SOC 技术白皮书文档密级：公开 深信服安全运营服务 技术白皮书 深信服科技股份有限公司 www.sangfor.com 版权声明 本书版权归深信服科技股份有限公司所有，并保留对本文档及本声明的最终解释权和 修改权。 本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有 特别注明外，其著作权或其它相关权利均属于深信服科技股份有限公司。未经深信服科技 股份有限公司书面同意，任何人不得以任何方式或形式对本文档内的任何部分进行复制、 摘录、备份、修改、传播、翻译成其他语言、将其全部或部分用于商业用途。 免责条款 1 / 16 SOC 技术白皮书文档密级：公开 本文档仅用于为最终用户提供信息，其内容如有更改或撤回，恕不另行通知。 深信服科技股份有限公司已尽最大努力确保本文档内容准确可靠，但不提供任何形式 的担保，任何情况下，深信服科技股份有限公司均不对（包括但不限于）最终用户或任何 第三方因使用本文档而造成的直接或间接的损失或损害负责。 信息反馈 如果您有任何宝贵意见，请反馈： 地址：深圳市南山区学苑大道 1001 号南山智园 A1 栋 邮编 518055 电话：0755-86627888 传真：0755-86627999 您也可以访问深信服科技网站 www.sangfor.com.cn 获得最新技术和产品信息 2 / 16 SOC 技术白皮书文档密级：公开 目录 1. 2. 3. 概述...........................................................................................................................4 安全运营服务............................................................................................................6 2.1. 整体服务框架.............................................................................................6 2.2. 服务流程.....................................................................................................7 2.2.1. 风险评估阶段......................................................................................7 2.2.2. 安全能力成熟度分析阶段...................................................................7 2.2.3. 服务方案设计阶段..............................................................................8 2.2.4. 持续安全运营阶段..............................................................................8 技术原理....................................................................................................................8 3.1. 安全组件.....................................................................................................8 3.1.1. 安全防护组件......................................................................................8 3.1.2. 风险发现组件......................................................................................9 3.1.3. 检测响应组件....................................................................................10 3.1.4. 潜伏威胁分析组件............................................................................11 3.1.5. 潜伏威胁发现组件（V2.0 以上版本支持）......................................11 3.2. 安全服务平台...........................................................................................12 3.2.1. 安全运营中心（SOC）.....................................................................12 3.2.2. 安全服务平台（SSP）......................................................................13 3.3. 三级服务体系...........................................................................................13 3.4. 风险评估...................................................................................................14 3.5. 六大服务流程...........................................................................................15 3.5.1. 漏洞管理...........................................................................................15 3.5.2. 未公开威胁处置................................................................................16 3.5.3. 策略管理...........................................................................................17 3.5.4. 持续攻击对抗....................................................................................17 3.5.5. 事件分析与处置................................................................................18 3.5.6. 应急响应...........................................................................................19 3 / 16 SOC 技术白皮书文档密级：公开 1. 概述 安全运营服务是深信服公司提供的一套基于安全运营中心（CvSOC）和安全服务平台 （SvSOC）2 大平台，为客户提供的一套系统化、标准化、持续化的安全风险管理和安全 运营管理方案。其中依托于深信服的网络安全组件、 4 级安全服务体系和 6 大服务流程， 全方位地保障客户的业务安全。 安全组件包含： （1）安全防护组件（AF） （2）风险发现组件（云镜） （3）检测响应组件（EDR） （4）潜伏威胁分析组件（安全感知平台 V2.0 以上版本支持） （5）潜伏威胁发现组件（探针 V2.0 以上版本支持） 安全服务平台包含： （1）安全运营中心（Security Operation Center，简称 SOC） （2）安全服务平台（Security Service Platform，简称 SSP）。 3 级安全服务体系如下： （1） T1：安全工程师 （2） T2：高级安全运营专家 （3） T3：首席安全专家 6 大服务流程如下： （1）漏洞管理流程：资产快速识别、风险优先级判定、增量资产风险评估。 （2）未知威胁处置：多家合作伙伴，多种分析手段，全面漏洞挖掘，提前规避风险。 （3）策略管理：根据业务特性，提供定制化的安全策略，实现业内最佳实践。 （4）持续攻击对抗：精准预测、定位高级威胁，实时对抗、主动响应。 （5）事件分析与处置：海量数据来源+大数据处理平台，人工智能与专家协同，事件 闭环处置。 4 / 16 SOC 技术白皮书文档密级：公开 （6）应急响应：云端专家与本地专家协同，积极处置突发事件。 安全运营服务提供一站式的全方位服务体系，超强的安全团队实力、标准持续化的安 全服务，从而有效避免碎片化建设、安全能力不足等问题，全面保障客户的业务安全，致 力于成为客户的安全服务管家。 2. 安全运营服务 2.1. 整体服务框架 深信服安全运营服务整体框架内容包含如下： （1）深信服提供专业的服务团队为客户进行上门部署实施安全服务组件、风险发现组件、 检测响应组件等组件，并协助客户进行业务资产的梳理，保证所有业务系统受到统一的防 护，通过设备接入云端 SOC 中心从而进行实时地安全监控。 （2）云端 SOC 中心提供风险管理、设备管理、威胁管理、效果管理等能力，为服务人员 持续赋能。 （3）云端 SOC 将分析的问题以工单形式（含处置方法、处置工具）下发给服务人员，然 后服务人员根据工单内容对客户交付服务，从而全面对客户的所有风险及安全问题进行闭 5 / 16 SOC 技术白皮书文档密级：公开 环跟踪。 （4）客户安全管