安全管理平台的发展趋势分析.docx

安全管理平台（SOC）的发展趋势分析-网御神州1 SOC

安全管理平台（SOC）的发展趋势分析-网御神州

SOC（SecurityOperations

SOC（SecurityOperationsCenter）是一个外来词。而在国外，SOC这个词则来自于

NOC（NetworkOperationCenter，即网络运行中心）。NOC强调对客户网络进行集中化、全方位的监控、分析与响应，实现体系化的网络运行维护。

随着信息安全问题的日益突出，安全管理理论与技术的不断发展，需要从安全的角度去

管理整个网络和系统，而传统的NOC在这方面缺少技术支撑，于是，出现了SOC的概念。不过，至今国外都没有形成统一的SOC的定义。维基百科也只有基本的介绍：SOC（SecurityOperationsCenter）是组织中的一个集中单元，在整个组织和技术的高度处理各类安全问题。SOC具有一个集中化的办公地点，有固定的运维管理人员。国外各个安全厂商和服务提

供商对SOC的理解也差异明显。

2 SOC产生的动因

为了不断应对新的安全挑战，企业和组织先后部署了防火墙、UTM、入侵检测和防护系

统、漏洞扫描系统、防病毒系统、终端管理系统，等等，构建起了一道道安全防线。然而，这些安全防线都仅仅抵御来自某个方面的安全威胁，形成了一个个“安全防御孤岛”，无法产生协同效应。更为严重地，这些复杂的IT资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件，形成了大量“信息孤岛”，有限的安全管理人员面对这些数量巨大、彼此割裂的安全信息，操作着各种产品自身的控制台界面和告警窗口，显得束手无策，工作效率极低，难以发现真正的安全隐患。另一方面，企业和组织日益迫切的信息系统审计和内

控要求、等级保护要求，以及不断增强的业务持续性需求，也对客户提出了严峻的挑战。

针对上述不断突出的客户需求，从2000年开始，国内外陆续推出了SOC（Security

OperationsCenter）产品。目前国内的SOC产品也称为安全管理平台，由于受到国内安全需求的影响，具有很强的中国特色。

3 SOC的定义

一般地，SOC被定义为：

一般地，SOC被定义为：以资产为核心，以安全事件管理为关键流程，采用安全域划分

的思想，建立一套实时的资产风险模型，协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。

本质上，SOC不是一款单纯的产品，而是一个复杂的系统，他既有产品，又有服务，还

有运维（运营），SOC是技术、流程和人的有机结合。SOC产品是SOC系统的技术支撑平台，

这是SOC产品的价值所在，我们既不能夸大SOC产品的作用，也不能低估他的意义。这就好比一把好的扫帚并不意味着你就天然拥有干净的屋子，还需要有人用它去打扫房间。

4 SOC

4 SOC在信息安全产业的地位

如果我们把信息安全产业分为产品和服务两个部分，那么SOC产品位于信息安全产品市

场金字塔的顶端。

SOC产品是所有安全产品的集大成者。SOC产品不是取代原有的安全产品，而是在这些

安全产品之上，面向客户，从业务的角度构建了一个一体化的安全管理运行的技术集成平台。

信息安全产业是一个极速发展变化的产业，SOC的内涵和外延也会不断的更新，但是SOC

产品在整个信息安全产品结构中的顶层地位始终不会改变。

如前所述，国外的SOC并没有明确的定义，其发展轨迹可以从产品和服务两个维度来看。

如前所述，国外的SOC并没有明确的定义，其发展轨迹可以从产品和服务两个维度来看。

5 国外SOC的发展现状

国外鲜见以

国外鲜见以SOC命名的产品，SOC更多地是与服务挂钩的。国外产品厂商使用了SIEM

（SecurityInformationandEventManagement，安全信息与事件管理）这个词来代表SOC

产品，以示产品与服务的区隔。

必须指出的是，SIEM产品与我们理解的SOC产品是有区别的，SIEM产品是SOC的核心

产品，但不是全部。

根据Gartner2008年关于信息安全的HypeCycle曲线分析显示，全球安全管理平台市

场趋于成熟，还有不到两年就将成为业界主流产品，如下图所示：

图：Gartner信息安全HyperCycle

Gartner公司2009年安全信息和事件管理（SIEM）幻方图显示，全球SIEM市场在2008年增长了30%，整体收入达到了约10亿美元。主要的SIEM厂家如下图所示：

图：GartnerSIEM2009年幻方图

图：GartnerSIEM2009年幻方图

SOC服务SOC

SOC服务

SOC服务是