深入SOC2.0系列（1）：什么是面向业务的安全管理

核心提示： 以SecFox-UMS统一管理系统的业务建模为例，这里的业务建模是指这样一个过程：首先，深入SOC2.0系列（1）：什么是面向业务的安全管理(3)，将业务系统映射为该业务的IT支撑系统，也就是一组IT资源；然后，而传统的SOC（SOC1.0）则一般是以资产域为线索的树形结构，无法反映出资产之间的

以SecFox-UMS统一管理系统的业务建模为例，这里的业务建模是指这样一个过程：首先，将业务系统映射为该业务的IT支撑系统，也就是一组IT资源；然后，以业务流程为线索，描述这组IT资源之间的相互关系，并建立一套表征IT支撑系统的运行指标和安全指标。

例如，一个OA业务可能包括了OA的中间件，承载这个中间件系统运行的服务器，后台数据库管理系统，包括这些服务器连接的交换机、防火墙，甚至还包括服务器所在的机房。那么，对业务的管理就可以换算成对这些IT资源的管理。如下图所示：

图片看不清楚？请点击这里查看原图（大图）。

图：业务系统建模过程示例

3.2 业务资产管理与价值分析

在业务建模的同时，业务的资产也同时梳理出来了。据此，SecFox-UMS统一管理系统的实施人员可以帮助用户以业务为核心，导入资产信息，建立业务资产库。SecFox-UMS支持手工录入、外部资产导入等方式建立资产库。业务资产管理与传统SOC的资产管理最大的区别就在于业务资产库是以业务系统为核心构建的一个树形结构，而传统的SOC（SOC1.0）则一般是以资产域为线索的树形结构，无法反映出资产之间的业务从属关系。下图展示了某客户的业务系统资产树。