【51CTO.com 綜合消息】由于傳統(tǒng)的網(wǎng)絡(luò)運(yùn)行中心（NOC）僅僅強(qiáng)調(diào)對(duì)客戶網(wǎng)絡(luò)進(jìn)行集中化、全方位的監(jiān)控，缺少在安全運(yùn)行管理方面技術(shù)的支持，不能滿足中國各行業(yè)用戶的實(shí)際應(yīng)用需求。

在此背景下，以資產(chǎn)為核心的SOC產(chǎn)品開始登上歷史的舞臺(tái)。然而，由于業(yè)務(wù)內(nèi)容的不斷深化和行業(yè)需求的進(jìn)一步清晰，傳統(tǒng)SOC理念和技術(shù)的局限性也逐漸凸現(xiàn)出來。事實(shí)上，對(duì)于用戶而言，真正的資產(chǎn)安全不是簡(jiǎn)單的設(shè)備安全，而是要保障業(yè)務(wù)和服務(wù)的可用性、連續(xù)性以及重要信息系統(tǒng)的安全性，換言之，保障業(yè)務(wù)安全成為企業(yè)和組織的生命線。

針對(duì)目前SOC產(chǎn)品的市場(chǎng)現(xiàn)狀，作為國內(nèi)信息安全管理市場(chǎng)排名第一的企業(yè)，網(wǎng)御神州通過自主研發(fā)，率先發(fā)布了行業(yè)領(lǐng)先的SOC2.0全新概念，并同時(shí)推出了一款以業(yè)務(wù)為核心的SOC2.0代表性產(chǎn)品——網(wǎng)神SecFox-UMS統(tǒng)一管理系統(tǒng)。

網(wǎng)神SecFox-UMS統(tǒng)一安全管理系統(tǒng)有效繼承了傳統(tǒng)的安全管理理論，據(jù)了解，該系統(tǒng)包括IATF縱深防御理論、國家等級(jí)化保護(hù)體系思想、安全風(fēng)險(xiǎn)管理理論等，同時(shí)也充分吸收了ISO20000基于PDCA和業(yè)務(wù)服務(wù)管理思想，以及ITIL運(yùn)維管理理論，真正以業(yè)務(wù)資產(chǎn)為核心，以業(yè)務(wù)安全為目標(biāo)，為用戶提供了一套一體化的安全保障技術(shù)支撐平臺(tái)。

相對(duì)于傳統(tǒng)的SOC產(chǎn)品，網(wǎng)神SecFox-UMS統(tǒng)一安全管理系統(tǒng)與傳統(tǒng)SOC最大特色就在于該系統(tǒng)以業(yè)務(wù)為核心，包括了業(yè)務(wù)連續(xù)性監(jiān)控功能、業(yè)務(wù)展示功能，以及面向業(yè)務(wù)的風(fēng)險(xiǎn)分析功能。同時(shí)，該產(chǎn)品在事件采集和關(guān)聯(lián)分析性能、關(guān)聯(lián)分析引擎及其算法、安全態(tài)勢(shì)感知和信息可視化等多個(gè)技術(shù)領(lǐng)域都取得了重大突破，并被申請(qǐng)了多項(xiàng)發(fā)明專利，成為SOC2.0的典型產(chǎn)品代表。

通過對(duì)網(wǎng)神SecFox-UMS統(tǒng)一安全管理系統(tǒng)的詳細(xì)了解，在產(chǎn)品展現(xiàn)層面，該款網(wǎng)神的SOC2.0代表作主要有以下五種功能特色與傳統(tǒng)的SOC產(chǎn)品相異：

一、全方位的安全監(jiān)控。

系統(tǒng)提供了全面的監(jiān)控信息，不但包括傳統(tǒng)安全管理系統(tǒng)被動(dòng)采集的安全事件，而且提供主動(dòng)探測(cè)的監(jiān)控功能，定時(shí)輪詢IT資源及其業(yè)務(wù)系統(tǒng)，獲取相關(guān)的性能信息和安全信息，例如CPU利用率，內(nèi)存利用率等性能數(shù)據(jù)，非法進(jìn)程和非法開啟服務(wù)端口等安全信息。

系統(tǒng)通過主動(dòng)輪詢檢測(cè)，采集日志，網(wǎng)絡(luò)旁路嗅探等多種管理和檢測(cè)方式，避免了數(shù)據(jù)來源單一，提供了系統(tǒng)整體安全和性能狀態(tài)。因?yàn)橐粋€(gè)系統(tǒng)的安全信息不是孤立的，單單檢測(cè)網(wǎng)絡(luò)攻擊，非法入侵等安全行為是遠(yuǎn)遠(yuǎn)不夠的，實(shí)際上在現(xiàn)實(shí)中很多安全問題造成的結(jié)果是系統(tǒng)性能下降和網(wǎng)絡(luò)阻塞，而這些安全問題本身是難于發(fā)現(xiàn)和規(guī)避的。例如ARP攻擊、后門或者蠕蟲病毒等，都是直接造成了系統(tǒng)和網(wǎng)絡(luò)的故障或者嚴(yán)重下降后才能發(fā)現(xiàn)。因此，對(duì)于網(wǎng)絡(luò)和系統(tǒng)的性能和故障檢測(cè)也是安全管理必不可少的重要一環(huán)。系統(tǒng)提供了根據(jù)性能和故障信息的設(shè)備聯(lián)動(dòng)功能，可以根據(jù)性能和故障的直觀狀態(tài)表現(xiàn)來采取安全措施，而不是依賴探測(cè)到安全事態(tài)再進(jìn)行設(shè)備聯(lián)動(dòng)，這樣可以極大地減少以往安全系統(tǒng)面臨的漏報(bào)和誤報(bào)問題。

所有監(jiān)控的內(nèi)容都以Protal的形式直觀的展示在系統(tǒng)大屏幕上，所有顯示內(nèi)容都可以自由定義、組合、切換。 

圖1  統(tǒng)一管理門戶

二、全生命周期的安全管理

系統(tǒng)不但提供了全面的管理和檢測(cè)方式，還貫穿了安全管理的整個(gè)生命周期。系統(tǒng)遵照PDCA的模式，包含事前檢測(cè)和評(píng)估、事中監(jiān)控和分析，以及事后審計(jì)和追蹤。事前監(jiān)測(cè)和評(píng)估包含業(yè)務(wù)系統(tǒng)建模、業(yè)務(wù)指標(biāo)體系建立、安全需求構(gòu)建和映射，同時(shí)也包括系統(tǒng)漏洞和弱點(diǎn)探測(cè)，幫助提前預(yù)警和采取防護(hù)措施；事中監(jiān)控和分析包括實(shí)時(shí)采集和監(jiān)控系統(tǒng)性能、故障和網(wǎng)絡(luò)行為，進(jìn)行實(shí)時(shí)預(yù)警、事故管理，或者進(jìn)行設(shè)備聯(lián)動(dòng)；事后審計(jì)和追蹤包括歷史事件查詢、調(diào)查取證、用戶操作回放，協(xié)助發(fā)現(xiàn)非法行為、進(jìn)行責(zé)任認(rèn)定，或者通過業(yè)務(wù)運(yùn)行快照回放進(jìn)行事后的故障定位、問題管理，總之，通過事后分析進(jìn)行業(yè)務(wù)改善。

三、業(yè)務(wù)細(xì)粒度可視化展示

系統(tǒng)提供可視化的業(yè)務(wù)拓?fù)洌ㄟ^圖形表示業(yè)務(wù)的構(gòu)成，可以自由創(chuàng)建業(yè)務(wù)拓?fù)?，把?gòu)成業(yè)務(wù)的元素通過圖形展示出來，不是簡(jiǎn)單的按照設(shè)備構(gòu)成，而是包含主機(jī)，網(wǎng)絡(luò)設(shè)備，數(shù)據(jù)庫，中間件等應(yīng)用服務(wù)，以及各個(gè)管理對(duì)象的連接關(guān)系，還可以在圖形中細(xì)粒度動(dòng)態(tài)展示管理對(duì)象的關(guān)鍵指標(biāo)的數(shù)據(jù)和狀態(tài)。例如可以在拓?fù)鋱D中直接展示業(yè)務(wù)主機(jī)的CPU利用率，內(nèi)存利用率，磁盤利用率，業(yè)務(wù)所在網(wǎng)絡(luò)設(shè)備的端口狀態(tài)和端口流量，數(shù)據(jù)庫的吞吐量以及連接數(shù)等，全面詳盡地反映業(yè)務(wù)的實(shí)際狀態(tài)，讓用戶一目了然的對(duì)業(yè)務(wù)有全面的把握，清楚地了解業(yè)務(wù)的構(gòu)成和運(yùn)行狀態(tài)，直接從業(yè)務(wù)拓?fù)湟晥D就可以看到影響業(yè)務(wù)的關(guān)鍵指標(biāo)，而不需要選擇單獨(dú)的管理對(duì)象進(jìn)行詳細(xì)查看。

系統(tǒng)提供了靈活地展示方式，可以根據(jù)用戶的需求自行定義需要展示的詳細(xì)參數(shù)和指標(biāo)。例如對(duì)于一些管理對(duì)象可以配置為顯示CPU利用率和內(nèi)存利用率，而對(duì)于更重要的管理對(duì)象，還可以配置顯示關(guān)鍵網(wǎng)絡(luò)端口狀態(tài)和端口流量。 

圖2  業(yè)務(wù)管理視圖

四、業(yè)務(wù)健康指數(shù)

系統(tǒng)創(chuàng)新地提出了業(yè)務(wù)健康指數(shù)的概念。業(yè)務(wù)健康指數(shù)采用定量的模式數(shù)據(jù)來衡量用戶業(yè)務(wù)的健康風(fēng)險(xiǎn)和工作狀態(tài)，便于評(píng)估和判斷。

業(yè)務(wù)健康指數(shù)相當(dāng)于證券市場(chǎng)的股票指數(shù)。股票指數(shù)即股票價(jià)格指數(shù)，是由證券交易所或金融服務(wù)機(jī)構(gòu)編制的表明股票市場(chǎng)實(shí)際狀態(tài)的一種供參考的指示數(shù)字，作為市場(chǎng)價(jià)格變動(dòng)的指標(biāo)，投資者據(jù)此可以檢驗(yàn)自己投資的效果，并用以預(yù)測(cè)股票市場(chǎng)的動(dòng)向。股票指數(shù)是選取有代表性的一組股票，把他們的價(jià)格進(jìn)行加權(quán)平均，通過一定的計(jì)算得到。系統(tǒng)借鑒股票指數(shù)，提出了業(yè)務(wù)健康指數(shù)，將業(yè)務(wù)中監(jiān)控對(duì)象的關(guān)鍵指標(biāo)的健康狀態(tài)進(jìn)行加權(quán)平均，得到業(yè)務(wù)總體的健康指數(shù)，力求定量地反映業(yè)務(wù)的健康狀態(tài)。

目前其他管理系統(tǒng)對(duì)于業(yè)務(wù)的綜合評(píng)估判斷采用事件關(guān)聯(lián)的方式，即通過設(shè)置一系列的規(guī)則，將業(yè)務(wù)中各個(gè)監(jiān)控對(duì)象的告警關(guān)聯(lián)起來，通過規(guī)則判斷來反映業(yè)務(wù)的狀態(tài)，但是在實(shí)際應(yīng)用中存在很多問題，即有些經(jīng)驗(yàn)和判斷很難實(shí)際轉(zhuǎn)化為規(guī)則，而且規(guī)則可能很多，難于全面反映各個(gè)指標(biāo)之間的聯(lián)系。而實(shí)際環(huán)境中，很多判斷更多的是一個(gè)模糊的概念，需要根據(jù)環(huán)境和實(shí)際的變化進(jìn)行調(diào)整，沒有一個(gè)準(zhǔn)確的規(guī)則，事件關(guān)聯(lián)缺乏實(shí)際運(yùn)用能力和可操作性。因此，我們認(rèn)為采用加權(quán)平均的指數(shù)更容易反映業(yè)務(wù)的實(shí)際健康狀態(tài)，處理起來簡(jiǎn)單明了，更加具有實(shí)用價(jià)值，管理員可以根據(jù)經(jīng)驗(yàn)和實(shí)際運(yùn)行調(diào)節(jié)各個(gè)指標(biāo)的權(quán)重，具備實(shí)際的運(yùn)用能力和可操作性。

業(yè)務(wù)健康指數(shù)的關(guān)鍵是提供了一個(gè)可量化的評(píng)估標(biāo)準(zhǔn)，任何完全不同的業(yè)務(wù)都可以采用同樣的標(biāo)準(zhǔn)來評(píng)估，就像股票指數(shù)，無論是石化行業(yè)，還是與之毫不相干的其他行業(yè)，都可以采用同樣標(biāo)準(zhǔn)來判斷。因此，對(duì)于用戶來說，對(duì)于不同的業(yè)務(wù)，只要我們建立其各自的關(guān)鍵指標(biāo)體系和權(quán)重，都可以采用健康指數(shù)這樣一個(gè)標(biāo)準(zhǔn)來判斷和評(píng)估，反映用戶業(yè)務(wù)的實(shí)際健康和風(fēng)險(xiǎn)狀態(tài)。例如，在本系統(tǒng)中將會(huì)顯示每個(gè)業(yè)務(wù)最近5分鐘的健康指數(shù)儀表圖和健康指數(shù)歷史曲線圖、最近5分鐘的健康指數(shù)儀表圖可以幫助用戶實(shí)時(shí)判斷當(dāng)前的業(yè)務(wù)健康狀態(tài)、健康指數(shù)歷史曲線圖可以幫助用戶分析業(yè)務(wù)歷史運(yùn)行的趨勢(shì)，作為評(píng)估和決策的依據(jù)。 

圖3  業(yè)務(wù)健康曲線圖

五、態(tài)勢(shì)感知和信息可視化

對(duì)于用戶而言，系統(tǒng)最直觀的感受就是信息安全態(tài)勢(shì)感知。借助系統(tǒng)大量的信息可視化技術(shù)，用戶能夠直觀地看到當(dāng)前整個(gè)網(wǎng)絡(luò)或者某個(gè)業(yè)務(wù)系統(tǒng)的整體安全態(tài)勢(shì)，包括總體運(yùn)行狀況、安全風(fēng)險(xiǎn)狀態(tài)和趨勢(shì)、威脅和告警情況，等等。所有這些信息的展示都是實(shí)時(shí)、動(dòng)態(tài)變化的，并且是用戶可自定義的。借助系統(tǒng)的智能監(jiān)控頻道功能，用戶可以定義自己的管理視圖，將自己關(guān)注的安全指標(biāo)納入視圖之中。

系統(tǒng)具備豐富的信息可視化功能。除了基本的網(wǎng)絡(luò)拓?fù)鋱D、機(jī)房機(jī)架視圖、設(shè)備面板圖和IP分布圖之外，系統(tǒng)還具備豐富的事件可視化圖形方式。事件可視化（Event Visualization）是指系統(tǒng)以圖形化的方式將歸一化和關(guān)聯(lián)分析后的事件（日志）及其事件（日志）之間的關(guān)系形象展示出來的過程。事件可視化不是簡(jiǎn)單的柱圖、餅圖、曲線圖等統(tǒng)計(jì)趨勢(shì)圖表的展示，它必須反映出大量事件之間的相互作用關(guān)系。事件可視化能夠?qū)踩芾砗瓦\(yùn)維人員從繁重的事件查看工作中解脫出來，及時(shí)直觀地進(jìn)行事件調(diào)查，發(fā)現(xiàn)安全威脅。系統(tǒng)具備強(qiáng)大的事件可視化能力，變用戶日常安全管理的認(rèn)知為感知。系統(tǒng)的安全事件可視化包括：

1.事件全球定位圖：在世界地圖上實(shí)時(shí)定位源/目的IP地址的地理位置。系統(tǒng)內(nèi)置世界地圖，也支持通過Google Earth進(jìn)行定位。 

圖4 安全事件定位圖

2.主動(dòng)事件圖：通過將數(shù)千條事件記錄及其這些事件之間的關(guān)聯(lián)關(guān)系變成一幅事件圖，形象地展現(xiàn)出當(dāng)前網(wǎng)絡(luò)安全狀態(tài)，一目了然。 

圖5  安全事件分析圖

3.事件行為分析圖：將一段時(shí)間內(nèi)的事件按照不同的屬性進(jìn)行排列和連接，形象地展示在坐標(biāo)軸上，讓管理員一目了然的看到事件所代表的用戶（IP）行為。

4.動(dòng)態(tài)雷達(dá)圖：實(shí)時(shí)的將當(dāng)前系統(tǒng)接收到的事件按照嚴(yán)重性和數(shù)量動(dòng)態(tài)以時(shí)間切片的方式展現(xiàn)在雷達(dá)窗口中，讓管理員及時(shí)了解當(dāng)前階段的安全態(tài)勢(shì)。