SOC安全运营中心_区域安全运营中心拓扑

SOC安全运营中心
介绍
什么是SOC（安全运营中心）？
安全运营中心是指为保证信息资产的安全, 采用集中管理方式统一管理相关安全产品, 搜集所有安全信息, 并通过对收集到各种安全事件进行深层的分析、统计和关联、及时反映被管理资产的安全基线, 定位安全风险, 对各类安全时间及时提供处理方法和建议的安全解决方案。
安全运营中心（SOC ) 的主要思想是采用多种安全产品的Agent和安全控制中心，最大化地利用技术手段，在统一安全策略的指导下，将系统中的各个安全部件协同起来，实现对各种网络安全资源的集中监控、统一策略管理、智能审计及多种安全功能模块之间的互动，并且能够在多个安全部件协同的基础上实现实时监控、安全事件预警、报表处理、统计分析、应急响应等功能，使得网络安全管理工作由繁变简，更为有效。

架构

安全运营中心（SOC）的体系架构具备适应性强（能够适用于不同节点接入网络和系统环境）、可扩充性强、集中化安全管理等优点，其框架体系主要是为了解决目前各类安全产品各自为阵、难以组成一个整体安全防御体系的问题。真正的整体安全是在一个整体的安全策略下，安全产品、安全管理、安全服务以及管理制度相互协调的基础上才能够实现。安全运营中心（SOC ）框架如图所示。一般由四个中心组成。

• 四个中心

综合安全管理中心：安全管理中心还提供各种专项的安全集中管理功能来保证用户对某些专门安全问题的管理，主要加强内控管理，例如资产安全管理、系统补丁管理、异常流量管理、完整性检查等。
安全事件管理中心：全面收集安全设备、网络设备、主机、服务和应用的安全事件信息；通过分类、过滤、规范化、归并发送到安全事件库；经过综合安全事件关联分析，发现和确认一些攻击信息、违反合规约性以及异常行为；能够提供安全事件追溯，为调查取证提供有效的证据；对于确认的高风险安全事件可以通过自动响应机制，一方面给出多种告警方式（如控制台显示、邮件、短信等），另一方面通过安全联动机制阻止攻击（如OPSEC、路由器远程控制、交换机远程控制等）；真正体现出安全事件管理领域的“动态自动防御”精髓。
资产风险管理中心：全面收集信息资产的漏洞信息，通过综合关联分析去除各种误报，发现有用信息，给出级别度量。系统能够自动完成以往专家完成的风险计算工作，进行定损分析，并自动触发任务单和响应来降低风险，达到管理和控制风险的效果。
运维管理中心：该中心提供日常运维工作的服务保障体系；包括各种时钟同步、系统管理、资产配置库、资产工作状态和拓扑信息、安全知识管理、安全考核管理、流程管理实现等。例如工单管理用于追踪安全事件、资产风险和事故的处理情况；预警管理可以实现主动的预警，通过企业安全管理中心和各个安全