在傳統的SOC1.0眼里，安全管理平臺（SOC）與網絡管理平臺（NOC）是割裂的，但是卻違背了網絡發展的趨勢。未來網絡與安全必然密不可分，只有將網絡管理與安全管理有機結合，才能滿足中國用戶的實際需要。作為本系列的第二篇文章，將詳細闡述SOC2.0是如何將網絡管理與安全管理相融合的。

　　1．網絡管理系統的發展分析

　　網絡管理系統作為一類IT管理系統，伴隨著網絡技術的興起而迅速發展起來，其發展路線經歷了一個從網絡設備管理到業務管理的過程。最早的網絡管理就是對網絡設備的管理。后來，由于客戶網絡化程序加深，設備網管逐步發展到綜合網管階段，不僅管理網絡設備，還管理主機、存儲、應用系統等等，管理范圍不斷擴大。到了最近，網絡管理領域出現了將IT監控與業務整合的需求和發展趨勢，客戶開始關心IT服務對業務帶來的影響，強調從業務目標角度出發來優化IT服務，也就是到達了IT與業務融合的階段。

　　隨著客戶的信息化水平不斷提升，對網絡的依賴日趨加深，而其中的信息問題，尤其是網絡安全問題日益突出，嚴重威脅了客戶的整個IT系統。對此，網絡管理系統顯得力不從心。

　　現在的應用性能管理（Application Performance Management）系統或者業務服務管理（Business Service Management）系統雖然可以監控客戶的應用和業務，但是卻沒有考慮到安全保障方面的因素。以BSM為例，該系統的核心的業務的可用性和連續性，保障業務服務的持續性。雖然有的BSM也能夠對防火墻、IDS等安全設備進行監控，但是基本是監控這些設備的運行狀態，并沒有從安全的角度去分析這些設備產生的安全事件。還有的BSM也能夠收集來自網絡設備、主機甚至安全設備的日志，但僅僅將這些日志存儲起來，供用戶查詢，沒有去對這些日志進行深入的關聯分析，挖掘日志背后隱藏的安全威脅。當然，BSM也就不可能去評估業務系統的安全風險，從而難以指導運維人員進行安全預警與應急響應。

　　2．傳統安全管理平臺的不足

　　安全管理平臺的發展也經歷了一個從分散到集中的過程。傳統的安全管理平臺比較多的將焦點放到了對客戶資產的安全風險，尤其是隱性的安全風險管理之上，借助安全事件的分析和處理過程建立起了一套應急響應流程。但是，傳統的安全管理卻存在不少管理上的缺失，嚴重影響了安管平臺的應用效果。

　　那么，傳統的安全管理到底存在什么問題呢？主要原因有以下幾點：

　　1)傳統的安全管理信息來源單一，安全分析不全面

　　傳統安全管理的信息來源不充分，基本集中在對日志和事件的處理分析，缺少IT資源的性能、故障、運行狀態等信息的輸入，難于反映用戶業務系統的實際情況。有些應用系統連日志采集都是很困難的，根本無法通過日志分析知曉這些應用的情況。有的安全管理系統聲稱能夠收集用戶已有的網管系統發出的告警信息，但實際上，目前國內大量用戶（包括企事業單位和政府部門）連網絡管理、業務管理等基本的IT資源管理技術手段都缺乏，也就更無法為安全管理提供必要的信息了。

　　由于和網絡管理割裂，安全管理基本處于被動狀態，對系統和設備的可用性和健康狀態無法做到主動和有效監控，安全管理就成了無根之木。當用戶的網絡和系統出現故障后，安全管理系統都不可能收到事件，那么分析和展示又有什么意義呢？所以目前很多SOC項目基本停留在審計安全設備的日志層面，不可能有好的效果。

　　此外，傳統的安全風險分析基本集中在事件和弱點的簡單關聯計算上，無法反應實際安全威脅和風險的全貌，由于弱點本身的滯后性，導致這種分析基本都是事后諸葛亮，無法給用戶體現實際效果。

　　2)傳統的安全管理片面強調解決隱性安全問題，缺乏實效性

　　傳統的安全管理系統實用性存在問題，它沒有解決用戶面臨的更為首先的問題——IT資源可用性管理和業務連續性管理。所有安全風險中最基本、也是最常見的一類風險就是可用性風險。如果業務中斷，那么其他安全風險分析也就失去了意義，而傳統的安全管理過分強調分析各種隱性的安全問題，例如外部入侵和內部違規，這些行為往往不導致業務和網絡負載出現波動。誠然，這類分析很重要，但卻是片面的，忽略了對顯性的安全風險，也即可用性風險的識別。
由于缺乏對顯性化安全問題的處理，使得安全管理系統看起來總是捕風捉影，難以快速建立起用戶的信任和正面反饋，從而制約了系統自身的不斷完善。

　　3．用戶需求催生網管安管一體化IT管理系統

　　對于客戶而言，網絡管理也好，安全管理也罷，最首要的是要解決他們面臨的實際問題。企業和組織的IT運維人員經常面臨這樣的問題：

• 接到的保障電話只是反映網絡和系統的可用性問題，但實際上可能是由于網絡和系統自身導致的，也可能是安全問題引發的；
• 總是事后響應，甚至是等到公安部門找上門來，難以提前發現安全問題；
• 發現可疑情況后，缺少分析、響應的手段和流程；
• 無法了解當前整個IT系統的整體運行狀況和安全狀態，風險和運維管理全憑感覺；

　　要緩解和消除上述問題是一個系統性的問題，需要體系化的IT建設思維。其中，很關鍵的一環就是IT部門必須對其IT設施和服務進行全面的、整體的網絡運行監控和安全管理。這其中，既涉及到網絡管理，也有安全管理。

 　　但從目前的實際情況來看，網絡管理和安全管理建設基本是割裂開來的：網絡管理系統主要采用SNMP等協議監控設備和應用的可用性和健康狀態，而安全管理則通過分析安全設備，主機和應用的事件信息，采用關聯規則進行事件關聯，進行審計和風險管理。二者各管一塊，看似也正好和一些IT管理部門的職能劃分一致。雖然存在就有一定的道理，但是未必就真正合理。長期的客戶自身實踐，以及大量的網管和安管的實施案例都表明，要想保障業務的持續運營，必須統籌考慮業務的可用性與業務的安全性。越來越多的客戶已經開始主動要求進行一體化的IT管理系統建設。

 　　未來的網絡發展趨勢必然是網絡與安全密不可分，很多網絡故障都是安全問題引發的，而大部分安全問題都是透過網絡傳播的。因此，只有將網絡管理與安全管理有機結合，才能滿足中國用戶的實際需要。

 　　4．SOC2.0：網絡管理與安全管理的融合

 　　SOC2.0不僅將傳統的安全管理從資產安全的層面提升到了更加貼近客戶的業務安全層面，并且極大地豐富了安全管理對于客戶的實際價值。

 　　下圖展示了當前客戶IT管理的總體架構。

 

 圖：傳統的IT管理架構

 　　可以看出，針對相同的客戶IT資源，網絡管理平臺和安全管理平臺相互割裂，分別為用戶提供服務功能，并各自向上層的運維平臺輸出管理信息，給客戶的IT運維人員使用運維管理平臺造成了極大的困難。

 　　最典型地，就是IT資產的一致性問題。對于運維管理而言，一切運維流程都是建立在一套完整的IT資產庫的基礎之上，而當前的網管平臺和安管平臺各自有自己的資產庫，導致輸出到運維平臺的信息缺乏一致性，從而使得工單處理、事故管理、配置管理、變更管理無所適從。

 　　又例如，網管和安管各自面向客戶的IT資源進行信息采集，造成了數據重復采集的事實，并可能造成對IT資源和業務系統自身運行的影響，或者導致客戶網絡中的管理流量過大，影響業務數據流。

 　　再例如，網管平臺和安管平臺產品的告警信息之間的關聯性沒有得到體現。事實上，很多網絡告警事件是由于安全威脅導致的，而傳統的IT管理架構下卻無法進行相關性分析，造成了運維平臺之上的報警事故頻繁，降低了運維人員故障處理的效率。

 　　通過對現在的IT管理架構的深入分析，可以發現，網絡管理平臺和安全管理平臺都可以劃分為三個層次：采集層、資產層和業務層。在這三個層次上，網絡管理平臺和安全管理平臺都具有一些技術相似性，因而具有融合的可行性。
下圖展示了下一代IT管理架構，即SOC2.0的管理架構。
  

 

圖：下一代IT管理架構

 

　　SOC2.0的理念突破了傳統方式下網絡管理和安全管理割裂的狀況，有機地融合網絡管理和安全管理的相關技術，并統一到IT運維之下。SOC2.0強調集中地管理用戶IT資源環境，統一地采集用戶的主機、網絡設備、安全設備、數據庫、中間件、服務和機房設備的資產信息、運行信息、安全信息，實現面向IT資產的可用性和風險管理，并建立一個面向業務的統一IT管理平面。

 　　SOC2.0在多個技術層次上實現了網管與安管的整合。

 1）SecFox-UMS整合了IT運行監控信息采集過程和安全事件信息采集過程，避免對被監控保護對象重復采集數據，最大程度地降低了管理系統對IT資源自身運行的影響。

 2）SecFox-UMS整合了運行監控信息分析過程和安全事件分析過程。通過統一的關聯分析引擎，系統能夠將資產可用性和性能事件與安全事件進行關聯，全面的處理各種顯性安全問題和隱性安全問題，更加準確的定位安全故障點。

 3）SecFox-UMS整合了運行監控展現與安全事件監控的展現過程。系統采用面向業務的方式，從業務的角度為用戶提供了IT資源整體運行狀況和安全狀況的視圖。

 　　SOC2.0將IT運維的運行管理過程與安全管理過程聚焦到用戶的業務系統上，而非承載這些業務的繁雜的IT資源本身，從而更加有效地為用戶提供全面的IT監控、安全運行和維護解決方案。

 　　5．統一管理平臺的最佳實踐

 　　SOC2.0提出的統一管理的概念無疑是對現有IT管理架構的革新，為客戶的IT管理體系建設提供了一幅藍圖。在現實之中，客戶行業千差萬別、發展階段各有差異、管理水平各有高低、管理需要也各不相同，如何才能逐步實現這個藍圖？這就需要一個IT管理發展的路線圖和一套適合客戶自身發展需要的最佳實踐。我們認為，至少應該從以下幾方面進行考慮。

 　　5.1　職責分離

 　　統一管理系統的建設，既涉及技術層面，也涉及到管理層面。從管理層面來看，一方面，國內很多客戶的組織結構決定了網管與安管是兩個不同的部門，并可能較長時間內都是如此；另一方面，從職責和目標上而言，網管人員和安管人員一定是存在區別的。因此，對于當前的用戶而言，首先是要考慮技術層面的融合。這也意味著SOC2.0統一管理平臺需要在技術架構融合的同時支持管理職責的分離。

 　　以網神SecFox-UMS為例，通過其開放的平臺技術和細粒度權限機制，能夠做到有效的分權管理，使得網管和安管人員既各司其職，又相互協助，同時保持底層技術支撐的一致性。

 　　可以認為，這種分工是基于統一技術支撐平臺的分工，是在更高層次上的分工。

 　　5.2統一運維

 　　在構建完整的IT管理體系的過程中，SOC2.0強調將運維管理單獨抽象出來，形成一個統一的運維服務平臺，不僅要有IT運行管理觸發的流程，還要管理IT安全管理觸發的流程。基于這個運維服務平臺，參照ITIL的要求，逐步建立起面向整個IT系統運行維護和安全保障的流程。

 　　例如，我們不建議客戶在部署單純的網絡管理或者安全管理平臺的時候同時部署內置的工單或者應急響應處理流程模塊，而應該將與流程相關的需求獨立出來，形成一套對整個IT管理流程的需求，并由一個運維管理系統（Operation Management System）系統擔當，然后借助這個系統從流程的角度去整合客戶已有的管理系統，逐步實現SOC2.0所描繪的統一管理藍圖。

 　　5.3可裁剪的管理平臺

 　　SOC2.0提到的統一管理是一套完整的管理體系，對于不同的客戶、統一客戶的不同發展階段，對IT管理的認識和需求都是不同的。因此，在IT管理的實踐過程中，藍圖要完整，實施要分步，要切合客戶自身的實際，不要盲目追求一步到位。因此，一款符合SOC2.0要求的管理平臺應該是一個開放的、可裁剪的、可持續發展的平臺。

 　　以SecFox-UMS為例，從設計伊始，就十分強調整個產品的開放性，因為只有開放性才能滿足用戶不斷優化的IT計算環境和不斷提升的安全需求。SecFox-UMS的開放性體現在以下四個方面：

  可伸縮的統一管理平臺：系統既能夠通過單一部署方式適應中型企事業單位和政府，也能夠通過分布式級聯部署方式適應大型企業集團和省部級多級垂直政府電子政務系統；
 可裁剪的統一管理平臺：系統采用平臺化的體系架構進行設計開發，實現了管理系統的組件化封裝和產品的模塊化銷售。用戶可以根據自身需要選擇適合的模塊，隨著需求的提升，可以無縫地進行模塊擴充；

  對下（北向）開放的統一管理平臺：用戶既可以使用系統自有的網絡管理模塊，也能夠直接集成用戶已有的網管類系統；

  對上（南向）開放的統一管理平臺：系統可以和外部的工單系統、服務臺、ITIL運維系統進行集成，將IT監控和安全事件處理過程集成到整個企業統一的工單處理流程之中；

  可擴展的統一管理平臺：通過添加配置文件的方式實現對新設備日志采集的支持，不需要修改代碼，方便快捷。

 　　6．小結

 　　SOC2.0從關注客戶的安全問題入手，提出了從業務的角度去審視安全的觀點，并進一步設計出了一幅將網絡管理與安全管理融合的藍圖。針對這個藍圖，SOC2.0從方法論和最佳實踐的角度闡明了未來管理系統發展的路線路。
可以說，網絡管理與安全管理的融合是未來發展的必然，這是客戶需求決定的，也是技術發展的必然。