深入SOC2.0系列（4）：具备安全态势感知能力的安全管理平台

核心提示： 3)事件预处理：也是对采集上来的各种要素信息进行事件标准化和归一化处理，事件预处理尤其是指采集具有专项信息采集和处理能力的分布式模块，深入SOC2.0系列（4）：具备安全态势感知能力的安全管理平台(4)，例如，某个预处理模块通过网络协议抓包的方式对数据库访问操作进行解析，是用户与系统的交互接口，

3)　事件预处理：也是对采集上来的各种要素信息进行事件标准化和归一化处理。事件预处理尤其是指采集具有专项信息采集和处理能力的分布式模块。例如，某个预处理模块通过网络协议抓包的方式对数据库访问操作进行解析，并转变为标准化事件。事件预处理是可选的处理过程。

4)　态势评估：包括关联分析（Correlation Analysis）、态势分析（Situation Analysis）、态势评价（Situation Evaluation），核心是事件关联分析。关联分析就是要使用采用数据融合（Data Fusion）技术对多源异构数据从时间、空间、协议等多个方面进行关联和识别。态势评估的结果是形成态势评价报告和网络综合态势图，借助态势可视化为管理员提供辅助决策信息，同时为更高阶段的业务评估提供输入。

5)　业务评估：包括业务风险评估（Business Risk Assessment）和业务影响评估（Business Impact Assessment），还包括业务合规审计（Business Compliance Audit）。业务风险评估主要采用面向业务的风险评估方法，通过业务的价值、弱点和威胁情况得到量的出业务风险数值；业务影响评估主要分析业务的实际流程，获知业务中断带来的实际影响，从而找到业务对风险的承受程度。

6)　预警与响应：态势评估和业务评估的结果都可以送入预警与响应模块，一方面借助态势可视化进行预警展示，另一方面，送入流程处理模块进行流程化响应与安全风险运维。

7)　流程处理：主要是指按照运维流程进行风险管理的过程。在网神SecFox安全管理体系中，该功能是由独立的运维管理系统（Operation Management System）担当。

8)　用户接口（态势可视化）：实现安全态势的可视化、交互分析、追踪、下钻、统计、分布、趋势，等等，是用户与系统的交互接口。态势感知系统的运行需要用户的主动参与，而不是一个自治系统。