【IT168 评论】目前，信息安全建设已经成为企业的共识。SOC安全管理平台作为综合的管理平台，以及在如今大数据环境下不可忽视的作用，已经成为企业安全建设的金字塔。企业如何才能建设好自己的SOC平台，甚至如何选型SOC成为企业管理者正在关注的话题。为此，我们专门采访了天融信安全管理产品线总监熊毅，一起来探讨SOC的发展背景、企业价值以及选型指南。

▲天融信安全管理产品线总监熊毅

　　SOC市场发展介绍

　　熊毅介绍到，SOC从2000年左右进入国内到现在已经有了10多年时间，在国内开始SOC建设之初，大多数行业用户对安全的投入与重视程度有限，当时的SOC处于一个市场被认知的过程，随着安全建设的力度不断加大，特别是近些年国内外安全事故接连的爆发，引发了公众特别是国家相关机构部门的高度重视，企业安全建设的开始空前高涨。

　　另外，随着更加专业的安全系统逐渐完善，防御手段的加强，信息获取的途径与准确度提高，给SOC组成之一的安全管理平台的快速发展提供的重要的基础，需要管理的设备越多，维护的信息量越大，管理员对信息化的管理手段和工具要求就更加的迫切，这也是近几年安全管理平台得到重视非常重要原因之一。

　　从国家层面来看，国家对安全管理建设也提出了一系列的要求和期望，推动了平台化的建设步伐，各行业制定了行业内的规范要求，与安全管理制度互相结合也提高安全管理能力与水平。安全管理平台经过了市场试探期、技术发展期、业务的融合期、产品快速发展期到现在的广泛应用期，经历的时间不算太长，行业之间的信息化水平直接决定了安全管理平台建设的最终成效，总体来看在领先的行业处于积极建设期，对SOC具有较高的期望，而一部分行业处于尝试期，边观察边建设，但总体的趋势是希望SOC能够帮助自身提升安全的管理水平，并积极投身于SOC产品的建设中。

　　国内外SOC差异对比

　　熊毅谈到，SOC首先是由国外提出，由安全服务提供商对客户提供专业的安全服务，服务的信息主要来源就是安全管理平台;国内在建设中不仅仅继承了平台的核心安全事件管理，并在此基础上结合国内客户的需求，对平台进一步进行了扩展，逐步发展成了符合自身特殊要求的自用型平台。

　　1、 产品形态的差异：国外SOC平台其的核心是SIEM，以事件为核心，分析、存储、管理设备安全信息，通过安全专家深度挖掘分析事件所隐含的不安全的行为，帮助客户提供事前预防、事中定位、事后处置的安全服务;国内客户在进行安全管理平台建设之初，为了确保数据的安全性，满足安全管理的制度要求，更多的把安全建设成内网自用模式，并且根据自身的使用特殊性，日常管理工作的差异性，提出了以事件为核心，风险分析为方向，以安全态势为目标的整体建设思路，最终国内的安全管理平台演变成不仅包含了国外的核心功能，又有自身特色的综合安全管理系统。

　　2、 使用模式的差异：国外安全管理平台是安全服务提供商提供安全运营服务的基础工具，是运维过程中的支撑平台，其平台的核心是SIEM，以事件为核心，通过专业的安全专家，分析网络中潜在的安全威胁和各种攻击行为，为多个客户提供全天候、全方位的深度安全保障。进入国内后，平台的应用模式发生了很大变化，不是以服务推给客户，而是为重点行业、重点用户提供专业的产品，来提供专属于单个客户的独立服务，这些服务的内容也根据使用要求有所调整。

　　3、管理对象差异：从被管理的对象来看，国内外系统也存在着一定的差异，国外设备在自身信息的管理上更加的标准和规范，特别是主流的安全设备厂商具有很好的统一性，安全管理平台对这些设备的支持度很高，挖掘和分析的效果也更加准确;反观国内，除了个别市场占有率高的主流安全设备厂商外，其它厂商各自有各自的信息处理方式，部分厂商自己的信息不完整、不规范，这就要求安全管理平台具备有极强的适应能力，在产品的设计上具有灵活的扩展能力与对差异化信息的快速应变处置能力，这样的环境也使得国内的安全管理平台在特殊的技术处理上有其独到之处。

　　4、 市场理解差异：由于国外从网络建设到安全的建设，比国内更早，经历的时间也更长，因此客户对于安全建设的认识和理解也比国内起步早，安全建设是一个体系工程，由各专业性很强的安全系统组成了一个个单元点，再由安全管理规章制度、安全管理工具(平台)、专业的安全管理人员共同建设和维护，构建起一个立体的安全管理网状体系，其中少了任何一个环节都无法达到非常好的的目标效果，在这几项中，最难构建的就是专业的安全管理人员队伍，国外在进行安全管理工作时充分理解了其中的困难，因此从开始之初就是通过购买安全服务达到自己安全管理的目的;而国内客户更加认可自己部署产品或平台管理安全，希望通过平台能将安全管理工作非常顺利的开展，而往往忽视了专业安全队伍的建设，这也是很多安全管理项目的建设无法达到最终预期的一个重要原因之一。

　　SOC的用户价值

　　怎样的产品才是最好的SOC呢，熊毅产品能力、体系支撑、实施、用户等方面进行了详细的解释：

　　1、 产品能力方面：伴随着安全建设的不断加大投入，安全设备越加完善，现在很多客户经过多年的积累，产品已经能够覆盖到安全管理要求的各个方面，设备越多，需要管理的信息种类也就越多，数据量也会更大，这就要求安全管理平台具有对各种设备兼容的管理能力，以及对未知设备的快速接入能力。安全建设是一个持续的过程，长期积累的信息给系统带来了极大的挑战，在海量信息下，需要有一个高性能的数据分析处理平台，才能从产品所存储的信息库中挖掘出有价值的安全事件。在结果展示方面，传统的安全管理平台信息展示方式以表格为主，图形为辅，在确保系统分析准确的同时，以清晰、完整、直观的图形化展示也越来越成为评价一款优秀的安全平台的依据之一。

　　2、 体系支撑方面：安全管理系统的建设离不开安全体系与安全制度，安全体系从全局指导整个安全管理工作的开展，是安全建设的方向的指引。体系指导平台的建设，平台从技术角度对安全制度有效落实，完善的安全体系与管理规章，能让安全管理工作开展有序和高效;优秀的安全管理产品，会让安全管理成果更卓著。

　　3、 实施能力方面：安全管理平台是管理思想与安全技术的融合，在管理思想上往往很多时候没有一个严格的标准，势必造成系统建设具有一定的差异性，再加上国内安全设备信息没有统一标准，造成了平台在设计实现上需要具有较大的灵活性与适应业务的能力，平台灵活性增强，伴随的是系统在实施难度就会增加，不同客户对平台要求同时具有差异性，这样对实施团队的准入要求将更高。要打造一个好的产品，不仅要充分满足业务的灵活性，平台在可实施的能力以及实施团队的水平也决定了项目建设的效果。

　　4、 使用者配合方面：建设一个好的安全管理平台项目，技术是一个方面，建设中使用者对安全管理工作以及平台定位的理解也很重要。技术为管理服务，管理为体系服务。一个好的管理平台的应用，必定有着具有一定背景的使用者的配合与支持，才能发挥出产品更加优秀的一面。

　　而谈及部署SOC能给企业带来的价值，熊毅讲到，企业信息化建设是一个逐步完善的过程，在建设初期往往更多考虑网络自身持续高效的提供服务水平，确保业务能够正常应用。当网络建立完善后，网络安全问题就成为下一步建设的重点方向，水平参差不齐的安全管理团队，造成了安全管理的效果差异较大，在安全体系框架之下建设行之有效的安全管理系统，就显得尤为的重要了。而SOC平台可以帮助企业很好的解决安全设备的集中化管理、安全威胁的智能化分析、安全信息的立体化监视、运维工作的流程化处置等问题。

　　SOC选型建议

　　熊毅谈到，SOC的建设是一个体系化的过程，从方案到产品再到实施运维，需要具备完善的队伍与技术能力水平，这些能力往往是中小厂商无法提供的，其结果是把安全管理平台建设成了具有简单分析能力的安全事件管理系统，因此在选型SOC方案和产品时重点考虑以下几个方面：

　　1. 厂商建设能力：首先要选择整体安全能力较强，安全团队比较完善的大的厂家，特别是在具有本地化实施能力的厂家;

　　2. 设备管理能力：鉴于国内各厂商设备信息的差异特点，选择的安全管理平台在对设备支持的扩展性和灵活性要较好，特别是对设备日志的识别方便快速。同时产品自身对设备支持要完整，种类越多越好，这也是体现一个SOC产品管理能力和知识积累的重要方面。尤其是选择安全设备市场占有率高的厂商的SOC产品，对于管理自己的设备信息也会更加完整、准确。

　　3. 大数据分析处理能力：网络带宽的提高，需要处理和分析的安全信息量也成数量级的增加，这就对安全管理平台提出了更高的数据处理和分析的要求，需要处理从原来的几十到几百GB甚至上TGB级别的安全信息，因此SOC产品应该具备大数据量下对安全信息的快速处理能力，以最高效的技术手段挖掘出隐藏的安全问题。

　　4. 行业标准的符合度：SOC产品在国内的运用一直以来都具有其特殊性，不同行业的建设差异，造成了产品提供功能的不同，因此在特殊行业选择产品时，要考虑其对行业规范的满足程度，比如近年公安行业提出了自己的行业标准，对应的SOC也需要是能满足其标准的。

　　SOC未来展望

　　SOC在国内建设还处在发展阶段，安全管理是企业单位信息化建设工作中的一部分，在日常维护过程中也需要持续的运维和管理。跟随传统网络建设发展的IT运维已经比较成熟，其重点关注网络以及业务可持续提供服务的水平，但能影响服务水平的，已经不仅仅是网络和服务问题，目前的安全问题已经成为重要的影响因素之一，因此将IT运维管理与安全管理的有机结合，将成为SOC产品市场发展和客户选择方向之一。

　　在国内发展的传统SOC模式是以客户自身网络为基础建设的自用型的SOC，随着10多年的国内实践，验证了并非所有的客户都具备建设自用SOC的条件，因此，提供可托管的安全管理服务将会是市场发展的又一重点，必将在国内掀起新一次的SOC建设浪潮。

　　介于自用型局域网SOC和基于互联网提供可托管服务的SOC之间，在国内具有跨地域管理的公司和具有多级组织机构的国家单位，也将会建立属于自己行业内的专网托管服务安全管理平台，以总部机构为核心构建SOC中心，提出行业内的安全管理体系，建设专业化的安全队伍，通过特殊网络接入地域分散的各级机构设备，集中分析和处理完全问题，为各级单位提供专业的安全服务，达到了信息集中化，管理专业化的目的和运维效果。