下一代安全管理平臺（SOC2.0）技術白皮書V1

用戶需求催生SOC
爲了避免斷應對新的安全挑戰，企業和組織前後部署了防火牆、UTM、***檢測和防禦系統、漏洞掃描系統、防病毒系統、終端管理系統，等等，構建起了一道道安 全防線。然而，這些安全防線都僅僅抵禦來自某個方面的安全威脅，造成了一個個「安全防護孤島」，沒法產生協同效應。更爲嚴重地，這些複雜的IT資源及其安 全防護設施在運行過程當中不斷產生大量的安全日誌和事件，造成了大量「信息孤島」，有限的安全管理人員面對這些數量巨大、彼此割裂的安全信息，操做着各類產 品自身的控制檯界面和告警窗口，顯得一籌莫展，工做效率極低，難以發現真正的安全隱患。另外一方面，企業和組織日益迫切的信息系統審計和內控要求、等級保護 要求，以及不斷加強的業務持續性需求，也對客戶提出了嚴峻的挑戰。

 

傳統SOC力不從心

針對上述不斷突出的客戶需求，從2000年開始，國內外陸續推出了SOC（Security Operations Center）產品。目前國內的SOC產品也稱爲安全管理平臺，因爲受到國內安全需求的影響，具備很強的中國特點。

通常地，傳統SOC被定義爲：以資產爲核心，以安全事件管理爲關鍵流程，採用安全域劃分的思想，創建一套實時的資產風險模型，協助管理員進行事件分析、風險分析、預警管理和應急響應處理的集中安全管理系統。

如今國內市場的SOC產品幫助客戶創建起了一個安全管理平臺，實現了安全管理從分散到集中的跨越，爲客戶構建總體安全體系奠基了堅實的基礎。可是因爲傳統 SOC理念和技術的侷限性，尚不能真正知足客戶更深層次的需求，最關鍵的就在於：

這是傳統SOC最關鍵的軟肋！

如下從傳統SOC的體系設計、技術支撐和實施過程三個方面詳細闡述：

1) 體系設計方面：圍繞資產進行功能設計，缺少對業務的分析
傳統的SOC產品強調要以資產爲核心，在實現上基本就是以各種IT資產爲核心。這裏的IT資產也能夠稱爲IP資產，即具備IP地址的IT資產，包括主機、 網絡設備、安全設備、應用系統等。簡單來講，這類SOC產品的基本工做流程就是採集主機，網絡設備，應用系統的事件或者日誌，結合系統漏洞和弱點等進行事 件關聯分析，發現安全威脅和評估安全風險。可是對於一個企業或者部門來講，最重要的是業務系統，網絡和主機都是承載業務的環境，安全威脅到底如何影響業 務，影響到業務什麼程度，如何保障業務的安全運行，纔是安全的終極目的。若是撇開業務而孤立的關注網絡安全、系統安全，可能花費了大量的工做而實際效果不 明顯，這就是當前SOC產品面臨的最重要的問題。

傳統的SOC確實作了很多工做，可是缺乏明確的體現，用戶並無以爲有了SOC，整個系統就安全了，內心仍是沒底。

2) 技術支撐方面：缺乏全面的業務安全信息收集

SOC的一項核心功能就是未來自不一樣IT資源的信息匯聚起來，進行歸一化的關聯分析，實現總體安全與風險的評估。傳統SOC在技術實現上，信息來源 基本集中在對日誌和事件的處理分析上，缺乏IT資源的性能、故障、運行狀態等信息的輸入，難於反映用戶業務系統的實際狀況，而且有些應用系統連日誌採集都 是很困難的。有的SOC系統聲稱可以收集用戶已有的網管系統發出的告警信息，但實際上，目前國內大量用戶（包括企事業單位和政府部門）連網絡管理、業務監 控等基本的IT資源管理技術手段都缺少，也就更沒法爲安全管理提供必要的信息了。

因爲與網絡管理割裂，客戶的安全管理基本處於被動狀態，對系統和設備的可用性和健康狀態沒法作到主動和有效監控，安全管理就成了無根之木。若是當用 戶的網絡和系統出現故障後，SOC產品都不可能收到事件，那麼分析和展現又有什麼意義呢？因此，目前不少SOC項目基本停留在審計安全設備的日誌層面，不 可能有好的效果。

此外，SOC產品強調事件關聯分析，而關聯分析的前提就是要有足夠的信息。傳統SOC在對業務鏈各個環節的事件進行分析的過程當中，因爲受限於應用系 統3層架構、TCP/IP協議的影響，沒法採集到業務鏈端到端的安全信息，即便結合身份認證技術也沒法全面保證責任認定、用戶行爲分析等業務需求的知足。

3) 實施過程方面：傳統SOC實施只考慮安全自己，沒有關注客戶業務

對於客戶而言，安全不是目的，只是爲了更好的保障業務正常運轉的手段。做爲一個旨在提高客戶安全管理與維護效率的支撐工具，傳統SOC在實施過程當中 僅僅只考慮到如何實現高效的安全管理自己，而沒有考慮到如何經過安全管理去實現高效的業務運行。這種捨本逐末的實施理念，很大程度上致使了大量SOC項目 實施的無果而終。

在傳統的SOC的實施方法論中，對事件每每只是對某種類型如防火牆類、IDS類、主機類的收集、監控和分析，對風險每每是按照子網、區域、或者安全 域的方法來評估，這種方式到最後給用戶的感受是看到某些區域風險很高，但無從處理，看到大量的事件產生，仍然不清楚事件形成的後果和影響，無從下手處理。

不管從電信、金融、政府、企事業單位等等行業來講，業務爲王，多數業務鏈條從服務器到客戶端跨越了多個安全域甚至多個網絡，即便再嚴密的單區域防禦 例如單純對服務器區域的防禦也難以防護從業務鏈條上發起的***，因此，若是缺乏對業務的瞭解和建模，試圖僅從傳統安全風險管理的方法論出發，每每難以發現 真正的安全問題。

 

面向業務的下一代安全管理平臺（SOC2.0）
 

經過上面對傳統SOC存在的缺陷分析，能夠看出，對於用戶而言，真正的安全不是簡單的設備安全，而是指業務系統安全。IT資源自己的安全管理不是目 標，核心需求是要保障IT資源所承載的業務的可用性、連續性、以及安全性，由於業務纔是企業和組織的生命線。要保障業務安全，就要求爲用戶創建一套以業務 爲核心的管理體系，從業務的角度去看待IT資源的運行和安全。若是把傳統的SOC稱爲SOC1.0，那麼面向業務的SOC就能夠稱做SOC2.0。網禦神 州提出的SOC2.0的理念，將現有的SOC系統帶入了一個新的發展階段。

什麼是SOC2.0？

爲了抵禦來自企業和組織外部***和***，阻止內部的違規和信息泄漏，以及符合國家、行業的各項法律法規，切實保障重要信息系統的安全，企業和組織須要創建一套面向業務的一體化集中安全管理系統。

SOC2.0是一個以業務爲核心的、一體化的 安全管理系統。SOC2.0從業務出發，經過業務需求分析、業務建模、面向業務的安全域和資產管理、業務連續性監控、業務價值分析、業務風險和影響性分 析、業務可視化等各個環節，採用主動、被動相結合的方法採集來自企業和組織中構成業務系統的各類IT資源的安全信息，從業務的角度進行歸一化、監控、分 析、審計、報警、響應、存儲和報告。SOC2.0以業務爲核心，貫穿了信息安全管理系統建設生命週期從調研、部署、實施到運維的各個階段。

 

下一代安全管理平臺（SOC2.0）的核心要素

做爲一款屬於SOC2.0的產品和系統，應該具有如下核心特質。

 

體系設計方面：圍繞業務的功能設計

一個SOC2.0產品，其安全管理的各個環節都應該是面向業務的。從資產管理、弱點管理、事件管理、風險管理、告警管理到響應管理的各個環節都應該具備業務的烙印。

在資產管理階段，進行資產和安全域的劃分的時候，必需要有業務建模的過程，將一個個基本的IT資源對象集合爲若干個業務系統，並以業務系統爲單位劃分安全域。

在事件管理、弱點管理、風險管理的時候，都要可以從業務視角來檢視業務系統的事件、弱點和風險，並進行基於業務的事件關聯分析和風險分析。

最後，在界面展現方面，系統必須具有業務展現視圖。

只有面向業務的安全管理系統才能貼近用戶、與用戶站在一道，才能以用戶的語言去表述安全，實現安全的去專業化，才能爲用戶所接受並真正親自實踐起來。

技術支撐方面：面向業務鏈的信息收集

SOC2.0在收集信息的時候注重從業務鏈的角度去全面收集各種與業務安全運行相關的數據。

SOC2.0產品一方面可以對構成業務系統的各類IT資源進行輪詢式的信息採集，統一地監管業務相關的主機、網絡設備、安全設備、數據庫、中間件、 服務和機房設備，保障業務的正常運行；另外一方面，還能夠收集業務系統相關的日誌和事件信息，進行歸一化和關聯分析，並將採集到的事件信息和集中監控的告警 事件關聯起來，實現面向業務的監控與分析。

經過採集和分析整個業務鏈相關的日誌、告警、運行性能參數信息，而且從業務的角度對這些信息進行關聯分析，大大提高了客戶業務安全管理的效率和做用。

實施過程方面：面向業務的實施和運維過程

實施工做在SOC項目建設過程當中佔有極其重要的地位，實施工做的優劣直接影響SOC的使用效果和對用戶安全管理對風險和安全事件的掌控和處理。

SOC2.0的實施必然要以業務爲核心，從業務建模、業務流程梳理，到SOC系統的業務映射，以及運維過程當中基於業務的事件分析、連續性分析、風險分析等。採用業務視角的實施和運維方法論，真正幫助用戶提高業務系統的安全保障水平。

SOC2.0以業務爲基礎的實施方法，就是從對網絡中單個設備集成混雜的方式轉變爲對業務鏈的梳理，從單個業務鏈條的所涉及的資產、事件、風險出發，實現業務資產的運行監控，業務的風險展現，實現業務鏈條事件的關聯分析和告警處理。

面向業務的SOC2.0實施和運維方法論與SOC2.0管理系統及其架構是密不可分的。基於業務的SOC2.0的理念和方法，真正從關注用戶業務安 全的思路出發，在系統設計的開始就提供了以業務爲核心的SOC架構，這爲實施過程當中最大知足用戶對業務安全的關注提供了強大的基礎和工具。反過來，以業務 爲基礎的實施與維護最佳實踐又會不斷豐富面向業務的SOC架構。

下一代安全管理平臺（SOC2.0）的價值
 

SOC2.0的價值就在於確保IT可靠、安全地與客戶業務戰略一致，促使客戶有效地利用信息資源，下降運營風險。
在充分繼承與發揚傳統SOC的基礎上，SOC2.0真正將原來的「安全防護孤島」和「安全信息孤島」連成一片，造成一個企業和組織總體的、以業務爲核心的 IT一體化集中管理平臺，實現對業務連續性的監控、業務安全性的審計和業務風險的度量。

安全管理經歷了一個從分散到集中，從以資產安全爲核心到以業務安全核心的發展軌跡。隨着安全建設水平的不斷提高，安全管理的業務導向程度愈來愈明顯。

在IT與業務融合的大背景下，SOC2.0體現了安全與業務的融合。