在傳統(tǒng)的SOC1.0眼里，安全管理平臺(tái)（SOC）與網(wǎng)絡(luò)管理平臺(tái)（NOC）是割裂的，但是卻違背了網(wǎng)絡(luò)發(fā)展的趨勢(shì)。未來(lái)網(wǎng)絡(luò)與安全必然密不可分，只有將網(wǎng)絡(luò)管理與安全管理有機(jī)結(jié)合，才能滿足中國(guó)用戶的實(shí)際需要。作為本系列的第二篇文章，將詳細(xì)闡述SOC2.0是如何將網(wǎng)絡(luò)管理與安全管理相融合的。

　　1．網(wǎng)絡(luò)管理系統(tǒng)的發(fā)展分析

　　網(wǎng)絡(luò)管理系統(tǒng)作為一類(lèi)IT管理系統(tǒng)，伴隨著網(wǎng)絡(luò)技術(shù)的興起而迅速發(fā)展起來(lái)，其發(fā)展路線經(jīng)歷了一個(gè)從網(wǎng)絡(luò)設(shè)備管理到業(yè)務(wù)管理的過(guò)程。最早的網(wǎng)絡(luò)管理就是對(duì)網(wǎng)絡(luò)設(shè)備的管理。后來(lái)，由于客戶網(wǎng)絡(luò)化程序加深，設(shè)備網(wǎng)管逐步發(fā)展到綜合網(wǎng)管階段，不僅管理網(wǎng)絡(luò)設(shè)備，還管理主機(jī)、存儲(chǔ)、應(yīng)用系統(tǒng)等等，管理范圍不斷擴(kuò)大。到了最近，網(wǎng)絡(luò)管理領(lǐng)域出現(xiàn)了將IT監(jiān)控與業(yè)務(wù)整合的需求和發(fā)展趨勢(shì)，客戶開(kāi)始關(guān)心IT服務(wù)對(duì)業(yè)務(wù)帶來(lái)的影響，強(qiáng)調(diào)從業(yè)務(wù)目標(biāo)角度出發(fā)來(lái)優(yōu)化IT服務(wù)，也就是到達(dá)了IT與業(yè)務(wù)融合的階段。

　　隨著客戶的信息化水平不斷提升，對(duì)網(wǎng)絡(luò)的依賴日趨加深，而其中的信息問(wèn)題，尤其是網(wǎng)絡(luò)安全問(wèn)題日益突出，嚴(yán)重威脅了客戶的整個(gè)IT系統(tǒng)。對(duì)此，網(wǎng)絡(luò)管理系統(tǒng)顯得力不從心。

　　現(xiàn)在的應(yīng)用性能管理（Application Performance Management）系統(tǒng)或者業(yè)務(wù)服務(wù)管理（Business Service Management）系統(tǒng)雖然可以監(jiān)控客戶的應(yīng)用和業(yè)務(wù)，但是卻沒(méi)有考慮到安全保障方面的因素。以BSM為例，該系統(tǒng)的核心的業(yè)務(wù)的可用性和連續(xù)性，保障業(yè)務(wù)服務(wù)的持續(xù)性。雖然有的BSM也能夠?qū)Ψ阑饓ΑDS等安全設(shè)備進(jìn)行監(jiān)控，但是基本是監(jiān)控這些設(shè)備的運(yùn)行狀態(tài)，并沒(méi)有從安全的角度去分析這些設(shè)備產(chǎn)生的安全事件。還有的BSM也能夠收集來(lái)自網(wǎng)絡(luò)設(shè)備、主機(jī)甚至安全設(shè)備的日志，但僅僅將這些日志存儲(chǔ)起來(lái)，供用戶查詢，沒(méi)有去對(duì)這些日志進(jìn)行深入的關(guān)聯(lián)分析，挖掘日志背后隱藏的安全威脅。當(dāng)然，BSM也就不可能去評(píng)估業(yè)務(wù)系統(tǒng)的安全風(fēng)險(xiǎn)，從而難以指導(dǎo)運(yùn)維人員進(jìn)行安全預(yù)警與應(yīng)急響應(yīng)。

　　2．傳統(tǒng)安全管理平臺(tái)的不足

　　安全管理平臺(tái)的發(fā)展也經(jīng)歷了一個(gè)從分散到集中的過(guò)程。傳統(tǒng)的安全管理平臺(tái)比較多的將焦點(diǎn)放到了對(duì)客戶資產(chǎn)的安全風(fēng)險(xiǎn)，尤其是隱性的安全風(fēng)險(xiǎn)管理之上，借助安全事件的分析和處理過(guò)程建立起了一套應(yīng)急響應(yīng)流程。但是，傳統(tǒng)的安全管理卻存在不少管理上的缺失，嚴(yán)重影響了安管平臺(tái)的應(yīng)用效果。

　　那么，傳統(tǒng)的安全管理到底存在什么問(wèn)題呢？主要原因有以下幾點(diǎn)：

　　1)傳統(tǒng)的安全管理信息來(lái)源單一，安全分析不全面

　　傳統(tǒng)安全管理的信息來(lái)源不充分，基本集中在對(duì)日志和事件的處理分析，缺少I(mǎi)T資源的性能、故障、運(yùn)行狀態(tài)等信息的輸入，難于反映用戶業(yè)務(wù)系統(tǒng)的實(shí)際情況。有些應(yīng)用系統(tǒng)連日志采集都是很困難的，根本無(wú)法通過(guò)日志分析知曉這些應(yīng)用的情況。有的安全管理系統(tǒng)聲稱能夠收集用戶已有的網(wǎng)管系統(tǒng)發(fā)出的告警信息，但實(shí)際上，目前國(guó)內(nèi)大量用戶（包括企事業(yè)單位和政府部門(mén)）連網(wǎng)絡(luò)管理、業(yè)務(wù)管理等基本的IT資源管理技術(shù)手段都缺乏，也就更無(wú)法為安全管理提供必要的信息了。

　　由于和網(wǎng)絡(luò)管理割裂，安全管理基本處于被動(dòng)狀態(tài)，對(duì)系統(tǒng)和設(shè)備的可用性和健康狀態(tài)無(wú)法做到主動(dòng)和有效監(jiān)控，安全管理就成了無(wú)根之木。當(dāng)用戶的網(wǎng)絡(luò)和系統(tǒng)出現(xiàn)故障后，安全管理系統(tǒng)都不可能收到事件，那么分析和展示又有什么意義呢？所以目前很多SOC項(xiàng)目基本停留在審計(jì)安全設(shè)備的日志層面，不可能有好的效果。

　　此外，傳統(tǒng)的安全風(fēng)險(xiǎn)分析基本集中在事件和弱點(diǎn)的簡(jiǎn)單關(guān)聯(lián)計(jì)算上，無(wú)法反應(yīng)實(shí)際安全威脅和風(fēng)險(xiǎn)的全貌，由于弱點(diǎn)本身的滯后性，導(dǎo)致這種分析基本都是事后諸葛亮，無(wú)法給用戶體現(xiàn)實(shí)際效果。

　　2)傳統(tǒng)的安全管理片面強(qiáng)調(diào)解決隱性安全問(wèn)題，缺乏實(shí)效性

　　傳統(tǒng)的安全管理系統(tǒng)實(shí)用性存在問(wèn)題，它沒(méi)有解決用戶面臨的更為首先的問(wèn)題——IT資源可用性管理和業(yè)務(wù)連續(xù)性管理。所有安全風(fēng)險(xiǎn)中最基本、也是最常見(jiàn)的一類(lèi)風(fēng)險(xiǎn)就是可用性風(fēng)險(xiǎn)。如果業(yè)務(wù)中斷，那么其他安全風(fēng)險(xiǎn)分析也就失去了意義，而傳統(tǒng)的安全管理過(guò)分強(qiáng)調(diào)分析各種隱性的安全問(wèn)題，例如外部入侵和內(nèi)部違規(guī)，這些行為往往不導(dǎo)致業(yè)務(wù)和網(wǎng)絡(luò)負(fù)載出現(xiàn)波動(dòng)。誠(chéng)然，這類(lèi)分析很重要，但卻是片面的，忽略了對(duì)顯性的安全風(fēng)險(xiǎn)，也即可用性風(fēng)險(xiǎn)的識(shí)別。
由于缺乏對(duì)顯性化安全問(wèn)題的處理，使得安全管理系統(tǒng)看起來(lái)總是捕風(fēng)捉影，難以快速建立起用戶的信任和正面反饋，從而制約了系統(tǒng)自身的不斷完善。

　　3．用戶需求催生網(wǎng)管安管一體化IT管理系統(tǒng)

　　對(duì)于客戶而言，網(wǎng)絡(luò)管理也好，安全管理也罷，最首要的是要解決他們面臨的實(shí)際問(wèn)題。企業(yè)和組織的IT運(yùn)維人員經(jīng)常面臨這樣的問(wèn)題：

• 接到的保障電話只是反映網(wǎng)絡(luò)和系統(tǒng)的可用性問(wèn)題，但實(shí)際上可能是由于網(wǎng)絡(luò)和系統(tǒng)自身導(dǎo)致的，也可能是安全問(wèn)題引發(fā)的；
• 總是事后響應(yīng)，甚至是等到公安部門(mén)找上門(mén)來(lái)，難以提前發(fā)現(xiàn)安全問(wèn)題；
• 發(fā)現(xiàn)可疑情況后，缺少分析、響應(yīng)的手段和流程；
• 無(wú)法了解當(dāng)前整個(gè)IT系統(tǒng)的整體運(yùn)行狀況和安全狀態(tài)，風(fēng)險(xiǎn)和運(yùn)維管理全憑感覺(jué)；

　　要緩解和消除上述問(wèn)題是一個(gè)系統(tǒng)性的問(wèn)題，需要體系化的IT建設(shè)思維。其中，很關(guān)鍵的一環(huán)就是IT部門(mén)必須對(duì)其IT設(shè)施和服務(wù)進(jìn)行全面的、整體的網(wǎng)絡(luò)運(yùn)行監(jiān)控和安全管理。這其中，既涉及到網(wǎng)絡(luò)管理，也有安全管理。

 　　但從目前的實(shí)際情況來(lái)看，網(wǎng)絡(luò)管理和安全管理建設(shè)基本是割裂開(kāi)來(lái)的：網(wǎng)絡(luò)管理系統(tǒng)主要采用SNMP等協(xié)議監(jiān)控設(shè)備和應(yīng)用的可用性和健康狀態(tài)，而安全管理則通過(guò)分析安全設(shè)備，主機(jī)和應(yīng)用的事件信息，采用關(guān)聯(lián)規(guī)則進(jìn)行事件關(guān)聯(lián)，進(jìn)行審計(jì)和風(fēng)險(xiǎn)管理。二者各管一塊，看似也正好和一些IT管理部門(mén)的職能劃分一致。雖然存在就有一定的道理，但是未必就真正合理。長(zhǎng)期的客戶自身實(shí)踐，以及大量的網(wǎng)管和安管的實(shí)施案例都表明，要想保障業(yè)務(wù)的持續(xù)運(yùn)營(yíng)，必須統(tǒng)籌考慮業(yè)務(wù)的可用性與業(yè)務(wù)的安全性。越來(lái)越多的客戶已經(jīng)開(kāi)始主動(dòng)要求進(jìn)行一體化的IT管理系統(tǒng)建設(shè)。

 　　未來(lái)的網(wǎng)絡(luò)發(fā)展趨勢(shì)必然是網(wǎng)絡(luò)與安全密不可分，很多網(wǎng)絡(luò)故障都是安全問(wèn)題引發(fā)的，而大部分安全問(wèn)題都是透過(guò)網(wǎng)絡(luò)傳播的。因此，只有將網(wǎng)絡(luò)管理與安全管理有機(jī)結(jié)合，才能滿足中國(guó)用戶的實(shí)際需要。

 　　4．SOC2.0：網(wǎng)絡(luò)管理與安全管理的融合

 　　SOC2.0不僅將傳統(tǒng)的安全管理從資產(chǎn)安全的層面提升到了更加貼近客戶的業(yè)務(wù)安全層面，并且極大地豐富了安全管理對(duì)于客戶的實(shí)際價(jià)值。

 　　下圖展示了當(dāng)前客戶IT管理的總體架構(gòu)。

 

 圖：傳統(tǒng)的IT管理架構(gòu)

 　　可以看出，針對(duì)相同的客戶IT資源，網(wǎng)絡(luò)管理平臺(tái)和安全管理平臺(tái)相互割裂，分別為用戶提供服務(wù)功能，并各自向上層的運(yùn)維平臺(tái)輸出管理信息，給客戶的IT運(yùn)維人員使用運(yùn)維管理平臺(tái)造成了極大的困難。

 　　最典型地，就是IT資產(chǎn)的一致性問(wèn)題。對(duì)于運(yùn)維管理而言，一切運(yùn)維流程都是建立在一套完整的IT資產(chǎn)庫(kù)的基礎(chǔ)之上，而當(dāng)前的網(wǎng)管平臺(tái)和安管平臺(tái)各自有自己的資產(chǎn)庫(kù)，導(dǎo)致輸出到運(yùn)維平臺(tái)的信息缺乏一致性，從而使得工單處理、事故管理、配置管理、變更管理無(wú)所適從。

 　　又例如，網(wǎng)管和安管各自面向客戶的IT資源進(jìn)行信息采集，造成了數(shù)據(jù)重復(fù)采集的事實(shí)，并可能造成對(duì)IT資源和業(yè)務(wù)系統(tǒng)自身運(yùn)行的影響，或者導(dǎo)致客戶網(wǎng)絡(luò)中的管理流量過(guò)大，影響業(yè)務(wù)數(shù)據(jù)流。

 　　再例如，網(wǎng)管平臺(tái)和安管平臺(tái)產(chǎn)品的告警信息之間的關(guān)聯(lián)性沒(méi)有得到體現(xiàn)。事實(shí)上，很多網(wǎng)絡(luò)告警事件是由于安全威脅導(dǎo)致的，而傳統(tǒng)的IT管理架構(gòu)下卻無(wú)法進(jìn)行相關(guān)性分析，造成了運(yùn)維平臺(tái)之上的報(bào)警事故頻繁，降低了運(yùn)維人員故障處理的效率。

 　　通過(guò)對(duì)現(xiàn)在的IT管理架構(gòu)的深入分析，可以發(fā)現(xiàn)，網(wǎng)絡(luò)管理平臺(tái)和安全管理平臺(tái)都可以劃分為三個(gè)層次：采集層、資產(chǎn)層和業(yè)務(wù)層。在這三個(gè)層次上，網(wǎng)絡(luò)管理平臺(tái)和安全管理平臺(tái)都具有一些技術(shù)相似性，因而具有融合的可行性。
下圖展示了下一代IT管理架構(gòu)，即SOC2.0的管理架構(gòu)。
  

 

圖：下一代IT管理架構(gòu)

 

　　SOC2.0的理念突破了傳統(tǒng)方式下網(wǎng)絡(luò)管理和安全管理割裂的狀況，有機(jī)地融合網(wǎng)絡(luò)管理和安全管理的相關(guān)技術(shù)，并統(tǒng)一到IT運(yùn)維之下。SOC2.0強(qiáng)調(diào)集中地管理用戶IT資源環(huán)境，統(tǒng)一地采集用戶的主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫(kù)、中間件、服務(wù)和機(jī)房設(shè)備的資產(chǎn)信息、運(yùn)行信息、安全信息，實(shí)現(xiàn)面向IT資產(chǎn)的可用性和風(fēng)險(xiǎn)管理，并建立一個(gè)面向業(yè)務(wù)的統(tǒng)一IT管理平面。

 　　SOC2.0在多個(gè)技術(shù)層次上實(shí)現(xiàn)了網(wǎng)管與安管的整合。

 1）SecFox-UMS整合了IT運(yùn)行監(jiān)控信息采集過(guò)程和安全事件信息采集過(guò)程，避免對(duì)被監(jiān)控保護(hù)對(duì)象重復(fù)采集數(shù)據(jù)，最大程度地降低了管理系統(tǒng)對(duì)IT資源自身運(yùn)行的影響。

 2）SecFox-UMS整合了運(yùn)行監(jiān)控信息分析過(guò)程和安全事件分析過(guò)程。通過(guò)統(tǒng)一的關(guān)聯(lián)分析引擎，系統(tǒng)能夠?qū)①Y產(chǎn)可用性和性能事件與安全事件進(jìn)行關(guān)聯(lián)，全面的處理各種顯性安全問(wèn)題和隱性安全問(wèn)題，更加準(zhǔn)確的定位安全故障點(diǎn)。

 3）SecFox-UMS整合了運(yùn)行監(jiān)控展現(xiàn)與安全事件監(jiān)控的展現(xiàn)過(guò)程。系統(tǒng)采用面向業(yè)務(wù)的方式，從業(yè)務(wù)的角度為用戶提供了IT資源整體運(yùn)行狀況和安全狀況的視圖。

 　　SOC2.0將IT運(yùn)維的運(yùn)行管理過(guò)程與安全管理過(guò)程聚焦到用戶的業(yè)務(wù)系統(tǒng)上，而非承載這些業(yè)務(wù)的繁雜的IT資源本身，從而更加有效地為用戶提供全面的IT監(jiān)控、安全運(yùn)行和維護(hù)解決方案。

 　　5．統(tǒng)一管理平臺(tái)的最佳實(shí)踐

 　　SOC2.0提出的統(tǒng)一管理的概念無(wú)疑是對(duì)現(xiàn)有IT管理架構(gòu)的革新，為客戶的IT管理體系建設(shè)提供了一幅藍(lán)圖。在現(xiàn)實(shí)之中，客戶行業(yè)千差萬(wàn)別、發(fā)展階段各有差異、管理水平各有高低、管理需要也各不相同，如何才能逐步實(shí)現(xiàn)這個(gè)藍(lán)圖？這就需要一個(gè)IT管理發(fā)展的路線圖和一套適合客戶自身發(fā)展需要的最佳實(shí)踐。我們認(rèn)為，至少應(yīng)該從以下幾方面進(jìn)行考慮。

 　　5.1　職責(zé)分離

 　　統(tǒng)一管理系統(tǒng)的建設(shè)，既涉及技術(shù)層面，也涉及到管理層面。從管理層面來(lái)看，一方面，國(guó)內(nèi)很多客戶的組織結(jié)構(gòu)決定了網(wǎng)管與安管是兩個(gè)不同的部門(mén)，并可能較長(zhǎng)時(shí)間內(nèi)都是如此；另一方面，從職責(zé)和目標(biāo)上而言，網(wǎng)管人員和安管人員一定是存在區(qū)別的。因此，對(duì)于當(dāng)前的用戶而言，首先是要考慮技術(shù)層面的融合。這也意味著SOC2.0統(tǒng)一管理平臺(tái)需要在技術(shù)架構(gòu)融合的同時(shí)支持管理職責(zé)的分離。

 　　以網(wǎng)神SecFox-UMS為例，通過(guò)其開(kāi)放的平臺(tái)技術(shù)和細(xì)粒度權(quán)限機(jī)制，能夠做到有效的分權(quán)管理，使得網(wǎng)管和安管人員既各司其職，又相互協(xié)助，同時(shí)保持底層技術(shù)支撐的一致性。

 　　可以認(rèn)為，這種分工是基于統(tǒng)一技術(shù)支撐平臺(tái)的分工，是在更高層次上的分工。

 　　5.2統(tǒng)一運(yùn)維

 　　在構(gòu)建完整的IT管理體系的過(guò)程中，SOC2.0強(qiáng)調(diào)將運(yùn)維管理單獨(dú)抽象出來(lái)，形成一個(gè)統(tǒng)一的運(yùn)維服務(wù)平臺(tái)，不僅要有IT運(yùn)行管理觸發(fā)的流程，還要管理IT安全管理觸發(fā)的流程。基于這個(gè)運(yùn)維服務(wù)平臺(tái)，參照ITIL的要求，逐步建立起面向整個(gè)IT系統(tǒng)運(yùn)行維護(hù)和安全保障的流程。

 　　例如，我們不建議客戶在部署單純的網(wǎng)絡(luò)管理或者安全管理平臺(tái)的時(shí)候同時(shí)部署內(nèi)置的工單或者應(yīng)急響應(yīng)處理流程模塊，而應(yīng)該將與流程相關(guān)的需求獨(dú)立出來(lái)，形成一套對(duì)整個(gè)IT管理流程的需求，并由一個(gè)運(yùn)維管理系統(tǒng)（Operation Management System）系統(tǒng)擔(dān)當(dāng)，然后借助這個(gè)系統(tǒng)從流程的角度去整合客戶已有的管理系統(tǒng)，逐步實(shí)現(xiàn)SOC2.0所描繪的統(tǒng)一管理藍(lán)圖。

 　　5.3可裁剪的管理平臺(tái)

 　　SOC2.0提到的統(tǒng)一管理是一套完整的管理體系，對(duì)于不同的客戶、統(tǒng)一客戶的不同發(fā)展階段，對(duì)IT管理的認(rèn)識(shí)和需求都是不同的。因此，在IT管理的實(shí)踐過(guò)程中，藍(lán)圖要完整，實(shí)施要分步，要切合客戶自身的實(shí)際，不要盲目追求一步到位。因此，一款符合SOC2.0要求的管理平臺(tái)應(yīng)該是一個(gè)開(kāi)放的、可裁剪的、可持續(xù)發(fā)展的平臺(tái)。

 　　以SecFox-UMS為例，從設(shè)計(jì)伊始，就十分強(qiáng)調(diào)整個(gè)產(chǎn)品的開(kāi)放性，因?yàn)橹挥虚_(kāi)放性才能滿足用戶不斷優(yōu)化的IT計(jì)算環(huán)境和不斷提升的安全需求。SecFox-UMS的開(kāi)放性體現(xiàn)在以下四個(gè)方面：

  可伸縮的統(tǒng)一管理平臺(tái)：系統(tǒng)既能夠通過(guò)單一部署方式適應(yīng)中型企事業(yè)單位和政府，也能夠通過(guò)分布式級(jí)聯(lián)部署方式適應(yīng)大型企業(yè)集團(tuán)和省部級(jí)多級(jí)垂直政府電子政務(wù)系統(tǒng)；
 可裁剪的統(tǒng)一管理平臺(tái)：系統(tǒng)采用平臺(tái)化的體系架構(gòu)進(jìn)行設(shè)計(jì)開(kāi)發(fā)，實(shí)現(xiàn)了管理系統(tǒng)的組件化封裝和產(chǎn)品的模塊化銷(xiāo)售。用戶可以根據(jù)自身需要選擇適合的模塊，隨著需求的提升，可以無(wú)縫地進(jìn)行模塊擴(kuò)充；

  對(duì)下（北向）開(kāi)放的統(tǒng)一管理平臺(tái)：用戶既可以使用系統(tǒng)自有的網(wǎng)絡(luò)管理模塊，也能夠直接集成用戶已有的網(wǎng)管類(lèi)系統(tǒng)；

  對(duì)上（南向）開(kāi)放的統(tǒng)一管理平臺(tái)：系統(tǒng)可以和外部的工單系統(tǒng)、服務(wù)臺(tái)、ITIL運(yùn)維系統(tǒng)進(jìn)行集成，將IT監(jiān)控和安全事件處理過(guò)程集成到整個(gè)企業(yè)統(tǒng)一的工單處理流程之中；

  可擴(kuò)展的統(tǒng)一管理平臺(tái)：通過(guò)添加配置文件的方式實(shí)現(xiàn)對(duì)新設(shè)備日志采集的支持，不需要修改代碼，方便快捷。

 　　6．小結(jié)

 　　SOC2.0從關(guān)注客戶的安全問(wèn)題入手，提出了從業(yè)務(wù)的角度去審視安全的觀點(diǎn)，并進(jìn)一步設(shè)計(jì)出了一幅將網(wǎng)絡(luò)管理與安全管理融合的藍(lán)圖。針對(duì)這個(gè)藍(lán)圖，SOC2.0從方法論和最佳實(shí)踐的角度闡明了未來(lái)管理系統(tǒng)發(fā)展的路線路。
可以說(shuō)，網(wǎng)絡(luò)管理與安全管理的融合是未來(lái)發(fā)展的必然，這是客戶需求決定的，也是技術(shù)發(fā)展的必然。