【51CTO.com 綜合消息】一、SOC的重要發(fā)展現(xiàn)狀

1、國外的發(fā)展方向以SIEM為主

在信息化程度較高的西方國家鮮見以SOC命名的產(chǎn)品，此類產(chǎn)品更多地是與服務(wù)捆綁供給的。最早建立SOC的ISS公司大約是在1999年收購了當(dāng)時最大的獨立安全服務(wù)供給商——Netrex Secure Solutions公司，建立了一個端到端的SAFEsuite(R)安全管理平臺，為客戶供給可管理安全服務(wù)（MSS：Managed Security Service）。他們的SOC是自建自用，用于開展MSS運營業(yè)務(wù)，并非獨立銷售的產(chǎn)品。后面CheckPoint、WatchGuard、Cyber Security等推出的SOC要么是自己以之為平臺進行MSS服務(wù)，要么就是把目標(biāo)客戶定為開展MSS服務(wù)的ISP等。

面向普通用戶的安全管理產(chǎn)品，目前的重要方向集中在安全信息和事件管理（SIEM：Security Information and Event Management）上，安全信息與事件管理重要解決的是用戶網(wǎng)絡(luò)中所有日志的收集、安全存儲、分析、警報、審核以及合規(guī)性報告，它將大批看似無關(guān)的數(shù)據(jù)關(guān)聯(lián)起來，變成可懂得的信息模式，幫助管理員控制網(wǎng)絡(luò)狀態(tài)，并在第一時間控制重大安全事件，同時幫助客戶簡化法規(guī)服從性。

根據(jù)Gartner 2008年關(guān)于信息安全的Hype Cycle曲線分析顯示，全球安全管理平臺市場趨于成熟，已逐漸成為業(yè)界主流產(chǎn)品，如下圖所示：

圖：Gartner信息安全Hyper Cycle

2、國內(nèi)SOC的發(fā)展與建設(shè)困境

國內(nèi)SOC的引入和發(fā)展與國外的情況有很大不同，一方面國內(nèi)在提出SOC的時候，大多數(shù)用戶對SOC認(rèn)識含混，除了電信、民航、金融等高度信息化的個別行業(yè)和單位，大部分企業(yè)和組織，包含政府等對信息安全請求較高的單位連NOC都沒有建立起來。另一方面，由于受制于國內(nèi)體制、利用環(huán)境、傳統(tǒng)認(rèn)識的制約，IT服務(wù)、尤其是安全運維的外包一直沒能開展起來，所以，國內(nèi)的SOC一開端就是面向各類行業(yè)用戶，以產(chǎn)品形態(tài)呈現(xiàn)的。

從一般定義來說，國內(nèi)主流觀點僅把SIEM看做是SOC產(chǎn)品的核心部分之一，一方面請求將不同地位、不同資產(chǎn)（主機、網(wǎng)絡(luò)設(shè)備和安全設(shè)備等）中疏散且海量的安全信息進行歸一（范式化）、匯總、過濾和關(guān)聯(lián)分析，形成基于資產(chǎn)/域的統(tǒng)一等級的要挾與風(fēng)險管理，并依托安全知識庫和工作流程驅(qū)動對要挾與風(fēng)險進行響應(yīng)和處理，另一方面不僅針對安全設(shè)備進行管理，還要針對所有IT資源，甚至是業(yè)務(wù)系統(tǒng)進行集中的監(jiān)控和管理。

隨著用戶對SOC期望值的不斷進步，加上部分廠商出于競爭目標(biāo)的領(lǐng)導(dǎo)，SOC平臺包含的內(nèi)容越來越多。國內(nèi)的SOC平臺所涵蓋的范疇不僅包含SIEM，還有風(fēng)險管理、運維管理、安全設(shè)備管理。甚至有些大型安管平臺還包含了網(wǎng)絡(luò)管理、利用管理、策略管理、配置管理、變更管理、基線管理、績效管理等等，這些擴大利用大都屬于IT運維管理范疇。

盡管SOC產(chǎn)品范疇越來越大，但不容諱言，從另一方面，幾年來電信、民航等領(lǐng)先行業(yè)的SOC建設(shè)難言成功，在投入了大批的人力物力后，用戶發(fā)明，SOC沒有能夠體現(xiàn)日志、告警到安全事件的提煉，報出的安全事件以誤報居多，發(fā)明的風(fēng)險難以懂得，更不會自行處理；主動生成的圖形報表反應(yīng)的是被誤報嚴(yán)重扭曲過的統(tǒng)計成果；全流程的運維管理流程對自己單位卻難以合適。一來二去后，用戶發(fā)明進行了宏大的投資，牽扯了大批的人力，卻沒有換來幻想的運營管理后果。

盡管碰到了各種各樣的困境，但從理論界到各大行業(yè)用戶，沒有人猜忌SOC的必要性。怎樣建設(shè)好、用好SOC，成為一個亟需解決的難題。

二、走中國特點的SOC之路