一、SOC的主要发展现状

　　1、国外的发展方向以SIEM为主

　　在信息化程度较高的西方国家鲜见以SOC命名的产品，此类产品更多地是与服务捆绑提供的。最早建立SOC的ISS公司大约是在1999年收购了当时最大的独立安全服务提供商——Netrex Secure Solutions公司，建立了一个端到端的SAFEsuite(R)安全管理平台，为客户提供可管理安全服务(MSS：Managed Security Service)。他们的SOC是自建自用，用于开展MSS运营业务，并非独立销售的产品。后面CheckPoint、WatchGuard、Cyber Security等推出的SOC要么是自己以之为平台进行MSS服务，要么就是把目标客户定为开展MSS服务的ISP等。

　　面向普通用户的安全管理产品，目前的主要方向集中在安全信息和事件管理(SIEM：Security Information and Event Management)上，安全信息与事件管理主要解决的是用户网络中所有日志的收集、安全存储、分析、警报、审核以及合规性报告，它将大量看似无关的数据关联起来，变成可理解的信息模式，帮助管理员掌握网络状态，并在第一时间掌握重大安全事件，同时帮助客户简化法规遵从性。

　　根据Gartner 2008年关于信息安全的Hype Cycle曲线分析显示，全球安全管理平台市场趋于成熟，已逐渐成为业界主流产品，如下图所示：

　　图：Gartner信息安全Hyper Cycle

　　2、国内SOC的发展与建设困境

　　国内SOC的引入和发展与国外的情况有很大不同，一方面国内在提出SOC的时候，大多数用户对SOC认识模糊，除了电信、民航、金融等高度信息化的个别行业和单位，大部分企业和组织，包括政府等对信息安全要求较高的单位连NOC都没有建立起来。另一方面，由于受制于国内体制、应用环境、传统认识的制约，IT服务、尤其是安全运维的外包一直没能开展起来，所以，国内的SOC一开始就是面向各类行业用户，以产品形态出现的。

　　从一般定义来说，国内主流观点仅把SIEM看做是SOC产品的核心部分之一，一方面要求将不同位置、不同资产(主机、网络设备和安全设备等)中分散且海量的安全信息进行归一(范式化)、汇总、过滤和关联分析，形成基于资产/域的统一等级的威胁与风险管理，并依托安全知识库和工作流程驱动对威胁与风险进行响应和处理，另一方面不仅针对安全设备进行管理，还要针对所有IT资源，甚至是业务系统进行集中的监控和管理。

　　随着用户对SOC期望值的不断提高，加上部分厂商出于竞争目的的引导，SOC平台包含的内容越来越多。国内的SOC平台所涵盖的领域不仅包括SIEM，还有风险管理、运维管理、安全设备管理。甚至有些大型安管平台还包括了网络管理、应用管理、策略管理、配置管理、变更管理、基线管理、绩效管理等等，这些扩展应用大都属于IT运维管理范畴。

　　尽管SOC产品范围越来越大，但不容讳言，从另一方面，几年来电信、民航等领先行业的SOC建设难言成功，在投入了大量的人力物力后，用户发现，SOC没有能够体现日志、告警到安全事件的提炼，报出的安全事件以误报居多，发现的风险难以理解，更不会自行处理;自动生成的图形报表反映的是被误报严重扭曲过的统计结果;全流程的运维管理流程对自己单位却难以适合。一来二去后，用户发现进行了巨大的投资，牵扯了大量的人力，却没有换来理想的运营管理效果。

　　尽管碰到了各种各样的困境，但从理论界到各大行业用户，没有人怀疑SOC的必要性。怎样建设好、用好SOC，成为一个亟需解决的难题。