SOC 2.0的“业务芯”

传统sOc以资产为核心、缺乏业务视角，这是传统sOc的软肋。而sOc2.0将以业务为核心，关键就在于看其是否具有业务建模过程和业务展示界面，以及业务安全管理支撑平台。

为了不断应对新的安全挑战，企业和组织先后部署了防火墙、UTM、入侵检测和防护系统、漏洞扫描系统、防病毒系统、终端管理系统，等等，构建起了一道道安全防线。然而，这些安全防线都仅仅抵御来自某个方面的安全威胁，形成了一个个“安全防御孤岛”，无法产生协同效应。更为严重地，这些复杂的IT资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件，形成了大量“信息孤岛”，有限的安全管理人员面对这些数量巨大、彼此割裂的安全信息，操作着各种产品自身的控制台界面和告警窗口，显得束手无策，工作效率极低，难以发现真正的安全隐患。另一方面，企业和组织日益迫切的信息系统审计和内控要求、等级保护要求，以及不断增强的业务持续性需求，也对客户提出了严峻的挑战。

针对上述不断突出的客户需求，从2000年开始，国内外陆续推出了SOC(Security Operations Center)产品。目前国内的SOC产品也称为安全管理平台，由于受到国内安全需求的影响，具有很强的中国特色。

SOC这个概念，自传人中国起，就深深的烙下了中国特色。由于信息安全产业和需求的特殊性使然，由于中国网络与安全管理理念、制度、体系、机制的落后使然。

一般地，SOC被定义为：以资产为核心，以安全事件管理为关键流程，采用安全域划分的思想，建立一套实时的资产风险模型，协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。

SOC 2.0时代到来

国内市场原有的的SOC 1.0产品帮助客户建立起了一个安全管理平台，实现了安全管理从分散到集中的跨越，为客户构建整体安全体系奠定了坚实的基础。但是由于传统SOC理念和技术的局限性，尚不能真正满足客户更深层次的需求，关键在于：传统SOC以资产为核心、缺乏业务视角，这是传统SOC的软肋。

对于用户而言，真正的安全不是简单的设备安全、也不仅是资产安全，而应该是指业务系统安全。IT资源本身的安全管理不是目标，核心需求是要保障IT资源所承载的业务的可用性、连续性、以及安全性，因为业务才是企业和组织的生命线。要保障业务安全，就要求为用户建立一套以业务为核心的管理体系，从业务的角度去看待IT资源的运行和安全。网御神州科技有限公司总裁任增强表示：“如果把传统的SOC称为SOC1.O，那么面向业务的SOC就可以称作SOC2.0。”网御神州提出的SOC2.0的理念，将现有的SOC系统带入了一个新的发展阶段。

SOC2.0是一个以业务为核心的、一体化的安全管理系统。SOC2.0从业务出发，通过业务需求分析、业务建模、面向业务的安全域和资产管理、业务连续性监控、业务价值分析、业务风险和影响性分析、业务可视化等各个环节，采用主动、被动相结合的方法采集来自企业和组织中构成业务系统的各种IT资源的安全信息，从业务的角度进行归一化、监控、分析、审计、报警、响应、存储和报告。SOC2.0以业务为核心，贯穿了信息安全管理系统建设生命周期从调研、部署、实施到运维的各个阶段。

如下图所示，展示了SOC技术、产品和市场的发展路线路。

整体看来，SOC经历了一个从分散到集中，从以资产为核心到以业务核心的发展轨迹。随着中国安全建设水平的不断提升，安全管理的业务导向程度会越来越明显。

在信息安全建设的早期，更多地是部署各类安全设备和系统，逐渐形成了“安全防御孤岛”，导致了安全管理的成本急剧上升，而安全保障效率迅速下降。为此，出现了最早的安全管理系统，主要是实现对网络中分散的防火墙／VPN等设备的集中监控与策略下发，构建一个较为完整的边界安全统一防护体系。

随着对信息安全认识的不断深入，安全管理体系化思想逐渐成熟，出现了以信息系统资产为核心的全面安全监控、分析、响应系统――SOC1.0。SOC1.0以资产为主线，实现了较为全面的事件管理与处理流程，以及风险管理与运维流程。

网御神州总结大量安全管理(SOC)类项目的成败得失，并与国内各个类型的客户深入交流、反复沟通需求，提炼出了新一代SOC产品的核心特征，提出了新一代的SOC2.0理念，并推出了SOC2.0的代表性产品――面向业务的统一管理系统――网神SecFox-UMS(Unified Management System)。

全方位的安全监控

这套系统在保障系统安全运行方面有很多高招，以全方位的安全调控为例，系统提供了全面的监控信息，不但包括传统安全管理系统被动采集的安全事件，而且提供主动探测的监控功能，定时轮询IT资源及其业务系统，获取相关的性能信息和安全信息，例如CPU利用率，内存利用率等性能数据，非法进程和非法开启服务端口等安全信息。

系统通过主动轮询检测，采集日志，网络旁路嗅探等多种管理和检测方式，避免了数据来源单一，提供了系统整体安全和性能状态。因为一个系统的安全信息不是孤立的，单单检测网络攻击，非法入侵等安全行为是远远不够的，实际上在现实中很多安全问题造成的结果是系统性能下降和网络阻塞，而这些安全问题本身是难于发现和规避的。例如ARP攻击、后门或者蠕虫病毒等，都是直接造成了系统和网络的故障或者严重下降后才能发现。因此，对于网络和系统的性能和故障检测也是安全管理必不可少的重要一环。系统提供了根据性能和故障信息的设备联动功能，可以根据性能和故障的直观状态表现来采取安全措施，而不是依赖探测到安全事态再进行设备联动，这样可以极大地减少以往安全系统面临的漏报和误报问题。

所有监控的内容都以Protal的形式直观的展示在系统大屏幕上，所有显示内容都可以自由定义、组合、切换。

全生命周期的安全管理

不仅如此，系统还提供了贯穿整个生命周期的安全管理。系统遵照PDCA的模式，包含事前检测和评估、事中监控和分析，以及事后审计和追踪。事前监测和评估包含业务系统建模、业务指标体系建立、安全需求构建和映射，同时也包括系统漏洞和弱点探测，帮助提前预警和采取防护措施；事中监控和分析包括实时采集和监控系统性能、故障和网络行为，进行实时预警、事故管理，或者进行设备联动；事后审计和追踪包括历史事件查询、调查取证、用户操作回放，协助发现非法行为、进行责任认定，或者通过业务运行快照回放进行事后的故障定位、问题管理，总之，通过事后分析进行业务改善。

市场上有各种各样的SOC产品，网域神州SOC事业部总经理张颖为用户区别1.0和2.0产品支了一招：“区分一个产品是否真正以业务为核心，关键就在于看其是否具有业务建模过程和业务展示界面，以及业务安全管理支撑平台。一款真正的SOC2.0产品会在资产管理、事件管理、运行监控、风险管理、预警管理、响应管理等各个功能模块中都透露出业务的痕迹。”