下一代安全管理平台（SOC2.0）技术白皮书V1

用户需求催生SOC
为了避免断应对新的安全挑战，企业和组织前后部署了防火墙、UTM、***检测和防御系统、漏洞扫描系统、防病毒系统、终端管理系统，等等，构建起了一道道安 全防线。然而，这些安全防线都仅仅抵御来自某个方面的安全威胁，造成了一个个“安全防护孤岛”，没法产生协同效应。更为严重地，这些复杂的IT资源及其安 全防护设施在运行过程当中不断产生大量的安全日志和事件，造成了大量“信息孤岛”，有限的安全管理人员面对这些数量巨大、彼此割裂的安全信息，操做着各类产 品自身的控制台界面和告警窗口，显得一筹莫展，工做效率极低，难以发现真正的安全隐患。另外一方面，企业和组织日益迫切的信息系统审计和内控要求、等级保护 要求，以及不断加强的业务持续性需求，也对客户提出了严峻的挑战。

 

传统SOC力不从心

针对上述不断突出的客户需求，从2000年开始，国内外陆续推出了SOC（Security Operations Center）产品。目前国内的SOC产品也称为安全管理平台，因为受到国内安全需求的影响，具备很强的中国特点。

通常地，传统SOC被定义为：以资产为核心，以安全事件管理为关键流程，采用安全域划分的思想，创建一套实时的资产风险模型，协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。

如今国内市场的SOC产品帮助客户创建起了一个安全管理平台，实现了安全管理从分散到集中的跨越，为客户构建总体安全体系奠基了坚实的基础。可是因为传统 SOC理念和技术的局限性，尚不能真正知足客户更深层次的需求，最关键的就在于：

这是传统SOC最关键的软肋！

如下从传统SOC的体系设计、技术支撑和实施过程三个方面详细阐述：

1) 体系设计方面：围绕资产进行功能设计，缺少对业务的分析
传统的SOC产品强调要以资产为核心，在实现上基本就是以各种IT资产为核心。这里的IT资产也能够称为IP资产，即具备IP地址的IT资产，包括主机、 网络设备、安全设备、应用系统等。简单来讲，这类SOC产品的基本工做流程就是采集主机，网络设备，应用系统的事件或者日志，结合系统漏洞和弱点等进行事 件关联分析，发现安全威胁和评估安全风险。可是对于一个企业或者部门来讲，最重要的是业务系统，网络和主机都是承载业务的环境，安全威胁到底如何影响业 务，影响到业务什么程度，如何保障业务的安全运行，才是安全的终极目的。若是撇开业务而孤立的关注网络安全、系统安全，可能花费了大量的工做而实际效果不 明显，这就是当前SOC产品面临的最重要的问题。

传统的SOC确实作了很多工做，可是缺乏明确的体现，用户并无以为有了SOC，整个系统就安全了，内心仍是没底。

2) 技术支撑方面：缺乏全面的业务安全信息收集

SOC的一项核心功能就是未来自不一样IT资源的信息汇聚起来，进行归一化的关联分析，实现总体安全与风险的评估。传统SOC在技术实现上，信息来源 基本集中在对日志和事件的处理分析上，缺乏IT资源的性能、故障、运行状态等信息的输入，难于反映用户业务系统的实际状况，而且有些应用系统连日志采集都 是很困难的。有的SOC系统声称可以收集用户已有的网管系统发出的告警信息，但实际上，目前国内大量用户（包括企事业单位和政府部门）连网络管理、业务监 控等基本的IT资源管理技术手段都缺少，也就更没法为安全管理提供必要的信息了。

因为与网络管理割裂，客户的安全管理基本处于被动状态，对系统和设备的可用性和健康状态没法作到主动和有效监控，安全管理就成了无根之木。若是当用 户的网络和系统出现故障后，SOC产品都不可能收到事件，那么分析和展现又有什么意义呢？因此，目前不少SOC项目基本停留在审计安全设备的日志层面，不 可能有好的效果。

此外，SOC产品强调事件关联分析，而关联分析的前提就是要有足够的信息。传统SOC在对业务链各个环节的事件进行分析的过程当中，因为受限于应用系 统3层架构、TCP/IP协议的影响，没法采集到业务链端到端的安全信息，即便结合身份认证技术也没法全面保证责任认定、用户行为分析等业务需求的知足。

3) 实施过程方面：传统SOC实施只考虑安全自己，没有关注客户业务

对于客户而言，安全不是目的，只是为了更好的保障业务正常运转的手段。做为一个旨在提高客户安全管理与维护效率的支撑工具，传统SOC在实施过程当中 仅仅只考虑到如何实现高效的安全管理自己，而没有考虑到如何经过安全管理去实现高效的业务运行。这种舍本逐末的实施理念，很大程度上致使了大量SOC项目 实施的无果而终。

在传统的SOC的实施方法论中，对事件每每只是对某种类型如防火墙类、IDS类、主机类的收集、监控和分析，对风险每每是按照子网、区域、或者安全 域的方法来评估，这种方式到最后给用户的感受是看到某些区域风险很高，但无从处理，看到大量的事件产生，仍然不清楚事件形成的后果和影响，无从下手处理。

不管从电信、金融、政府、企事业单位等等行业来讲，业务为王，多数业务链条从服务器到客户端跨越了多个安全域甚至多个网络，即便再严密的单区域防御 例如单纯对服务器区域的防御也难以防护从业务链条上发起的***，因此，若是缺乏对业务的了解和建模，试图仅从传统安全风险管理的方法论出发，每每难以发现 真正的安全问题。

 

面向业务的下一代安全管理平台（SOC2.0）
 

经过上面对传统SOC存在的缺陷分析，能够看出，对于用户而言，真正的安全不是简单的设备安全，而是指业务系统安全。IT资源自己的安全管理不是目 标，核心需求是要保障IT资源所承载的业务的可用性、连续性、以及安全性，由于业务才是企业和组织的生命线。要保障业务安全，就要求为用户创建一套以业务 为核心的管理体系，从业务的角度去看待IT资源的运行和安全。若是把传统的SOC称为SOC1.0，那么面向业务的SOC就能够称做SOC2.0。网御神 州提出的SOC2.0的理念，将现有的SOC系统带入了一个新的发展阶段。

什么是SOC2.0？

为了抵御来自企业和组织外部***和***，阻止内部的违规和信息泄漏，以及符合国家、行业的各项法律法规，切实保障重要信息系统的安全，企业和组织须要创建一套面向业务的一体化集中安全管理系统。

SOC2.0是一个以业务为核心的、一体化的 安全管理系统。SOC2.0从业务出发，经过业务需求分析、业务建模、面向业务的安全域和资产管理、业务连续性监控、业务价值分析、业务风险和影响性分 析、业务可视化等各个环节，采用主动、被动相结合的方法采集来自企业和组织中构成业务系统的各类IT资源的安全信息，从业务的角度进行归一化、监控、分 析、审计、报警、响应、存储和报告。SOC2.0以业务为核心，贯穿了信息安全管理系统建设生命周期从调研、部署、实施到运维的各个阶段。

 

下一代安全管理平台（SOC2.0）的核心要素

做为一款属于SOC2.0的产品和系统，应该具有如下核心特质。

 

体系设计方面：围绕业务的功能设计

一个SOC2.0产品，其安全管理的各个环节都应该是面向业务的。从资产管理、弱点管理、事件管理、风险管理、告警管理到响应管理的各个环节都应该具备业务的烙印。

在资产管理阶段，进行资产和安全域的划分的时候，必需要有业务建模的过程，将一个个基本的IT资源对象集合为若干个业务系统，并以业务系统为单位划分安全域。

在事件管理、弱点管理、风险管理的时候，都要可以从业务视角来检视业务系统的事件、弱点和风险，并进行基于业务的事件关联分析和风险分析。

最后，在界面展现方面，系统必须具有业务展现视图。

只有面向业务的安全管理系统才能贴近用户、与用户站在一道，才能以用户的语言去表述安全，实现安全的去专业化，才能为用户所接受并真正亲自实践起来。

技术支撑方面：面向业务链的信息收集

SOC2.0在收集信息的时候注重从业务链的角度去全面收集各种与业务安全运行相关的数据。

SOC2.0产品一方面可以对构成业务系统的各类IT资源进行轮询式的信息采集，统一地监管业务相关的主机、网络设备、安全设备、数据库、中间件、 服务和机房设备，保障业务的正常运行；另外一方面，还能够收集业务系统相关的日志和事件信息，进行归一化和关联分析，并将采集到的事件信息和集中监控的告警 事件关联起来，实现面向业务的监控与分析。

经过采集和分析整个业务链相关的日志、告警、运行性能参数信息，而且从业务的角度对这些信息进行关联分析，大大提高了客户业务安全管理的效率和做用。

实施过程方面：面向业务的实施和运维过程

实施工做在SOC项目建设过程当中占有极其重要的地位，实施工做的优劣直接影响SOC的使用效果和对用户安全管理对风险和安全事件的掌控和处理。

SOC2.0的实施必然要以业务为核心，从业务建模、业务流程梳理，到SOC系统的业务映射，以及运维过程当中基于业务的事件分析、连续性分析、风险分析等。采用业务视角的实施和运维方法论，真正帮助用户提高业务系统的安全保障水平。

SOC2.0以业务为基础的实施方法，就是从对网络中单个设备集成混杂的方式转变为对业务链的梳理，从单个业务链条的所涉及的资产、事件、风险出发，实现业务资产的运行监控，业务的风险展现，实现业务链条事件的关联分析和告警处理。

面向业务的SOC2.0实施和运维方法论与SOC2.0管理系统及其架构是密不可分的。基于业务的SOC2.0的理念和方法，真正从关注用户业务安 全的思路出发，在系统设计的开始就提供了以业务为核心的SOC架构，这为实施过程当中最大知足用户对业务安全的关注提供了强大的基础和工具。反过来，以业务 为基础的实施与维护最佳实践又会不断丰富面向业务的SOC架构。

下一代安全管理平台（SOC2.0）的价值
 

SOC2.0的价值就在于确保IT可靠、安全地与客户业务战略一致，促使客户有效地利用信息资源，下降运营风险。
在充分继承与发扬传统SOC的基础上，SOC2.0真正将原来的“安全防护孤岛”和“安全信息孤岛”连成一片，造成一个企业和组织总体的、以业务为核心的 IT一体化集中管理平台，实现对业务连续性的监控、业务安全性的审计和业务风险的度量。

安全管理经历了一个从分散到集中，从以资产安全为核心到以业务安全核心的发展轨迹。随着安全建设水平的不断提高，安全管理的业务导向程度愈来愈明显。

在IT与业务融合的大背景下，SOC2.0体现了安全与业务的融合。