【51CTO.com 綜合消息】一、SOC的主要發展現狀

1、國外的發展方向以SIEM為主

在信息化程度較高的西方國家鮮見以SOC命名的產品，此類產品更多地是與服務捆綁提供的。最早建立SOC的ISS公司大約是在1999年收購了當時最大的獨立安全服務提供商——Netrex Secure Solutions公司，建立了一個端到端的SAFEsuite(R)安全管理平臺，為客戶提供可管理安全服務（MSS：Managed Security Service）。他們的SOC是自建自用，用于開展MSS運營業務，并非獨立銷售的產品。后面CheckPoint、WatchGuard、Cyber Security等推出的SOC要么是自己以之為平臺進行MSS服務，要么就是把目標客戶定為開展MSS服務的ISP等。

面向普通用戶的安全管理產品，目前的主要方向集中在安全信息和事件管理（SIEM：Security Information and Event Management）上，安全信息與事件管理主要解決的是用戶網絡中所有日志的收集、安全存儲、分析、警報、審核以及合規性報告，它將大量看似無關的數據關聯起來，變成可理解的信息模式，幫助管理員掌握網絡狀態，并在第一時間掌握重大安全事件，同時幫助客戶簡化法規遵從性。

根據Gartner 2008年關于信息安全的Hype Cycle曲線分析顯示，全球安全管理平臺市場趨于成熟，已逐漸成為業界主流產品，如下圖所示：

圖：Gartner信息安全Hyper Cycle

2、國內SOC的發展與建設困境

國內SOC的引入和發展與國外的情況有很大不同，一方面國內在提出SOC的時候，大多數用戶對SOC認識模糊，除了電信、民航、金融等高度信息化的個別行業和單位，大部分企業和組織，包括政府等對信息安全要求較高的單位連NOC都沒有建立起來。另一方面，由于受制于國內體制、應用環境、傳統認識的制約，IT服務、尤其是安全運維的外包一直沒能開展起來，所以，國內的SOC一開始就是面向各類行業用戶，以產品形態出現的。

從一般定義來說，國內主流觀點僅把SIEM看做是SOC產品的核心部分之一，一方面要求將不同位置、不同資產（主機、網絡設備和安全設備等）中分散且海量的安全信息進行歸一（范式化）、匯總、過濾和關聯分析，形成基于資產/域的統一等級的威脅與風險管理，并依托安全知識庫和工作流程驅動對威脅與風險進行響應和處理，另一方面不僅針對安全設備進行管理，還要針對所有IT資源，甚至是業務系統進行集中的監控和管理。

隨著用戶對SOC期望值的不斷提高，加上部分廠商出于競爭目的的引導，SOC平臺包含的內容越來越多。國內的SOC平臺所涵蓋的領域不僅包括SIEM，還有風險管理、運維管理、安全設備管理。甚至有些大型安管平臺還包括了網絡管理、應用管理、策略管理、配置管理、變更管理、基線管理、績效管理等等，這些擴展應用大都屬于IT運維管理范疇。

盡管SOC產品范圍越來越大，但不容諱言，從另一方面，幾年來電信、民航等領先行業的SOC建設難言成功，在投入了大量的人力物力后，用戶發現，SOC沒有能夠體現日志、告警到安全事件的提煉，報出的安全事件以誤報居多，發現的風險難以理解，更不會自行處理；自動生成的圖形報表反映的是被誤報嚴重扭曲過的統計結果；全流程的運維管理流程對自己單位卻難以適合。一來二去后，用戶發現進行了巨大的投資，牽扯了大量的人力，卻沒有換來理想的運營管理效果。

盡管碰到了各種各樣的困境，但從理論界到各大行業用戶，沒有人懷疑SOC的必要性。怎樣建設好、用好SOC，成為一個亟需解決的難題。

二、走中國特色的SOC之路

由于中國的管理體制所具有的特殊性，以及中國網絡與安全管理理念、制度、體系、機制的中國特色，比如廣泛采用的內、外網雙網結構，之間既要保持隔離又有數據交換的需求；再比如不同密級的網絡對信息保密的嚴格規定，以及上下級部門之間的職能區分帶來的網絡管理模式區別等等，決定了我們不能只按照國外已經成熟的理論和標準去建設SOC，SOC的產品功能組合和建設必定是有中國特色的。

從國內SOC幾年的建設過程看，受國內體制和安全領域慘烈競爭的影響，SOC的發展和其他很多系統一樣，才是個剛剛會走的孩子就已經被描述為力量十足的大漢。在不斷描述的美好愿景與現實表現的差距下，用戶不滿、市場成長緩慢。很多業內人士也把SOC比喻成“垃圾電影”，故事還沒有進入高潮就已經把觀眾逼出了影院。

任何一個系統，如果能什么工作都做，并且都做得很好當然是最理想的。但最理想的東西往往又是不存在的，SOC也一樣。我們認為，SOC沒有發揮出應有的作用，首要原因是產品沒有正確定位、建設沒有循序漸進。 如果切實推進SOC建設，必須走中國特色的SOC之路。

1、安全事件管理是SOC的重中之重

安全運營中心最核心的是安全運維，安全事件是安全運維的輸入和依據。一般來說，一個安全管理員每天能夠處理的安全事件不會超過10個，如何從海量的安全設備和應用系統日志、告警中提煉出安全事件，是有相當難度的挑戰。從一定意義上講，資產管理、漏洞管理、知識庫、工單管理等等都是為了準確地發現、評估、處理安全事件。所以，SOC要想做好，首要的就是要做好安全信息的統一收集、存儲和關聯分析，從而準確的跟蹤、處理安全事件。而在這個核心問題上，目前SOC產品也并沒有解決好。

另一方面，伴隨著一系列安全事件的發生，審計要求已被提高到空前的高度。國內外監管部門發布了一系列的審計要求文件，如美國的薩班斯法案404條款要求公眾公司必須確保與財務相關的IT系統的安全性和可審計性。2006年國務院國有資產監督管理委員會向各中央企業發布了《中央企業全面風險管理指引》，要求中央企業加強內控，并在指引中對內控審計和IT技術建設風險管理信息系統均提出了明確的要求。在公安部、保密局等主管部門發布的信息安全等級保護的系列文件中更是對不同等級的網絡提出了明確的管理和審計要求，合規性審計已成為SOC的必備功能。

2、網絡管理與安全管理融合是國內用戶的切實需求

正像前面所說，國內大多數企業和組織在啟動SOC建設的時候，并未建立起網絡運行中心NOC，他們的第一需求就是把關心的設備和系統“管起來”，能夠監控其運行狀態，包括系統狀態、網絡流量、告警狀態等。同時國內網絡管理和安全管理往往是同一批人員在負責，他們更希望同一套系統能夠基本滿足他們的日常管理需要。所以設備管理、拓撲管理以及進一步的資產管理也是SOC適應中國國情的必備需求。

3、主動防御是日常安全管理的核心

安全的最高境界就是沒有安全問題，預防安全事件的發生是日常安全運維的目標。那么如何有效地在日常工作中進行主動防御呢？我們認為配置管理和完整性檢查是實現主動防御的有效手段。通過將配置管理和完整性檢查納入SOC管理，可以有效地發現已知和未知特征的安全攻擊行為，預防安全事件的實質性危害。

配置管理和完整性檢查是指通過配置信息收集腳本，收集重要主機系統上與安全相關的系統信息，監控系統配置的變化，并通過與相關安全基線的比較，來準確的分析獲得系統的安全脆弱性信息，進而發現威脅、主動調整防御措施。

4、客戶化定制適應不同行業的管理需求

不同用戶的信息系統現狀差異很大，國內各行業間的信息化發展水平更是參差不齊。同時各行業的管理體制、安全特點和安全需求往往是個性化的，安全運營思路各有其特點。目前的SOC產品，軟件中體現的運營思路都是較單一的模式，對待差異化的客戶往往顧此失彼。

差異化、個性化問題在防火墻、IDS等單個安全產品的應用中并不突出，因為他們解決的是安全中的一個點的問題。但SOC這樣的綜合運營平臺與用戶的管理體系、運營方式等緊密相關，標準化產品與個性化客戶的矛盾尤為突出。這就決定了SOC產品要想得到用戶的認可，必須具備強大的客戶化定制能力。這一方面要求開展SOC產品業務的公司做好為客戶進行定制開發的準備，同時，要求SOC產品具有很強的平臺化特征，具有很好的模塊化特征和良好的擴展性。

5、平臺建設是基礎，運營才是SOC的本質

無論組合了多少功能，SOC仍然只是一個工具平臺，屬于技術層面，企業和組織可以借助這個平臺進行安全運維，但它無法代替專業的安全技術人員。要讓SOC發揮好的作用，毫無疑問，需要配套針對性的SOC運維機制和流程，這方面需要注意的恰恰是不要試圖建立大而全覆蓋所有安全工作的機制和流程，這反而會對提升SOC使用效能形成管理瓶頸。

由于國內安全技術人員的稀缺和水平的參差不齊，通過SOC的專業化運營引入安全服務商的專業網絡安全隊伍，進行安全代維或者安全服務，是保障SOC各項安全功能得到落實的有力措施。

總之，平臺工具、標準化流程體系和專業化運營隊伍是SOC成功運營的三大支柱。