網神SecFox-UMS跨入SOC2.0 全面保障業務系統安全

作者：網御神州 2009-08-24 16:27:39

針對目前SOC產品的市場現狀，作為國內信息安全管理市場排名第一的企業，網御神州通過自主研發，率先發布了行業領先的SOC2.0全新概念，并同時推出了一款以業務為核心的SOC2.0代表性產品——網神SecFox-UMS統一管理系統。

【51CTO.com 綜合消息】由于傳統的網絡運行中心（NOC）僅僅強調對客戶網絡進行集中化、全方位的監控，缺少在安全運行管理方面技術的支持，不能滿足中國各行業用戶的實際應用需求。

在此背景下，以資產為核心的SOC產品開始登上歷史的舞臺。然而，由于業務內容的不斷深化和行業需求的進一步清晰，傳統SOC理念和技術的局限性也逐漸凸現出來。事實上，對于用戶而言，真正的資產安全不是簡單的設備安全，而是要保障業務和服務的可用性、連續性以及重要信息系統的安全性，換言之，保障業務安全成為企業和組織的生命線。

網神SecFox-UMS統一安全管理系統有效繼承了傳統的安全管理理論，據了解，該系統包括IATF縱深防御理論、國家等級化保護體系思想、安全風險管理理論等，同時也充分吸收了ISO20000基于PDCA和業務服務管理思想，以及ITIL運維管理理論，真正以業務資產為核心，以業務安全為目標，為用戶提供了一套一體化的安全保障技術支撐平臺。

相對于傳統的SOC產品，網神SecFox-UMS統一安全管理系統與傳統SOC最大特色就在于該系統以業務為核心，包括了業務連續性監控功能、業務展示功能，以及面向業務的風險分析功能。同時，該產品在事件采集和關聯分析性能、關聯分析引擎及其算法、安全態勢感知和信息可視化等多個技術領域都取得了重大突破，并被申請了多項發明專利，成為SOC2.0的典型產品代表。

通過對網神SecFox-UMS統一安全管理系統的詳細了解，在產品展現層面，該款網神的SOC2.0代表作主要有以下五種功能特色與傳統的SOC產品相異：

一、全方位的安全監控。

系統提供了全面的監控信息，不但包括傳統安全管理系統被動采集的安全事件，而且提供主動探測的監控功能，定時輪詢IT資源及其業務系統，獲取相關的性能信息和安全信息，例如CPU利用率，內存利用率等性能數據，非法進程和非法開啟服務端口等安全信息。

系統通過主動輪詢檢測，采集日志，網絡旁路嗅探等多種管理和檢測方式，避免了數據來源單一，提供了系統整體安全和性能狀態。因為一個系統的安全信息不是孤立的，單單檢測網絡攻擊，非法入侵等安全行為是遠遠不夠的，實際上在現實中很多安全問題造成的結果是系統性能下降和網絡阻塞，而這些安全問題本身是難于發現和規避的。例如ARP攻擊、后門或者蠕蟲病毒等，都是直接造成了系統和網絡的故障或者嚴重下降后才能發現。因此，對于網絡和系統的性能和故障檢測也是安全管理必不可少的重要一環。系統提供了根據性能和故障信息的設備聯動功能，可以根據性能和故障的直觀狀態表現來采取安全措施，而不是依賴探測到安全事態再進行設備聯動，這樣可以極大地減少以往安全系統面臨的漏報和誤報問題。

所有監控的內容都以Protal的形式直觀的展示在系統大屏幕上，所有顯示內容都可以自由定義、組合、切換。

圖1 統一管理門戶

二、全生命周期的安全管理

系統不但提供了全面的管理和檢測方式，還貫穿了安全管理的整個生命周期。系統遵照PDCA的模式，包含事前檢測和評估、事中監控和分析，以及事后審計和追蹤。事前監測和評估包含業務系統建模、業務指標體系建立、安全需求構建和映射，同時也包括系統漏洞和弱點探測，幫助提前預警和采取防護措施；事中監控和分析包括實時采集和監控系統性能、故障和網絡行為，進行實時預警、事故管理，或者進行設備聯動；事后審計和追蹤包括歷史事件查詢、調查取證、用戶操作回放，協助發現非法行為、進行責任認定，或者通過業務運行快照回放進行事后的故障定位、問題管理，總之，通過事后分析進行業務改善。

三、業務細粒度可視化展示

系統提供可視化的業務拓撲，通過圖形表示業務的構成，可以自由創建業務拓撲，把構成業務的元素通過圖形展示出來，不是簡單的按照設備構成，而是包含主機，網絡設備，數據庫，中間件等應用服務，以及各個管理對象的連接關系，還可以在圖形中細粒度動態展示管理對象的關鍵指標的數據和狀態。例如可以在拓撲圖中直接展示業務主機的CPU利用率，內存利用率，磁盤利用率，業務所在網絡設備的端口狀態和端口流量，數據庫的吞吐量以及連接數等，全面詳盡地反映業務的實際狀態，讓用戶一目了然的對業務有全面的把握，清楚地了解業務的構成和運行狀態，直接從業務拓撲視圖就可以看到影響業務的關鍵指標，而不需要選擇單獨的管理對象進行詳細查看。

系統提供了靈活地展示方式，可以根據用戶的需求自行定義需要展示的詳細參數和指標。例如對于一些管理對象可以配置為顯示CPU利用率和內存利用率，而對于更重要的管理對象，還可以配置顯示關鍵網絡端口狀態和端口流量。

圖2 業務管理視圖

四、業務健康指數

系統創新地提出了業務健康指數的概念。業務健康指數采用定量的模式數據來衡量用戶業務的健康風險和工作狀態，便于評估和判斷。

業務健康指數相當于證券市場的股票指數。股票指數即股票價格指數，是由證券交易所或金融服務機構編制的表明股票市場實際狀態的一種供參考的指示數字，作為市場價格變動的指標，投資者據此可以檢驗自己投資的效果，并用以預測股票市場的動向。股票指數是選取有代表性的一組股票，把他們的價格進行加權平均，通過一定的計算得到。系統借鑒股票指數，提出了業務健康指數，將業務中監控對象的關鍵指標的健康狀態進行加權平均，得到業務總體的健康指數，力求定量地反映業務的健康狀態。

目前其他管理系統對于業務的綜合評估判斷采用事件關聯的方式，即通過設置一系列的規則，將業務中各個監控對象的告警關聯起來，通過規則判斷來反映業務的狀態，但是在實際應用中存在很多問題，即有些經驗和判斷很難實際轉化為規則，而且規則可能很多，難于全面反映各個指標之間的聯系。而實際環境中，很多判斷更多的是一個模糊的概念，需要根據環境和實際的變化進行調整，沒有一個準確的規則，事件關聯缺乏實際運用能力和可操作性。因此，我們認為采用加權平均的指數更容易反映業務的實際健康狀態，處理起來簡單明了，更加具有實用價值，管理員可以根據經驗和實際運行調節各個指標的權重，具備實際的運用能力和可操作性。

業務健康指數的關鍵是提供了一個可量化的評估標準，任何完全不同的業務都可以采用同樣的標準來評估，就像股票指數，無論是石化行業，還是與之毫不相干的其他行業，都可以采用同樣標準來判斷。因此，對于用戶來說，對于不同的業務，只要我們建立其各自的關鍵指標體系和權重，都可以采用健康指數這樣一個標準來判斷和評估，反映用戶業務的實際健康和風險狀態。例如，在本系統中將會顯示每個業務最近5分鐘的健康指數儀表圖和健康指數歷史曲線圖、最近5分鐘的健康指數儀表圖可以幫助用戶實時判斷當前的業務健康狀態、健康指數歷史曲線圖可以幫助用戶分析業務歷史運行的趨勢，作為評估和決策的依據。

圖3 業務健康曲線圖

五、態勢感知和信息可視化

對于用戶而言，系統最直觀的感受就是信息安全態勢感知。借助系統大量的信息可視化技術，用戶能夠直觀地看到當前整個網絡或者某個業務系統的整體安全態勢，包括總體運行狀況、安全風險狀態和趨勢、威脅和告警情況，等等。所有這些信息的展示都是實時、動態變化的，并且是用戶可自定義的。借助系統的智能監控頻道功能，用戶可以定義自己的管理視圖，將自己關注的安全指標納入視圖之中。

系統具備豐富的信息可視化功能。除了基本的網絡拓撲圖、機房機架視圖、設備面板圖和IP分布圖之外，系統還具備豐富的事件可視化圖形方式。事件可視化（Event Visualization）是指系統以圖形化的方式將歸一化和關聯分析后的事件（日志）及其事件（日志）之間的關系形象展示出來的過程。事件可視化不是簡單的柱圖、餅圖、曲線圖等統計趨勢圖表的展示，它必須反映出大量事件之間的相互作用關系。事件可視化能夠將安全管理和運維人員從繁重的事件查看工作中解脫出來，及時直觀地進行事件調查，發現安全威脅。系統具備強大的事件可視化能力，變用戶日常安全管理的認知為感知。系統的安全事件可視化包括：

1.事件全球定位圖：在世界地圖上實時定位源/目的IP地址的地理位置。系統內置世界地圖，也支持通過Google Earth進行定位。