安管理平台的发展趋势分析

 　　1 SOC一词的起源

　　SOC(Security Operations Center)是一个外来词。而在国外，SOC这个词则来自于NOC(Network Operation Center，即网络运行中心)。NOC强调对客户网络进行集中化、方位的监控、分析与响应，实现体系化的网络运行维护。

　　随着信息安问题的日益突出，安管理理论与技术的不断发展，需要从安的角度去管理整个网络和系统，而传统的NOC在这方面缺少技术支撑，于是，出现了SOC的概念。不过，至今国外都没有形成统一的SOC的定义。维基百科也只有基本的介绍：SOC(Security OperationsCenter)是组织中的一个集中单元，在整个组织和技术的高度处理各类安问题。SOC具有一个集中化的办公地点，有固定的运维管理人员。国外各个安厂商和服务提供商对SOC的理解也差异明显。

　　2 SOC产生的动因

　　为了不断应对新的安挑战，企业和组织先后部署了防火墙、UTM、入侵检测和防护系统、漏洞扫描系统、防病毒系统、终端管理系统，等等，构建起了一道道安防线。然而，这些安防线都抵御来自某个方面的安威胁，形成了一个个“安防御孤岛”，无法产生协同效应。更为严重地，这些复杂的IT资源及其安防御设施在运行过程中不断产生大量的安日志和事件，形成了大量“信息孤岛”，有限的安管理人员面对这些数量巨大、彼此割裂的安信息，操作着各种产品自身的控制台界面和告警窗口，显得束手无策，工作效率低，难以发现真正的安隐患。另一方面，企业和组织日益迫切的信息系统审计和内控要求、等级保护要求，以及不断增强的业务持续性需求，也对客户提出了严峻的挑战。

　　针对上述不断突出的客户需求，从2000年开始，国内外陆续推出了SOC(Security Operations Center)服务和产品。目前国内的SOC产品也称为安管理平台，由于受到国内安需求的影响，具有很强的中国特色。

　　3 SOC的定义

　　一般地，传统SOC产品被定义为：以资产为核心，以安事件管理为关键流程，采用安域划分的思想，建立一套实时的资产风险模型，协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安管理系统。

　　本质上，SOC不是一款单纯的产品，而是一个复杂的系统，他既有产品，又有服务，还有运维(运营)，SOC(或者说SOC系统)是技术、流程和人的有机结合。SOC产品是SOC系统的技术支撑平台，这是SOC产品的价值所在，我们既不能夸大SOC产品的作用，也不能低估他的意义。这就好比一把好的扫帚并不意味着你就天然拥有干净的屋子，还需要有人用它去打扫房间。

　　4 SOC在信息安产业的地位

　　如果我们把信息安产业分为产品和服务两个部分，那么SOC产品位于信息安产品市场金字塔的顶端。

　　SOC产品是所有安产品的集大成者。SOC产品不是取代原有的安产品，而是在这些安产品之上，面向客户，从业务的角度构建了一个一体化的安管理运行的技术集成平台。

　　信息安产业是一个速发展变化的产业，SOC的内涵和外延也会不断的更新，但是SOC产品在整个信息安产品结构中的顶层地位始终不会改变。

　　5 国外SOC的发展现状

　　如前所述，国外的SOC并没有明确的定义，其发展轨迹可以从产品和服务两个维度来看。

　　SOC产品

　　国外鲜见以SOC命名的产品， SOC更多地是与服务挂钩的。国外产品厂商使用了SIEM(Security Information and Event Management，安信息与事件管理)这个词来代表SOC产品，以示产品与服务的区隔。

　　必须指出的是，SIEM产品与我们理解的SOC 产品是有区别的，SIEM产品是SOC的核心产品，但不是部。

　　根据Gartner2008年关于信息安的Hype Cycle曲线分析显示，球安管理平台市场趋于成熟，还有不到两年就将成为业界主流产品，如下图所示：

　　图：Gartner信息安Hyper Cycle

　　Gartner公司2009年安信息和事件管理 (SIEM)幻方图显示，球SIEM市场在2008年增长了30%，整体收入达到了约10亿美元。主要的SIEM厂家如下图所示：

　　图：Gartner SIEM 2009年幻方图

　　SOC服务

　　SOC服务是指 MSSP(Managed Security Service Provider，可管理安服务提供商)以SOC为技术支撑为客户提供安服务。这里，客户感受到的只是安服务，而非SOC本身。

　　从 SOC发展至今，国外更多地将SOC与服务联系在了一起，这与国外(主要是欧美)信息安发展的水平和客户对安的认知水平有密切关系。

　　根据 Gartner公司《2008年下半年北美MSSP幻方图》显示， 北美市场2007年的营收大约是5.7亿美元，预计在2008年年会有15%的增长。北美的主要厂家包括：

　　图：Gartner北美MSSP 2008年下半年幻方图

　　6 中国的SOC发展现状

　　SOC这个概念，自传入中国起，就深深的烙下了中国特色。由于信息安产业和需求的特殊性使然，由于中国网络与安管理理念、制度、体系、机制的落后使然。

　　中国SOC的引入和发展与国外的情况有一个很大的不同，就是国内在提出SOC的时候，除了电信、移动、民航、金融等高度信息化的单位，大部分企业和组织连NOC都没有建立起来。于是，国内SOC的发展依据行业的不同出现了截然不同的发展轨迹。电信、移动、民航、金融等单位较早的建立了NOC，对SOC的认识过程与国外基本保持一致。其他企业和组织则对SOC认识模糊，从而更加讲求实效。这两类客户对于SOC的需求和期望是截然不同的，后者在需求的广度上超过了前者，因而用电信、移动、金融领域的SOC反而难以满足政府等企事业单位客户的需求。

　　SOC在国内也有两个发展维度，产品和服务。

　　SOC产品

　　在国内，一般把SOC产品称为安管理平台，但是，公安部的《安管理平台产品检测规范》并没有真正涵盖现在SOC的部内容。国内的安管理平台具有狭义和广义两个定义。

　　狭义上，安管理平台重点是指对安设备的集中管理，包括集中的运行状态监控、事件采集分析、安策略下发。

　　而广义的安管理平台则不针对安设备进行管理，还要针对所有IT 资源，甚至是业务系统进行集中的安管理，包括对IT资源的运行监控、事件采集分析，还包括风险管理与运维等内容。这也是SOC的一般定义。（武汉北大青鸟）