安全运营中心（SOC）是如何应运而生的？

随着我国信息化建设的推进和网络安全意识的增强，防火墙、防病毒与IDS（入侵检测系统）等网络安全设备受到企业重用，但与之而来的设备维护成为企业安全运营的一个重大问题。

以往安全设备往往都是互相独立，这就使得信息误报率和漏报率较高，而且面对海量的安全日志，用户很难从中得出有价值的系统整体安全形势分析报告，难以面对当前更加复杂多变的安全威胁。

为此，能够把分散的安全设备、安全策略、安全日志进行统一管理的综合性安全运营中心（Security Operations Center,SOC）应运而生。

一、什么是安全运营中心（SOC）？

通常来说，SOC被定义为：以资产为核心，以安全事件管理为关键流程，采用安全域划分的思想，建立一套实时的资产风险模型，协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。

其实，SOC是一个复杂的系统，他包含了产品、服务、运营，是技术、流程和人的有机结合。

二、SOC概念的起源

SOC的提出首先来源于安全服务提供商，他们首先提出了可管理安全服务（MSS）概念。

从1998——2001年国外SOC发展的大致情况看，SOC发展一直都是作为服务（中心）和产品（平台）两个维度来发展的。现在的SOC究竟是服务还是产品，取决于企业的发展策略：

SOC作为服务，可以用于建立MSS运营平台，成为MSS的基础。这时SOC是一个中心，有固定的工作场景，有SOC技术支撑平台以及人员、运营的流程，来为企业提供安全管理服务。

SOC作为产品，可以用于建立企业和组织的安全运营中心。首先，要有一套SOC平台，然后借助这个平台，来进行安全运营。如果仅仅购买一个平台，而不考虑运营，SOC的作用就会大大削减。

三、建立SOC的三种方法

1.自建型SOC

由企业内部自行建立和管理的安全运营中心，包括人员、组织、流程，并进行运营(其中平台部分，企业可以自己设计并开发，也可以采购平台)。

2.外包型SOC

由企业将安全运营中心的功能和责任外包给MSS服务商进行管理和执行（包括租用安全基础设施）。

3.共建型SOC

企业采用较多的方式。由企业自建SOC平台，建立核心的组织结构和流程，处理核心的安全问题，第三方安全服务提供商来进行管理和协助运营。

四、行业流行的SOC类型及特点

1.虚拟型SOC

该模式没有专用的设施及团队。主要依赖于分散的安全技术，在发生安全事件时才会响应。通常仅适用于发生偶发事件、与MSSP或其他第三方合作的小型企业。

其特点为

●没有专用设施

●兼职的团队成员

●发生严重警报或事件时才激活

2.混合型SOC

混合型SOC是一种结合了内部团队和外部服务提供商的安全运营中心模型。在混合型SOC中，企业自身设立了一个内部的安全团队，同时也与外部的安全服务厂商合作。

其特点为

●专用和兼职的团队成员

●5*8小时运营

●与MSSP一起使用时，它是共同管理的

3.多功能型SOC/NOC

多功能型是企业在资源共享层面将SOC和NOC进行融合，这种模式存在诸如组织政策，预算和流程成熟度不同等因素，很可能导致工作人员执行多项任务（SOC和NOC）。

其特点为

●拥有专用设备及专业团队，可以执行安全工作，也能从同一设备执行其他安全工作

●7*24小时不间断运营

4.专业型SOC

拥有集中式专用基础设施、IT安全基础架构和团队。有相当高的独立性或完全独立于IT，有连续的日常安全操作所需的所有资源。通常适用于大型组织；服务供应商；高风险组织。

其特点为

●专用的基础设施

●自有的专业团队

●完全在内部运营

●7*24小时不间断运营

5.指挥型SOC

指挥型SOC适用于超大型组织的企业，具有较强的独立性。它强调决策的迅速性和高效性，通过专业的技术团队和集中化的决策，提供快速、精确的安全保护。通常适用于超大型组织；服务供应商；政府机构；军事组织；情报机构。

其特点为

●可协调其他的SOC

●提供威胁情报，态势感知和其他专业知识

●很少直接参与日常运营

以上五个类型针对企业不同的需求与问题，都有独特的优势，各种规模的企业都可以在以上一种类型中构建和维护SOC。

随着网络安全在大型企业中的作用逐年显著增加，SOC的出现完善了企业安全管理体系，它拥有更高效、更彻底的安全运营能力，能够有效地应对日益增长的安全威胁和挑战，保障企业的持续运营和发展。但安全是一个动态的过程，SOC的工作类型也不是一成不变的。

因此，SOC也需要不断地完善、持续地优化，才能最大限度地帮助企业应对日新月异的网络安全威胁，减少网络安全威胁对企业造成的危害和影响。