国内外SOC产品形态差异

　　可以说，国内外的安管平台(SOC)产品有显著的差异。从进入中国伊始，安全管理平台(SOC)的发展之路极具中国特色，并逐步形成了一套与国内信息安全建设发展相适应的技术体系。

　　国际上，一般将SOC看作是安全运营中心，它是一个对ITC(In-the-Cloud)服务及配套的CPE(Customer-Premise-Equipment)设施进行全面监控、运维、管理的场所，并涵盖相关的安全防护设施、办公设施、人员组织、工作流程和技术支撑环境。很显然，广义上的SOC概念的内涵与外延远远大于我们一般所说的安全管理平台。

　　国际上一般将SOC归入MSS(Managed Security Service，可管理安全服务)市场或者安全服务市场，而将SOC的核心技术支撑平台之一——SIEM(Security Information and Event Management，安全信息与事件管理)归入安全管理软件市场。

　　经过多年的发展，SOC在国内市场也基本上沿着产品和服务两种模式前进。产品层面，国内更多地将SOC的技术支撑平台部分称作安全管理平台，并经常指代SOC本身。安全管理平台的一般性定义是：安全管理平台是一个以资产为核心，以安全事件管理为关键流程，采用安全域划分的思想，建立一套实时的资产风险模型，协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统;而服务层面，国内也出现了通过建设SOC来支撑其MSS业务的安全服务厂商。同时，还有一些企业和组织建立了自己的安全运营中心对其内部客户提供安全管理服务。

　　目前，国内的SOC市场主要是以安全管理平台市场为主。也就是说，安全管理平台更多的指代的是SOC中的技术和工具部分的内容。一般地，我们可以将安全管理平台简称为SOC平台。

　　国内用户需要什么样的SOC产品?

　　叶蓬讲到，对于国内环境的企业用户而言，需要的是一款在满足先进性要求基础上的更加适用、实用和易用的安管平台。

　　先进性是基础：所谓先进性，主要是指安管平台的技术先进性应该达到或接近国际水平。关键的技术点包括海量事件的高速采集技术、大规模安全事件分析技术、海量事件的存储技术、事件关联分析技术、风险评估技术、态势感知技术、信息可视化技术，等等。

　　适用：是指对用户而言，最好的安管平台一定是满足他实际需要的平台。由于各个客户安全管理体制和水平的差异，对安全管理平台的需求差异十分显著，即便是针对同一个功能，其需求程度也可能有很大区别。因此，优秀的安管平台要能够快速适应用户差异化的需求。对用户而言，获得适用的体验。进一步分析，如何才能提供快速适用的安管平台?不能仅仅依靠定制开发，因为这样运用周期太长。这就要求平台自身具有很强的适应性，包括开放性、可伸缩性和可扩展性。通过多样化的部署、快速的参数配置就能满足不用客户的不同需求，甚至是同一个客户不同阶段的需求。

　　实用：好的安全管理平台不仅技术先进、理念先进，还必须是可以实际运维使用的，是能够给一线运维人员真正带来生产效率的提升的。实用，主要是指针对安管平台的使用者而言，能够切实地提升工作效能，例如快速的发现问题，快速的出具报表报告，快速的进行合规性检查，流程化的工作步骤，等等。安管平台技术十分复杂，要想用好对运维人员综合安全素质要求较高，因此，优秀的安管平台都在如何降低自身的使用门槛和成本方面下了功夫。

　　易用：也是针对安管平台的使用这个环节来说的，同样也是为了提升使用安管平台的效能，降低使用的成本。这里的易用包括产品功能模块的设计，操作步骤上的串联，界面UI的交互体验，信息可视化，快捷菜单等等诸多方面。

　　部署SOC的价值在哪?

　　安管平台的应用，对于客户而言，最核心的价值体现就在于将现有的分散的安全防护机制集成到一起，构建齐了一套全局防御体系，从业务信息系统安全风险的角度，而非单一安全威胁和防御机制的角度去更加主动地管理安全。简单的说，就是“一体化安全管理”。

　　基于这个“一体化安全管理”的平台，用户可以：

　　1、真正建立起一套全面的安全管理平台和管理体系，包括技术平台、管理策略和流程。摆脱过去被动地上各种安全设备却又无法提高安全防御效率的恶性循环;

　　2、大大提升安全管理人员的工作效率，提升安全运营维护工作的水平;

　　3、真正有效地建立符合等级化保护要求的安全管理体系，更好地识别威胁，更好更便捷的去满足等保、ISO27000等的合规性要求。

　　对于最终客户，SOC安管平台最大和最直接的价值体现就是为客户各个层面的关心安全的人员提供了不同的用户价值。

　　对于管理层而言，高层领导、各业务主管领导和IT安全主管领导等都可以从各自的角度出发，借助安管平台对全网或相关业务信息系统的整体安全运行状况有一个直观的了解、清晰的掌控，能够获悉当前的安全态势、攻击分布、防护缺陷，掌握安全防御体系建设的水平和安全管理能力建设的水平。

　　对于执行层而言，安全经理、安全管理员、运维工程师、安全分析员、应急响应人员等也都能够借助这个安管平台从各自的角度出发，通过单一的管理界面，对网络和业务信息系统实施有计划地、持续地监视、检测、审计、分析、评估、预警、响应和报告，并能够实现相互之间的协同工作。