賴建華 劉輝

摘要：本文介紹了SOC基本概念，闡述大型組織分級(jí)建設(shè)SOC必要性的基礎(chǔ)上，構(gòu)想了SOC分級(jí)體系結(jié)構(gòu)，并從能力建設(shè)、數(shù)據(jù)流動(dòng)、協(xié)同處置和自身安全等視角說明了SOC分級(jí)建設(shè)的幾個(gè)要點(diǎn)。

關(guān)鍵詞：SOC;安全運(yùn)營中心;IT資產(chǎn)

中圖分類號(hào)：TN915.05 ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

SOC（Security Operation Center）即安全運(yùn)營中心，是指以資產(chǎn)為核心，以安全風(fēng)險(xiǎn)、安全威脅管理為關(guān)鍵流程，收集各類安全設(shè)備及資產(chǎn)的安全事件和日志信息，通過分析及時(shí)反映資產(chǎn)的安全狀態(tài)，協(xié)助安全人員進(jìn)行風(fēng)險(xiǎn)分析、事件分析、預(yù)警管理和應(yīng)急響應(yīng)處置的集中安全運(yùn)營系統(tǒng)。從本質(zhì)上講，SOC不只是一款單純的產(chǎn)品，而是一個(gè)復(fù)雜的系統(tǒng)，它包含產(chǎn)品、服務(wù)和運(yùn)營，是技術(shù)、流程和人的有機(jī)結(jié)合。而SOC產(chǎn)品是SOC系統(tǒng)的技術(shù)支撐平臺(tái)。當(dāng)前，48.5%的部委機(jī)關(guān)和56.3%的中央企業(yè)已經(jīng)部署和使用了安全運(yùn)營中心，并有效提升了安全管理效率，如安全事件的平均響應(yīng)時(shí)間，從3年前的平均3天左右，降低到現(xiàn)在1 h以內(nèi)。實(shí)踐已經(jīng)證明了SOC在網(wǎng)絡(luò)安全建設(shè)中的作用，但對(duì)于大型組織來說，一個(gè)單一的安全運(yùn)營中心很難滿足需求，需要考慮多個(gè)SOC分級(jí)建設(shè)的問題[1]。

1 分級(jí)建設(shè)必要性

1.1 降低單點(diǎn)性能的需要

大型組織的IT資產(chǎn)種類多、數(shù)量大，構(gòu)建單一SOC很可能在網(wǎng)絡(luò)吞吐、處理能力、數(shù)據(jù)存儲(chǔ)等方面面臨困難。通過分級(jí)部署，可以將任務(wù)分割，處于最下級(jí)的SOC只負(fù)責(zé)本級(jí)IT資產(chǎn)的安全運(yùn)營和安全事件的向上通報(bào);處于上級(jí)的SOC除了本級(jí)IT資產(chǎn)的安全運(yùn)營之外，接收下級(jí)SOC安全事件的通報(bào)。這樣可大幅降低單個(gè)SOC的性能需求。

1.2 確保權(quán)責(zé)匹配的需要

大型組織往往有自己的網(wǎng)絡(luò)安全部門，位于不同層級(jí)的安全團(tuán)隊(duì)有不同的安全權(quán)責(zé)。如果只建一個(gè)總的SOC，下級(jí)安全團(tuán)隊(duì)很難借助SOC的力量實(shí)施安全運(yùn)營，容易導(dǎo)致權(quán)責(zé)不匹配、運(yùn)營效率低下的問題。實(shí)施SOC分級(jí)建設(shè)，各級(jí)安全團(tuán)隊(duì)在承擔(dān)相應(yīng)安全責(zé)任的同時(shí)，可有效利用本級(jí)SOC實(shí)施安全運(yùn)營，達(dá)到權(quán)責(zé)的匹配和平衡。

1.3 能力分級(jí)建設(shè)的需要

對(duì)于安全部門來說，不同層級(jí)的安全團(tuán)隊(duì)，其職責(zé)和能力要求是不一樣的。對(duì)于SOC的建設(shè)也是如此，針對(duì)不同層級(jí)的實(shí)際情況，可進(jìn)行定制化建設(shè)。針對(duì)下級(jí)SOC來說，可取消沒有條件或者沒必要建設(shè)的內(nèi)容;而對(duì)于最上層的SOC來說，可加大建設(shè)力度，積極建設(shè)大數(shù)據(jù)、機(jī)器學(xué)習(xí)、威脅情報(bào)等核心高階能力。

2 SOC分級(jí)體系結(jié)構(gòu)

圖1左側(cè)是三級(jí)SOC的示意，在實(shí)際應(yīng)用中，具體層級(jí)數(shù)量根據(jù)各組織的實(shí)際情況劃定。圖1右側(cè)是單個(gè)SOC平臺(tái)的層次模型，位于最底層的是信息探測(cè)收集層，其功能是通過主動(dòng)探測(cè)或者被動(dòng)接收的方式，收集匯聚資產(chǎn)、漏洞、日志、告警等安全信息;接口層的功能是針對(duì)不同類型的安全信息，提供相應(yīng)的對(duì)接接口，確保數(shù)據(jù)的完整采集;分析層的功能是對(duì)各種數(shù)據(jù)進(jìn)行關(guān)聯(lián)處理和基于資產(chǎn)的映射;應(yīng)用層的功能是實(shí)現(xiàn)SOC的各種界面交互和響應(yīng)的模塊，為用戶提供方便的操作、管理接口。

信息探測(cè)收集層的功能模塊可以是SOC內(nèi)部集成，也可以由外部其他安全產(chǎn)品實(shí)現(xiàn)，如漏洞掃描功能可以集成到SOC內(nèi)部，也可以由外部獨(dú)立的產(chǎn)品實(shí)現(xiàn)。如果由外部產(chǎn)品實(shí)現(xiàn)，則該產(chǎn)品需要將掃描結(jié)果推送給SOC。對(duì)日志類信息，主要依靠外部產(chǎn)品的推送，如主機(jī)安全日志、防火墻日志、Web訪問日志等。此外，下級(jí)SOC也需要將部分分析結(jié)果推送給上級(jí)SOC，上級(jí)SOC也需要將一些管理信息推送給下級(jí)SOC，從而實(shí)現(xiàn)安全信息在全局范圍內(nèi)的流動(dòng)。

接口層的功能是，對(duì)于主動(dòng)探測(cè)得到的信息，按預(yù)先定義的格式進(jìn)行存儲(chǔ);對(duì)于外部產(chǎn)品推送的信息，則進(jìn)行格式解析后進(jìn)行存儲(chǔ)。如果SOC平臺(tái)還要整合第三方產(chǎn)品，則需要第三方廠商提供相應(yīng)接口或者具體的數(shù)據(jù)格式。若第三方廠商未能提供相關(guān)信息，則需要人工分析后進(jìn)行對(duì)接。

分析層除了各類分析技術(shù)的實(shí)現(xiàn)外，還有對(duì)應(yīng)的安全知識(shí)庫。分析技術(shù)有關(guān)聯(lián)分析、規(guī)則比對(duì)、機(jī)器學(xué)習(xí)等，而安全知識(shí)庫涉及關(guān)聯(lián)規(guī)則庫、漏洞信息庫、威脅情報(bào)庫、響應(yīng)處置流程等。其中關(guān)聯(lián)分析主要根據(jù)分析對(duì)象的屬性特征和相應(yīng)規(guī)則進(jìn)行關(guān)聯(lián)性分析，進(jìn)而得到網(wǎng)絡(luò)安全威脅告警、用戶行為特征、攻擊者畫像等信息;規(guī)則比對(duì)主要利用規(guī)則庫去匹配流量特征，從而發(fā)現(xiàn)可疑行為;機(jī)器學(xué)習(xí)則在大數(shù)據(jù)的基礎(chǔ)上，運(yùn)用各種算法實(shí)現(xiàn)對(duì)已知威脅的定位和未知威脅的預(yù)測(cè)。

應(yīng)用層的核心是各類信息的展示和運(yùn)營流程的輔助管理，如角色管理、資產(chǎn)管理、風(fēng)險(xiǎn)管理、響應(yīng)處置管理、分析查詢、報(bào)表生成、系統(tǒng)維護(hù)等。應(yīng)用層的功能應(yīng)該突出管理性和易用性，管理性是指能夠輔助安全運(yùn)維，實(shí)現(xiàn)相關(guān)事務(wù)的閉環(huán)管理;易用性是指界面簡潔美觀、操作方便快捷。

3 分級(jí)建設(shè)要點(diǎn)

SOC分級(jí)建設(shè)是一個(gè)復(fù)雜的系統(tǒng)工程，需要綜合考慮資金投入、人員配備、上下級(jí)聯(lián)動(dòng)、權(quán)責(zé)劃分等問題，本文沒有對(duì)相關(guān)問題進(jìn)行面面俱到的闡述，主要對(duì)其中可能涉及的關(guān)鍵問題進(jìn)行分析，具體有以下4點(diǎn)。

3.1 能力分級(jí)、按需建設(shè)

McAfee[2]在《擾亂破壞者是技能還是科學(xué)？——了解威脅追蹤人員的角色以及網(wǎng)絡(luò)安全領(lǐng)域SOC的持續(xù)演變》文章中，將SOC建設(shè)從低到高分成0～4五個(gè)成熟度級(jí)別，不同級(jí)別對(duì)應(yīng)了不同的安全能力水平，具體如表1所示。對(duì)于分級(jí)建設(shè)的SOC來說，不同層級(jí)的SOC可對(duì)照不同的級(jí)別要求進(jìn)行建設(shè)，各層次的功能模塊也可綜合各種因素進(jìn)行針對(duì)性選擇。對(duì)于最上層的SOC，安全團(tuán)隊(duì)可充分發(fā)揮擁有全局?jǐn)?shù)據(jù)的優(yōu)勢(shì)，借助大數(shù)據(jù)、機(jī)器學(xué)習(xí)等技術(shù)，分析全局安全態(tài)勢(shì)和威脅情報(bào)信息，并將相關(guān)成果轉(zhuǎn)化成策略下發(fā)至下級(jí)SOC。

3.2 數(shù)據(jù)匯聚和策略分發(fā)

下級(jí)SOC產(chǎn)生的威脅信息，向上級(jí)SOC推送。因此從邏輯上看，下級(jí)SOC是上級(jí)SOC信息探測(cè)收集層的功能模塊。具體推送內(nèi)容并不固定，可根據(jù)需要進(jìn)行選擇定制，通常包括運(yùn)行狀態(tài)、惡意文件/流量、告警信息、流量統(tǒng)計(jì)信息等;上級(jí)SOC匯聚所有下級(jí)SOC的數(shù)據(jù)，形成整個(gè)組織的安全大數(shù)據(jù)，為后續(xù)的深入分析提供基礎(chǔ)。此外，上級(jí)SOC可以將新增的安全策略、規(guī)則等分發(fā)到下級(jí)SOC，實(shí)現(xiàn)全局的同步更新。

3.3 協(xié)同聯(lián)動(dòng)、快速處置

不同層級(jí)、同一層級(jí)的SOC之間既要明確分工職責(zé)，又要建立通暢快捷的協(xié)同聯(lián)動(dòng)機(jī)制。對(duì)于明確屬于本SOC內(nèi)部解決的問題，應(yīng)盡量不動(dòng)用其他SOC的資源，但是處置完畢之后形成的成果，應(yīng)快速共享至其他SOC，以促進(jìn)效益的最大化。對(duì)于涉及多個(gè)SOC的安全威脅，則通過人員協(xié)作和數(shù)據(jù)共享等方式，共同解決，形成的成果同樣需快速共享至其他SOC。共享的方式一般是上報(bào)至最上層的SOC，然后由最上層逐級(jí)下發(fā)[3]。

3.4 確保系統(tǒng)自身安全

SOC作為安全運(yùn)營的中心，應(yīng)確保自身的安全性，避免成為被攻擊的目標(biāo)。要做好自身安全，應(yīng)當(dāng)從以下幾個(gè)方面著手：一是規(guī)范開發(fā)流程，進(jìn)行代碼審計(jì)，確保系統(tǒng)的原生安全;二是上線之前開展?jié)B透測(cè)試，發(fā)現(xiàn)潛在安全漏洞和攻擊路徑，并及時(shí)整改;三是充分考慮身份認(rèn)證、權(quán)限控制和通信加密問題，避免攻擊者針對(duì)系統(tǒng)開展服務(wù)器偽造、越權(quán)訪問、數(shù)據(jù)污染等攻擊。

4 結(jié)語

對(duì)于大型組織來說，要持續(xù)維持整個(gè)網(wǎng)絡(luò)和所有信息系統(tǒng)的安全是個(gè)艱巨的任務(wù)。SOC分級(jí)建設(shè)有利于安全資源的合理分配和投入，也增加了建設(shè)部署的靈活性和可行性。在實(shí)際建設(shè)和運(yùn)營過程中，各SOC之間的協(xié)同聯(lián)動(dòng)、數(shù)據(jù)共享是建設(shè)的重點(diǎn)和難點(diǎn)，也是提升安全運(yùn)營效率的關(guān)鍵，需要深入分析組織的實(shí)際情況，制定針對(duì)性的規(guī)范化制度流程，并在實(shí)踐中不斷調(diào)整完善。

參考文獻(xiàn)

[1] 安氏互聯(lián)網(wǎng)安全系統(tǒng)（中國）有限公司.網(wǎng)絡(luò)安全管理中心系統(tǒng)平臺(tái)建設(shè)方案建議.（2018-10-17）[2019-06-24]. https：//wenku.baidu.com/view/2370b9a227fff705cc1755270722192e45365894.html.

[2] McAfee.Disrupting the disruptors，art or science？[EB/OL]（2017-09-07）[2019-07-16] https：//www.mcafee.com/enterprise/en-?us/assets/reports/restricted/rp-disrupting-disruptors.pdf.

[3] 尹夢(mèng)潔，JIE Y M.中國電信SOC平臺(tái)建設(shè)方案[J].湖南郵電職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2013，12（4）：19-23.