1 從SOC1.0到SOC2.0

傳統(tǒng)的安全管理平臺（SOC）一般被定位為：以資產(chǎn)為核心，以安全事件管理為關(guān)鍵流程，采用安全域劃分的思想，建立一套實時的資產(chǎn)風(fēng)險模型，協(xié)助管理員進行事件分析、風(fēng)險分析、預(yù)警管理和應(yīng)急響應(yīng)處理的集中安全管理系統(tǒng)。

SOC的出現(xiàn)，提升了用戶信息安全管理的水平，從而也對信息安全管理有了更高的期望，要求從客戶業(yè)務(wù)的角度來進行安全管理的呼聲日益增長，于是出現(xiàn)了面向業(yè)務(wù)的SOC2.0。如果我們將傳統(tǒng)的SOC稱為SOC1.0，那么SOC2.0繼承和發(fā)展了傳統(tǒng)SOC1.0的集中管理思想，將安全與業(yè)務(wù)融合，真正從客戶業(yè)務(wù)價值的角度去進行一體化安全體系的建設(shè)。

SOC2.0是一個以業(yè)務(wù)為核心的、一體化的安全管理系統(tǒng)。SOC2.0從業(yè)務(wù)出發(fā)，通過業(yè)務(wù)需求分析、業(yè)務(wù)建模、面向業(yè)務(wù)的安全域和資產(chǎn)管理、業(yè)務(wù)連續(xù)性監(jiān)控、業(yè)務(wù)價值分析、業(yè)務(wù)風(fēng)險和影響性分析、業(yè)務(wù)可視化等各個環(huán)節(jié)，采用主動、被動相結(jié)合的方法采集來自企業(yè)和組織中構(gòu)成業(yè)務(wù)系統(tǒng)的各種IT資源的安全信息，從業(yè)務(wù)的角度進行歸一化、監(jiān)控、分析、審計、報警、響應(yīng)、存儲和報告。SOC2.0以業(yè)務(wù)為核心，貫穿了信息安全管理系統(tǒng)建設(shè)生命周期從調(diào)研、部署、實施到運維的各個階段。

SOC1.0與SOC2.0最本質(zhì)的區(qū)別就在于SOC1.0是以資產(chǎn)為核心，強調(diào)資產(chǎn)的安全風(fēng)險管理；而SOC2.0是以業(yè)務(wù)為核心，注重業(yè)務(wù)安全，尤其強調(diào)業(yè)務(wù)建模、業(yè)務(wù)價值分析、業(yè)務(wù)連續(xù)性監(jiān)控、業(yè)務(wù)風(fēng)險分析，如下圖所示：

                                                                               圖：SOC1.0與SOC2.0的區(qū)別
正是由于上述本質(zhì)的區(qū)別，使得SOC2.0在設(shè)計、實現(xiàn)與實施過程都與傳統(tǒng)的SOC1.0有很大的不同，并且處處體現(xiàn)著以用戶業(yè)務(wù)安全為核心的思想。

2 將安全管理平臺與業(yè)務(wù)關(guān)聯(lián)

安全與業(yè)務(wù)的融合是客戶需求發(fā)展使然，也是安全技術(shù)發(fā)展的必然。但是，安全管理平臺如何與業(yè)務(wù)融合？這就要對客戶的業(yè)務(wù)進行深入的分析。

首先，我們可以將業(yè)務(wù)分為業(yè)務(wù)的載體和業(yè)務(wù)的使用者?，F(xiàn)代的業(yè)務(wù)都實現(xiàn)了信息化、網(wǎng)絡(luò)化，業(yè)務(wù)載體一般主要都是由IT系統(tǒng)來承載，當然還包括場所等物理環(huán)境；而業(yè)務(wù)的使用者一般就是指人。其次，我們進一步對承載業(yè)務(wù)的IT系統(tǒng)進行分析，一個IT支撐系統(tǒng)一般是由一組IT資源（主機、網(wǎng)絡(luò)、存儲等）和一套業(yè)務(wù)流程構(gòu)成的。

對于IT支撐系統(tǒng)而言，IT資源的種類往往相對是穩(wěn)定的，而業(yè)務(wù)的復(fù)雜性就體現(xiàn)在業(yè)務(wù)流程上。通過業(yè)務(wù)流程的變更，會導(dǎo)致業(yè)務(wù)的變更，并進而導(dǎo)致支撐這個業(yè)務(wù)的IT資源的變更。對于SOC2.0而言，說關(guān)注客戶的業(yè)務(wù)，其實就是關(guān)注這個業(yè)務(wù)支撐系統(tǒng)，關(guān)注這些IT資源及其相互之間的關(guān)系。

SOC2.0為用戶提供了一個安全管理與業(yè)務(wù)溝通的平臺，使得從業(yè)務(wù)的角度去考慮安全問題成為了可能。在具體SOC2.0系統(tǒng)實施的時候，輔以業(yè)務(wù)建模和業(yè)務(wù)流程梳理，真正將安全管理平臺與具體業(yè)務(wù)應(yīng)用相關(guān)聯(lián)。當然，SOC2.0安全管理平臺也應(yīng)具備足夠的柔性，支持由于業(yè)務(wù)系統(tǒng)的流程變更而導(dǎo)致的安全需求變更。

下面，我們以SOC2.0的代表性產(chǎn)品——網(wǎng)神SecFox-UMS（Unified Management System）統(tǒng)一管理系統(tǒng)為例，詳細加以說明。

3 詳解SecFox-UMS面向業(yè)務(wù)的安全管理平臺

3.1 業(yè)務(wù)建模

在實施SOC2.0類產(chǎn)品的時候，實施顧問首先要做的事情不再是簡單的資產(chǎn)梳理，而是要從用戶的業(yè)務(wù)系統(tǒng)及其流程的梳理開始，核心任務(wù)就是進行業(yè)務(wù)建模。

以SecFox-UMS統(tǒng)一管理系統(tǒng)的業(yè)務(wù)建模為例，這里的業(yè)務(wù)建模是指這樣一個過程：首先，將業(yè)務(wù)系統(tǒng)映射為該業(yè)務(wù)的IT支撐系統(tǒng)，也就是一組IT資源；然后，以業(yè)務(wù)流程為線索，描述這組IT資源之間的相互關(guān)系，并建立一套表征IT支撐系統(tǒng)的運行指標和安全指標。

例如，一個OA業(yè)務(wù)可能包括了OA的中間件，承載這個中間件系統(tǒng)運行的服務(wù)器，后臺數(shù)據(jù)庫管理系統(tǒng)，包括這些服務(wù)器連接的交換機、防火墻，甚至還包括服務(wù)器所在的機房。那么，對業(yè)務(wù)的管理就可以換算成對這些IT資源的管理。如下圖所示：

                                                                                 圖：業(yè)務(wù)系統(tǒng)建模過程示例
3.2 業(yè)務(wù)資產(chǎn)管理與價值分析

在業(yè)務(wù)建模的同時，業(yè)務(wù)的資產(chǎn)也同時梳理出來了。據(jù)此，SecFox-UMS統(tǒng)一管理系統(tǒng)的實施人員可以幫助用戶以業(yè)務(wù)為核心，導(dǎo)入資產(chǎn)信息，建立業(yè)務(wù)資產(chǎn)庫。SecFox-UMS支持手工錄入、外部資產(chǎn)導(dǎo)入等方式建立資產(chǎn)庫。業(yè)務(wù)資產(chǎn)管理與傳統(tǒng)SOC的資產(chǎn)管理最大的區(qū)別就在于業(yè)務(wù)資產(chǎn)庫是以業(yè)務(wù)系統(tǒng)為核心構(gòu)建的一個樹形結(jié)構(gòu)，而傳統(tǒng)的SOC（SOC1.0）則一般是以資產(chǎn)域為線索的樹形結(jié)構(gòu)，無法反映出資產(chǎn)之間的業(yè)務(wù)從屬關(guān)系。下圖展示了某客戶的業(yè)務(wù)系統(tǒng)資產(chǎn)樹。

                                                                                  圖：以業(yè)務(wù)為核心的資產(chǎn)管理

建立以業(yè)務(wù)為核心的資產(chǎn)管理體系的優(yōu)勢就在于能夠清晰地反映出構(gòu)成某個業(yè)務(wù)系統(tǒng)的資產(chǎn)情況，便于業(yè)務(wù)安全管理責(zé)任落實，便于后續(xù)針對業(yè)務(wù)系統(tǒng)的安全監(jiān)控與審計。

在建立業(yè)務(wù)資產(chǎn)庫的時候，還有很重要的一項工作就是要標定業(yè)務(wù)系統(tǒng)的固有價值。這個工作是在實施顧問與客戶協(xié)作下完成的。一般地，業(yè)務(wù)系統(tǒng)的價值可以通過構(gòu)成該業(yè)務(wù)系統(tǒng)的資產(chǎn)價值進行換算得到。有了業(yè)務(wù)價值，就為業(yè)務(wù)運維保障人員建立了工作重心的導(dǎo)向性，對于高價值的業(yè)務(wù)系統(tǒng)將予以重點保障。

特別地，SecFox-UMS獨有資產(chǎn)屬性擴展功能，使得用戶可以針對相同的一組資產(chǎn)構(gòu)建多棵面向不同主題的資產(chǎn)樹，除了基本的業(yè)務(wù)資產(chǎn)樹，還支持按照等級保護安全域劃分的原則構(gòu)建一棵安全域資產(chǎn)樹，或者安全等級資產(chǎn)樹。

3.3 業(yè)務(wù)監(jiān)控與審計

在建立了業(yè)務(wù)資產(chǎn)庫之后，一切都將圍繞形式化表述的業(yè)務(wù)系統(tǒng)進行功能展開。以SecFox-UMS統(tǒng)一管理能夠為例，將業(yè)務(wù)系統(tǒng)映射到IT資源不是實施的最終目的，為了能夠讓客戶和運維人員能夠真正用好安全管理平臺，實施人員還需要與客戶一起建立業(yè)務(wù)的運行監(jiān)控指標和安全監(jiān)控指標體系，實現(xiàn)從IT資源到指標體系的映射。

在SOC2.0中，業(yè)務(wù)監(jiān)控與審計包括兩個方面的內(nèi)容：

1） 業(yè)務(wù)的運行監(jiān)控：即確保業(yè)務(wù)運行的可用性和連續(xù)性。這是安全的顯性化層面；

2） 業(yè)務(wù)的安全審計：即確保業(yè)務(wù)操作的安全性和合規(guī)性，通過對業(yè)務(wù)相關(guān)的安全事件關(guān)聯(lián)分析發(fā)現(xiàn)外部的入侵和內(nèi)部違規(guī)。這是安全的隱性化層面。

以下分別進行說明。

3.3.1 建立運行監(jiān)控指標

為了實現(xiàn)業(yè)務(wù)運行監(jiān)控，就需要建立業(yè)務(wù)運行監(jiān)控指標體系。實施顧問與客戶的業(yè)務(wù)領(lǐng)域?qū)＜乙黄饏f(xié)作，逐個分析每個業(yè)務(wù)，為構(gòu)成業(yè)務(wù)的的每個IT資源建立一組與這個業(yè)務(wù)緊密相關(guān)的關(guān)鍵運行指標（KPI），如下圖所示：

                                                                      圖：業(yè)務(wù)建模過程的指標分解（運行監(jiān)控）

據(jù)此，我們就可以得出某個業(yè)務(wù)系統(tǒng)的關(guān)鍵運行指標體系，使得管理員通過對這組指標的持續(xù)監(jiān)控來反映業(yè)務(wù)系統(tǒng)的運行狀況。

以網(wǎng)神SecFox-UMS統(tǒng)一管理系統(tǒng)為例，系統(tǒng)為用戶提供了業(yè)務(wù)監(jiān)控的功能。SecFox-UMS能夠?qū)?gòu)成業(yè)務(wù)的IT資源形象地用業(yè)務(wù)拓撲可視化的展示出來，并且反映這些監(jiān)控對象之間的依賴關(guān)系。

同時，借助可視化的業(yè)務(wù)拓撲圖，管理員可以直接在圖上看到各個監(jiān)控對象出現(xiàn)告警的關(guān)鍵業(yè)務(wù)指標（KPI），點擊每個指標，就能夠進入該指標的明細界面，以圖表或者告警列表的方式展示給管理員，方便進行深入的故障追蹤和定位。

                                                                          圖：SecFox-UMS的業(yè)務(wù)運行監(jiān)控視圖

管理員可以對業(yè)務(wù)的每個KPI賦以一定的權(quán)重，借助SecFox獨有的業(yè)務(wù)健康計算模型，計算出這個業(yè)務(wù)的健康等級。這個健康等級所代表的數(shù)值就是SecFox業(yè)務(wù)健康指數(shù)。隨著時間的推移，這個指數(shù)不斷地進行計算，就能夠描繪出一條表征這個業(yè)務(wù)運行的健康指數(shù)曲線。

3.3.2 建立安全監(jiān)控場景

為了實現(xiàn)對業(yè)務(wù)的安全審計，同理可以建立業(yè)務(wù)的安全指標體系。實施顧問（安全專家）與客戶業(yè)務(wù)領(lǐng)域?qū)＜乙黄?，制定出每個業(yè)務(wù)的關(guān)鍵安全指標，如下圖所示：

                                                                      圖：業(yè)務(wù)建模過程的指標分解（安全審計）

據(jù)此，我們可以建立這個業(yè)務(wù)系統(tǒng)的安全指標體系，使得管理員通過對這組指標所表示的事件行為審計來反映業(yè)務(wù)系統(tǒng)的安全狀況。

以網(wǎng)神SecFox-UMS統(tǒng)一管理系統(tǒng)為例，系統(tǒng)允許審計人員根據(jù)安全指標建立一組針對該業(yè)務(wù)系統(tǒng)的實時監(jiān)控場景，通過對相關(guān)事件的分析，實時反映業(yè)務(wù)系統(tǒng)的安全狀況。下圖是某客戶實時監(jiān)控的示例。

                                                                                    圖：實時監(jiān)控（審計）場景
通過這種方式，將傳統(tǒng)SOC1.0的海量事件查詢，變成了現(xiàn)在針對業(yè)務(wù)系統(tǒng)安全審計的事件自動過濾。如果說SOC1.0實現(xiàn)了各種安全事件的集中采集和歸一化，那么SOC2.0就將這些事件有機地與客戶業(yè)務(wù)系統(tǒng)關(guān)聯(lián)起來，從業(yè)務(wù)的角度去審計安全事件。

3.4 業(yè)務(wù)風(fēng)險管理

安全管理平臺（SOC）很重要的一項工作就是風(fēng)險管理，包括弱點管理、威脅管理和定量的風(fēng)險分析。

傳統(tǒng)的SOC1.0實現(xiàn)了以資產(chǎn)為核心的風(fēng)險管理：以資產(chǎn)為紐帶，將資產(chǎn)的價值、資產(chǎn)弱點的嚴重性和資產(chǎn)面臨威脅的可能性進行關(guān)聯(lián)，通過量化的公式計算出資產(chǎn)風(fēng)險。然后，在將單個資產(chǎn)的風(fēng)險聚合為資產(chǎn)域（或者資產(chǎn)組）的風(fēng)險。

這種風(fēng)險管理的模式最大的問題就在于最終呈現(xiàn)給客戶是孤立的資產(chǎn)風(fēng)險，客戶無法從這些風(fēng)險值中判斷其業(yè)務(wù)系統(tǒng)的風(fēng)險狀態(tài)，也就難以觸發(fā)合理有效的預(yù)警和應(yīng)急響應(yīng)過程。

SOC2.0首先在風(fēng)險管理的目標對象進行了提升，將風(fēng)險管理的對象放到了客戶的業(yè)務(wù)系統(tǒng)之上。通過資產(chǎn)的風(fēng)險計算，以及與業(yè)務(wù)資產(chǎn)庫的關(guān)聯(lián)，換算出業(yè)務(wù)系統(tǒng)的風(fēng)險值。同時，業(yè)務(wù)系統(tǒng)的風(fēng)險隨時間動態(tài)變化的，SOC2.0還需要反映出業(yè)務(wù)系統(tǒng)的動態(tài)風(fēng)險曲線。

下圖分別展示了某客戶的業(yè)務(wù)系統(tǒng)弱點和威脅視圖。

                                                                                圖：基于業(yè)務(wù)的弱點管理視圖

                                                                                 圖：基于業(yè)務(wù)的威脅管理視圖

3.5 其他

此外，以業(yè)務(wù)安全為核心的SOC2.0在安全態(tài)勢感知、信息可視化、全方位事件采集、高性能海量事件處理、實時關(guān)聯(lián)分析等技術(shù)領(lǐng)域都有新的要求和突破。

4 結(jié)論

通過對網(wǎng)神SecFox-UMS統(tǒng)一管理系統(tǒng)的詳細闡述，可以展示出SOC2.0類產(chǎn)品的核心特征——以業(yè)務(wù)為核心的一體化安全管理。

需要指出的是，SOC2.0并不是對SOC1.0的推翻，而是對SOC1.0的繼承和發(fā)展。在SOC2.0中也有資產(chǎn)、有資產(chǎn)管理，只是SOC2.0的視角沒有一味地放到資產(chǎn)上，而是放到了資產(chǎn)所承載的業(yè)務(wù)系統(tǒng)之上，將安全管理平臺（SOC）提升到了一個新的高度，并且真正能夠與客戶形成共同語言。

在IT與業(yè)務(wù)融合的大背景下，SOC2.0體現(xiàn)了安全與業(yè)務(wù)的融合。在充分繼承和發(fā)展SOC1.0的基礎(chǔ)上，SOC2.0真正將原來的“安全防御孤島”和“安全信息孤島”連成一片，形成一個企業(yè)和組織整體的、以業(yè)務(wù)為核心的IT一體化集中管理平臺，實現(xiàn)對業(yè)務(wù)連續(xù)性的監(jiān)控、業(yè)務(wù)安全性的審計和業(yè)務(wù)風(fēng)險的度量。

我國信息安全管理正經(jīng)歷一個從分散到集中，從以資產(chǎn)為核心到以業(yè)務(wù)為核心的發(fā)展軌跡，而SOC2.0時代的到來意味著中國信息安全管理水平上升到了一個新的高度。隨著中國安全建設(shè)水平的不斷提升，安全管理的業(yè)務(wù)導(dǎo)向程度會越來越明顯。