網(wǎng)絡安全是一個動態(tài)的過程，主要表現(xiàn)在以下兩個方面：

攻擊者的手段在不斷變化，攻擊方法和工具也在不斷更新，隨著網(wǎng)絡內設備的增多，各類漏洞的不斷出現(xiàn)更是為攻擊者提供了新的滋生土壤。

網(wǎng)內業(yè)務不斷變化，軟件系統(tǒng)在變，工作人員在變，妄圖通過一個系統(tǒng)、一個方案解決所有問題是不現(xiàn)實、不可能的。

因此，網(wǎng)絡安全需要不斷的人力、物力、財力等投入，需要持續(xù)的運營、維護和優(yōu)化，SOC也便應時而生。

安全運營中心業(yè)界通常稱為SOC（Security Operations Center），SOC采用集中管理方式，統(tǒng)一管理相關安全產品，搜集所有網(wǎng)內資產的安全信息，并通過對收集到的各種安全事件進行深層的分析、統(tǒng)計和關聯(lián)，及時反映被管理資產的安全情況，定位安全風險，對各類安全事件及時發(fā)現(xiàn)和定位，并及時提供處理方法和建議，協(xié)助管理員進行事件分析、風險分析、預警管理和應急響應處理。

安全運營中心核心能力

SOC平臺能夠對各種多源異構數(shù)據(jù)源產生的信息進行收集、過濾、格式化、 歸并、存儲，并提供了諸如模式匹配、 風險分析、異常檢測等能力，使用戶對整個網(wǎng)絡的運行狀態(tài)進行實時監(jiān)控和管理，對各種資產(主機、服務器、IDS、IPS、WAF等)進行脆弱性評估，對各種安全事件進行分析、統(tǒng)計和關聯(lián)，并及時發(fā)布預警，提供快速響應能力。

其核心能力如下：

• 網(wǎng)絡管理能力

SOC平臺可通過SNMP、SSH、Telent等協(xié)議，監(jiān)控多種網(wǎng)絡設備的運行狀態(tài)，并對運行異常進行報警。監(jiān)控功能包括：

1. 監(jiān)控設備運行狀態(tài)，如系統(tǒng)CPU、內存、 系統(tǒng)時間、設備持續(xù)運行時間；

2. 監(jiān)控端口信息，如各端口的活動狀態(tài)及地址變化；

3. 監(jiān)控流量信息，采集當前時刻設備總流量、 總流出數(shù)據(jù)量、總流入數(shù)據(jù)量等；

4. 自動發(fā)現(xiàn)網(wǎng)絡拓撲，以圖形化的界面展示， 并提供視圖操作及輸出功能。

• 安全資產管理能力

SOC平臺提供資產信息庫維護能力，可對資產信息進行增加、刪除、修改等，并支持資產檢索功能，對被管設備資產信息可以按照設備IP地址、設備所屬單位、設備類型、所屬安全域、所屬業(yè)務系統(tǒng)等條件進行單獨或組合查詢。

• 風險管理能力

SOC平臺支持基于IS013335和ISOl7799標準的風險計算分析和展現(xiàn)。可以從地域、業(yè)務系統(tǒng)、IP地址段等視角查看資產風險，及時掌握資產中產生的安全事件、配置脆弱性和安全漏洞。

• 工單管理能力

SOC平臺通過工單管理，實現(xiàn)對安全事件的快速閉環(huán)響應。

通過事件監(jiān)控中心監(jiān)測到安全事件后，手工或系統(tǒng)自動生成新的工單，并通過系統(tǒng)報警或郵件的方式，通知相關責任人進行處理。工單管理會對工單被派發(fā)后的整個過程進行跟蹤，進行工單收回、重新派發(fā)等工作。

• 事件收集采集能力

SOC平臺能夠通過多種方式收集事件源發(fā)送的安全事件信息，收集方式包含以下幾種：

1. 通過文件方式，讀取事件源的日志文件，獲取其中與安全有關的信息；

2. 通過SNMP Trap和syslog方式，接收事件源發(fā)來的安全事件；

3. 通過JDBC、ODBC數(shù)據(jù)庫接口獲取事件源存放在各種數(shù)據(jù)庫中的安全相關信息或數(shù)據(jù)庫操作日志；

4. 通過OPSEC接口，接收來自該類型的安全事件服務器發(fā)送來的事件；

5. 通過第三方應用程序或者自研agent，結合以上方式或者標準輸出，直接將安全事件轉發(fā)給安全事件采集系統(tǒng)。

• 事件處理和關聯(lián)分析能力

SOC平臺中事件處理功能，主要負責對安全事件進行標準化、過濾、合并、集中存儲。

SOC平臺中關聯(lián)分析采用基于規(guī)則關聯(lián)或資產漏洞、威脅情報關聯(lián)的方式，實時對事件進行統(tǒng)計分析，當滿足條件的事件發(fā)生時，將觸發(fā)對應的安全響應動作，如聲音報警、郵件報警、手機短信報警等多種方式。

• 知識庫管理能力

SOC平臺的知識管理平臺除提供一般知識管理功能， 比如安全知識庫、培訓和人員考核等，也提供了強大的漏洞庫、事件特征庫、補丁庫、安全配置知識庫和應急響應知識庫等。

• 豐富的報表展現(xiàn)能力

SOC平臺報表提供對系統(tǒng)內的各類安全數(shù)據(jù)，進行全方位多角度的展現(xiàn)能力。如資產類型分布、攻擊類事件分布、安全告警趨勢等，并提供用戶自定義及報表導出能力。

• 第三方系統(tǒng)集成能力

SOC平臺第三方系統(tǒng)集成能力是SOC平臺能夠對網(wǎng)絡安全進行綜合評定的又一基礎。SOC平臺可以通過Webservice接口或第三方提供的API，從第三方系統(tǒng)獲取必要信息，或者驅動第三方系統(tǒng)或設備進行有目的的工作。如SOC平臺可以通過驅動漏洞掃描系統(tǒng)，對指定的資產進行漏洞掃描，并通過結果接口獲取掃描結果，參與到事件的關聯(lián)分析中。

安全運營中心價值

基于某一個具體設備或系統(tǒng)，如WAF、IDS、IPS、漏洞掃描系統(tǒng)進行網(wǎng)絡安全分析，信息較分散，容易增加誤判、漏判的概率，且需要大量的專業(yè)人員，知識積累較困難，應急響應慢。

SOC平臺通過收集各類相關安全信息，并進行相互之間的關聯(lián)分析、印證，從多角度對網(wǎng)內資產進行安全分析和評估，并將安全運維工作流程化，極大提高了發(fā)現(xiàn)事件并及時處理響應的能力，同時通過知識積累和系統(tǒng)運維的完善，不斷加強和完善網(wǎng)絡的安全防護能力、攻擊發(fā)現(xiàn)及應急響應能力。

產品概述

靈狐科技安全運營中心（Security Operations Center，簡稱SOC）是企業(yè)信息安全體系的支撐平臺，以資產為核心，安全事件分析處理為主線，監(jiān)控企業(yè)安全風險狀況的同時，確保企業(yè)信息安全閉環(huán)。安全運營中心通過內置綜合分析、集中監(jiān)控、集中運維、統(tǒng)一管理的功能，配合企業(yè)安全業(yè)務流程，將技術、流程、人進行有機的結合，實現(xiàn)企業(yè)全面、綜合的信息安全管理。