随着互联网应用的深入，信息安全的重要性已经得到用户的高度重视，据权威机构统计表明：信息安全大约60%以上的问题是由管理方面原因造成的，也就是说解决信息安全问题不应仅从技术方面着手，同时更应加强信息安全的管理，通过建立正规的信息安全管理体系以达到系统地解决信息安全问题。

现有安全管理的问题

问题一：从现有的安全产品体系来看，分散的专用解决方案包含了防火墙、入侵检测、认证、防病毒等，而每个系统都有自己独立的管理监控系统。在管理员对网络管理时会发现各种产品之间存在着非常多的管理信息和重复数据，比如防火墙和入侵检测往往会对同一个事件进行重复报警，同时也生成很多无用的数据，如一个震荡波病毒可能攻击很多不存在的服务器，根据经验，一个蠕虫病毒爆发的时候，省级的电信网络能够爆发两千万到一亿的事件量，可以设想，如果没有一定的分析能力和管理能力，这样的工作对于每一个管理人员来说都是一个不可能完成的任务。在这种情况下，我们的信息安全就无法得到有效的保证。

问题二：现有的安全产品信息提供都是针对安全管理员的，而所有的人都是从自身角度去了解安全信息，这对于其他管理人员来讲都是不能满足需求的。同时对于系统管理员来讲，需要了解自己系统的安全情况，关心在哪里可以看到，怎样处理故障，可是又不知道怎么处理。
问题三：现有的管理都是孤立地看待安全事件，一个事件就是一个事件，还不能提供关键的资产信息。实际上，对于用户来讲，他们关心的是被保护的信息资产，业务系统运行如何，跟这个运行无关的东西并不是管理人员所关心的。所以传统的系统解决方案通过静态的方式不能给用户提供一个持续不断的威胁分析、漏洞分析和风险核心。

SOC如何解决管理问题

SOC的主要目标是建立一个以管理者和资产为核心的管理体系，彻底改变了传统以事件为核心的安全管理模式，它给用户提供的事件是以日常工作的需求和日常维护的资产为核心的事件，这样管理员通过SOC，能够看到管理员所关心的信息，然后根据实际的状况进行详细的事件层面的分析。
在SOC的管理体系中，将所有的安全产品和事件通过统一界面关联起来。我们知道，安全管理中最重要的一点就是集中，集中的目的就是集中智能，给管理者提供工具，把日常的分析过程通过机器自动化的方式来帮助管理员完成大部分的工作。而安全管理员和系统管理员只要注重针对性的分析，日常的繁琐工作都可以通过智能去完善。

在以安全资产为核心的SOC系统中，将IDS事件、漏洞事件、各种扫描器扫描出来的事件、病毒事件等等，通过SOC，可以把这些事件全部分布到资产的层面上去，它大大缩短了响应的时间，把一些无用、根本不存在的针对性的攻击抛弃掉，或者给特定的人员去视察，从而让企业每个人都能参与到安全建设当中，同时也让领导也能更多地关心自己的安全。

SOC提供了一个日常的安全核心智能处理和强大的决策管理，可以在一个集中的安全运行中心基础上，提供多个子的安全运行中心的基础，而且支持超大规模的企业集团，两级的架构，再加上虚拟系统可以实现多达三到四级的整体架构，可以做到实时监控，层层管理。也就是说，在复杂的安全管理中，SOC构筑的是一个动态的、持续性的管理。

在实际运行当中，我们可以看到每个资产的状态和跟它相关的漏洞和一些相关的攻击事件。在SOC管理中，可以制定这样一个SOC维护作业计划，比如多长时间进行一次审计，每个任务是一次性的还是每月的，还是半年的，通过SOC的实施，由系统自动化去做，这样使企业可以实现很高的自动化管理。同时在SOC系统中还实现了日常的任务管理，帮助用户通过顾问资讯制定他的紧急响应，通过SOC系统来监控在响应过程中间每一步的分析结果，每一步发生的情况，每一步使用的时间，给管理者提供了参考的依据，同时也为管理者提供了哪一个环节是最薄弱的环节，管理者可以对它进行一下改进。

 同时，SOC也提供了主动预警的能力。比如大部分人可能说这个SOC很多东西都是已经发生的事件才能做，对于没有发生的，比如在震荡波病毒发布之前，这个时候我们能做什么呢？这个问题也是众多用户所关心的问题。其实安氏早就考虑到这个问题，可以说SOC能做事后的分析，也同样具有预警能力。比如SOC可以根据目前的安全趋势，一旦发现异常，它会进行一下预值，这时会变成预警的方式，此时，要求通过所有管理员，做一些相应的配置和关注。同时根据最新发布的漏洞和补丁，检查出所有系统的信息，哪些资产会受到影响，提示管理员必须在多长时间里，对相应的补丁进行安装等。

  安氏 SOC有那些特点

一、SOC的理念和体系架构

SOC系统体现了当前安全需求以 “信息保障”为中心的理念，按照安氏信息安全保障体系框架（ISAF）的安全保障模型，对信息和信息系统的安全属性及功能、效率进行保障的动态行为过程进行跟踪和调整，它运用源于人、管理、技术等因素所形成的预警能力、保护能力、检测能力、反应能力、恢复能力和反击能力，在信息和系统生命周期全过程的各个状态下，保证信息内容、计算环境、边界与连接、网络基础设施的真实性、可用性、完整性、保密性、可控性、不可否认性等安全属性，从而保障应用服务的效率和效益，提高信息系统的保障能力。同时作为信息保障能力的安全管理，把分散的技术因素、人的因素，通过政策规则、运作流程协调整合成为一体，充分体现了“三分技术，七分管理”的重要性。
同样，SOC系统的体系架构遵循了安氏信息安全保障体系框架（ISAF），包括了对各种安全解决方案所产出的数据进行收集，在此基础上通过分析、关联进行过滤和简化，转化为用户真正可管理的信息或知识，并帮助用户在安全知识的指导下可对此及时采取有效的行动，提高系统的安全度。

安氏信息安全保障体系框架（ISAF）

在具体的实现方面，SOC解决方案提供了一个四层结构的体系，这四层结构是：被监控的资产、事件收集层、安全管理平台和用户终端。

二、SOC的业务管理模式

SOC针对中国企业的管理结构特点，允许用户在系统内部设立企业结构逻辑视图，允许通过定义角色来分配权限，可以快速地为每个资产定位其负责人以及相关部门、领导、管理员、备份管理员等信息。
SOC以资产为核心，允许定义资产，允许多个资产组合成业务系统，所有信息的收集和处理由原来的以事件为核心的通过分析、关联、处理变化为以用户和资产为核心。

三、SOC的主要功能

 强大完善的资产管理
支持基于LDAP（Light Directory Access Protocol）的资产管理，可以和不同系统的资产数据库进行同步。支持资产价值（可用性需求、完整性需求、保密性需求）的评估。完整记录资产及其上的应用，均支持自动发现和手动调整。

 以资产为核心的漏洞管理
以资产为核心，驱动漏洞的定期扫描、评估。用户可以在SOC界面中针对资产定制定期扫描或者发起一次单独的扫描，通过SOC界面驱动扫描系统，扫描的结果会返回到SOC系统中，所有信息经过标准化后存放在统一的数据库中，漏洞信息和资产信息可以方便地关联使用，扫描结果还可以自动触发安全响应流程，保证一发现漏洞就进行解决。通过以资产为核心的漏洞管理，系统可以提供比传统的漏洞扫描器更加详尽的信息、更快的响应以及更强的信息交互和关联，并且可以实现统一的控制管理。

 以资产为核心的威胁管理
威胁管理主要通过事件管理体现出来，与以往以事件管理为核心的系统相比较，SOC中心将收集到的所有事件信息都归结到资产，很好地实现了基于资产视角的视图，用户可以方便地根据资产的价值和关键性来进行事件的分级。
SOC中心大量支持已有安全产品的事件收集，做到即插即用，对于不支持的产品，提供可视化的变成编写数据的收集和标准化agent，保证快速的扩展。所有事件收集机制都是详细可定制的。

 强大的智能处理
智能化处理是SOC解决海量事件、事件分散化、误报的的重要机制，安氏的智能处理方式主要包括：

底层智能处理：它是通过数据过滤、标准化、数据合并、实时数据关联来实现底层的智能事件处理，特别是实时数据关联实现了基于规则的关联，发现实时数据之间的潜在联系，可以改变和调整级别。

定损关联：当数据被归结到资产之后，不同来源的事件数据以及漏洞相关数据被汇聚在一起，在这个新的数据集的基础上，进行新一轮的关联分析，由于集中了异种事件的关联分析，这种分析可以有效减少误报，提供更多参考。

统计分析关联：基于异常检测的原理，在资产的基础上，检测是否有异常的行为，发现未知攻击。

知识库智能搜索：通过将事件、漏洞等数据与知识库进行关联，给系统管理员充分的信息、参考和解决方案。

四、对用户的回报

大型企业的网络规模庞大、系统复杂，其中的各种网络设备、服务器、工作站、业务系统、支撑系统都存在着超常的复杂性、多样性。通过SOC，用户可以获得以下的回报：

1、降低了管理成本，提高效率
SOC解决方案提供了将事件、日志、安全信息集中监控和管理的技术保障，通过专门的安全人员对安全持续建设、跟踪和响应，最大程度降低各地市相关维护人员的工作负担，并且能够有效提供高水平的安全管理。比如，没有安全运行中心时，一个合格的管理员最多只能管理15个IDS，如果使用SOC进行安全管理，这时每个管理员最多可以管理150个IDS。

2、提高了处理和响应能力
在安全管理过程中，SOC解决方案首先将不同种类的产品统一到一个平台来管理，例如SOC会比较攻击者和被攻击者途经的二个入侵检测系统的报警差别鉴别攻击是否被拦截，同时还会检查被攻击目标上的信息，检查被攻击目标是否受到攻击的影响。通过这种综合关联，最后的结论是准确的，明确指向需要响应的级别。同时系统支持强大的工单功能，对整个事故的响应处理过程提供跟踪和反馈。另外，SOC除了关注及时的响应，还关注主动的响应：系统可以自动和各种安全系统互动，主动调整他们策略和配置，从而提供实时的响应，通过技术和自动化手段，降低检测时间，降低响应时间，从而降低风险。

3、为各级人员提供安全窗口
安氏的SOC解决方案首先将分布在不同产品上的各种安全信息集中起来，然后根据企业需求，将这些信息又分配到不同人员那里。

4、通过SOC实现安全管理和安全技术结合
SOC解决方案致力于将安全管理和安全技术紧密结合起来，让技术层面策略的审计由系统自动进行，和人工审计结合起来，最高程度提高审计效率，这种设计使企业内部
自行进行审计在现有情况下成为可能，最大程度降低审计需要的人力和专业知识。

小结

undefined
SOC这一创新思维信息安全的全新防御体系的研制成功，给信息安全市场带来了崭新的商业运作模式，跨过了对目前普遍应用的安全产品的局限性，使企业的安全等级实现了阶段性的飞跃。同时，它也是国内唯一一个有成功案例的安全运行中心，已经包括江苏移动、浙江电信、中信集团、平安保险、浙江移动等都成功实现了SOC的安全管理方案