1 從SOC1.0到SOC2.0

傳統的安全管理平臺（SOC）一般被定位為：以資產為核心，以安全事件管理為關鍵流程，采用安全域劃分的思想，建立一套實時的資產風險模型，協助管理員進行事件分析、風險分析、預警管理和應急響應處理的集中安全管理系統。

SOC的出現，提升了用戶信息安全管理的水平，從而也對信息安全管理有了更高的期望，要求從客戶業務的角度來進行安全管理的呼聲日益增長，于是出現了面向業務的SOC2.0。如果我們將傳統的SOC稱為SOC1.0，那么SOC2.0繼承和發展了傳統SOC1.0的集中管理思想，將安全與業務融合，真正從客戶業務價值的角度去進行一體化安全體系的建設。

SOC2.0是一個以業務為核心的、一體化的安全管理系統。SOC2.0從業務出發，通過業務需求分析、業務建模、面向業務的安全域和資產管理、業務連續性監控、業務價值分析、業務風險和影響性分析、業務可視化等各個環節，采用主動、被動相結合的方法采集來自企業和組織中構成業務系統的各種IT資源的安全信息，從業務的角度進行歸一化、監控、分析、審計、報警、響應、存儲和報告。SOC2.0以業務為核心，貫穿了信息安全管理系統建設生命周期從調研、部署、實施到運維的各個階段。

SOC1.0與SOC2.0最本質的區別就在于SOC1.0是以資產為核心，強調資產的安全風險管理；而SOC2.0是以業務為核心，注重業務安全，尤其強調業務建模、業務價值分析、業務連續性監控、業務風險分析，如下圖所示：

                                                                               圖：SOC1.0與SOC2.0的區別
正是由于上述本質的區別，使得SOC2.0在設計、實現與實施過程都與傳統的SOC1.0有很大的不同，并且處處體現著以用戶業務安全為核心的思想。

2 將安全管理平臺與業務關聯

安全與業務的融合是客戶需求發展使然，也是安全技術發展的必然。但是，安全管理平臺如何與業務融合？這就要對客戶的業務進行深入的分析。

首先，我們可以將業務分為業務的載體和業務的使用者。現代的業務都實現了信息化、網絡化，業務載體一般主要都是由IT系統來承載，當然還包括場所等物理環境；而業務的使用者一般就是指人。其次，我們進一步對承載業務的IT系統進行分析，一個IT支撐系統一般是由一組IT資源（主機、網絡、存儲等）和一套業務流程構成的。

對于IT支撐系統而言，IT資源的種類往往相對是穩定的，而業務的復雜性就體現在業務流程上。通過業務流程的變更，會導致業務的變更，并進而導致支撐這個業務的IT資源的變更。對于SOC2.0而言，說關注客戶的業務，其實就是關注這個業務支撐系統，關注這些IT資源及其相互之間的關系。

SOC2.0為用戶提供了一個安全管理與業務溝通的平臺，使得從業務的角度去考慮安全問題成為了可能。在具體SOC2.0系統實施的時候，輔以業務建模和業務流程梳理，真正將安全管理平臺與具體業務應用相關聯。當然，SOC2.0安全管理平臺也應具備足夠的柔性，支持由于業務系統的流程變更而導致的安全需求變更。

下面，我們以SOC2.0的代表性產品——網神SecFox-UMS（Unified Management System）統一管理系統為例，詳細加以說明。

3 詳解SecFox-UMS面向業務的安全管理平臺

3.1 業務建模

在實施SOC2.0類產品的時候，實施顧問首先要做的事情不再是簡單的資產梳理，而是要從用戶的業務系統及其流程的梳理開始，核心任務就是進行業務建模。

以SecFox-UMS統一管理系統的業務建模為例，這里的業務建模是指這樣一個過程：首先，將業務系統映射為該業務的IT支撐系統，也就是一組IT資源；然后，以業務流程為線索，描述這組IT資源之間的相互關系，并建立一套表征IT支撐系統的運行指標和安全指標。

例如，一個OA業務可能包括了OA的中間件，承載這個中間件系統運行的服務器，后臺數據庫管理系統，包括這些服務器連接的交換機、防火墻，甚至還包括服務器所在的機房。那么，對業務的管理就可以換算成對這些IT資源的管理。如下圖所示：

                                                                                 圖：業務系統建模過程示例
3.2 業務資產管理與價值分析

在業務建模的同時，業務的資產也同時梳理出來了。據此，SecFox-UMS統一管理系統的實施人員可以幫助用戶以業務為核心，導入資產信息，建立業務資產庫。SecFox-UMS支持手工錄入、外部資產導入等方式建立資產庫。業務資產管理與傳統SOC的資產管理最大的區別就在于業務資產庫是以業務系統為核心構建的一個樹形結構，而傳統的SOC（SOC1.0）則一般是以資產域為線索的樹形結構，無法反映出資產之間的業務從屬關系。下圖展示了某客戶的業務系統資產樹。

                                                                                  圖：以業務為核心的資產管理

建立以業務為核心的資產管理體系的優勢就在于能夠清晰地反映出構成某個業務系統的資產情況，便于業務安全管理責任落實，便于后續針對業務系統的安全監控與審計。

在建立業務資產庫的時候，還有很重要的一項工作就是要標定業務系統的固有價值。這個工作是在實施顧問與客戶協作下完成的。一般地，業務系統的價值可以通過構成該業務系統的資產價值進行換算得到。有了業務價值，就為業務運維保障人員建立了工作重心的導向性，對于高價值的業務系統將予以重點保障。

特別地，SecFox-UMS獨有資產屬性擴展功能，使得用戶可以針對相同的一組資產構建多棵面向不同主題的資產樹，除了基本的業務資產樹，還支持按照等級保護安全域劃分的原則構建一棵安全域資產樹，或者安全等級資產樹。

3.3 業務監控與審計

在建立了業務資產庫之后，一切都將圍繞形式化表述的業務系統進行功能展開。以SecFox-UMS統一管理能夠為例，將業務系統映射到IT資源不是實施的最終目的，為了能夠讓客戶和運維人員能夠真正用好安全管理平臺，實施人員還需要與客戶一起建立業務的運行監控指標和安全監控指標體系，實現從IT資源到指標體系的映射。

在SOC2.0中，業務監控與審計包括兩個方面的內容：

1） 業務的運行監控：即確保業務運行的可用性和連續性。這是安全的顯性化層面；

2） 業務的安全審計：即確保業務操作的安全性和合規性，通過對業務相關的安全事件關聯分析發現外部的入侵和內部違規。這是安全的隱性化層面。

以下分別進行說明。

3.3.1 建立運行監控指標

為了實現業務運行監控，就需要建立業務運行監控指標體系。實施顧問與客戶的業務領域專家一起協作，逐個分析每個業務，為構成業務的的每個IT資源建立一組與這個業務緊密相關的關鍵運行指標（KPI），如下圖所示：

                                                                      圖：業務建模過程的指標分解（運行監控）

據此，我們就可以得出某個業務系統的關鍵運行指標體系，使得管理員通過對這組指標的持續監控來反映業務系統的運行狀況。

以網神SecFox-UMS統一管理系統為例，系統為用戶提供了業務監控的功能。SecFox-UMS能夠將構成業務的IT資源形象地用業務拓撲可視化的展示出來，并且反映這些監控對象之間的依賴關系。

同時，借助可視化的業務拓撲圖，管理員可以直接在圖上看到各個監控對象出現告警的關鍵業務指標（KPI），點擊每個指標，就能夠進入該指標的明細界面，以圖表或者告警列表的方式展示給管理員，方便進行深入的故障追蹤和定位。

                                                                          圖：SecFox-UMS的業務運行監控視圖

管理員可以對業務的每個KPI賦以一定的權重，借助SecFox獨有的業務健康計算模型，計算出這個業務的健康等級。這個健康等級所代表的數值就是SecFox業務健康指數。隨著時間的推移，這個指數不斷地進行計算，就能夠描繪出一條表征這個業務運行的健康指數曲線。

3.3.2 建立安全監控場景

為了實現對業務的安全審計，同理可以建立業務的安全指標體系。實施顧問（安全專家）與客戶業務領域專家一起，制定出每個業務的關鍵安全指標，如下圖所示：

                                                                      圖：業務建模過程的指標分解（安全審計）

據此，我們可以建立這個業務系統的安全指標體系，使得管理員通過對這組指標所表示的事件行為審計來反映業務系統的安全狀況。

以網神SecFox-UMS統一管理系統為例，系統允許審計人員根據安全指標建立一組針對該業務系統的實時監控場景，通過對相關事件的分析，實時反映業務系統的安全狀況。下圖是某客戶實時監控的示例。

                                                                                    圖：實時監控（審計）場景
通過這種方式，將傳統SOC1.0的海量事件查詢，變成了現在針對業務系統安全審計的事件自動過濾。如果說SOC1.0實現了各種安全事件的集中采集和歸一化，那么SOC2.0就將這些事件有機地與客戶業務系統關聯起來，從業務的角度去審計安全事件。

3.4 業務風險管理

安全管理平臺（SOC）很重要的一項工作就是風險管理，包括弱點管理、威脅管理和定量的風險分析。

傳統的SOC1.0實現了以資產為核心的風險管理：以資產為紐帶，將資產的價值、資產弱點的嚴重性和資產面臨威脅的可能性進行關聯，通過量化的公式計算出資產風險。然后，在將單個資產的風險聚合為資產域（或者資產組）的風險。

這種風險管理的模式最大的問題就在于最終呈現給客戶是孤立的資產風險，客戶無法從這些風險值中判斷其業務系統的風險狀態，也就難以觸發合理有效的預警和應急響應過程。

SOC2.0首先在風險管理的目標對象進行了提升，將風險管理的對象放到了客戶的業務系統之上。通過資產的風險計算，以及與業務資產庫的關聯，換算出業務系統的風險值。同時，業務系統的風險隨時間動態變化的，SOC2.0還需要反映出業務系統的動態風險曲線。

下圖分別展示了某客戶的業務系統弱點和威脅視圖。

                                                                                圖：基于業務的弱點管理視圖

                                                                                 圖：基于業務的威脅管理視圖

3.5 其他

此外，以業務安全為核心的SOC2.0在安全態勢感知、信息可視化、全方位事件采集、高性能海量事件處理、實時關聯分析等技術領域都有新的要求和突破。

4 結論

通過對網神SecFox-UMS統一管理系統的詳細闡述，可以展示出SOC2.0類產品的核心特征——以業務為核心的一體化安全管理。

需要指出的是，SOC2.0并不是對SOC1.0的推翻，而是對SOC1.0的繼承和發展。在SOC2.0中也有資產、有資產管理，只是SOC2.0的視角沒有一味地放到資產上，而是放到了資產所承載的業務系統之上，將安全管理平臺（SOC）提升到了一個新的高度，并且真正能夠與客戶形成共同語言。

在IT與業務融合的大背景下，SOC2.0體現了安全與業務的融合。在充分繼承和發展SOC1.0的基礎上，SOC2.0真正將原來的“安全防御孤島”和“安全信息孤島”連成一片，形成一個企業和組織整體的、以業務為核心的IT一體化集中管理平臺，實現對業務連續性的監控、業務安全性的審計和業務風險的度量。

我國信息安全管理正經歷一個從分散到集中，從以資產為核心到以業務為核心的發展軌跡，而SOC2.0時代的到來意味著中國信息安全管理水平上升到了一個新的高度。隨著中國安全建設水平的不斷提升，安全管理的業務導向程度會越來越明顯。