【IT168 评论】目前，信息安全建设已经成为企业的共识。SOC安全管理平台作为综合的管理平台，以及在如今大数据环境下不可忽视的作用，已经成为企业安全建设的金字塔。企业如何才能建设好自己的SOC平台，甚至如何选型SOC成为企业管理者正在关注的话题。为此，我们专门采访了天融信安全管理产品线总监熊毅，一起来探讨SOC的发展背景、企业价值以及选型指南。

▲天融信安全管理产品线总监熊毅

　　SOC市场发展介绍

　　熊毅介绍到，SOC从2000年左右进入国内到现在已经有了10多年时间，在国内开始SOC建设之初，大多数行业用户对安全的投入与重视程度有限，当时的SOC处于一个市场被认知的过程，随着安全建设的力度不断加大，特别是近些年国内外安全事故接连的爆发，引发了公众特别是国家相关机构部门的高度重视，企业安全建设的开始空前高涨。

　　另外，随着更加专业的安全系统逐渐完善，防御手段的加强，信息获取的途径与准确度提高，给SOC组成之一的安全管理平台的快速发展提供的重要的基础，需要管理的设备越多，维护的信息量越大，管理员对信息化的管理手段和工具要求就更加的迫切，这也是近几年安全管理平台得到重视非常重要原因之一。

　　从国家层面来看，国家对安全管理建设也提出了一系列的要求和期望，推动了平台化的建设步伐，各行业制定了行业内的规范要求，与安全管理制度互相结合也提高安全管理能力与水平。安全管理平台经过了市场试探期、技术发展期、业务的融合期、产品快速发展期到现在的广泛应用期，经历的时间不算太长，行业之间的信息化水平直接决定了安全管理平台建设的最终成效，总体来看在领先的行业处于积极建设期，对SOC具有较高的期望，而一部分行业处于尝试期，边观察边建设，但总体的趋势是希望SOC能够帮助自身提升安全的管理水平，并积极投身于SOC产品的建设中。

　　国内外SOC差异对比

　　熊毅谈到，SOC首先是由国外提出，由安全服务提供商对客户提供专业的安全服务，服务的信息主要来源就是安全管理平台;国内在建设中不仅仅继承了平台的核心安全事件管理，并在此基础上结合国内客户的需求，对平台进一步进行了扩展，逐步发展成了符合自身特殊要求的自用型平台。

　　1、 产品形态的差异：国外SOC平台其的核心是SIEM，以事件为核心，分析、存储、管理设备安全信息，通过安全专家深度挖掘分析事件所隐含的不安全的行为，帮助客户提供事前预防、事中定位、事后处置的安全服务;国内客户在进行安全管理平台建设之初，为了确保数据的安全性，满足安全管理的制度要求，更多的把安全建设成内网自用模式，并且根据自身的使用特殊性，日常管理工作的差异性，提出了以事件为核心，风险分析为方向，以安全态势为目标的整体建设思路，最终国内的安全管理平台演变成不仅包含了国外的核心功能，又有自身特色的综合安全管理系统。

　　2、 使用模式的差异：国外安全管理平台是安全服务提供商提供安全运营服务的基础工具，是运维过程中的支撑平台，其平台的核心是SIEM，以事件为核心，通过专业的安全专家，分析网络中潜在的安全威胁和各种攻击行为，为多个客户提供全天候、全方位的深度安全保障。进入国内后，平台的应用模式发生了很大变化，不是以服务推给客户，而是为重点行业、重点用户提供专业的产品，来提供专属于单个客户的独立服务，这些服务的内容也根据使用要求有所调整。

　　3、管理对象差异：从被管理的对象来看，国内外系统也存在着一定的差异，国外设备在自身信息的管理上更加的标准和规范，特别是主流的安全设备厂商具有很好的统一性，安全管理平台对这些设备的支持度很高，挖掘和分析的效果也更加准确;反观国内，除了个别市场占有率高的主流安全设备厂商外，其它厂商各自有各自的信息处理方式，部分厂商自己的信息不完整、不规范，这就要求安全管理平台具备有极强的适应能力，在产品的设计上具有灵活的扩展能力与对差异化信息的快速应变处置能力，这样的环境也使得国内的安全管理平台在特殊的技术处理上有其独到之处。

　　4、 市场理解差异：由于国外从网络建设到安全的建设，比国内更早，经历的时间也更长，因此客户对于安全建设的认识和理解也比国内起步早，安全建设是一个体系工程，由各专业性很强的安全系统组成了一个个单元点，再由安全管理规章制度、安全管理工具(平台)、专业的安全管理人员共同建设和维护，构建起一个立体的安全管理网状体系，其中少了任何一个环节都无法达到非常好的的目标效果，在这几项中，最难构建的就是专业的安全管理人员队伍，国外在进行安全管理工作时充分理解了其中的困难，因此从开始之初就是通过购买安全服务达到自己安全管理的目的;而国内客户更加认可自己部署产品或平台管理安全，希望通过平台能将安全管理工作非常顺利的开展，而往往忽视了专业安全队伍的建设，这也是很多安全管理项目的建设无法达到最终预期的一个重要原因之一。