網(wǎng)絡(luò)安全是一個動態(tài)的過程，主要表現(xiàn)在以下兩個方面：

攻擊者的手段在不斷變化，攻擊方法和工具也在不斷更新，隨著網(wǎng)絡(luò)內(nèi)設(shè)備的增多，各類漏洞的不斷出現(xiàn)更是為攻擊者提供了新的滋生土壤。

網(wǎng)內(nèi)業(yè)務(wù)不斷變化，軟件系統(tǒng)在變，工作人員在變，妄圖通過一個系統(tǒng)、一個方案解決所有問題是不現(xiàn)實、不可能的。

因此，網(wǎng)絡(luò)安全需要不斷的人力、物力、財力等投入，需要持續(xù)的運營、維護和優(yōu)化，SOC也便應(yīng)時而生。

安全運營中心業(yè)界通常稱為SOC（Security Operations Center），SOC采用集中管理方式，統(tǒng)一管理相關(guān)安全產(chǎn)品，搜集所有網(wǎng)內(nèi)資產(chǎn)的安全信息，并通過對收集到的各種安全事件進行深層的分析、統(tǒng)計和關(guān)聯(lián)，及時反映被管理資產(chǎn)的安全情況，定位安全風(fēng)險，對各類安全事件及時發(fā)現(xiàn)和定位，并及時提供處理方法和建議，協(xié)助管理員進行事件分析、風(fēng)險分析、預(yù)警管理和應(yīng)急響應(yīng)處理。

安全運營中心核心能力

SOC平臺能夠?qū)Ω鞣N多源異構(gòu)數(shù)據(jù)源產(chǎn)生的信息進行收集、過濾、格式化、 歸并、存儲，并提供了諸如模式匹配、 風(fēng)險分析、異常檢測等能力，使用戶對整個網(wǎng)絡(luò)的運行狀態(tài)進行實時監(jiān)控和管理，對各種資產(chǎn)(主機、服務(wù)器、IDS、IPS、WAF等)進行脆弱性評估，對各種安全事件進行分析、統(tǒng)計和關(guān)聯(lián)，并及時發(fā)布預(yù)警，提供快速響應(yīng)能力。

其核心能力如下：

• 網(wǎng)絡(luò)管理能力

SOC平臺可通過SNMP、SSH、Telent等協(xié)議，監(jiān)控多種網(wǎng)絡(luò)設(shè)備的運行狀態(tài)，并對運行異常進行報警。監(jiān)控功能包括：

1. 監(jiān)控設(shè)備運行狀態(tài)，如系統(tǒng)CPU、內(nèi)存、 系統(tǒng)時間、設(shè)備持續(xù)運行時間；

2. 監(jiān)控端口信息，如各端口的活動狀態(tài)及地址變化；

3. 監(jiān)控流量信息，采集當(dāng)前時刻設(shè)備總流量、 總流出數(shù)據(jù)量、總流入數(shù)據(jù)量等；

4. 自動發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)?，以圖形化的界面展示， 并提供視圖操作及輸出功能。

• 安全資產(chǎn)管理能力

SOC平臺提供資產(chǎn)信息庫維護能力，可對資產(chǎn)信息進行增加、刪除、修改等，并支持資產(chǎn)檢索功能，對被管設(shè)備資產(chǎn)信息可以按照設(shè)備IP地址、設(shè)備所屬單位、設(shè)備類型、所屬安全域、所屬業(yè)務(wù)系統(tǒng)等條件進行單獨或組合查詢。

• 風(fēng)險管理能力

SOC平臺支持基于IS013335和ISOl7799標(biāo)準(zhǔn)的風(fēng)險計算分析和展現(xiàn)。可以從地域、業(yè)務(wù)系統(tǒng)、IP地址段等視角查看資產(chǎn)風(fēng)險，及時掌握資產(chǎn)中產(chǎn)生的安全事件、配置脆弱性和安全漏洞。

• 工單管理能力

SOC平臺通過工單管理，實現(xiàn)對安全事件的快速閉環(huán)響應(yīng)。

通過事件監(jiān)控中心監(jiān)測到安全事件后，手工或系統(tǒng)自動生成新的工單，并通過系統(tǒng)報警或郵件的方式，通知相關(guān)責(zé)任人進行處理。工單管理會對工單被派發(fā)后的整個過程進行跟蹤，進行工單收回、重新派發(fā)等工作。

• 事件收集采集能力

SOC平臺能夠通過多種方式收集事件源發(fā)送的安全事件信息，收集方式包含以下幾種：

1. 通過文件方式，讀取事件源的日志文件，獲取其中與安全有關(guān)的信息；

2. 通過SNMP Trap和syslog方式，接收事件源發(fā)來的安全事件；

3. 通過JDBC、ODBC數(shù)據(jù)庫接口獲取事件源存放在各種數(shù)據(jù)庫中的安全相關(guān)信息或數(shù)據(jù)庫操作日志；

4. 通過OPSEC接口，接收來自該類型的安全事件服務(wù)器發(fā)送來的事件；

5. 通過第三方應(yīng)用程序或者自研agent，結(jié)合以上方式或者標(biāo)準(zhǔn)輸出，直接將安全事件轉(zhuǎn)發(fā)給安全事件采集系統(tǒng)。

• 事件處理和關(guān)聯(lián)分析能力

SOC平臺中事件處理功能，主要負(fù)責(zé)對安全事件進行標(biāo)準(zhǔn)化、過濾、合并、集中存儲。

SOC平臺中關(guān)聯(lián)分析采用基于規(guī)則關(guān)聯(lián)或資產(chǎn)漏洞、威脅情報關(guān)聯(lián)的方式，實時對事件進行統(tǒng)計分析，當(dāng)滿足條件的事件發(fā)生時，將觸發(fā)對應(yīng)的安全響應(yīng)動作，如聲音報警、郵件報警、手機短信報警等多種方式。

• 知識庫管理能力

SOC平臺的知識管理平臺除提供一般知識管理功能， 比如安全知識庫、培訓(xùn)和人員考核等，也提供了強大的漏洞庫、事件特征庫、補丁庫、安全配置知識庫和應(yīng)急響應(yīng)知識庫等。

• 豐富的報表展現(xiàn)能力

SOC平臺報表提供對系統(tǒng)內(nèi)的各類安全數(shù)據(jù)，進行全方位多角度的展現(xiàn)能力。如資產(chǎn)類型分布、攻擊類事件分布、安全告警趨勢等，并提供用戶自定義及報表導(dǎo)出能力。

• 第三方系統(tǒng)集成能力

SOC平臺第三方系統(tǒng)集成能力是SOC平臺能夠?qū)W(wǎng)絡(luò)安全進行綜合評定的又一基礎(chǔ)。SOC平臺可以通過Webservice接口或第三方提供的API，從第三方系統(tǒng)獲取必要信息，或者驅(qū)動第三方系統(tǒng)或設(shè)備進行有目的的工作。如SOC平臺可以通過驅(qū)動漏洞掃描系統(tǒng)，對指定的資產(chǎn)進行漏洞掃描，并通過結(jié)果接口獲取掃描結(jié)果，參與到事件的關(guān)聯(lián)分析中。

安全運營中心價值

基于某一個具體設(shè)備或系統(tǒng)，如WAF、IDS、IPS、漏洞掃描系統(tǒng)進行網(wǎng)絡(luò)安全分析，信息較分散，容易增加誤判、漏判的概率，且需要大量的專業(yè)人員，知識積累較困難，應(yīng)急響應(yīng)慢。

SOC平臺通過收集各類相關(guān)安全信息，并進行相互之間的關(guān)聯(lián)分析、印證，從多角度對網(wǎng)內(nèi)資產(chǎn)進行安全分析和評估，并將安全運維工作流程化，極大提高了發(fā)現(xiàn)事件并及時處理響應(yīng)的能力，同時通過知識積累和系統(tǒng)運維的完善，不斷加強和完善網(wǎng)絡(luò)的安全防護能力、攻擊發(fā)現(xiàn)及應(yīng)急響應(yīng)能力。

產(chǎn)品概述

靈狐科技安全運營中心（Security Operations Center，簡稱SOC）是企業(yè)信息安全體系的支撐平臺，以資產(chǎn)為核心，安全事件分析處理為主線，監(jiān)控企業(yè)安全風(fēng)險狀況的同時，確保企業(yè)信息安全閉環(huán)。安全運營中心通過內(nèi)置綜合分析、集中監(jiān)控、集中運維、統(tǒng)一管理的功能，配合企業(yè)安全業(yè)務(wù)流程，將技術(shù)、流程、人進行有機的結(jié)合，實現(xiàn)企業(yè)全面、綜合的信息安全管理。