如何建设一个安全运营中心（SOC）？

最近FreeBuf好像要在深圳办一场与SOC有关的会议，近期自己恰好整理了一些关于SOC建设、发展现状的内容，借此机会分享出来，以飨读者。好了，下面开始正文。

首先，一个较完善的SOC应该具有以下功能模块：

包括各安全设备的安全日志的统一监控；安全日志的统一存储、查询、分析、过滤和报表生成等功能、安全日志的统一告警平台和统一的自动通知等；

模块分析：大型网络中的不同节点处往往都部署了许多安全产品，起到不同的作用。首先要达到的目标是全面获取网络安全实时状态信息，解决网络安全管理中的透明性问题。解决网络安全的可管理控制性问题。从安全管理员的角度来说，最直接的需求就是在一个统一的界面中可以监视到网络中每个安全产品的运行情况，并对他们产生的日志和报警信息进行统一分析和汇总。

包括各安全设备的安全配置文件的集中管理，提高各管理工具的维护管理水平，提高安全管理工作效率；有条件的情况下实现各安全产品的配置文件（安全策略）的统一分发，修正和更新；配置文件的统一在（离）线管理，定期进行采集和审核，对安全产品的各种属性和安全策略进行集中的存储、查询。

模块分析：目前企业中主要的安全产品如防火墙、入侵检测和病毒防护等往往是各自为政，有自己独立的体系和控制端。通常管理员需要同时运行多个控制端，这就直接导致了对安全设备统一管理的要求。不过从目前国内的情况来说，各不同厂商的安全产品统一管理的难度较大，统一监控更容易实现，在目前现状中也更为重要。

目前国内现状是各个安全公司都从开发管理自己设备的管理软件入手，先做到以自己设备为中心，把自己设备先管理起来，同时提出自己的协议接口，使产品能够有开放性和兼容性。这些安全设备管理软件和网络管理软件类似，对安全设备的发现和信息读取主要建立在SNMP协议基础上，对特定的信息辅助其他网络协议。获取得内容大部分也和网络设备管理相同，如CPU使用情况，内存使用情况，系统状态，网络流量等。

协调处理是安全技术的目标，同时也符合我国对信息安全保障的要求即实现多层次的防御体系。整体安全技术体系也应该有多层次的控制体系。不仅仅包含各种安全产品，而且涉及到各主机操作系统、应用软件、路由交换设备等等。

模块分析：目前国内有部分提法是IDS和防火墙的联动就是基于这种思路的，但是实际的使用情况中基本上没有客户认同这点，原因当然有很多，但实际上要实现这点还需要较长的技术积累。

网络拓扑变化后能自动发现设备的调整并进行基本的探测和给出信息。

模块分析：大部分企业内部的网络的拓扑都是在变化的，如果不支持设备的自动发现，就需要人工方式解决，给管理员造成较大的工作压力，也不能掌握网络的实际拓扑，这样不便于排错和发现安全故障。可以采用自动搜寻拓扑的机制。如IBM TivoliNetview可以自动发现大多数网络设备的类型，或通过更改MIB库，来随时添加系统能识别的新的设备。