1 從SOC1.0到SOC2.0

傳統(tǒng)的安全管理平臺（SOC）一般被定位為：以資產為核心，以安全事件管理為關鍵流程，采用安全域劃分的思想，建立一套實時的資產風險模型，協(xié)助管理員進行事件分析、風險分析、預警管理和應急響應處理的集中安全管理系統(tǒng)。

SOC的出現(xiàn)，提升了用戶信息安全管理的水平，從而也對信息安全管理有了更高的期望，要求從客戶業(yè)務的角度來進行安全管理的呼聲日益增長，于是出現(xiàn)了面向業(yè)務的SOC2.0。如果我們將傳統(tǒng)的SOC稱為SOC1.0，那么SOC2.0繼承和發(fā)展了傳統(tǒng)SOC1.0的集中管理思想，將安全與業(yè)務融合，真正從客戶業(yè)務價值的角度去進行一體化安全體系的建設。

SOC2.0是一個以業(yè)務為核心的、一體化的安全管理系統(tǒng)。SOC2.0從業(yè)務出發(fā)，通過業(yè)務需求分析、業(yè)務建模、面向業(yè)務的安全域和資產管理、業(yè)務連續(xù)性監(jiān)控、業(yè)務價值分析、業(yè)務風險和影響性分析、業(yè)務可視化等各個環(huán)節(jié)，采用主動、被動相結合的方法采集來自企業(yè)和組織中構成業(yè)務系統(tǒng)的各種IT資源的安全信息，從業(yè)務的角度進行歸一化、監(jiān)控、分析、審計、報警、響應、存儲和報告。SOC2.0以業(yè)務為核心，貫穿了信息安全管理系統(tǒng)建設生命周期從調研、部署、實施到運維的各個階段。

SOC1.0與SOC2.0最本質的區(qū)別就在于SOC1.0是以資產為核心，強調資產的安全風險管理；而SOC2.0是以業(yè)務為核心，注重業(yè)務安全，尤其強調業(yè)務建模、業(yè)務價值分析、業(yè)務連續(xù)性監(jiān)控、業(yè)務風險分析，如下圖所示：

                                                                               圖：SOC1.0與SOC2.0的區(qū)別
正是由于上述本質的區(qū)別，使得SOC2.0在設計、實現(xiàn)與實施過程都與傳統(tǒng)的SOC1.0有很大的不同，并且處處體現(xiàn)著以用戶業(yè)務安全為核心的思想。

2 將安全管理平臺與業(yè)務關聯(lián)

安全與業(yè)務的融合是客戶需求發(fā)展使然，也是安全技術發(fā)展的必然。但是，安全管理平臺如何與業(yè)務融合？這就要對客戶的業(yè)務進行深入的分析。

首先，我們可以將業(yè)務分為業(yè)務的載體和業(yè)務的使用者?，F(xiàn)代的業(yè)務都實現(xiàn)了信息化、網絡化，業(yè)務載體一般主要都是由IT系統(tǒng)來承載，當然還包括場所等物理環(huán)境；而業(yè)務的使用者一般就是指人。其次，我們進一步對承載業(yè)務的IT系統(tǒng)進行分析，一個IT支撐系統(tǒng)一般是由一組IT資源（主機、網絡、存儲等）和一套業(yè)務流程構成的。

對于IT支撐系統(tǒng)而言，IT資源的種類往往相對是穩(wěn)定的，而業(yè)務的復雜性就體現(xiàn)在業(yè)務流程上。通過業(yè)務流程的變更，會導致業(yè)務的變更，并進而導致支撐這個業(yè)務的IT資源的變更。對于SOC2.0而言，說關注客戶的業(yè)務，其實就是關注這個業(yè)務支撐系統(tǒng)，關注這些IT資源及其相互之間的關系。

SOC2.0為用戶提供了一個安全管理與業(yè)務溝通的平臺，使得從業(yè)務的角度去考慮安全問題成為了可能。在具體SOC2.0系統(tǒng)實施的時候，輔以業(yè)務建模和業(yè)務流程梳理，真正將安全管理平臺與具體業(yè)務應用相關聯(lián)。當然，SOC2.0安全管理平臺也應具備足夠的柔性，支持由于業(yè)務系統(tǒng)的流程變更而導致的安全需求變更。

下面，我們以SOC2.0的代表性產品——網神SecFox-UMS（Unified Management System）統(tǒng)一管理系統(tǒng)為例，詳細加以說明。

3 詳解SecFox-UMS面向業(yè)務的安全管理平臺

3.1 業(yè)務建模

在實施SOC2.0類產品的時候，實施顧問首先要做的事情不再是簡單的資產梳理，而是要從用戶的業(yè)務系統(tǒng)及其流程的梳理開始，核心任務就是進行業(yè)務建模。

以SecFox-UMS統(tǒng)一管理系統(tǒng)的業(yè)務建模為例，這里的業(yè)務建模是指這樣一個過程：首先，將業(yè)務系統(tǒng)映射為該業(yè)務的IT支撐系統(tǒng)，也就是一組IT資源；然后，以業(yè)務流程為線索，描述這組IT資源之間的相互關系，并建立一套表征IT支撐系統(tǒng)的運行指標和安全指標。

例如，一個OA業(yè)務可能包括了OA的中間件，承載這個中間件系統(tǒng)運行的服務器，后臺數(shù)據庫管理系統(tǒng)，包括這些服務器連接的交換機、防火墻，甚至還包括服務器所在的機房。那么，對業(yè)務的管理就可以換算成對這些IT資源的管理。如下圖所示：

                                                                                 圖：業(yè)務系統(tǒng)建模過程示例
3.2 業(yè)務資產管理與價值分析

在業(yè)務建模的同時，業(yè)務的資產也同時梳理出來了。據此，SecFox-UMS統(tǒng)一管理系統(tǒng)的實施人員可以幫助用戶以業(yè)務為核心，導入資產信息，建立業(yè)務資產庫。SecFox-UMS支持手工錄入、外部資產導入等方式建立資產庫。業(yè)務資產管理與傳統(tǒng)SOC的資產管理最大的區(qū)別就在于業(yè)務資產庫是以業(yè)務系統(tǒng)為核心構建的一個樹形結構，而傳統(tǒng)的SOC（SOC1.0）則一般是以資產域為線索的樹形結構，無法反映出資產之間的業(yè)務從屬關系。下圖展示了某客戶的業(yè)務系統(tǒng)資產樹。

                                                                                  圖：以業(yè)務為核心的資產管理

建立以業(yè)務為核心的資產管理體系的優(yōu)勢就在于能夠清晰地反映出構成某個業(yè)務系統(tǒng)的資產情況，便于業(yè)務安全管理責任落實，便于后續(xù)針對業(yè)務系統(tǒng)的安全監(jiān)控與審計。

在建立業(yè)務資產庫的時候，還有很重要的一項工作就是要標定業(yè)務系統(tǒng)的固有價值。這個工作是在實施顧問與客戶協(xié)作下完成的。一般地，業(yè)務系統(tǒng)的價值可以通過構成該業(yè)務系統(tǒng)的資產價值進行換算得到。有了業(yè)務價值，就為業(yè)務運維保障人員建立了工作重心的導向性，對于高價值的業(yè)務系統(tǒng)將予以重點保障。

特別地，SecFox-UMS獨有資產屬性擴展功能，使得用戶可以針對相同的一組資產構建多棵面向不同主題的資產樹，除了基本的業(yè)務資產樹，還支持按照等級保護安全域劃分的原則構建一棵安全域資產樹，或者安全等級資產樹。

3.3 業(yè)務監(jiān)控與審計

在建立了業(yè)務資產庫之后，一切都將圍繞形式化表述的業(yè)務系統(tǒng)進行功能展開。以SecFox-UMS統(tǒng)一管理能夠為例，將業(yè)務系統(tǒng)映射到IT資源不是實施的最終目的，為了能夠讓客戶和運維人員能夠真正用好安全管理平臺，實施人員還需要與客戶一起建立業(yè)務的運行監(jiān)控指標和安全監(jiān)控指標體系，實現(xiàn)從IT資源到指標體系的映射。

在SOC2.0中，業(yè)務監(jiān)控與審計包括兩個方面的內容：

1） 業(yè)務的運行監(jiān)控：即確保業(yè)務運行的可用性和連續(xù)性。這是安全的顯性化層面；

2） 業(yè)務的安全審計：即確保業(yè)務操作的安全性和合規(guī)性，通過對業(yè)務相關的安全事件關聯(lián)分析發(fā)現(xiàn)外部的入侵和內部違規(guī)。這是安全的隱性化層面。

以下分別進行說明。

3.3.1 建立運行監(jiān)控指標

為了實現(xiàn)業(yè)務運行監(jiān)控，就需要建立業(yè)務運行監(jiān)控指標體系。實施顧問與客戶的業(yè)務領域專家一起協(xié)作，逐個分析每個業(yè)務，為構成業(yè)務的的每個IT資源建立一組與這個業(yè)務緊密相關的關鍵運行指標（KPI），如下圖所示：

                                                                      圖：業(yè)務建模過程的指標分解（運行監(jiān)控）

據此，我們就可以得出某個業(yè)務系統(tǒng)的關鍵運行指標體系，使得管理員通過對這組指標的持續(xù)監(jiān)控來反映業(yè)務系統(tǒng)的運行狀況。

以網神SecFox-UMS統(tǒng)一管理系統(tǒng)為例，系統(tǒng)為用戶提供了業(yè)務監(jiān)控的功能。SecFox-UMS能夠將構成業(yè)務的IT資源形象地用業(yè)務拓撲可視化的展示出來，并且反映這些監(jiān)控對象之間的依賴關系。

同時，借助可視化的業(yè)務拓撲圖，管理員可以直接在圖上看到各個監(jiān)控對象出現(xiàn)告警的關鍵業(yè)務指標（KPI），點擊每個指標，就能夠進入該指標的明細界面，以圖表或者告警列表的方式展示給管理員，方便進行深入的故障追蹤和定位。

                                                                          圖：SecFox-UMS的業(yè)務運行監(jiān)控視圖

管理員可以對業(yè)務的每個KPI賦以一定的權重，借助SecFox獨有的業(yè)務健康計算模型，計算出這個業(yè)務的健康等級。這個健康等級所代表的數(shù)值就是SecFox業(yè)務健康指數(shù)。隨著時間的推移，這個指數(shù)不斷地進行計算，就能夠描繪出一條表征這個業(yè)務運行的健康指數(shù)曲線。

3.3.2 建立安全監(jiān)控場景

為了實現(xiàn)對業(yè)務的安全審計，同理可以建立業(yè)務的安全指標體系。實施顧問（安全專家）與客戶業(yè)務領域專家一起，制定出每個業(yè)務的關鍵安全指標，如下圖所示：

                                                                      圖：業(yè)務建模過程的指標分解（安全審計）

據此，我們可以建立這個業(yè)務系統(tǒng)的安全指標體系，使得管理員通過對這組指標所表示的事件行為審計來反映業(yè)務系統(tǒng)的安全狀況。

以網神SecFox-UMS統(tǒng)一管理系統(tǒng)為例，系統(tǒng)允許審計人員根據安全指標建立一組針對該業(yè)務系統(tǒng)的實時監(jiān)控場景，通過對相關事件的分析，實時反映業(yè)務系統(tǒng)的安全狀況。下圖是某客戶實時監(jiān)控的示例。

                                                                                    圖：實時監(jiān)控（審計）場景
通過這種方式，將傳統(tǒng)SOC1.0的海量事件查詢，變成了現(xiàn)在針對業(yè)務系統(tǒng)安全審計的事件自動過濾。如果說SOC1.0實現(xiàn)了各種安全事件的集中采集和歸一化，那么SOC2.0就將這些事件有機地與客戶業(yè)務系統(tǒng)關聯(lián)起來，從業(yè)務的角度去審計安全事件。

3.4 業(yè)務風險管理

安全管理平臺（SOC）很重要的一項工作就是風險管理，包括弱點管理、威脅管理和定量的風險分析。

傳統(tǒng)的SOC1.0實現(xiàn)了以資產為核心的風險管理：以資產為紐帶，將資產的價值、資產弱點的嚴重性和資產面臨威脅的可能性進行關聯(lián)，通過量化的公式計算出資產風險。然后，在將單個資產的風險聚合為資產域（或者資產組）的風險。

這種風險管理的模式最大的問題就在于最終呈現(xiàn)給客戶是孤立的資產風險，客戶無法從這些風險值中判斷其業(yè)務系統(tǒng)的風險狀態(tài)，也就難以觸發(fā)合理有效的預警和應急響應過程。

SOC2.0首先在風險管理的目標對象進行了提升，將風險管理的對象放到了客戶的業(yè)務系統(tǒng)之上。通過資產的風險計算，以及與業(yè)務資產庫的關聯(lián)，換算出業(yè)務系統(tǒng)的風險值。同時，業(yè)務系統(tǒng)的風險隨時間動態(tài)變化的，SOC2.0還需要反映出業(yè)務系統(tǒng)的動態(tài)風險曲線。

下圖分別展示了某客戶的業(yè)務系統(tǒng)弱點和威脅視圖。

                                                                                圖：基于業(yè)務的弱點管理視圖

                                                                                 圖：基于業(yè)務的威脅管理視圖

3.5 其他

此外，以業(yè)務安全為核心的SOC2.0在安全態(tài)勢感知、信息可視化、全方位事件采集、高性能海量事件處理、實時關聯(lián)分析等技術領域都有新的要求和突破。

4 結論

通過對網神SecFox-UMS統(tǒng)一管理系統(tǒng)的詳細闡述，可以展示出SOC2.0類產品的核心特征——以業(yè)務為核心的一體化安全管理。

需要指出的是，SOC2.0并不是對SOC1.0的推翻，而是對SOC1.0的繼承和發(fā)展。在SOC2.0中也有資產、有資產管理，只是SOC2.0的視角沒有一味地放到資產上，而是放到了資產所承載的業(yè)務系統(tǒng)之上，將安全管理平臺（SOC）提升到了一個新的高度，并且真正能夠與客戶形成共同語言。

在IT與業(yè)務融合的大背景下，SOC2.0體現(xiàn)了安全與業(yè)務的融合。在充分繼承和發(fā)展SOC1.0的基礎上，SOC2.0真正將原來的“安全防御孤島”和“安全信息孤島”連成一片，形成一個企業(yè)和組織整體的、以業(yè)務為核心的IT一體化集中管理平臺，實現(xiàn)對業(yè)務連續(xù)性的監(jiān)控、業(yè)務安全性的審計和業(yè)務風險的度量。

我國信息安全管理正經歷一個從分散到集中，從以資產為核心到以業(yè)務為核心的發(fā)展軌跡，而SOC2.0時代的到來意味著中國信息安全管理水平上升到了一個新的高度。隨著中國安全建設水平的不斷提升，安全管理的業(yè)務導向程度會越來越明顯。