二、走中国特色的SOC之路

　　由于中国的管理体制所具有的特殊性，以及中国网络与安全管理理念、制度、体系、机制的中国特色，比如广泛采用的内、外网双网结构，之间既要保持隔离又有数据交换的需求;再比如不同密级的网络对信息保密的严格规定，以及上下级部门之间的职能区分带来的网络管理模式区别等等，决定了我们不能只按照国外已经成熟的理论和标准去建设SOC，SOC的产品功能组合和建设必定是有中国特色的。

　　从国内SOC几年的建设过程看，受国内体制和安全领域惨烈竞争的影响，SOC的发展和其他很多系统一样，才是个刚刚会走的孩子就已经被描述为力量十足的大汉。在不断描述的美好愿景与现实表现的差距下，用户不满、市场成长缓慢。很多业内人士也把SOC比喻成“垃圾电影”，故事还没有进入高潮就已经把观众逼出了影院。

　　任何一个系统，如果能什么工作都做，并且都做得很好当然是最理想的。但最理想的东西往往又是不存在的，SOC也一样。我们认为，SOC没有发挥出应有的作用，首要原因是产品没有正确定位、建设没有循序渐进。 如果切实推进SOC建设，必须走中国特色的SOC之路。

　　1、安全事件管理是SOC的重中之重

　　安全运营中心最核心的是安全运维，安全事件是安全运维的输入和依据。一般来说，一个安全管理员每天能够处理的安全事件不会超过10个，如何从海量的安全设备和应用系统日志、告警中提炼出安全事件，是有相当难度的挑战。从一定意义上讲，资产管理、漏洞管理、知识库、工单管理等等都是为了准确地发现、评估、处理安全事件。所以，SOC要想做好，首要的就是要做好安全信息的统一收集、存储和关联分析，从而准确的跟踪、处理安全事件。而在这个核心问题上，目前SOC产品也并没有解决好。

　　另一方面，伴随着一系列安全事件的发生，审计要求已被提高到空前的高度。国内外监管部门发布了一系列的审计要求文件，如美国的萨班斯法案404条款要求公众公司必须确保与财务相关的IT系统的安全性和可审计性。2006年国务院国有资产监督管理委员会向各中央企业发布了《中央企业全面风险管理指引》，要求中央企业加强内控，并在指引中对内控审计和IT技术建设风险管理信息系统均提出了明确的要求。在公安部、保密局等主管部门发布的信息安全等级保护的系列文件中更是对不同等级的网络提出了明确的管理和审计要求，合规性审计已成为SOC的必备功能。

　　2、网络管理与安全管理融合是国内用户的切实需求

　　正像前面所说，国内大多数企业和组织在启动SOC建设的时候，并未建立起网络运行中心NOC，他们的第一需求就是把关心的设备和系统“管起来”，能够监控其运行状态，包括系统状态、网络流量、告警状态等。同时国内网络管理和安全管理往往是同一批人员在负责，他们更希望同一套系统能够基本满足他们的日常管理需要。所以设备管理、拓扑管理以及进一步的资产管理也是SOC适应中国国情的必备需求。

　　3、主动防御是日常安全管理的核心

　　安全的最高境界就是没有安全问题，预防安全事件的发生是日常安全运维的目标。那么如何有效地在日常工作中进行主动防御呢?我们认为配置管理和完整性检查是实现主动防御的有效手段。通过将配置管理和完整性检查纳入SOC管理，可以有效地发现已知和未知特征的安全攻击行为，预防安全事件的实质性危害。

　　配置管理和完整性检查是指通过配置信息收集脚本，收集重要主机系统上与安全相关的系统信息，监控系统配置的变化，并通过与相关安全基线的比较，来准确的分析获得系统的安全脆弱性信息，进而发现威胁、主动调整防御措施。

　　4、客户化定制适应不同行业的管理需求

　　不同用户的信息系统现状差异很大，国内各行业间的信息化发展水平更是参差不齐。同时各行业的管理体制、安全特点和安全需求往往是个性化的，安全运营思路各有其特点。目前的SOC产品，软件中体现的运营思路都是较单一的模式，对待差异化的客户往往顾此失彼。

　　差异化、个性化问题在防火墙、IDS等单个安全产品的应用中并不突出，因为他们解决的是安全中的一个点的问题。但SOC这样的综合运营平台与用户的管理体系、运营方式等紧密相关，标准化产品与个性化客户的矛盾尤为突出。这就决定了SOC产品要想得到用户的认可，必须具备强大的客户化定制能力。这一方面要求开展SOC产品业务的公司做好为客户进行定制开发的准备，同时，要求SOC产品具有很强的平台化特征，具有很好的模块化特征和良好的扩展性。

　　5、平台建设是基础，运营才是SOC的本质

　　无论组合了多少功能，SOC仍然只是一个工具平台，属于技术层面，企业和组织可以借助这个平台进行安全运维，但它无法代替专业的安全技术人员。要让SOC发挥好的作用，毫无疑问，需要配套针对性的SOC运维机制和流程，这方面需要注意的恰恰是不要试图建立大而全覆盖所有安全工作的机制和流程，这反而会对提升SOC使用效能形成管理瓶颈。

　　由于国内安全技术人员的稀缺和水平的参差不齐，通过SOC的专业化运营引入安全服务商的专业网络安全队伍，进行安全代维或者安全服务，是保障SOC各项安全功能得到落实的有力措施。

　　总之，平台工具、标准化流程体系和专业化运营队伍是SOC成功运营的三大支柱。