分析，為下一步研判提供支撐。

（3）流量管理

在承載網核心、匯聚等節點及關鍵業務系統部署盡可能多的流量采集裝備，使得SMIP能夠對海量數據進行全面分析；通過態勢分系統實時展示承載網關鍵業務流量統計圖，便于動態調配網絡資源，優化帶寬分配，實現網絡服務質量保證，確保業務穩定安全運行。梳理分析企業業務運行流量特點，形成流量白名單，實現流量精細化管控，快速、準確識別異常流量，達到對未知網絡攻擊行為檢測的目標。

（4）業務管理

按照面向核心業務的原則，重點關注業務運行的信息系統、用戶數據、運行流程和業務操作人員身份認證及權限分配等，形成業務數據流資產，配套構建業務健康管理系統，監控業務可用性、連續性與穩定性。

（5）預警管理

預警信息是指信息系統可能遭受的攻擊和潛在的安全隱患。在已知特征的情況下，通過預置研判規則，支持攻擊預警、漏洞預警和病毒預警。

（6）安全策略

面對不同類型的網絡安全防護裝備，下發相應的信息安全策略。面向突發安全事件，可以統一管控安全防護設備（系統），制定聯動安全策略，并通過SMIP直接下發。

3.3.3安全審計

安全審計的核心工作是按照一定的安全策略，利用記錄的系統活動日志和用戶操作日志等信息，檢查、審查和檢驗操作事件的環境及活動，進行關聯性分析，從而發現系統漏洞、外部入侵和內部違規行為或改善系統性能。

3.3.4風險管理

參考《GB/T 31509信息安全技術信息安全風險評估實施指南》，風險管理模塊通過識別企業安全風險，對資產價值、弱點度量值與威脅度量建立數學模型，采用層次分析法等常見的風險計算方法，獲得可衡量的安全風險，實現對網絡安全風險的定量化計算，以便網絡安全管理人員研究提出風險預案和響應對策。具體的計算方法和評估方案還應通過識別的安全風險因素進一步進行權重等針對性建模分析。

3.4 UI展示層

系統通過友好的交互界面，直觀、生動、多角度、多維度地呈現網絡安全運行態勢和資源監測統計情況。系統的交互界面可利用最新的網絡空間測繪及可視化技術，以3D立體化及多元素統計方式進行呈現，對網絡安全事件能夠展示出行為分析圖、IP空間圖、動態事件圖等。實現從認知到具體直觀的感知轉變，提升全網安全態勢監控的效率。

3.5數據庫層

該層存儲了SOC所有關鍵數據，包括資產、基線、策略、網絡拓撲、規則、告警、威脅情報、漏洞、設備配置、知識庫及系統自身的配置維護信息等，是SMIP底層支撐和核心資產，同時是驅動SMIP運轉的重要動力之一。

4關鍵技術及解決途徑

建立SMIP，實現網絡安全態勢感知，需要在網絡環境中部署大量不同類型的安全防護裝備（或軟件信息系統）及Agent代理等，監測網絡的運行狀態。通過采集這些傳感器提供的安全告警事件信息，加以分析，處理成量化的指標，準確地描述網絡的安全狀態，通過可視化手段顯示給安全管理員及高層決策者，從而支持應急響應、日常運維及對安全態勢的全局理解。

4.1安全事件分析

網絡安全事件是指業務承載網遭受非法入侵或設備監控信息超過閾值門限時，從網絡安全防護裝備產生的告警信息中提取的事件，是企業日常安全態勢研判的主要對象[12]。這些告警信息可以從網絡安全設備嵌入的Agent程序中采集到。由于廠商不同、功能不同，不同網絡安全設備產生的安全事件原始信息格式不一致。因此，SMIP首先要提取采集到的安全事件原始信息中的核心要素，將原始數據進行范式化處理。格式用一個元組表示如下：E= {detectTime，detectSystem， eventLevel，eventType，credibility，sourceIP，destIP，sourcePort，destPort， protocol}，（sourceIP，destIP，sourcePort，destPort，protocol）是常規構成網絡流量五元組，分別表示告警源地址、目的地址、源端口、目的端口及傳輸協議，detectTime表示事件檢測時間，detectSystem表示告警設備，eventLevel表示安全事件告警等級，eventType表示安全事件類型，credibility表示告警可信度。對提取后的安全事件按圖2所示流程進行處理。

步驟一：事件過濾。將海量安全事件中關鍵要素不全，或不屬于預置規則的信息進行清洗、剔除。

步驟二：冗余合并。從時、空2個維度上，對具有重復關系或冗余告警的安全事件進行歸一化合并。

步驟三：事件融合。進一步解決告警沖突、告警歸并等問題，通過統計、D-S證據等理論，進行安全事件融合，降低系統的誤告警和虛警。

步驟四：關聯分析。采用基于知識學習、基于預置規則、基于因果關系、基于相似度等多種算法，進行大數據挖掘，識別安全事件之間真實聯系，輔助分析網絡威脅和攻擊樣式。

步驟五：事件評估。以業務價值為中心，通過安全事件的溯源取證和機理分析，以及對網絡帶寬、網絡速率的基礎IT資源的影響程度，從多個角度進行網絡威脅指數分析和網絡安全評估。

4.2網絡安全態勢指標

按照SOC安全管理和網絡管理一體化設計思路，SMIP將從網絡運行性能和網絡安全信息來構建網絡安全態勢指標體系[13]，通過對以下4個指標進行審計，得出整個系統的網絡安全態勢綜合指數：①對網絡運維情況的審計，收集一段時間業務內持續性、網絡總流量、資源占用率、負載分布情況等系統運行的數據進行量化計算，這個數值體現網絡系統當前的運行狀態，數值越大，代表網絡系統運行狀況越差；②對網絡脆性的審計，收集一段時間內網絡漏洞、病毒感染數目等信息，計算得出網絡脆弱性指數，可以從整體上衡量網絡面臨攻擊時可能對系統造成的損失程度；③對網絡風險的審計，收集一定時間段內網絡發生的各種由于網絡攻擊引發的安全事件的發生頻率和危害等級進行量化計算，表示了由網絡攻擊引發的網絡安全事件給網絡系統造成的危害程度的大小；④對安全威脅的審計，收集一定時間段內由內部用戶違規或設備運行引發的安全事件，包括數據非法拷貝、身份認證系統無效等事件統計計算，數值越大，說明此類安全事件對網絡安全運行造成的威脅也就越大。將這4個指標按照權重分析計算，可以得出一段時間內全網的綜合態勢指標。

4.3態勢感知可視化解決方案

參考地理信息系統（GIS）理念[14]，首先根據業務系統、通信系統資產的實際地理位置，建立資產地圖；在資產地圖的基礎上，對業務邏輯、業務信息建立不同的圖層，形成基于GIS的網絡流量地圖，并對業務流量地圖中各節點網絡資源使用情況進行統計，建立資源網格；按照網絡安全體系架構，采集安全防護設備部署信息、安全策略影響域等關鍵信息構建安全資源地圖，在安全資源地圖的基礎上，按照安全事件核心要素中攻擊來源、攻擊目標等信息建立安全事件信息地圖。將所有資源以物理或虛擬的地理位置信息進行展示，并對整個網格中的資源信息進行統計分析，在地理位置的基礎上，加上時間維度信息，呈現出HT業務網整體態勢視圖。

在技術手段層面，“網絡空間測繪”也是網絡態勢感知的必然趨勢，網絡空間測繪的地圖繪制是對網絡GIS的進一步延伸，通過可視化表達和可視化分析應用場景，不局限于對資產數據的簡單可視化展現，而是對內網甚至全球互聯網進行探測和測繪，對網絡空間全要素進行數字映射，并且可方便地結合網絡攻防演練和實訓靶場平臺，進一步對企業進行附帶業務系統模擬的超逼真仿真，最終探測建立以網絡拓撲測繪為基礎的、結合企業核心業務運行及外部模擬滲透攻擊的真實網絡環境。

5結束語

SOC是網絡安全防護體系從設備部署到系統建設，再到統一管理這一發展過程的自然產物。新一代SOC區別于傳統SOC的地方主要在于底層開放的接口、核心層大數據分析能力、應用層智慧協同聯動。建立一套高效的安全管理平臺，從監控運維、安全審計、風險度量、態勢研判4個維度提供一個全網統一的業務支撐，使得安全可見、可查、可度量，建立標準化、例行化、常態化的安全流程管控，提供面向業務的主動化、智能化安全管理，形成企業業務網主動防御能力，保障業務信息系統的持續安全運營。

參考文獻

[1]周鐵.電力行業安全事件處理系統的設計與實現[D].成都：電子科技大學，2014.

[2]馬帥.企業安全運營中心管理系統的設計與實現[D].北京：北京交通大學，2019.

[3]王偉，覃曉寧.新一代安全運營中心（SOC）平臺[J].信息與電腦（理論版），2017（3）：68-74.

[4]梁國光，祁繼鋒，林飛，等.關于網絡安全態勢感知系統標準架構模式與應用探究[J].網絡安全技術與應用，2022（1）：1-2.

[5]毛輝，曹龍全，吳啟星，等.監測預警處置一體化網絡安全管理平臺研究[J].信息網絡安全，2020（S1）：122-126.

[6]張秀成.網絡安全態勢感知系統的構建與應用研究[J].網絡安全技術與應用，2020（10）：1-2.

[7]楊洋.網絡安全事件關聯分析技術分析[J].網絡安全技術與應用，2017（8）：14.

[8]衛劍釩，雷東生.安全運營平臺SOC建設思考與實踐[J].中國金融電腦，2020（9）：61-63.

[9]彭聰留，訾然.深信服安全運營中心解決方案[J].信息安全與通信保密，2020（S1）：88-92.

[10]張衛軍.鐵路通信網絡安全管理中心技術方案研究[J].中國安全科學學報，2019，29（S2）：88-92.

[11]殷亞玲.基于態勢感知系統的網絡安全防護與應用[J].科技風，2020（33）：102-103.

[12]琚安康，郭淵博，朱泰銘，等.網絡安全事件關聯分析技術與工具研究[J].計算機科學，2017，44（2）：38-45.

[13]柴軍，徐瑋，馮慷.網絡安全分析管理平臺建設與規劃[C]//中國計算機用戶協會網絡應用分會2021年第二十五屆網絡新技術與應用年會論文集.北京：《計算機科學》編輯部，2021：298-302.

[14]陳丹暉.構建鐵路數據通信網骨干網的網絡安全管理中心[J].鐵道通信信號，2020，56（4）：69-72.