【IT168专稿】近几年来，随着企业安全产品部署的越来越多，从而导致了企业对于IT人才需求的数量和专业性不断增多;其次安全产品相对独立的部署难以实现对网络安全设备的统一监控和对应急响应的处理，同时企业也很难应对如今海量数据的集中分析处理和对整体安全威胁的预防和感知。

　　传统的信息安全系统已无法应对全新环境下的网络安全威胁，企业需要一个能在统一管理平台下进行全局角度分析安全问题的能力。需求的变化让这个市场变的火热，近两年来，众多国内外安全厂商都在大力推广自己的SOC产品，面对这些各类繁多的安全产品，企业用户应该如何选择?目前SOC安全管理平台在企业内的应用状况如何?为此，我们采访到了惠普企业安全产品部北亚区总经理姚翔。

　　相信关注SOC的人都知道，被HP收购的ArcSight是业界一款非常有名的SOC产品。当然，国内国外对于SOC的理解不同，ArcSight在国外更准确应该叫做SIEM产品。谈及国内SOC和国外SOC产品形态上的差异，姚翔谈到，国内SOC产品注重于缺省的侦测规则，而国外的SOC除了缺省的规则之外，更强调的是架构以及产品本身的弹性。

▲惠普企业安全产品部北亚区总经理姚翔

　　姚翔认为，一款优秀的SOC产品应该具备这些能力，首先，SOC产品需具备缺省的侦测规则，这个部分可以帮助初期导入产品的用户节省大量的人力与精力;其次产品的性能，由于海量的日志一旦进入SOC平台之后，SIEM需要能够快速地进行关联分析，并且产生相关的事件，因此产品的性能以及处理的日志量，会是SOC的另外一层考量;另外，产品的灵活度以及成熟度，国内用户的使用环境，往往具有不同的特性，因此产品的灵活度必须够高，可以在国内各种环境中适合使用。此外，产品的成熟度将会直接影响未来服务以及定制化的部分，成熟度高的产品，可以将案例管理、资产模型、网络模型、关联分析、仪表版、报表等整合在一个平台上，用户无须请厂商通过第三方软件另行开发相关画面，这可以大幅节省未来维运成本。

　　而目前，国内的SOC的市场依然在成长之中，这也是为什么目前还是有许多的企业持续在进行调研。然而大部分的用户并没有真正的SOC中心，有大部分的用户仅有SIEM产品。姚翔介绍到，惠普的SOC解决方案主要是利用业界顶尖的 SIEM 产品 ArcSight ，并且搭配 SOC实施团队发展而成，在 ArcSight 发展的早期，专注在日志关联分析，因此 ArcSight 具备有业界最优的关联分析引擎，之后， ArcSight 开始发展日志查询与归档解决方案，并且可以整合为单一解决方案给予用户。ArcSight是业界十年内唯一保持在Gartner第一象限的解决方案。

　　姚翔谈到，大部分的用户部署 SOC 最大价值在于早期发现威胁所在，并且通过流程来处理所产生的事件。就如同 APT 攻击在开始之前，可能仅是一个简单的病毒邮件或是垃圾邮件事件，若能够在早期提前侦测并且拦截威胁，则可以避免日后的大型安全事件的发生。

　　企业SOC选型指南

　　针对企业SOC选型建议，姚翔表示要注意四个方面的问题：

　　1、考虑海量数据时代来临，企业用户应当仔细从架构上思考SOC的选型，也就是在未来各个组成元件能否横向扩充;

　　2、对于高性能的处理方式是否能从架构上处理，往往用户希望透过单一硬件将所有的功能集中在一台硬件上，但是当面临海量数据时，每秒数十万 EPS 的要求，不应该是一台机器进行处理，应当务实的以架构层面处理，譬如将日志区分为日志集中保存，以及日志关联分析等两个部分处理，如此一来，关联分析引擎可仅处理需要关联的日志，而所有的日志则通过日志系统进行储存。

　　3、选择长期优秀的产品，在 Gartner 报告上，往往每年会有特别突出的厂商，但是过了两三年后即退出市场，或跌出领导象限的位置。客户在选 SIEM 产品时，会对企业所有的安全产品进行日志集成，因此，一个好的厂商应当可以不断创新，引进新的技术，持续维持在非常好的象限的位置，如此一来方能协助客户进行长期的安全策略规划。

　　4、服务以及经验，SOC是 Security Operation Center, 事实上包含了流程，技术，以及人员等三者关系，一个好的厂商，应当具备有这三方面的能力，除了利用产品的技术之外，还要能够对用户的人员进行培训以及建议，并且搭配对的事件处理流程来提高事件处理的效率，这才是SOC的真正精华所在。

　　最后，谈及SOC未来发展趋势，姚翔给出了独特的观点，他谈到，SOC的议题在目前海量数据 (Big Data) 以及 APT 等议题下会持续发酵，主要的原因是没有任何一个单一产品能够解决云、海量数据、移动化等等的安全问题。而SOC则可以透过PDCA方法，不断的改善安全事件处理的能力，因此SOC在未来将会更显得重要。