企业SOC选型建议

　　1、 产品量级选型方面的建议

　　企业当选择与企业规模与运维能力相适应的SOC产品，具体包括如下几点：

　　1) 交付形态：目前SOC产品有多种交付形态，常见的交付形态是客户购买服务器、操作系统、数据库，SOC厂商负责安装SOC软件，最终SOC产品寄存于客户的服务器上。

　　2) 维护成本：SOC是一种重服务的产品，购买SOC一定要计算维护成本。

　　3) 运维能力：由于SOC产品的高度复杂性，使得很多客户不得不选择专业的第三方公司来帮助其运维SOC产品。这种方式有其合理性，但是弊端也是显而易见的，首先是维护成本的大幅攀升，其次客户的业务逻辑和SOC产品之间的联系被第三方公司割裂了，操作SOC的人员并不真正懂得客户的业务，SOC和客户的业务并没有真正融合在一起。

　　2、产品功能选型方面的建议

　　企业当选择真正实现其产品设计目标的产品。所有SOC产品都有如下两个核心设计目标：

　　1) 即时获得有意义的情报：这里涉及两个重要的概念：数据和情报。SOC收集数据并产生情报，或者说将数据输入SOC，SOC会输出情报。客户关心的不是数据而是情报。情报只在即时获得的情况下才有价值。

　　目前SOC产品在输出情报这个环节有严重的技术瓶颈，陈旧的技术架构使得客户获取所需情报需要花费大量的时间，最终产生的情报因时间滞后而毫无意义。

　　另外有一种情报输出可能不需要很高的即时性，但是也对效率有要求，当效率太低时，客户不得不在效率和情报之间做出妥协，放弃自己想获得的情报。比如客户想分析本月的数据流量和前5个月的数据流量的差异。由于此分析涉及海量计算，使得最终结果可能需要若干天才能输出。面对如此漫长的等待，很多客户都放弃了进行此种分析。

　　2) 拥有一个智能调查平台：SOC里存储的是事件，但是事件本身并不能提供足够多的上下文信息以识别现在愈来愈高级的威胁。为了应对这些威胁，SOC产品本身必须有强大的整合能力以丰富这些事件，为我们提供一个智能调查平台，具体来讲，需要如下整合：

　　a. 纵向整合：目前有些SOC产品并不是由居于领导地位的安全厂商提供的，这些产品就会缺乏相应的纵向整合的能力。

　　b. 横向整合：SOC厂商不仅要兼容自己的产品，还能兼容其他厂商的产品，从而对数据进行丰富，从而达到内容识别，动态上下文感知，情势感知。

　　3、产品前瞻性选型方面的建议

　　企业应当选择具有前瞻性的SOC产品，具体来讲，包含以下几点：

　　1) 产品架构应满足BDA的需求：为满足BDA的需求，必须对SOC的架构进行改变。依赖传统事务型关系数据库的产品，目前还无法满足BDA的需求。

　　2) 产品可与云信息进行整合：当我们对事件信息进行丰富时，即进行横向整合和纵向整合时，最具震撼力的整合即与云信息的整合。无法与云信息整合的SOC已经满足不了时代的需求。

　　3) 产品当有一批顶尖安全专家支撑：真正对SOC中的信息进行分析的不是程序，而是专家的经验。SOC想获得强大的分析能力，必须要有顶尖专家支撑。

　　SOC市场发展趋势展望

　　最后，谈及未来SOC市场的发展趋势，胡江波讲到，SOC市场未来会分成中小企业和大企业两个市场进行发展。随着安全意识的觉醒，中小企业也会成为SOC产品的积极使用者。专门为此类客户优化和定制的产品将不断推出，基于云的SOC解决方案也会成为一个热点。

　　大企业市场则是进入了一个SOC产品的更换期。经过一段时间的使用，大企业对SOC有了深入的认识，同时也更清楚的认识到自己的需求是原来SOC无法满足的。在自身需求和BDA的推动下，大企业开始更换SOC，这些变化会为SOC市场的创新者和领导者带来机遇。

　　随着SOC市场的发展，市场将逐渐向几个主要的SOC厂商集中。在这场竞争中被边缘化的SOC产品会在市场上逐渐消亡。