【51CTO.com 綜合消息】由于傳統(tǒng)的網(wǎng)絡運行中心（NOC）僅僅強調對客戶網(wǎng)絡進行集中化、全方位的監(jiān)控，缺少在安全運行管理方面技術的支持，不能滿足中國各行業(yè)用戶的實際應用需求。

在此背景下，以資產為核心的SOC產品開始登上歷史的舞臺。然而，由于業(yè)務內容的不斷深化和行業(yè)需求的進一步清晰，傳統(tǒng)SOC理念和技術的局限性也逐漸凸現(xiàn)出來。事實上，對于用戶而言，真正的資產安全不是簡單的設備安全，而是要保障業(yè)務和服務的可用性、連續(xù)性以及重要信息系統(tǒng)的安全性，換言之，保障業(yè)務安全成為企業(yè)和組織的生命線。

針對目前SOC產品的市場現(xiàn)狀，作為國內信息安全管理市場排名第一的企業(yè)，網(wǎng)御神州通過自主研發(fā)，率先發(fā)布了行業(yè)領先的SOC2.0全新概念，并同時推出了一款以業(yè)務為核心的SOC2.0代表性產品——網(wǎng)神SecFox-UMS統(tǒng)一管理系統(tǒng)。

網(wǎng)神SecFox-UMS統(tǒng)一安全管理系統(tǒng)有效繼承了傳統(tǒng)的安全管理理論，據(jù)了解，該系統(tǒng)包括IATF縱深防御理論、國家等級化保護體系思想、安全風險管理理論等，同時也充分吸收了ISO20000基于PDCA和業(yè)務服務管理思想，以及ITIL運維管理理論，真正以業(yè)務資產為核心，以業(yè)務安全為目標，為用戶提供了一套一體化的安全保障技術支撐平臺。

相對于傳統(tǒng)的SOC產品，網(wǎng)神SecFox-UMS統(tǒng)一安全管理系統(tǒng)與傳統(tǒng)SOC最大特色就在于該系統(tǒng)以業(yè)務為核心，包括了業(yè)務連續(xù)性監(jiān)控功能、業(yè)務展示功能，以及面向業(yè)務的風險分析功能。同時，該產品在事件采集和關聯(lián)分析性能、關聯(lián)分析引擎及其算法、安全態(tài)勢感知和信息可視化等多個技術領域都取得了重大突破，并被申請了多項發(fā)明專利，成為SOC2.0的典型產品代表。

通過對網(wǎng)神SecFox-UMS統(tǒng)一安全管理系統(tǒng)的詳細了解，在產品展現(xiàn)層面，該款網(wǎng)神的SOC2.0代表作主要有以下五種功能特色與傳統(tǒng)的SOC產品相異：

一、全方位的安全監(jiān)控。

系統(tǒng)提供了全面的監(jiān)控信息，不但包括傳統(tǒng)安全管理系統(tǒng)被動采集的安全事件，而且提供主動探測的監(jiān)控功能，定時輪詢IT資源及其業(yè)務系統(tǒng)，獲取相關的性能信息和安全信息，例如CPU利用率，內存利用率等性能數(shù)據(jù)，非法進程和非法開啟服務端口等安全信息。

系統(tǒng)通過主動輪詢檢測，采集日志，網(wǎng)絡旁路嗅探等多種管理和檢測方式，避免了數(shù)據(jù)來源單一，提供了系統(tǒng)整體安全和性能狀態(tài)。因為一個系統(tǒng)的安全信息不是孤立的，單單檢測網(wǎng)絡攻擊，非法入侵等安全行為是遠遠不夠的，實際上在現(xiàn)實中很多安全問題造成的結果是系統(tǒng)性能下降和網(wǎng)絡阻塞，而這些安全問題本身是難于發(fā)現(xiàn)和規(guī)避的。例如ARP攻擊、后門或者蠕蟲病毒等，都是直接造成了系統(tǒng)和網(wǎng)絡的故障或者嚴重下降后才能發(fā)現(xiàn)。因此，對于網(wǎng)絡和系統(tǒng)的性能和故障檢測也是安全管理必不可少的重要一環(huán)。系統(tǒng)提供了根據(jù)性能和故障信息的設備聯(lián)動功能，可以根據(jù)性能和故障的直觀狀態(tài)表現(xiàn)來采取安全措施，而不是依賴探測到安全事態(tài)再進行設備聯(lián)動，這樣可以極大地減少以往安全系統(tǒng)面臨的漏報和誤報問題。

所有監(jiān)控的內容都以Protal的形式直觀的展示在系統(tǒng)大屏幕上，所有顯示內容都可以自由定義、組合、切換。 

圖1  統(tǒng)一管理門戶

二、全生命周期的安全管理

系統(tǒng)不但提供了全面的管理和檢測方式，還貫穿了安全管理的整個生命周期。系統(tǒng)遵照PDCA的模式，包含事前檢測和評估、事中監(jiān)控和分析，以及事后審計和追蹤。事前監(jiān)測和評估包含業(yè)務系統(tǒng)建模、業(yè)務指標體系建立、安全需求構建和映射，同時也包括系統(tǒng)漏洞和弱點探測，幫助提前預警和采取防護措施；事中監(jiān)控和分析包括實時采集和監(jiān)控系統(tǒng)性能、故障和網(wǎng)絡行為，進行實時預警、事故管理，或者進行設備聯(lián)動；事后審計和追蹤包括歷史事件查詢、調查取證、用戶操作回放，協(xié)助發(fā)現(xiàn)非法行為、進行責任認定，或者通過業(yè)務運行快照回放進行事后的故障定位、問題管理，總之，通過事后分析進行業(yè)務改善。

三、業(yè)務細粒度可視化展示

系統(tǒng)提供可視化的業(yè)務拓撲，通過圖形表示業(yè)務的構成，可以自由創(chuàng)建業(yè)務拓撲，把構成業(yè)務的元素通過圖形展示出來，不是簡單的按照設備構成，而是包含主機，網(wǎng)絡設備，數(shù)據(jù)庫，中間件等應用服務，以及各個管理對象的連接關系，還可以在圖形中細粒度動態(tài)展示管理對象的關鍵指標的數(shù)據(jù)和狀態(tài)。例如可以在拓撲圖中直接展示業(yè)務主機的CPU利用率，內存利用率，磁盤利用率，業(yè)務所在網(wǎng)絡設備的端口狀態(tài)和端口流量，數(shù)據(jù)庫的吞吐量以及連接數(shù)等，全面詳盡地反映業(yè)務的實際狀態(tài)，讓用戶一目了然的對業(yè)務有全面的把握，清楚地了解業(yè)務的構成和運行狀態(tài)，直接從業(yè)務拓撲視圖就可以看到影響業(yè)務的關鍵指標，而不需要選擇單獨的管理對象進行詳細查看。

系統(tǒng)提供了靈活地展示方式，可以根據(jù)用戶的需求自行定義需要展示的詳細參數(shù)和指標。例如對于一些管理對象可以配置為顯示CPU利用率和內存利用率，而對于更重要的管理對象，還可以配置顯示關鍵網(wǎng)絡端口狀態(tài)和端口流量。 

圖2  業(yè)務管理視圖

四、業(yè)務健康指數(shù)

系統(tǒng)創(chuàng)新地提出了業(yè)務健康指數(shù)的概念。業(yè)務健康指數(shù)采用定量的模式數(shù)據(jù)來衡量用戶業(yè)務的健康風險和工作狀態(tài)，便于評估和判斷。

業(yè)務健康指數(shù)相當于證券市場的股票指數(shù)。股票指數(shù)即股票價格指數(shù)，是由證券交易所或金融服務機構編制的表明股票市場實際狀態(tài)的一種供參考的指示數(shù)字，作為市場價格變動的指標，投資者據(jù)此可以檢驗自己投資的效果，并用以預測股票市場的動向。股票指數(shù)是選取有代表性的一組股票，把他們的價格進行加權平均，通過一定的計算得到。系統(tǒng)借鑒股票指數(shù)，提出了業(yè)務健康指數(shù)，將業(yè)務中監(jiān)控對象的關鍵指標的健康狀態(tài)進行加權平均，得到業(yè)務總體的健康指數(shù)，力求定量地反映業(yè)務的健康狀態(tài)。

目前其他管理系統(tǒng)對于業(yè)務的綜合評估判斷采用事件關聯(lián)的方式，即通過設置一系列的規(guī)則，將業(yè)務中各個監(jiān)控對象的告警關聯(lián)起來，通過規(guī)則判斷來反映業(yè)務的狀態(tài)，但是在實際應用中存在很多問題，即有些經驗和判斷很難實際轉化為規(guī)則，而且規(guī)則可能很多，難于全面反映各個指標之間的聯(lián)系。而實際環(huán)境中，很多判斷更多的是一個模糊的概念，需要根據(jù)環(huán)境和實際的變化進行調整，沒有一個準確的規(guī)則，事件關聯(lián)缺乏實際運用能力和可操作性。因此，我們認為采用加權平均的指數(shù)更容易反映業(yè)務的實際健康狀態(tài)，處理起來簡單明了，更加具有實用價值，管理員可以根據(jù)經驗和實際運行調節(jié)各個指標的權重，具備實際的運用能力和可操作性。

業(yè)務健康指數(shù)的關鍵是提供了一個可量化的評估標準，任何完全不同的業(yè)務都可以采用同樣的標準來評估，就像股票指數(shù)，無論是石化行業(yè)，還是與之毫不相干的其他行業(yè)，都可以采用同樣標準來判斷。因此，對于用戶來說，對于不同的業(yè)務，只要我們建立其各自的關鍵指標體系和權重，都可以采用健康指數(shù)這樣一個標準來判斷和評估，反映用戶業(yè)務的實際健康和風險狀態(tài)。例如，在本系統(tǒng)中將會顯示每個業(yè)務最近5分鐘的健康指數(shù)儀表圖和健康指數(shù)歷史曲線圖、最近5分鐘的健康指數(shù)儀表圖可以幫助用戶實時判斷當前的業(yè)務健康狀態(tài)、健康指數(shù)歷史曲線圖可以幫助用戶分析業(yè)務歷史運行的趨勢，作為評估和決策的依據(jù)。 

圖3  業(yè)務健康曲線圖

五、態(tài)勢感知和信息可視化

對于用戶而言，系統(tǒng)最直觀的感受就是信息安全態(tài)勢感知。借助系統(tǒng)大量的信息可視化技術，用戶能夠直觀地看到當前整個網(wǎng)絡或者某個業(yè)務系統(tǒng)的整體安全態(tài)勢，包括總體運行狀況、安全風險狀態(tài)和趨勢、威脅和告警情況，等等。所有這些信息的展示都是實時、動態(tài)變化的，并且是用戶可自定義的。借助系統(tǒng)的智能監(jiān)控頻道功能，用戶可以定義自己的管理視圖，將自己關注的安全指標納入視圖之中。

系統(tǒng)具備豐富的信息可視化功能。除了基本的網(wǎng)絡拓撲圖、機房機架視圖、設備面板圖和IP分布圖之外，系統(tǒng)還具備豐富的事件可視化圖形方式。事件可視化（Event Visualization）是指系統(tǒng)以圖形化的方式將歸一化和關聯(lián)分析后的事件（日志）及其事件（日志）之間的關系形象展示出來的過程。事件可視化不是簡單的柱圖、餅圖、曲線圖等統(tǒng)計趨勢圖表的展示，它必須反映出大量事件之間的相互作用關系。事件可視化能夠將安全管理和運維人員從繁重的事件查看工作中解脫出來，及時直觀地進行事件調查，發(fā)現(xiàn)安全威脅。系統(tǒng)具備強大的事件可視化能力，變用戶日常安全管理的認知為感知。系統(tǒng)的安全事件可視化包括：

1.事件全球定位圖：在世界地圖上實時定位源/目的IP地址的地理位置。系統(tǒng)內置世界地圖，也支持通過Google Earth進行定位。 

圖4 安全事件定位圖

2.主動事件圖：通過將數(shù)千條事件記錄及其這些事件之間的關聯(lián)關系變成一幅事件圖，形象地展現(xiàn)出當前網(wǎng)絡安全狀態(tài)，一目了然。 

圖5  安全事件分析圖

3.事件行為分析圖：將一段時間內的事件按照不同的屬性進行排列和連接，形象地展示在坐標軸上，讓管理員一目了然的看到事件所代表的用戶（IP）行為。

4.動態(tài)雷達圖：實時的將當前系統(tǒng)接收到的事件按照嚴重性和數(shù)量動態(tài)以時間切片的方式展現(xiàn)在雷達窗口中，讓管理員及時了解當前階段的安全態(tài)勢。