网络安全运营中心总体设计与方案构想

汪锐 徐吉辉 钟晓歌

摘要：随着网络规模与信息技术的快速发展，网络安全领域紧前工作已经从装备建设进入体系优化阶段，安全运营中心（Security Operation Center，SOC）应运而生。针对某企业信息系统网络安全防护体系现状进行了需求挖掘，分析了构建网络SOC的必要性，研究提出了SOC的构建目标，提出了以企业核心业务保障为关键、网络安全管理和网络运行维护管理一体化的SOC建设思路，针对性设计了安全管理平台功能架构，并从技术层面给出了可行的实施方案。网络SOC通过采集各类基础信息，能够实现对全网安全防护装备态势的实时监测；能够对安全事件、威胁告警等关联分析，提供全网态势感知能力；智能识别未知网络攻击行为，进行分析预警；以资产数据与安管系统作为基础，对企业核心业务系统及防护体系进行安全风险评估，支撑构建具有主动防御能力的安全防护体系。

关键词：安全运营中心；主动防御；安全态势感知

中图分类号：TN91文献标志码：A文章编号：1008-1739（2022）19-58-06

0引言

伴随网络和信息化技术的不断发展，各行业信息化加速，信息系统集成化、规模化，随之带来的网络安全风险也逐渐增多。近年来，国内企业加大安全体系建设力度，部署以防火墙、入侵检测等为代表的各类网络安全防护装备，但是装备的简单堆砌仅针对性解决边界、主机等单方面面临的威胁，无法实现安全防护系统策略、响应等全生命周期整体联动。面对海量告警信息，安全运维岗位人员难以从中提取有效数据，整体安全态势和运行情况呈黑盒，无法支撑网络态势感知及预测决策，难以及时发现和有效应对隐患，人力资源浪费，运维难度较大。大型复杂信息系统的网络安全问题是一项系统工程，需要用系统工程思维去解决风险问题，迫切需要一个集运行维护、态势感知、應急响应三位一体的机构，网络安全运营中心（Security Operation Center，SOC）概念应运而生。本文针对某企业网络安全管理需求现状，结合国内外SOC系统的研究情况，对该企业SOC的建设提出技术解决方案。

1安全运营中心建设需求分析

1.1安全运营中心概念

Security Operation Center，SOC[1]是指为保证企业信息系统的安全、稳定运行，统一运维管理多型网络安防装备，集中管理设备相关安全信息。同时，高效整合技术、服务、流程和人员等要素，通过机器学习、数据挖掘、人工智能、安全自动化编排与响应等工具和技术，实时采集各类安全告警信息与网络威胁，并进行统计整理和动态分析，实时更新信息系统安全基线，快速定位安全问题；依据网络安全事件应对方案预案等进行影响域分析、网络攻击取证、攻击追踪溯源、现场应急处置、针对性加固及总结评估。其核心功能是，向上利用安全产品的采集器或传感器，将安全事件、安全告警、设备性能、系统运行状态等信息收集到安全管理中心；向下对安全防护装备统一分发配置策略，实现网络基础资源、安全防护资源的集中监控与统一安全管理。面对网络安全事件，不同防护设备能够实现一体化策略协同联动，实现企业对网络安全的实时动态监测、安全威胁预警、统计报表导出、数据联动分析、应急处置响应等功能，提高企业网络安全整体运维能力。

1.2网络安全管理现状

某企业信息系统的网络安全防护装备体系自建成以来，在网络态势研判及各网络安全防护分系统的统一运行维护方面存在较大差距：一方面，依托网络管理中心进行网络安全运营与态势研判，主要通过手动管理和人工分析，无自动化工具进行辅助决策，缺乏一套智能化统一运维管理与态势分析研判系统，导致问题难以及时定位，处理进度无法实时跟踪，处置结果不能动态反馈；另一方面，随着后续网络安全防护系统的增量建设和更新换代，病毒防护、入侵检测、漏洞扫描、主机管控等增加或更新的网络安防子系统无法纳入现有统一安全管理系统，不能实现分系统间的一体联动。因此，在网络安全防护系统增量建设的同时，亟需同步建设一个能够实现对全网各安全分系统统一管理、综合收集统计安全信息、智能分析研判并实时呈现全网网络安全态势的网络态势研判与运营中心，提高网络管理中心网络运维管理与安全防护水平。

1.3 SOC建设目标

SOC要从组织管理制度、方案预案体系、技术平台架构和运维岗位人员等多方面进行统筹考量，在现有网络安全防护装备体系的基础上，建立一套安全管理信息平台（Security Management Information Platform，SMIP），为安全管理工作提供决策支撑[2][3]。该平台建设目标主要有以下几点：

①能够协助运行维护人员进行常态化的安全管控与统一运维。

②能够实现对海量分散的安全基础数据进行全面地采集、过滤、分析、审核，并借助智能化的分析方法提取出真实安全问题，进行全维度功能及性能监测、告警研判和溯源定位。

③能够进行安全问题事前管理，在网络攻击未发生前就感知网络运行态势[4]；借助分析算法和量化模型预知企业网络安全风险。

④能够从企业核心业务安全运行的维度出发，主动适配业务运行安全需求，使安全防护能力与业务稳定运行高度耦合，覆盖业务系统的建设、使用、管理、运维等全生命周期。

2安全管理中心建设思路

2.1面向核心业务

对于企业而言，网络安全不是狭义主机终端安全、网元设备安全、业务数据安全或信息资产安全，而是要保障关键业务系统安全稳定运行。安全管理的目标不再是网络基础设施本身不会遭受网络攻击或网络攻击风险降低，而是要求从业务的角度看待网络安全体系架构，需要建立一套以企业关键业务为核心的安全管理体系，最终达到对网络承载的关键业务的可用性、连续性以及稳定性保障的目标。

一个面向核心业务、一体联动的安全管理系统，应该从网络承载业务本身考虑，通过对业务进行需求挖掘、数学建模、连贯运行监测、价值估计、风险评估、可视化呈现[6]、安全域管理和基础资产安全管理等各个环节，同步利用主动监控、被动扫描2种手段，自主采集承载网中构成业务系统的各种基础信息化设施的安全信息，从业务运行的角度进行归一化，开展监控、分析、审计、告警、响应、存储和报告。

通过建立SOC，消除烟囱效应，将一个个单点设备形成的安全防御孤岛真正连结起来，形成围绕企业核心业务为主体的统一信息管理平台，实现对业务连贯性的监测、业务安全性的审计和业务风险性的量化。

2.2安管网管一体化

随着各类业务对信息系统依赖性的不断增强，对系统安全提出了更高的要求。以前更多强调终端病毒感染、木马外联控制、漏洞挖掘利用等具体问题怎么办，但对于一个对时效性、连续性要求较高的业务系统来说，更重视的是业务的可用性，因此网络运行维护与安全运行维护相互影响，同时大多数网络安全问题是由网络可用性问题引发，最重要的是大多数安全事件的发生都是以承载网为传播载体。网络管理和安全管理技术、制度、策略等融合，进行统一运维，集中管理网络基础资源环境，共同监控泛终端、网元装备、安防装备、数据库、中间件、网络服务和物理环境，做到全维度的集中监控和故障告警，保障基础网络设施稳定运行；同时，SOC将网管与安管采集的各类日志、告警、事件等信息关联分析[7]，能够快速定位安全事件和网络故障，解放部分人力资源，提高运维效率。

3 SMIP设计

SMIP是一套配合安全管理体系的技术支撑平台[8]，将安全有关产品、方案进行整合，提供一个统一的安全管理界面。面向决策人员，可以通过安管平台对全网或相关业务信息系统的整体安全运行状况有一个直观的了解、清晰的掌控；对于运维人员，可以通过安管平台的管理界面，对网络和业务信息系统实施有计划、持续地监视、检测、审计、分析、评估、预警、响应和报告，并能够实现相互之间的协同工作。

按照逻辑架构，SMIP自下而上可分为基础资源层、协议转换层、数据采集层、核心功能层、数据库层以及UI展示层[9][10]，如图1所示。

3.1基础资源层

基础资源层主要是安全管理的硬件实体及软件系统，是SMIP管理的主要资产，包括安防装备、网元装备、泛终端主机、中间件，特别需要指出的是云平台下的虚拟设备与虚拟云资源。

3.2数据采集与协议服务层

协议服务层与数据采集层共同作用，向上传递基础资源信息，向下分发核心处理单元指令。协议服务层为数据采集层提供多种网络接口，数据采集层负责通过各类传感器和采集器，获取网络基础资源、网元设备、安元设备等重要配置信息、日志信息、告警信息等，并将所有信息通过归一化处理为标准的数据格式，送往核心功能层。

3.3核心功能层

功能层是整个安全管理系统的核心，主要包括运维管理、安全审计、态势研判和风险管理4个功能模块。

3.3.1运维管理

（1）监控

能够实时监控承载网南北向和东西向流量峰值、均值、带宽占有率及异常流量等情况；能够实时监控基础资源池中多种类、多型号、多品牌网元装备、安防装备、泛在终端、信息系统及各种应用系统的运行状态和性能指标；能够及时从多个维度分析监控对象指标要素，计算设置告警阈值，并通过声光告警辅助运维人员工作。

（2）告警处理

实时采集各类安防装备告警信息，通过告警时间、告警等级、告警详细内容，进行过滤归并处理与智能分析，并按照不同告警类型，开展相应处置管理流程。对各类告警信息相互印证，最终提取形成安全事件，触发对应的应急响应流程；并行开展网络安全风险分析和威胁情报分析，按照识别的企业安全风险要素，定量化评估当前网络态势。

（3）应急响应

根据网络安全事件本身、影响域、危害等级及业务价值，依照相關应急预案与处置流程，安全运维人员协同网络运维人员、业务技术人员、应急处置领导小组等，按照“谁主管谁负责、谁运行谁负责”的原则，进行突发事件横向通报、现场处置、查证溯源、总结评估等工作。

（4）故障诊断

由于SMIP集成了网络安全管理和网络运行管理双重功能，因此应具备常态故障诊断定位及处置功能。借助数据库中相关资产、配置等，按照“故障出现、区域定位、诊断排查、故障清除、重现验证、复盘总结”等步骤，最终达到定位准确、机理清楚、处置有效的故障诊断目标。

3.3.2态势研判

网络与安全的态势从认知到感知，需要将安全事件、安全威胁、异常流量分析结果指标化，并通过可视化技术展示。

（1）事件管理

事件采集模块实现了不同设备海量安全事件的采集、归一化、过滤，通过智能化关联分析，结合历史信息，提取真正的安全事件，进行预警，为下一步研判提供支撑。

（2）威胁管理

按照专项与常态化2种模式，对企业承载网发布网络安全威胁指数：一是发生具体网络安全事件后，形成专项威胁评估报告；二是形成机制化的安全威胁指数分析与评估，结合网络威胁情报，定期对重点网络区域网络安全威胁状态及其发展趋势进行研究分析，为下一步研判提供支撑。

（3）流量管理

在承载网核心、汇聚等节点及关键业务系统部署尽可能多的流量采集装备，使得SMIP能够对海量数据进行全面分析；通过态势分系统实时展示承载网关键业务流量统计图，便于动态调配网络资源，优化带宽分配，实现网络服务质量保证，确保业务稳定安全运行。梳理分析企业业务运行流量特点，形成流量白名单，实现流量精细化管控，快速、准确识别异常流量，达到对未知网络攻击行为检测的目标。

（4）业务管理

按照面向核心业务的原则，重点关注业务运行的信息系统、用户数据、运行流程和业务操作人员身份认证及权限分配等，形成业务数据流资产，配套构建业务健康管理系统，监控业务可用性、连续性与稳定性。

（5）预警管理

预警信息是指信息系统可能遭受的攻击和潜在的安全隐患。在已知特征的情况下，通过预置研判规则，支持攻击预警、漏洞预警和病毒预警。

（6）安全策略

面对不同类型的网络安全防护装备，下发相应的信息安全策略。面向突发安全事件，可以统一管控安全防护设备（系统），制定联动安全策略，并通过SMIP直接下发。

3.3.3安全审计

安全审计的核心工作是按照一定的安全策略，利用记录的系统活动日志和用户操作日志等信息，检查、审查和检验操作事件的环境及活动，进行关联性分析，从而发现系统漏洞、外部入侵和内部违规行为或改善系统性能。

3.3.4风险管理

参考《GB/T 31509信息安全技术信息安全风险评估实施指南》，风险管理模块通过识别企业安全风险，对资产价值、弱点度量值与威胁度量建立数学模型，采用层次分析法等常见的风险计算方法，获得可衡量的安全风险，实现对网络安全风险的定量化计算，以便网络安全管理人员研究提出风险预案和响应对策。具体的计算方法和评估方案还应通过识别的安全风险因素进一步进行权重等针对性建模分析。

3.4 UI展示层

系统通过友好的交互界面，直观、生动、多角度、多维度地呈现网络安全运行态势和资源监测统计情况。系统的交互界面可利用最新的网络空间测绘及可视化技术，以3D立体化及多元素统计方式进行呈现，对网络安全事件能够展示出行为分析图、IP空间图、动态事件图等。实现从认知到具体直观的感知转变，提升全网安全态势监控的效率。

3.5数据库层

该层存储了SOC所有关键数据，包括资产、基线、策略、网络拓扑、规则、告警、威胁情报、漏洞、设备配置、知识库及系统自身的配置维护信息等，是SMIP底层支撑和核心资产，同时是驱动SMIP运转的重要动力之一。

4关键技术及解决途径

建立SMIP，实现网络安全态势感知，需要在网络环境中部署大量不同类型的安全防护装备（或软件信息系统）及Agent代理等，监测网络的运行状态。通过采集这些传感器提供的安全告警事件信息，加以分析，处理成量化的指标，准确地描述网络的安全状态，通过可视化手段显示给安全管理员及高层决策者，从而支持应急响应、日常运维及对安全态势的全局理解。

4.1安全事件分析

网络安全事件是指业务承载网遭受非法入侵或设备监控信息超过阈值门限时，从网络安全防护装备产生的告警信息中提取的事件，是企业日常安全态势研判的主要对象[12]。这些告警信息可以从网络安全设备嵌入的Agent程序中采集到。由于厂商不同、功能不同，不同网络安全设备产生的安全事件原始信息格式不一致。因此，SMIP首先要提取采集到的安全事件原始信息中的核心要素，将原始数据进行范式化处理。格式用一个元组表示如下：E= {detectTime，detectSystem， eventLevel，eventType，credibility，sourceIP，destIP，sourcePort，destPort， protocol}，（sourceIP，destIP，sourcePort，destPort，protocol）是常規构成网络流量五元组，分别表示告警源地址、目的地址、源端口、目的端口及传输协议，detectTime表示事件检测时间，detectSystem表示告警设备，eventLevel表示安全事件告警等级，eventType表示安全事件类型，credibility表示告警可信度。对提取后的安全事件按图2所示流程进行处理。

步骤一：事件过滤。将海量安全事件中关键要素不全，或不属于预置规则的信息进行清洗、剔除。

步骤二：冗余合并。从时、空2个维度上，对具有重复关系或冗余告警的安全事件进行归一化合并。

步骤三：事件融合。进一步解决告警冲突、告警归并等问题，通过统计、D-S证据等理论，进行安全事件融合，降低系统的误告警和虚警。

步骤四：关联分析。采用基于知识学习、基于预置规则、基于因果关系、基于相似度等多种算法，进行大数据挖掘，识别安全事件之间真实联系，辅助分析网络威胁和攻击样式。

步骤五：事件评估。以业务价值为中心，通过安全事件的溯源取证和机理分析，以及对网络带宽、网络速率的基础IT资源的影响程度，从多个角度进行网络威胁指数分析和网络安全评估。

4.2网络安全态势指标

按照SOC安全管理和网络管理一体化设计思路，SMIP将从网络运行性能和网络安全信息来构建网络安全态势指标体系[13]，通过对以下4个指标进行审计，得出整个系统的网络安全态势综合指数：①对网络运维情况的审计，收集一段时间业务内持续性、网络总流量、资源占用率、负载分布情况等系统运行的数据进行量化计算，这个数值体现网络系统当前的运行状态，数值越大，代表网络系统运行状况越差；②对网络脆性的审计，收集一段时间内网络漏洞、病毒感染数目等信息，计算得出网络脆弱性指数，可以从整体上衡量网络面临攻击时可能对系统造成的损失程度；③对网络风险的审计，收集一定时间段内网络发生的各种由于网络攻击引发的安全事件的发生频率和危害等级进行量化计算，表示了由网络攻击引发的网络安全事件给网络系统造成的危害程度的大小；④对安全威胁的审计，收集一定时间段内由内部用户违规或设备运行引发的安全事件，包括数据非法拷贝、身份认证系统无效等事件统计计算，数值越大，说明此类安全事件对网络安全运行造成的威胁也就越大。将这4个指标按照权重分析计算，可以得出一段时间内全网的综合态势指标。

4.3态势感知可视化解决方案

参考地理信息系统（GIS）理念[14]，首先根据业务系统、通信系统资产的实际地理位置，建立资产地图；在资产地图的基础上，对业务逻辑、业务信息建立不同的图层，形成基于GIS的网络流量地图，并对业务流量地图中各节点网络资源使用情况进行统计，建立资源网格；按照网络安全体系架构，采集安全防护设备部署信息、安全策略影响域等关键信息构建安全资源地图，在安全资源地图的基础上，按照安全事件核心要素中攻击来源、攻击目标等信息建立安全事件信息地图。将所有资源以物理或虚拟的地理位置信息进行展示，并对整个网格中的资源信息进行统计分析，在地理位置的基础上，加上时间维度信息，呈现出HT业务网整体态势视图。

在技术手段层面，“网络空间测绘”也是网络态势感知的必然趋势，网络空间测绘的地图绘制是对网络GIS的进一步延伸，通过可视化表达和可视化分析应用场景，不局限于对资产数据的简单可视化展现，而是对内网甚至全球互联网进行探测和测绘，对网络空间全要素进行数字映射，并且可方便地结合网络攻防演练和实训靶场平台，进一步对企业进行附带业务系统模拟的超逼真仿真，最终探测建立以网络拓扑测绘为基础的、结合企业核心业务运行及外部模拟渗透攻击的真实网络环境。

5结束语

SOC是网络安全防护体系从设备部署到系统建设，再到统一管理这一发展过程的自然产物。新一代SOC区别于传统SOC的地方主要在于底层开放的接口、核心层大数据分析能力、应用层智慧协同联动。建立一套高效的安全管理平台，从监控运维、安全审计、风险度量、态势研判4个维度提供一个全网统一的业务支撑，使得安全可见、可查、可度量，建立标准化、例行化、常态化的安全流程管控，提供面向业务的主动化、智能化安全管理，形成企业业务网主动防御能力，保障业务信息系统的持续安全运营。

参考文献

[1]周铁.电力行业安全事件处理系统的设计与实现[D].成都：电子科技大学，2014.

[2]马帅.企业安全运营中心管理系统的设计与实现[D].北京：北京交通大学，2019.

[3]王伟，覃晓宁.新一代安全运营中心（SOC）平台[J].信息与电脑（理论版），2017（3）：68-74.

[4]梁国光，祁继锋，林飞，等.关于网络安全态势感知系统标准架构模式与应用探究[J].网络安全技术与应用，2022（1）：1-2.

[5]毛辉，曹龙全，吴启星，等.监测预警处置一体化网络安全管理平台研究[J].信息网络安全，2020（S1）：122-126.

[6]张秀成.网络安全态势感知系统的构建与应用研究[J].网络安全技术与应用，2020（10）：1-2.

[7]杨洋.网络安全事件关联分析技术分析[J].网络安全技术与应用，2017（8）：14.

[8]卫剑钒，雷东生.安全运营平台SOC建设思考与实践[J].中国金融电脑，2020（9）：61-63.

[9]彭聪留，訾然.深信服安全运营中心解决方案[J].信息安全与通信保密，2020（S1）：88-92.

[10]张卫军.铁路通信网络安全管理中心技术方案研究[J].中国安全科学学报，2019，29（S2）：88-92.

[11]殷亚玲.基于态势感知系统的网络安全防护与应用[J].科技风，2020（33）：102-103.

[12]琚安康，郭渊博，朱泰铭，等.网络安全事件关联分析技术与工具研究[J].计算机科学，2017，44（2）：38-45.

[13]柴軍，徐玮，冯慷.网络安全分析管理平台建设与规划[C]//中国计算机用户协会网络应用分会2021年第二十五届网络新技术与应用年会论文集.北京：《计算机科学》编辑部，2021：298-302.

[14]陈丹晖.构建铁路数据通信网骨干网的网络安全管理中心[J].铁道通信信号，2020，56（4）：69-72.