【51CTO.com 綜合消息】一、SOC的重要發(fā)展現(xiàn)狀

1、國外的發(fā)展方向以SIEM為主

在信息化程度較高的西方國家鮮見以SOC命名的產(chǎn)品，此類產(chǎn)品更多地是與服務捆綁供給的。最早建立SOC的ISS公司大約是在1999年收購了當時最大的獨立安全服務供給商——Netrex Secure Solutions公司，建立了一個端到端的SAFEsuite(R)安全管理平臺，為客戶供給可管理安全服務（MSS：Managed Security Service）。他們的SOC是自建自用，用于開展MSS運營業(yè)務，并非獨立銷售的產(chǎn)品。后面CheckPoint、WatchGuard、Cyber Security等推出的SOC要么是自己以之為平臺進行MSS服務，要么就是把目標客戶定為開展MSS服務的ISP等。

面向普通用戶的安全管理產(chǎn)品，目前的重要方向集中在安全信息和事件管理（SIEM：Security Information and Event Management）上，安全信息與事件管理重要解決的是用戶網(wǎng)絡中所有日志的收集、安全存儲、分析、警報、審核以及合規(guī)性報告，它將大批看似無關的數(shù)據(jù)關聯(lián)起來，變成可懂得的信息模式，幫助管理員控制網(wǎng)絡狀態(tài)，并在第一時間控制重大安全事件，同時幫助客戶簡化法規(guī)服從性。

根據(jù)Gartner 2008年關于信息安全的Hype Cycle曲線分析顯示，全球安全管理平臺市場趨于成熟，已逐漸成為業(yè)界主流產(chǎn)品，如下圖所示：

圖：Gartner信息安全Hyper Cycle

2、國內SOC的發(fā)展與建設困境

國內SOC的引入和發(fā)展與國外的情況有很大不同，一方面國內在提出SOC的時候，大多數(shù)用戶對SOC認識含混，除了電信、民航、金融等高度信息化的個別行業(yè)和單位，大部分企業(yè)和組織，包含政府等對信息安全請求較高的單位連NOC都沒有建立起來。另一方面，由于受制于國內體制、利用環(huán)境、傳統(tǒng)認識的制約，IT服務、尤其是安全運維的外包一直沒能開展起來，所以，國內的SOC一開端就是面向各類行業(yè)用戶，以產(chǎn)品形態(tài)呈現(xiàn)的。

從一般定義來說，國內主流觀點僅把SIEM看做是SOC產(chǎn)品的核心部分之一，一方面請求將不同地位、不同資產(chǎn)（主機、網(wǎng)絡設備和安全設備等）中疏散且海量的安全信息進行歸一（范式化）、匯總、過濾和關聯(lián)分析，形成基于資產(chǎn)/域的統(tǒng)一等級的要挾與風險管理，并依托安全知識庫和工作流程驅動對要挾與風險進行響應和處理，另一方面不僅針對安全設備進行管理，還要針對所有IT資源，甚至是業(yè)務系統(tǒng)進行集中的監(jiān)控和管理。

隨著用戶對SOC期望值的不斷進步，加上部分廠商出于競爭目標的領導，SOC平臺包含的內容越來越多。國內的SOC平臺所涵蓋的范疇不僅包含SIEM，還有風險管理、運維管理、安全設備管理。甚至有些大型安管平臺還包含了網(wǎng)絡管理、利用管理、策略管理、配置管理、變更管理、基線管理、績效管理等等，這些擴大利用大都屬于IT運維管理范疇。

盡管SOC產(chǎn)品范疇越來越大，但不容諱言，從另一方面，幾年來電信、民航等領先行業(yè)的SOC建設難言成功，在投入了大批的人力物力后，用戶發(fā)明，SOC沒有能夠體現(xiàn)日志、告警到安全事件的提煉，報出的安全事件以誤報居多，發(fā)明的風險難以懂得，更不會自行處理；主動生成的圖形報表反應的是被誤報嚴重扭曲過的統(tǒng)計成果；全流程的運維管理流程對自己單位卻難以合適。一來二去后，用戶發(fā)明進行了宏大的投資，牽扯了大批的人力，卻沒有換來幻想的運營管理后果。

盡管碰到了各種各樣的困境，但從理論界到各大行業(yè)用戶，沒有人猜忌SOC的必要性。怎樣建設好、用好SOC，成為一個亟需解決的難題。

二、走中國特點的SOC之路