深入SOC2.0系列（2）：网络管理与安全管理的融合

核心提示： 那么，传统的安全管理到底存在什么问题呢？主要原因有以下几点：1)传统的安全管理信息来源单一，深入SOC2.0系列（2）：网络管理与安全管理的融合(2)，安全分析不全面传统安全管理的信息来源不充分，基本集中在对日志和事件的处理分析，但却是片面的，忽略了对显性的安全风险，缺少IT资源的性能、故障、运

那么，传统的安全管理到底存在什么问题呢？主要原因有以下几点：

1)传统的安全管理信息来源单一，安全分析不全面

传统安全管理的信息来源不充分，基本集中在对日志和事件的处理分析，缺少IT资源的性能、故障、运行状态等信息的输入，难于反映用户业务系统的实际情况。有些应用系统连日志采集都是很困难的，根本无法通过日志分析知晓这些应用的情况。有的安全管理系统声称能够收集用户已有的网管系统发出的告警信息，但实际上，目前国内大量用户（包括企事业单位和政府部门）连网络管理、业务管理等基本的IT资源管理技术手段都缺乏，也就更无法为安全管理提供必要的信息了。

由于和网络管理割裂，安全管理基本处于被动状态，对系统和设备的可用性和健康状态无法做到主动和有效监控，安全管理就成了无根之木。当用户的网络和系统出现故障后，安全管理系统都不可能收到事件，那么分析和展示又有什么意义呢？所以目前很多SOC项目基本停留在审计安全设备的日志层面，不可能有好的效果。

此外，传统的安全风险分析基本集中在事件和弱点的简单关联计算上，无法反应实际安全威胁和风险的全貌，由于弱点本身的滞后性，导致这种分析基本都是事后诸葛亮，无法给用户体现实际效果。

2)传统的安全管理片面强调解决隐性安全问题，缺乏实效性

传统的安全管理系统实用性存在问题，它没有解决用户面临的更为首先的问题——IT资源可用性管理和业务连续性管理。所有安全风险中最基本、也是最常见的一类风险就是可用性风险。如果业务中断，那么其他安全风险分析也就失去了意义，而传统的安全管理过分强调分析各种隐性的安全问题，例如外部入侵和内部违规，这些行为往往不导致业务和网络负载出现波动。诚然，这类分析很重要，但却是片面的，忽略了对显性的安全风险，也即可用性风险的识别。