當(dāng)前位置:首頁(yè) > 百科知識(shí) > 電子工程 > 正文

SOC 又名:片上系統(tǒng)(SystemonChip)

SOC,或者SoC,是一個(gè)縮寫(xiě),包括的意思有:1) SoC: System on Chip的縮寫(xiě),稱(chēng)為系統(tǒng)級(jí)芯片,也有稱(chēng)片上系統(tǒng),意指它是一個(gè)產(chǎn)品,是一個(gè)有專(zhuān)用目標(biāo)的集成電路,其中包含完整系統(tǒng)并有嵌入軟件的全部?jī)?nèi)容。2)SOC:Security Operations Center的縮寫(xiě),成為安全運(yùn)行中心,或者安全管理平臺(tái),屬于信息安全領(lǐng)域的詞匯。一般指以資產(chǎn)為核心,以安全事件管理為關(guān)鍵流程,采用安全域劃分的思想,建立一套實(shí)時(shí)的資產(chǎn)風(fēng)險(xiǎn)模型,協(xié)助管理員進(jìn)行事件分析、風(fēng)險(xiǎn)分析、預(yù)警管理和應(yīng)急響應(yīng)處理的集中安全管理系統(tǒng)。3)民航SOC:System Operations Center的縮寫(xiě),指民航領(lǐng)域的指揮控制系統(tǒng)。

SoC基本概念

SoC的定義多種多樣,由于其內(nèi)涵豐富、應(yīng)用范圍廣,很難給出準(zhǔn)確定義。一般說(shuō)來(lái), SoC稱(chēng)為系統(tǒng)級(jí)芯片,也有稱(chēng)片上系統(tǒng),意指它是一個(gè)產(chǎn)品,是一個(gè)有專(zhuān)用目標(biāo)的集成電路,其中包含完整系統(tǒng)并有嵌入軟件的全部?jī)?nèi)容。同時(shí)它又是一種技術(shù),用以實(shí)現(xiàn)從確定系統(tǒng)功能開(kāi)始,到軟/硬件劃分,并完成設(shè)計(jì)的整個(gè)過(guò)程。從狹義角度講,它是信息系統(tǒng)核心的芯片集成,是將系統(tǒng)關(guān)鍵部件集成在一塊芯片上;從廣義角度講, SoC是一個(gè)微小型系統(tǒng),如果說(shuō)中央處理器(CPU)是大腦,那么SoC就是包括大腦、心臟、眼睛和手的系統(tǒng)。國(guó)內(nèi)外學(xué)術(shù)界一般傾向?qū)oC定義為將微處理器、模擬IP核、數(shù)字IP核和存儲(chǔ)器(或片外存儲(chǔ)控制接口)集成在單一芯片上,它通常是客戶(hù)定制的,或是面向特定用途的標(biāo)準(zhǔn)產(chǎn)品。SoC定義的基本內(nèi)容主要表現(xiàn)在兩方面:其一是它的構(gòu)成,其二是它形成過(guò)程。系統(tǒng)級(jí)芯片的構(gòu)成可以是系統(tǒng)級(jí)芯片控制邏輯模塊、微處理器/微控制器CPU 內(nèi)核模塊、數(shù)字信號(hào)處理器DSP模塊、嵌入的存儲(chǔ)器模塊、和外部進(jìn)行通訊的接口模塊、含有ADC /DAC 的模擬前端模塊、電源提供和功耗管理模塊,對(duì)于一個(gè)無(wú)線(xiàn)SoC還有射頻前端模塊、用戶(hù)定義邏輯(它可以由FPGA 或ASIC實(shí)現(xiàn))以及微電子機(jī)械模塊,更重要的是一個(gè)SoC 芯片內(nèi)嵌有基本軟件(RDOS或COS以及其他應(yīng)用軟件)模塊或可載入的用戶(hù)軟件等。系統(tǒng)級(jí)芯片形成或產(chǎn)生過(guò)程包含以下三個(gè)方面:1) 基于單片集成系統(tǒng)的軟硬件協(xié)同設(shè)計(jì)和驗(yàn)證;2) 再利用邏輯面積技術(shù)使用和產(chǎn)能占有比例有效提高即開(kāi)發(fā)和研究IP核生成及復(fù)用技術(shù),特別是大容量的存儲(chǔ)模塊嵌入的重復(fù)應(yīng)用等;3) 超深亞微米(UDSM) 、納米集成電路的設(shè)計(jì)理論和技術(shù)。SoC設(shè)計(jì)的關(guān)鍵技術(shù) 具體地說(shuō), SoC設(shè)計(jì)的關(guān)鍵技術(shù)主要包括總線(xiàn)架構(gòu)技術(shù)、IP核可復(fù)用技術(shù)、軟硬件協(xié)同設(shè)計(jì)技術(shù)、SoC驗(yàn)證技術(shù)、可測(cè)性設(shè)計(jì)技術(shù)、低功耗設(shè)計(jì)技術(shù)、超深亞微米電路實(shí)現(xiàn)技術(shù)等,此外還要做嵌入式軟件移植、開(kāi)發(fā)研究,是一門(mén)跨學(xué)科的新興研究領(lǐng)域。

SoC技術(shù)的發(fā)展

集成電路的發(fā)展已有40年的歷史,它一直遵循摩爾所指示的規(guī)律推進(jìn),現(xiàn)已進(jìn)入深亞微米階段。由于信息市場(chǎng)的需求和微電子自身的發(fā)展,引發(fā)了以微細(xì)加工(集成電路特征尺寸不斷縮小)為主要特征的多種工藝集成技術(shù)和面向應(yīng)用的系統(tǒng)級(jí)芯片的發(fā)展。隨著半導(dǎo)體產(chǎn)業(yè)進(jìn)入超深亞微米乃至納米加工時(shí)代,在單一集成電路芯片上就可以實(shí)現(xiàn)一個(gè)復(fù)雜的電子系統(tǒng),諸如手機(jī)芯片、數(shù)字電視芯片、DVD 芯片等。在未來(lái)幾年內(nèi),上億個(gè)晶體管、幾千萬(wàn)個(gè)邏輯門(mén)都可望在單一芯片上實(shí)現(xiàn)。 SoC (System - on - Chip)設(shè)計(jì)技術(shù)始于20世紀(jì)90年代中期,隨著半導(dǎo)體工藝技術(shù)的發(fā)展,IC設(shè)計(jì)者能夠?qū)⒂鷣?lái)愈復(fù)雜的功能集成到單硅片上, SoC正是在集成電路( IC)向集成系統(tǒng)( IS)轉(zhuǎn)變的大方向下產(chǎn)生的。1994年Motorola發(fā)布的FlexCore系統(tǒng)(用來(lái)制作基于68000和PowerPC的定制微處理器)和1995年LSILogic公司為Sony公司設(shè)計(jì)的SoC,可能是基于IP( IntellectualProperty)核完成SoC設(shè)計(jì)的最早報(bào)導(dǎo)。由于SoC可以充分利用已有的設(shè)計(jì)積累,顯著地提高了ASIC的設(shè)計(jì)能力,因此發(fā)展非常迅速,引起了工業(yè)界和學(xué)術(shù)界的關(guān)注。SOC是集成電路發(fā)展的必然趨勢(shì),1. 技術(shù)發(fā)展的必然2. IC 產(chǎn)業(yè)未來(lái)的發(fā)展。

SoC的發(fā)展趨勢(shì)及存在問(wèn)題

當(dāng)前芯片設(shè)計(jì)業(yè)正面臨著一系列的挑戰(zhàn),系統(tǒng)芯片SoC已經(jīng)成為IC設(shè)計(jì)業(yè)界的焦點(diǎn), SoC性能越來(lái)越強(qiáng),規(guī)模越來(lái)越大。SoC芯片的規(guī)模一般遠(yuǎn)大于普通的ASIC,同時(shí)由于深亞微米工藝帶來(lái)的設(shè)計(jì)困難等,使得SoC設(shè)計(jì)的復(fù)雜度大大提高。在SoC設(shè)計(jì)中,仿真與驗(yàn)證是SoC設(shè)計(jì)流程中最復(fù)雜、最耗時(shí)的環(huán)節(jié),約占整個(gè)芯片開(kāi)發(fā)周期的50%~80% ,采用先進(jìn)的設(shè)計(jì)與仿真驗(yàn)證方法成為SoC設(shè)計(jì)成功的關(guān)鍵。SoC技術(shù)的發(fā)展趨勢(shì)是基于SoC開(kāi)發(fā)平臺(tái),基于平臺(tái)的設(shè)計(jì)是一種可以達(dá)到最大程度系統(tǒng)重用的面向集成的設(shè)計(jì)方法,分享IP核開(kāi)發(fā)與系統(tǒng)集成成果,不斷重整價(jià)值鏈,在關(guān)注面積、延遲、功耗的基礎(chǔ)上,向成品率、可靠性、EMI 噪聲、成本、易用性等轉(zhuǎn)移,使系統(tǒng)級(jí)集成能力快速發(fā)展。   

SoC技術(shù)的特點(diǎn)

半導(dǎo)體工藝技術(shù)的系統(tǒng)集成 軟件系統(tǒng)和硬件系統(tǒng)的集成 SoC具有以下幾方面的優(yōu)勢(shì),因而創(chuàng)造其產(chǎn)品價(jià)值與市場(chǎng)需求:降低耗電量,減少體積,增加系統(tǒng)功能,提高速度,節(jié)省成本

SoC技術(shù)與應(yīng)用概念

所謂SoC技術(shù),是一種高度集成化、固件化的系統(tǒng)集成技術(shù)。使用SoC技術(shù)設(shè)計(jì)系統(tǒng)的核心思想,就是要把整個(gè)應(yīng)用電子系統(tǒng)全部集成在一個(gè)芯片中。在使用SoC技術(shù)設(shè)計(jì)應(yīng)用系統(tǒng),除了那些無(wú)法集成的外部電路或機(jī)械部分以外,其他所有的系統(tǒng)電路全部集成在一起。1.系統(tǒng)功能集成是SoC的核心技術(shù) 在傳統(tǒng)的應(yīng)用電子系統(tǒng)設(shè)計(jì)中,須要根據(jù)設(shè)計(jì)要求的功能模塊對(duì)整個(gè)系統(tǒng)進(jìn)行綜合,即 根據(jù)設(shè)計(jì)要求的功能,尋找相應(yīng)的集成電路,再根據(jù)設(shè)計(jì)要求的技術(shù)指標(biāo)設(shè)計(jì)所選電路的連 接形式和參數(shù)。這種設(shè)計(jì)的結(jié)果是一個(gè)以功能集成電路為基礎(chǔ),器件分布式的應(yīng)用電子系統(tǒng)結(jié)構(gòu)。設(shè)計(jì)結(jié)果能否滿(mǎn)足設(shè)計(jì)要求不僅取決于電路芯片的技術(shù)參數(shù),而且與整個(gè)系統(tǒng)PCB版圖的電磁兼容特性有關(guān)。同時(shí), 對(duì)于須要實(shí)現(xiàn)數(shù)字化的系統(tǒng),往往還須要有單片機(jī)等參與,所以還必須考慮分布式系統(tǒng)對(duì)電路固件特性的影響。很明顯,傳統(tǒng)應(yīng)用電子系統(tǒng)的實(shí)現(xiàn),采用的是分布功能綜合技術(shù)。對(duì)于SoC來(lái)說(shuō),應(yīng)用電子系統(tǒng)的設(shè)計(jì)也是根據(jù)功能和參數(shù)要求設(shè)計(jì)系統(tǒng),但與傳統(tǒng)方法有著本質(zhì)的差別。SoC不是以功能電路為基礎(chǔ)的分布式系統(tǒng)綜合技術(shù)。而是以功能IP為基礎(chǔ)的系統(tǒng)固件和電路綜合技術(shù)。首先,功能的實(shí)現(xiàn)不再針對(duì)功能電路進(jìn)行綜合,而是針對(duì)系統(tǒng)整體固件實(shí)現(xiàn)進(jìn)行電路綜合,也就是利用IP技術(shù)對(duì)系統(tǒng)整體進(jìn)行電路結(jié)合。其次,電路設(shè)計(jì)的最終結(jié)果與IP功能模塊和固件特性有關(guān),而與PCB板上電路分塊的方式和連線(xiàn)技術(shù)基本無(wú)關(guān)。因此,使設(shè)計(jì)結(jié)果的電磁兼容特性得到極大提高。換句話(huà)說(shuō),就是所設(shè)計(jì)的結(jié)果十分接近理想設(shè)計(jì)目標(biāo)。2.固件集成是SoC的基礎(chǔ)設(shè)計(jì)思想 在傳統(tǒng)分布式綜合設(shè)計(jì)技術(shù)中,系統(tǒng)的固件特性往往難以達(dá)到最優(yōu),原因是所使用的是分布式功能綜合技術(shù)。一般情況下,功能集成電路為了滿(mǎn)足盡可能多的使用面,必須考慮兩個(gè)設(shè)計(jì)目標(biāo):一個(gè)是能滿(mǎn)足多種應(yīng)用領(lǐng)域的功能控制要求目標(biāo);另一個(gè)是要考慮滿(mǎn)足較大范圍應(yīng)用功能和技術(shù)指標(biāo)。因此,功能集成電路(也就是定制式集成電路)必須在I/O和控制方面附加若干電路,以使一般用戶(hù)能得到盡可能多的開(kāi)發(fā)性能。但是,定制式電路設(shè)計(jì)的應(yīng)用電子系統(tǒng)不易達(dá)到最佳,特別是固件特性更是具有相當(dāng)大的分散性。對(duì)于SoC來(lái)說(shuō),從SoC的核心技術(shù)可以看出,使用SoC技術(shù)設(shè)計(jì)應(yīng)用電子系統(tǒng)的基本設(shè)計(jì)思想就是實(shí)現(xiàn)全系統(tǒng)的固件集成。用戶(hù)只須根據(jù)需要選擇并改進(jìn)各部分模塊和嵌入結(jié)構(gòu),就能實(shí)現(xiàn)充分優(yōu)化的固件特性,而不必花時(shí)間熟悉定制電路的開(kāi)發(fā)技術(shù)。固件基礎(chǔ)的突發(fā)優(yōu)點(diǎn)就是系統(tǒng)能更接近理想系統(tǒng),更容易實(shí)現(xiàn)設(shè)計(jì)要求。3.嵌入式系統(tǒng)是SoC的基本結(jié)構(gòu) 在使用SoC技術(shù)設(shè)計(jì)的應(yīng)用電子系統(tǒng)中,可以十分方便地實(shí)現(xiàn)嵌入式結(jié)構(gòu)。各種嵌入結(jié)構(gòu)的實(shí)現(xiàn)十分簡(jiǎn)單,只要根據(jù)系統(tǒng)需要選擇相應(yīng)的內(nèi)核,再根據(jù)設(shè)計(jì)要求選擇之相配合的IP模塊,就可以完成整個(gè)系統(tǒng)硬件結(jié)構(gòu)。尤其是采用智能化電路綜合技術(shù)時(shí),可以更充分地實(shí)現(xiàn)整個(gè)系統(tǒng)的固件特性,使系統(tǒng)更加接近理想設(shè)計(jì)要求。必須指出,SoC的這種嵌入式結(jié)構(gòu)可以大大地縮短應(yīng)用系統(tǒng)設(shè)計(jì)開(kāi)發(fā)周期。4.IP是SoC的設(shè)計(jì)基礎(chǔ) 傳統(tǒng)應(yīng)用電子設(shè)計(jì)工程師面對(duì)的是各種定制式集成電路,而使用SoC技術(shù)的電子系統(tǒng)設(shè)計(jì)工程師所面對(duì)的是一個(gè)巨大的IP庫(kù),所有設(shè)計(jì)工作都是以IP模塊為基礎(chǔ)。SoC技術(shù)使應(yīng)用電子系統(tǒng)設(shè)計(jì)工程師變成了一個(gè)面向應(yīng)用的電子器件設(shè)計(jì)工程師西叉歐。由此可見(jiàn),SoC是以IP模塊為基礎(chǔ)的設(shè)計(jì)技術(shù),IP是SoC應(yīng)用的基礎(chǔ)。5.SoC技術(shù)中的不同階段 用SoC技術(shù)設(shè)計(jì)應(yīng)用電子系統(tǒng)的幾個(gè)階段如圖1所示。在功能設(shè)計(jì)階段,設(shè)計(jì)者必須充分考慮系統(tǒng)的固件特性,并利用固件特性進(jìn)行綜合功能設(shè)計(jì)。當(dāng)功能設(shè)計(jì)完成后,就可以進(jìn)入IP綜合階段。IP綜合階段的任務(wù)利用強(qiáng)大的IP庫(kù)實(shí)現(xiàn)系統(tǒng)的功能I。P結(jié)合結(jié)束后,首先進(jìn)行功能仿真,以檢查是否實(shí)現(xiàn)了系統(tǒng)的設(shè)計(jì)功能要求。功能仿真通過(guò)后,就是電路仿真,目的是檢查IP模塊組成的電路能否實(shí)現(xiàn)設(shè)計(jì)功能并達(dá)到相應(yīng)的設(shè)計(jì)技術(shù)指標(biāo)。設(shè)計(jì)的最后階段是對(duì)制造好的SoC產(chǎn)品進(jìn)行相應(yīng)的測(cè)試,以便調(diào)整各種技術(shù)參數(shù),確定應(yīng)用參數(shù)。

SoC設(shè)計(jì)方法學(xué)簡(jiǎn)介

1、設(shè)計(jì)重用技術(shù) 數(shù)百萬(wàn)門(mén)規(guī)模的系統(tǒng)級(jí)芯片設(shè)計(jì),不能一切從頭開(kāi)始,要將設(shè)計(jì)建立在較高的層次上。需要更多地采用I P復(fù)用技術(shù),只有這樣,才能較快地完成設(shè)計(jì),保證設(shè)計(jì)成功,得到價(jià)格低的 SoC,滿(mǎn)足市場(chǎng)需求。設(shè)計(jì)再利用是建立在芯核(CORE)基礎(chǔ)上的,它是將己經(jīng)驗(yàn)證的各種超級(jí)宏單元模塊電路制成芯核,以便以后的設(shè)計(jì)利用。芯核通常分為三種,一種稱(chēng)為硬核,具有和特定工藝相連系的物理版圖,己被投片測(cè)試驗(yàn)證??杀恍略O(shè)計(jì)作為特定的功能模塊直接調(diào)用。第二種是軟核,是用硬件描述語(yǔ)言或C語(yǔ)言寫(xiě)成,用于功能仿真。第三種是固核(firm core),是在軟核的基礎(chǔ)上開(kāi)發(fā)的,是一種可綜合的并帶有布局規(guī)劃的軟核。目前設(shè)計(jì)復(fù)用方法在很大程度上要依靠固核,將RTL級(jí)描述結(jié)合具體標(biāo)準(zhǔn)單元庫(kù)進(jìn)行邏輯綜合優(yōu)化,形成門(mén)級(jí)網(wǎng)表,再通過(guò)布局布線(xiàn)工具最終形成設(shè)計(jì)所需的硬核。這種軟的RTL綜合方法提供一些設(shè)計(jì)靈活性,可以結(jié)合具體應(yīng)用,適當(dāng)修改描述,并重新驗(yàn)證,滿(mǎn)足具體應(yīng)用要求。另外隨著工藝技術(shù)的發(fā)展,也可利用新的庫(kù)重新綜合優(yōu)化、布局布線(xiàn)、重新驗(yàn)證以獲得新工藝條件下的硬核。用這種方法實(shí)現(xiàn)設(shè)計(jì)再利用和傳統(tǒng)的模塊設(shè)計(jì)方法相比其效率可以提高2-3倍,因此,0.35um工藝以前的設(shè)計(jì)再利用多用這種RTL軟核 2、綜合方法實(shí)現(xiàn) 隨著工藝技術(shù)的發(fā)展,深亞微米(DSM)使系統(tǒng)級(jí)芯片更大更復(fù)雜。這種綜合方法將遇到新的問(wèn)題,因?yàn)殡S著工藝向0.18um或更小尺寸發(fā)展,需要精確處理的不是門(mén)延遲而是互連線(xiàn)延遲。再加之?dāng)?shù)百兆的時(shí)鐘頻率,信號(hào)間時(shí)序關(guān)系十分嚴(yán)格,因此很難用軟的RTL綜合方法達(dá)到設(shè)計(jì)再利用的目的。建立在芯核基礎(chǔ)上的系統(tǒng)級(jí)芯片設(shè)計(jì),使設(shè)計(jì)方法從電路設(shè)計(jì)轉(zhuǎn)向系統(tǒng)設(shè)計(jì),設(shè)計(jì)重心將從今天的邏輯綜合、門(mén)級(jí)布局布線(xiàn)、后模擬轉(zhuǎn)向系統(tǒng)級(jí)模擬,軟硬件聯(lián)合仿真,以及若干個(gè)芯核組合在一起的物理設(shè)計(jì)。迫使設(shè)計(jì)業(yè)向兩極分化,一是轉(zhuǎn)向系統(tǒng),利用IP設(shè)計(jì)高性能高復(fù)雜的專(zhuān)用系統(tǒng)。另一方面是設(shè)計(jì) 模 M下的芯核,步入物理層設(shè)計(jì),使模櫻托競(jìng)說(shuō)男 能更好并可預(yù)測(cè)。3、低功耗的設(shè)計(jì)技術(shù) 系統(tǒng)級(jí)芯片因?yàn)榘偃f(wàn)門(mén)以上的集成度和數(shù)百兆時(shí)鐘頻率下工作,將有數(shù)十瓦乃至上百瓦的功耗。巨大的功耗給使用封裝以及可靠性方面都帶來(lái)問(wèn)題,因此降低功耗的設(shè)計(jì)是系統(tǒng)級(jí)芯片設(shè)計(jì)的必然要求。設(shè)計(jì)中應(yīng)從多方面著手降低芯片功耗。

SOC:安全運(yùn)行中心/安全管理平臺(tái)

一、SOC一詞的起源   SOC(Security Operations Center)是一個(gè)外來(lái)詞。而在國(guó)外,SOC這個(gè)詞則來(lái)自于NOC(NetworkOperation Center,即網(wǎng)絡(luò)運(yùn)行中心)。NOC強(qiáng)調(diào)對(duì)客戶(hù)網(wǎng)絡(luò)進(jìn)行集中化、全方位的監(jiān)控、分析與響應(yīng),實(shí)現(xiàn)體系化的網(wǎng)絡(luò)運(yùn)行維護(hù)。隨著信息安全問(wèn)題的日益突出,安全管理理論與技術(shù)的不斷發(fā)展,需要從安全的角度去管理整個(gè)網(wǎng)絡(luò)和系統(tǒng),而傳統(tǒng)的NOC在這方面缺少技術(shù)支撐,于是,出現(xiàn)了SOC的概念。不過(guò),至今國(guó)外都沒(méi)有形成統(tǒng)一的SOC的定義。維基百科也只有基本的介紹:SOC(SecurityOperationsCenter)是組織中的一個(gè)集中單元,在整個(gè)組織和技術(shù)的高度處理各類(lèi)安全問(wèn)題。SOC具有一個(gè)集中化的辦公地點(diǎn),有固定的運(yùn)維管理人員。國(guó)外各個(gè)安全廠(chǎng)商和服務(wù)提供商對(duì)SOC的理解也差異明顯。二、SOC產(chǎn)生的動(dòng)因 為了不斷應(yīng)對(duì)新的安全挑戰(zhàn),企業(yè)和組織先后部署了防火墻、UTM、入侵檢測(cè)和防護(hù)系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、終端管理系統(tǒng),等等,構(gòu)建起了一道道安全防線(xiàn)。然而,這些安全防線(xiàn)都僅僅抵御來(lái)自某個(gè)方面的安全威脅,形成了一個(gè)個(gè)“安全防御孤島”,無(wú)法產(chǎn)生協(xié)同效應(yīng)。更為嚴(yán)重地,這些復(fù)雜的IT資源及其安全防御設(shè)施在運(yùn)行過(guò)程中不斷產(chǎn)生大量的安全日志和事件,形成了大量“信息孤島”,有限的安全管理人員面對(duì)這些數(shù)量巨大、彼此割裂的安全信息,操作著各種產(chǎn)品自身的控制臺(tái)界面和告警窗口,顯得束手無(wú)策,工作效率極低,難以發(fā)現(xiàn)真正的安全隱患。另一方面,企業(yè)和組織日益迫切的信息系統(tǒng)審計(jì)和內(nèi)控要求、等級(jí)保護(hù)要求,以及不斷增強(qiáng)的業(yè)務(wù)持續(xù)性需求,也對(duì)客戶(hù)提出了嚴(yán)峻的挑戰(zhàn)。針對(duì)上述不斷突出的客戶(hù)需求,從2000年開(kāi)始,國(guó)內(nèi)外陸續(xù)推出了SOC(Security Operations Center)產(chǎn)品。目前國(guó)內(nèi)的SOC產(chǎn)品也稱(chēng)為安全管理平臺(tái),由于受到國(guó)內(nèi)安全需求的影響,具有很強(qiáng)的中國(guó)特色。三、SOC的定義 一般地,SOC被定義為:以資產(chǎn)為核心,以安全事件管理為關(guān)鍵流程,采用安全域劃分的思想,建立一套實(shí)時(shí)的資產(chǎn)風(fēng)險(xiǎn)模型,協(xié)助管理員進(jìn)行事件分析、風(fēng)險(xiǎn)分析、預(yù)警管理和應(yīng)急響應(yīng)處理的集中安全管理系統(tǒng)。本質(zhì)上,SOC不是一款單純的產(chǎn)品,而是一個(gè)復(fù)雜的系統(tǒng),他既有產(chǎn)品,又有服務(wù),還有運(yùn)維(運(yùn)營(yíng)),SOC是技術(shù)、流程和人的有機(jī)結(jié)合。SOC產(chǎn)品是SOC系統(tǒng)的技術(shù)支撐平臺(tái),這是SOC產(chǎn)品的價(jià)值所在,我們既不能夸大SOC產(chǎn)品的作用,也不能低估他的意義。這就好比一把好的掃帚并不意味著你就天然擁有干凈的屋子,還需要有人用它去打掃房間。四、SOC在信息安全產(chǎn)業(yè)的地位 如果我們把信息安全產(chǎn)業(yè)分為產(chǎn)品和服務(wù)兩個(gè)部分,那么SOC產(chǎn)品位于信息安全產(chǎn)品市場(chǎng)金字塔的頂端。SOC產(chǎn)品是所有安全產(chǎn)品的集大成者。SOC產(chǎn)品不是取代原有的安全產(chǎn)品,而是在這些安全產(chǎn)品之上,面向客戶(hù),從業(yè)務(wù)的角度構(gòu)建了一個(gè)一體化的安全管理運(yùn)行的技術(shù)集成平臺(tái)。信息安全產(chǎn)業(yè)是一個(gè)極速發(fā)展變化的產(chǎn)業(yè),SOC的內(nèi)涵和外延也會(huì)不斷的更新,但是SOC產(chǎn)品在整個(gè)信息安全產(chǎn)品結(jié)構(gòu)中的頂層地位始終不會(huì)改變。五、國(guó)外SOC的發(fā)展現(xiàn)狀 如前所述,國(guó)外的SOC并沒(méi)有明確的定義,其發(fā)展軌跡可以從產(chǎn)品和服務(wù)兩個(gè)維度來(lái)看。(1)SOC產(chǎn)品 國(guó)外鮮見(jiàn)以SOC命名的產(chǎn)品, SOC更多地是與服務(wù)掛鉤的。國(guó)外產(chǎn)品廠(chǎng)商使用了SIEM(Security Information and Event Management,安全信息與事件管理)這個(gè)詞來(lái)代表SOC產(chǎn)品,以示產(chǎn)品與服務(wù)的區(qū)隔。必須指出的是,SIEM產(chǎn)品與我們理解的SOC產(chǎn)品是有區(qū)別的,SIEM產(chǎn)品是SOC的核心產(chǎn)品,但不是全部。根據(jù)Gartner2008年關(guān)于信息安全的Hype Cycle曲線(xiàn)分析顯示,全球安全管理平臺(tái)市場(chǎng)趨于成熟,還有不到兩年(從2009年開(kāi)始計(jì)算)就將成為業(yè)界主流產(chǎn)品。Gartner公司2009年安全信息和事件管理(SIEM)幻方圖顯示,全球SIEM市場(chǎng)在2008年增長(zhǎng)了30%,整體收入達(dá)到了約10億美元。(2)SOC服務(wù) SOC服務(wù)是指MSSP(Managed Security Service Provider,可管理安全服務(wù)提供商)以SOC為技術(shù)支撐為客戶(hù)提供安全服務(wù)。這里,客戶(hù)感受到的只是安全服務(wù),而非SOC本身。從SOC發(fā)展至今,國(guó)外更多地將SOC與服務(wù)聯(lián)系在了一起,這與國(guó)外(主要是歐美)信息安全發(fā)展的水平和客戶(hù)對(duì)安全的認(rèn)知水平有密切關(guān)系。根據(jù)Gartner公司《2008年下半年北美MSSP幻方圖》顯示, 北美市場(chǎng)2007年的營(yíng)收大約是5.7億美元,預(yù)計(jì)在2008年全年會(huì)有15%的增長(zhǎng)。六、中國(guó)的SOC發(fā)展現(xiàn)狀 SOC這個(gè)概念,自傳入中國(guó)起,就深深的烙下了中國(guó)特色。由于信息安全產(chǎn)業(yè)和需求的特殊性使然,由于中國(guó)網(wǎng)絡(luò)與安全管理理念、制度、體系、機(jī)制的落后使然。中國(guó)SOC的引入和發(fā)展與國(guó)外的情況有一個(gè)很大的不同,就是國(guó)內(nèi)在提出SOC的時(shí)候,除了電信、移動(dòng)、民航、金融等高度信息化的單位,大部分企業(yè)和組織連NOC都沒(méi)有建立起來(lái)。于是,國(guó)內(nèi)SOC的發(fā)展依據(jù)行業(yè)的不同出現(xiàn)了截然不同的發(fā)展軌跡。電信、移動(dòng)、民航、金融等單位較早的建立了NOC,對(duì)SOC的認(rèn)識(shí)過(guò)程與國(guó)外基本保持一致。其他企業(yè)和組織則對(duì)SOC認(rèn)識(shí)模糊,從而更加講求實(shí)效。這兩類(lèi)客戶(hù)對(duì)于SOC的需求和期望是截然不同的,后者在需求的廣度上超過(guò)了前者,因而用電信、移動(dòng)、金融領(lǐng)域的SOC反而難以滿(mǎn)足政府等企事業(yè)單位客戶(hù)的需求。SOC在國(guó)內(nèi)也有兩個(gè)發(fā)展維度,產(chǎn)品和服務(wù)。(1)SOC產(chǎn)品 在國(guó)內(nèi),一般把SOC產(chǎn)品稱(chēng)為安全管理平臺(tái),但是,公安部的《安全管理平臺(tái)產(chǎn)品檢測(cè)規(guī)范》并沒(méi)有真正涵蓋現(xiàn)在SOC的全部?jī)?nèi)容。國(guó)內(nèi)的安全管理平臺(tái)具有狹義和廣義兩個(gè)定義。狹義上,安全管理平臺(tái)重點(diǎn)是指對(duì)安全設(shè)備的集中管理,包括集中的運(yùn)行狀態(tài)監(jiān)控、事件采集分析、安全策略下發(fā)。而廣義的安全管理平臺(tái)則不僅針對(duì)安全設(shè)備進(jìn)行管理,還要針對(duì)所有IT資源,甚至是業(yè)務(wù)系統(tǒng)進(jìn)行集中的安全管理,包括對(duì)IT資源的運(yùn)行監(jiān)控、事件采集分析,還包括風(fēng)險(xiǎn)管理與運(yùn)維等內(nèi)容。這也是SOC的一般定義。賽迪顧問(wèn)(CCID Consulting)于2007年開(kāi)始首次在其信息安全產(chǎn)品市場(chǎng)分析報(bào)告中對(duì)SOC產(chǎn)品進(jìn)行分析,目前已經(jīng)連續(xù)兩年進(jìn)行了相關(guān)研究。(2)SOC服務(wù) 在國(guó)內(nèi),SOC服務(wù)始終處于萌芽狀態(tài),與國(guó)外的如火如荼形成了鮮明的對(duì)比。這是國(guó)內(nèi)信息安全產(chǎn)業(yè)發(fā)展整體所處的階段所致。最后,無(wú)論SOC如何在國(guó)內(nèi)發(fā)展,這個(gè)概念已經(jīng)漸漸為業(yè)界所認(rèn)同,也得到了客戶(hù)的認(rèn)可。隨著國(guó)內(nèi)信息安全水平的提升,信息安全產(chǎn)、學(xué)、研都紛紛加大了對(duì)它的關(guān)注度。七、SOC2.0:安全管理平臺(tái)發(fā)展的新階段 隨著客戶(hù)業(yè)務(wù)的深化和行業(yè)需求的清晰,傳統(tǒng)SOC理念和技術(shù)的局限性逐漸凸現(xiàn)出來(lái),主要體現(xiàn)在三個(gè)方面:首先,在體系設(shè)計(jì)方面,傳統(tǒng)SOC圍繞資產(chǎn)進(jìn)行功能設(shè)計(jì),缺乏對(duì)業(yè)務(wù)的分析。其次,在技術(shù)支持方面,傳統(tǒng)SOC缺少全面的業(yè)務(wù)安全信息收集。最后,在實(shí)施過(guò)程方面,傳統(tǒng)SOC實(shí)施只考慮安全本身,沒(méi)有關(guān)注客戶(hù)業(yè)務(wù)。以資產(chǎn)為核心、缺乏業(yè)務(wù)視角的軟肋使得傳統(tǒng)SOC不能真正滿(mǎn)足客戶(hù)更深層次的需求。 對(duì)于用戶(hù)而言,真正的安全不是簡(jiǎn)單的設(shè)備安全,而是指業(yè)務(wù)系統(tǒng)安全。IT資源本身的安全管理不是目標(biāo),核心需求是要保障IT資源所承載的業(yè)務(wù)的可用性、連續(xù)性、以及安全性,因?yàn)闃I(yè)務(wù)才是企業(yè)和組織的生命線(xiàn)。要保障業(yè)務(wù)安全,就要求為用戶(hù)建立一套以業(yè)務(wù)為核心的管理體系,從業(yè)務(wù)的角度去看待IT資源的運(yùn)行和安全。如果把傳統(tǒng)的SOC稱(chēng)為SOC1.0,那么面向業(yè)務(wù)的SOC就可以稱(chēng)作SOC2.0。SOC2.0的定義:SOC2.0是一個(gè)以業(yè)務(wù)為核心的、一體化的安全管理系統(tǒng)。SOC2.0從業(yè)務(wù)出發(fā),通過(guò)業(yè)務(wù)需求分析、業(yè)務(wù)建模、面向業(yè)務(wù)的安全域和資產(chǎn)管理、業(yè)務(wù)連續(xù)性監(jiān)控、業(yè)務(wù)價(jià)值分析、業(yè)務(wù)風(fēng)險(xiǎn)和影響性分析、業(yè)務(wù)可視化等各個(gè)環(huán)節(jié),采用主動(dòng)、被動(dòng)相結(jié)合的方法采集來(lái)自企業(yè)和組織中構(gòu)成業(yè)務(wù)系統(tǒng)的各種IT資源的安全信息,從業(yè)務(wù)的角度進(jìn)行歸一化、監(jiān)控、分析、審計(jì)、報(bào)警、響應(yīng)、存儲(chǔ)和報(bào)告。SOC2.0以業(yè)務(wù)為核心,貫穿了信息安全管理系統(tǒng)建設(shè)生命周期從調(diào)研、部署、實(shí)施到運(yùn)維的各個(gè)階段。SOC2.0的價(jià)值就在于確保IT可靠、安全地與客戶(hù)業(yè)務(wù)戰(zhàn)略一致,促使客戶(hù)有效地利用信息資源,降低運(yùn)營(yíng)風(fēng)險(xiǎn)。八、SOC的發(fā)展路線(xiàn)   整體看來(lái),SOC經(jīng)歷了一個(gè)從分散到集中,從以資產(chǎn)為核心到以業(yè)務(wù)核心的發(fā)展軌跡。隨著中國(guó)安全建設(shè)水平的不斷提升,安全管理的業(yè)務(wù)導(dǎo)向程度會(huì)越來(lái)越明顯。在信息安全建設(shè)的早期,更多地是部署各類(lèi)安全設(shè)備和系統(tǒng),逐漸形成了“安全防御孤島”,導(dǎo)致了安全管理的成本急劇上升,而安全保障效率迅速下降。為此,出現(xiàn)了最早的安全管理系統(tǒng),主要是實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中分散的防火墻/VPN等設(shè)備的集中監(jiān)控與策略下發(fā),構(gòu)建一個(gè)較為完整的邊界安全統(tǒng)一防護(hù)體系。隨著對(duì)信息安全認(rèn)識(shí)的不斷深入,安全管理體系化思想逐漸成熟,出現(xiàn)了以信息系統(tǒng)資產(chǎn)為核心的全面安全監(jiān)控、分析、響應(yīng)系統(tǒng)——SOC1.0。SOC1.0以資產(chǎn)為主線(xiàn),實(shí)現(xiàn)了較為全面的事件管理與處理流程,以及風(fēng)險(xiǎn)管理與運(yùn)維流程。SOC1.0的出現(xiàn),提升了用戶(hù)信息安全管理的水平,從而也對(duì)信息安全管理有了更高的期望,要求從客戶(hù)業(yè)務(wù)的角度來(lái)進(jìn)行安全管理的呼聲日益增長(zhǎng),于是出現(xiàn)了面向業(yè)務(wù)的SOC2.0。SOC2.0繼承和發(fā)展的傳統(tǒng)SOC1.0的集中管理思想,將安全與業(yè)務(wù)融合,真正從客戶(hù)業(yè)務(wù)價(jià)值的角度去進(jìn)行一體化安全體系的建設(shè)。九、SOC的未來(lái)發(fā)展趨勢(shì) 展望未來(lái),SOC的發(fā)展始終會(huì)沿著兩個(gè)路徑前進(jìn):產(chǎn)品和服務(wù)。從產(chǎn)品的角度來(lái)看,從SOC1.0到SOC2.0,實(shí)現(xiàn)了業(yè)務(wù)與安全的融合,符合整個(gè)IT管理需求、技術(shù)的發(fā)展大勢(shì)。下一步,將會(huì)不斷涌現(xiàn)面向業(yè)務(wù)的SOC2.0產(chǎn)品。隨著客戶(hù)需求的日益突出、業(yè)務(wù)系統(tǒng)的日益復(fù)雜,越來(lái)越多的企業(yè)和組織會(huì)部署SOC系統(tǒng)。從服務(wù)的角度看,SOC將成為MSSP(可管理安全服務(wù)提供商)的服務(wù)支撐平臺(tái),成為SaaS(軟件即服務(wù),安全即服務(wù))的技術(shù)支撐平臺(tái),成為云計(jì)算、云安全的安全管理后臺(tái)。所有用戶(hù)體驗(yàn)到的安全服務(wù)都會(huì)由SOC來(lái)進(jìn)行總體支撐。一方面,SOC產(chǎn)品的業(yè)務(wù)理念和思路會(huì)滲透到SOC服務(wù)之中;另一方面,SOC服務(wù)水平與客戶(hù)認(rèn)知的提升也會(huì)促進(jìn)SOC產(chǎn)品的發(fā)展與成熟。

民用航空 SOC 系統(tǒng)

南航籌建SOC系統(tǒng)的想法起始于1994年,公司上層領(lǐng)導(dǎo)通過(guò)對(duì)一些發(fā)達(dá)國(guó)家航空公司的考察,認(rèn)為實(shí)施SOC系統(tǒng),可以對(duì)航空公司的飛行運(yùn)作進(jìn)行集中式的實(shí)時(shí)動(dòng)態(tài)管理,提高公司運(yùn)營(yíng)效率,降低飛行運(yùn)作成本,保障安全生產(chǎn),促進(jìn)優(yōu)質(zhì)服務(wù),為領(lǐng)導(dǎo)決策提供快速準(zhǔn)確的飛行信息,是南航公司走向現(xiàn)代化管理、建設(shè)大型企業(yè)集團(tuán)的必要條件。經(jīng)過(guò)兩年多的準(zhǔn)備,1997年7月1日,南航公司正式啟動(dòng)了該系統(tǒng)。引入的SOC系統(tǒng)主要包括5大應(yīng)用模塊:飛行計(jì)劃、飛行跟蹤、動(dòng)態(tài)控制、配載平衡和機(jī)組管理。黃敏先生形象地比喻SOC就象是航空公司飛行運(yùn)作方面的大管家,聽(tīng)過(guò)他對(duì)系統(tǒng)的詳細(xì)介紹,不僅可以對(duì)每個(gè)模塊的功能了然于心,也可以對(duì)航空公司的飛行運(yùn)作有個(gè)大致的了解。南航SOC系統(tǒng)首先建成并投入使用的是飛行計(jì)劃子系統(tǒng),意即按照飛機(jī)所飛航線(xiàn)做出實(shí)時(shí)的飛行計(jì)劃。過(guò)去國(guó)內(nèi)的航班都按照冬夏兩季制定兩套固定的飛行計(jì)劃,但是因?yàn)槊刻焯鞖馇闆r不同、飛機(jī)狀況不同、飛機(jī)的載量不同以及所飛航路高度層的變化,所以飛機(jī)的加油量也應(yīng)該有所不同,否則就會(huì)造成很大浪費(fèi),飛行計(jì)劃模塊就是通過(guò)對(duì)這些信息的優(yōu)化,根據(jù)實(shí)時(shí)的航路高空氣象數(shù)據(jù),按照最省油、最短飛行時(shí)間、最優(yōu)航路、最優(yōu)業(yè)載等標(biāo)準(zhǔn),制作飛行計(jì)劃書(shū),達(dá)到降低飛行直接成本(燃油)、提高飛機(jī)利用率的目的。飛行計(jì)劃子系統(tǒng)的投入使用也結(jié)束了國(guó)內(nèi)航空公司不能制定實(shí)時(shí)飛行計(jì)劃的歷史。現(xiàn)在,不論國(guó)內(nèi)還是國(guó)際的飛行計(jì)劃,南航公司都可以自己完成。而且,飛行計(jì)劃的啟動(dòng)也帶動(dòng)了整個(gè)航空公司基礎(chǔ)信息設(shè)施的建設(shè)。動(dòng)態(tài)控制子系統(tǒng)的功能是用進(jìn)程圖的方法顯示航班的運(yùn)行狀況,對(duì)飛機(jī)誤點(diǎn)、機(jī)組沒(méi)有按時(shí)簽到等各種可能出現(xiàn)的問(wèn)題進(jìn)行探測(cè)或及時(shí)警告。過(guò)去的航班調(diào)配主要靠人想,使用這套系統(tǒng)后,就可以在航班延誤、取消或其他各種情況發(fā)生的時(shí)候,以一種科學(xué)的方法把所調(diào)配飛機(jī)對(duì)后繼航班所造成的影響直觀(guān)地顯現(xiàn)出來(lái),通過(guò)各種調(diào)整進(jìn)行比較,最后選擇一種成本最優(yōu)的方案進(jìn)行實(shí)施。這套系統(tǒng)已在1999年5月18日投產(chǎn)。飛行跟蹤子系統(tǒng)就是向簽派員顯示所管理航班的實(shí)時(shí)飛行動(dòng)態(tài)。以往飛機(jī)離開(kāi)地面就與航空公司失去了聯(lián)系,一直到落地才知道飛機(jī)狀況。通過(guò)飛行動(dòng)態(tài)跟蹤系統(tǒng),就可以實(shí)時(shí)掌握飛行動(dòng)態(tài),如果出現(xiàn)問(wèn)題,提前做出飛行預(yù)案。配載系統(tǒng)是從民航訂座、離港、貨運(yùn)系統(tǒng)中獲取南航航班的乘客量、貨運(yùn)量等業(yè)載數(shù)據(jù),結(jié)合機(jī)載油量,按照每種機(jī)型最大允許起飛重量、著陸重量、無(wú)油重量以及重心范圍等條件,預(yù)先給貨運(yùn)部門(mén)提供最大容許載重限量,在航班值機(jī)關(guān)閉后,快速計(jì)算出符合安全要求的載重平衡點(diǎn),以最大限度降低耗油量,優(yōu)化負(fù)載率。機(jī)組管理子系統(tǒng)主要負(fù)責(zé)航線(xiàn)配對(duì)和機(jī)組排班。以往飛行員的排班都采用手工進(jìn)行,不能合理均勻的安排飛行員的飛行時(shí)間,而且人工排班也只能制定10天的旬計(jì)劃。采用這套系統(tǒng),根據(jù)航班的長(zhǎng)期計(jì)劃、根據(jù)民航有關(guān)的飛行條例以及飛行員乘務(wù)員的訓(xùn)練計(jì)劃,可以自動(dòng)生成覆蓋所有航班的航線(xiàn)組,并且可以根據(jù)機(jī)組狀況結(jié)合各種動(dòng)態(tài)、靜態(tài)因素,自動(dòng)排出執(zhí)行飛行任務(wù)的航線(xiàn)組。通俗地說(shuō),飛行員就可以實(shí)施長(zhǎng)線(xiàn)飛行排班計(jì)劃,在安全的前提下,充分利用飛行員的飛行小時(shí)限額,提前6個(gè)月做出機(jī)組排班計(jì)劃。飛行跟蹤、配載系統(tǒng)、機(jī)組管理三個(gè)子系統(tǒng)以及其他一些相應(yīng)的配合系統(tǒng)目前尚處在安裝、測(cè)試階段,預(yù)計(jì)都將在2000年初投入運(yùn)營(yíng)。


內(nèi)容來(lái)自百科網(wǎng)