下一代安全管理平台（SOC2.0）技术白皮书V1

【序】在去年8月份的时候，发表了大量的有关于下一代安全管理平台（SOC2.0）的文章。过去大半年了，现在再整理一下，汇集成一份白皮书，更加体系化一些。

用户需求催生SOC
为了不断应对新的安全挑战，企业和组织先后部署了防火墙、UTM、***检测和防护系统、漏洞扫描系统、防病毒系统、终端管理系统，等等，构建起了一道道安全防线。然而，这些安全防线都仅仅抵御来自某个方面的安全威胁，形成了一个个安全防御孤岛，无法产生协同效应。更为严重地，这些复杂的IT资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件，形成了大量信息孤岛，有限的安全管理人员面对这些数量巨大、彼此割裂的安全信息，操作着各种产品自身的控制台界面和告警窗口，显得束手无策，工作效率极低，难以发现真正的安全隐患。另一方面，企业和组织日益迫切的信息系统审计和内控要求、等级保护要求，以及不断增强的业务持续性需求，也对客户提出了严峻的挑战。

 

传统SOC力不从心

针对上述不断突出的客户需求，从2000年开始，国内外陆续推出了SOC（Security Operations Center）产品。目前国内的SOC产品也称为安全管理平台，由于受到国内安全需求的影响，具有很强的中国特色。

一般地，传统SOC被定义为：以资产为核心，以安全事件管理为关键流程，采用安全域划分的思想，建立一套实时的资产风险模型，协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。

现在国内市场的SOC产品帮助客户建立起了一个安全管理平台，实现了安全管理从分散到集中的跨越，为客户构建整体安全体系奠定了坚实的基础。但是由于传统 SOC理念和技术的局限性，尚不能真正满足客户更深层次的需求，最关键的就在于：

这是传统SOC最关键的软肋！

以下从传统SOC的体系设计、技术支撑和实施过程三个方面详细阐述：

1) 体系设计方面：围绕资产进行功能设计，缺乏对业务的分析
传统的SOC产品强调要以资产为核心，在实现上基本就是以各类IT资产为核心。这里的IT资产也可以称为IP资产，即具有IP地址的IT资产，包括主机、网络设备、安全设备、应用系统等。简单来说，这类SOC产品的基本工作流程就是采集主机，网络设备，应用系统的事件或者日志，结合系统漏洞和弱点等进行事件关联分析，发现安全威胁和评估安全风险。但是对于一个企业或者部门来说，最重要的是业务系统，网络和主机都是承载业务的环境，安全威胁到底如何影响业务，影响到业务什么程度，如何保障业务的安全运行，才是安全的终极目的。如果撇开业务而孤立的关注网络安全、系统安全，可能花费了大量的工作而实际效果不明显，这就是当前SOC产品面临的最重要的问题。

传统的SOC确实做了不少工作，但是缺少明确的体现，用户并没有觉得有了SOC，整个系统就安全了，心里还是没底。

2) 技术支撑方面：缺少全面的业务安全信息收集

SOC的一项核心功能就是将来自不同IT资源的信息汇聚起来，进行归一化的关联分析，实现整体安全与风险的评估。传统SOC在技术实现上，信息来源基本集中在对日志和事件的处理分析上，缺少IT资源的性能、故障、运行状态等信息的输入，难于反映用户业务系统的实际情况，并且有些应用系统连日志采集都是很困难的。有的SOC系统声称能够收集用户已有的网管系统发出的告警信息，但实际上，目前国内大量用户（包括企事业单位和政府部门）连网络管理、业务监控等基本的IT资源管理技术手段都缺乏，也就更无法为安全管理提供必要的信息了。

由于与网络管理割裂，客户的安全管理基本处于被动状态，对系统和设备的可用性和健康状态无法做到主动和有效监控，安全管理就成了无根之木。如果当用户的网络和系统出现故障后，SOC产品都不可能收到事件，那么分析和展示又有什么意义呢？所以，目前很多SOC项目基本停留在审计安全设备的日志层面，不可能有好的效果。

此外，SOC产品强调事件关联分析，而关联分析的前提就是要有足够的信息。传统SOC在对业务链各个环节的事件进行分析的过程中，由于受限于应用系统3层架构、TCP/IP协议的影响，无法采集到业务链端到端的安全信息，即使结合身份认证技术也无法全面保证责任认定、用户行为分析等业务需求的满足。

3) 实施过程方面：传统SOC实施只考虑安全本身，没有关注客户业务

对于客户而言，安全不是目的，只是为了更好的保障业务正常运转的手段。作为一个旨在提升客户安全管理与维护效率的支撑工具，传统SOC在实施过程中仅仅只考虑到如何实现高效的安全管理本身，而没有考虑到如何通过安全管理去实现高效的业务运行。这种舍本逐末的实施理念，很大程度上导致了大量SOC项目实施的无果而终。

在传统的SOC的实施方法论中，对事件往往只是对某种类型如防火墙类、IDS类、主机类的收集、监控和分析，对风险往往是按照子网、区域、或者安全域的方法来评估，这种方式到最后给用户的感觉是看到某些区域风险很高，但无从处理，看到大量的事件产生，仍然不清楚事件造成的后果和影响，无从下手处理。

无论从电信、金融、政府、企事业单位等等行业来说，业务为王，多数业务链条从服务器到客户端跨越了多个安全域甚至多个网络，即使再严密的单区域防护例如单纯对服务器区域的防护也难以防御从业务链条上发起的***，所以，如果缺少对业务的了解和建模，试图仅从传统安全风险管理的方法论出发，往往难以发现真正的安全问题。

 

面向业务的下一代安全管理平台（SOC2.0）
 

通过上面对传统SOC存在的缺陷分析，可以看出，对于用户而言，真正的安全不是简单的设备安全，而是指业务系统安全。IT资源本身的安全管理不是目标，核心需求是要保障IT资源所承载的业务的可用性、连续性、以及安全性，因为业务才是企业和组织的生命线。要保障业务安全，就要求为用户建立一套以业务为核心的管理体系，从业务的角度去看待IT资源的运行和安全。如果把传统的SOC称为SOC1.0，那么面向业务的SOC就可以称作SOC2.0。SOC2.0的理念将现有的SOC系统带入了一个新的发展阶段。

什么是SOC2.0？

为了抵御来自企业和组织外部***和***，阻止内部的违规和信息泄漏，以及符合国家、行业的各项法律法规，切实保障重要信息系统的安全，企业和组织需要建立一套面向业务的一体化集中安全管理系统。

SOC2.0是一个以业务为核心的、一体化的安全管理系统。SOC2.0从业务出发，通过业务需求分析、业务建模、面向业务的安全域和资产管理、业务连续性监控、业务价值分析、业务风险和影响性分析、业务可视化等各个环节，采用主动、被动相结合的方法采集来自企业和组织中构成业务系统的各种IT资源的安全信息，从业务的角度进行归一化、监控、分析、审计、报警、响应、存储和报告。SOC2.0以业务为核心，贯穿了信息安全管理系统建设生命周期从调研、部署、实施到运维的各个阶段。

 

下一代安全管理平台（SOC2.0）的核心要素

作为一款属于SOC2.0的产品和系统，应该具备以下核心特质。

 

体系设计方面：围绕业务的功能设计

一个SOC2.0产品，其安全管理的各个环节都应该是面向业务的。从资产管理、弱点管理、事件管理、风险管理、告警管理到响应管理的各个环节都应该具有业务的烙印。

在资产管理阶段，进行资产和安全域的划分的时候，必须要有业务建模的过程，将一个个基本的IT资源对象集合为若干个业务系统，并以业务系统为单位划分安全域。

在事件管理、弱点管理、风险管理的时候，都要能够从业务视角来检视业务系统的事件、弱点和风险，并进行基于业务的事件关联分析和风险分析。

最后，在界面展示方面，系统必须具备业务展示视图。

只有面向业务的安全管理系统才能贴近用户、与用户站在一道，才能以用户的语言去表述安全，实现安全的去专业化，才能为用户所接受并真正亲自实践起来。

技术支撑方面：面向业务链的信息收集

SOC2.0在收集信息的时候注重从业务链的角度去全面收集各类与业务安全运行相关的数据。

SOC2.0产品一方面能够对构成业务系统的各种IT资源进行轮询式的信息采集，统一地监管业务相关的主机、网络设备、安全设备、数据库、中间件、服务和机房设备，保障业务的正常运行；另一方面，还可以收集业务系统相关的日志和事件信息，进行归一化和关联分析，并将采集到的事件信息和集中监控的告警事件关联起来，实现面向业务的监控与分析。

通过采集和分析整个业务链相关的日志、告警、运行性能参数信息，并且从业务的角度对这些信息进行关联分析，大大提升了客户业务安全管理的效率和作用。

实施过程方面：面向业务的实施和运维过程

实施工作在SOC项目建设过程中占有极其重要的地位，实施工作的优劣直接影响SOC的使用效果和对用户安全管理对风险和安全事件的掌控和处理。

SOC2.0的实施必然要以业务为核心，从业务建模、业务流程梳理，到SOC系统的业务映射，以及运维过程中基于业务的事件分析、连续性分析、风险分析等。采用业务视角的实施和运维方法论，真正帮助用户提升业务系统的安全保障水平。

SOC2.0以业务为基础的实施方法，就是从对网络中单个设备集成混杂的方式转变为对业务链的梳理，从单个业务链条的所涉及的资产、事件、风险出发，实现业务资产的运行监控，业务的风险展示，实现业务链条事件的关联分析和告警处理。

面向业务的SOC2.0实施和运维方法论与SOC2.0管理系统及其架构是密不可分的。基于业务的SOC2.0的理念和方法，真正从关注用户业务安全的思路出发，在系统设计的开始就提供了以业务为核心的SOC架构，这为实施过程中最大满足用户对业务安全的关注提供了强大的基础和工具。反过来，以业务为基础的实施与维护最佳实践又会不断丰富面向业务的SOC架构。

下一代安全管理平台（SOC2.0）的价值
 

SOC2.0的价值就在于确保IT可靠、安全地与客户业务战略一致，促使客户有效地利用信息资源，降低运营风险。
在充分继承与发扬传统SOC的基础上，SOC2.0真正将原来的安全防御孤岛和安全信息孤岛连成一片，形成一个企业和组织整体的、以业务为核心的 IT一体化集中管理平台，实现对业务连续性的监控、业务安全性的审计和业务风险的度量。

安全管理经历了一个从分散到集中，从以资产安全为核心到以业务安全核心的发展轨迹。随着安全建设水平的不断提升，安全管理的业务导向程度越来越明显。

在IT与业务融合的大背景下，SOC2.0体现了安全与业务的融合。