信息安全体系是企业业务持续性发展的保障，在一定程度上安全管理平台(SOC)的建设方式就体现了信息安全体系的搭建的思路，因为用户直接操作的、见到的就是安全管理平台。

    一、SOC的建设思路：“花瓶”模型

    从SOC的功能发展上可分为三个维度：防护、监控与审计，包含了安全事件管理的事前、事中、事后整个过程。但信息安全包含的内容非常多，SOC究竟应该管理那些内容，各部分功能如何协调一致是SOC建设者不可回避的问题。根据SOC功能扩展的三维模型，我们提出了适合SOC建设规划的“花瓶”模型。

    SOC既不是单纯的事件分析器，也不是安全设备的管理集成，是整个网络的安全管理核心。按照SOC功能发展的方向，功能平台设计为三个平台，数据采集源于同一个数据采集平台，好比是一个插满花的花瓶，因此称作“花瓶”模型。

 
    花瓶中的水：水指的是模型中的信息流，为SOC平台提供分析所需的数据，同时又把策略修改的配置送给设备。数据采集平台就比如是花瓶中花的根系。信息来源有不同的方式：

    网络设备、安全设备、服务器、终端等设备有关安全的系统日志与设备本身的状态数据，可以由系统本身提供，也可由安装的代理程序进行收集。

    安全设备上报的安全事件。对不同安全设备的安全预警信息进行关联分析，有助于对威胁的定位。

    网络链路的原始数据。实际上原始数据不仅是行为审计信息的来源，也是安全监控系统的重要数据来源，但该数据量较大，入侵检测、病毒检测、审计都有自己的数据采集分析方法，在花瓶模型中，数据采集统一起来，避免了一个链路因多种系统需求的多个镜像，把一次镜像的原始数据，经过初步的规范整理，再分别给不同的安全系统分析使用。

    数据的采集量一般很大，可以在一定的网络区域布置专用的数据采集设备，收集本区域的有关信息，并转发中心下发的安全策略。所以SOC系统对网络的管理一般采用分级分域管理，方便了管理人员的管理，也降低了对SOC中心的带宽压力。

    花瓶中的花枝：SOC功能发展的三个维度防护、监控、审计，既分离又相互依赖，建立在一个信息收集平台上，就是花瓶中的三束花，同时也形成了信息安全体系的事前防护、事中监控与应急调度、事后审计的三个阶段的全方位安全管理。

    花瓶中的花朵：花瓶中赏心悦目的自然是花瓶中绽开的花朵，也就是模型中功能平台的用户界面。三个功能平台可以单独使用，分别有自己的用户管理界面。

    花瓶模型形象地把SOC的建设展示出来，不仅给SOC的开发提供体系架构，而且可以给企业信息安全保障体系的建设提供思路，把SOC的建设过程与安全保障的建设联系起来，更好地保障业务的安全。花瓶模型的一个思路是把安全体系的信息收集平台统一建设，不仅可以把各个孤立的安全体系根本上联系起来，而且可以方便扩展未来的安全需求，真正地体现“平台”的效能。