企业SOC选型指南

　　针对企业SOC选型建议，姚翔表示要注意四个方面的问题：

　　1、考虑海量数据时代来临，企业用户应当仔细从架构上思考SOC的选型，也就是在未来各个组成元件能否横向扩充;

　　2、对于高性能的处理方式是否能从架构上处理，往往用户希望透过单一硬件将所有的功能集中在一台硬件上，但是当面临海量数据时，每秒数十万 EPS 的要求，不应该是一台机器进行处理，应当务实的以架构层面处理，譬如将日志区分为日志集中保存，以及日志关联分析等两个部分处理，如此一来，关联分析引擎可仅处理需要关联的日志，而所有的日志则通过日志系统进行储存。

　　3、选择长期优秀的产品，在 Gartner 报告上，往往每年会有特别突出的厂商，但是过了两三年后即退出市场，或跌出领导象限的位置。客户在选 SIEM 产品时，会对企业所有的安全产品进行日志集成，因此，一个好的厂商应当可以不断创新，引进新的技术，持续维持在非常好的象限的位置，如此一来方能协助客户进行长期的安全策略规划。

　　4、服务以及经验，SOC是 Security Operation Center, 事实上包含了流程，技术，以及人员等三者关系，一个好的厂商，应当具备有这三方面的能力，除了利用产品的技术之外，还要能够对用户的人员进行培训以及建议，并且搭配对的事件处理流程来提高事件处理的效率，这才是SOC的真正精华所在。

　　最后，谈及SOC未来发展趋势，姚翔给出了独特的观点，他谈到，SOC的议题在目前海量数据 (Big Data) 以及 APT 等议题下会持续发酵，主要的原因是没有任何一个单一产品能够解决云、海量数据、移动化等等的安全问题。而SOC则可以透过PDCA方法，不断的改善安全事件处理的能力，因此SOC在未来将会更显得重要。