近日,多个媒体发表了一篇文章叫做《走中国特色SOC之路》,例如赛迪网。此文从SOC发展现状和问题引出了要发展中国特色的SOC的论断,并给出了这个中国特色的SOC的应该具备的几大特点。
很高兴的看到此文中引用了我的较多论点,此文不是本人所写,但是我的一些观点能够得到业界同仁的共识,更加坚定了我们在这个方向上的认识和发展路线。
作为延伸阅读,如果您想了解更多关于SOC产生的历史,可以参考我的这个博文:《三论SOC的起源》,以及这个:《关于SOC在中国的早期实践 》。如果您要了解SOC市场的国内外发展的趋势分析,可以参考我的这个博文:《安全管理平台(SOC)的发展趋势分析 》。如果您要了解更多关于SIEM(安全信息与事件管理)系统的信息,包括发展历程和如何演变成为SOC的过程,可以参考我的博文:《安全信息与事件管理(SIEM)技术解析与发展分析》,而这里还有一篇对Gartner做的SIEM(SOC核心产品)的2010年市场分析报告的解读分析。

回到本文,作者提出了一个明确的论点:要走中国特色的SOC之路。对于论点本身,我没有什么去辩驳的;对于论据,大体上也没有什么偏差,只是我希望进一步与作者探讨并理清一下论据中的某些具体问题。
1)SIEM不论在国内还是国外,都可谓SOC的核心,不论这个SOC是指产品还是指运维,或者服务,或者对于MSSP的SOC而言。而SIEM与LM的结合,SIEM用于合规管理首先也是国外发起的(参见这里)。如果说有中国特色的话,应该在于国内的合规规定与国外是不同的,比如我们有等保,有各个行业的规范指引要求。由于合规目标的具体细节不同,导致了对于SIEM功能设计,尤其是上层(逻辑层和展示层)功能要求的中国特色。

2)网管与安管的融合问题。可以说,我是国内公开在网络媒体上提出了这个观点的,并且也是积极倡议的人之一。在与赵粮博士的交流中,他在电信的时候,国内业界就已经开始在摆放两者之间的关系了。后来,大约在2004年的时候,业界同仁出于在电信和大企业推广SOC的需要,提出了分立统筹的思路。这类公开的网络文章至今依然可以搜索到。而我在倡议网管安管融合的时候,是设定了前提的。a)这个前提是基于国内SOC发展的基础的,也就是有两类SOC需求者,一类是有NOC了的信息化建设的先导者,例如运营商、民航、金融等。对于他们要考虑NOC和SOC的关系。但是对于另一类尚未有真正意义的NOC的单位而言,我建议直接考虑NOC和SOC融合的解决方案。在这个FAQ中,我有专门提及“对于不同的用户,上SOC的时候我们的一些建议”。b)网管与安管的融合,不代表两种管理职责的融合,事实上,网管和安管的职责是有区别的。例如,我依然建议企业和组织中的网管TEAM和安管TEAM是两个TEAM,尤其是安全审计,以及安全政策和策略管理的工作职责应该是专门隶属与安管岗位的。在这篇文章(IT安全管理平台发展趋势:网络管理与安全管理融合 )中,我在论述统一管理平台的最佳实践的时候,第一条就是“职责分离”。
还有一个动向要注意,网管安管融合不仅是中国当前安管发展的一条路,也被国外同行多次提及。这个文章就是一个国外同行在2006年对于两者融合的分析和判断。迄今还有很多此类分析,自己可以网上查找。而现在有些国外公司也开始推出这样的产品了,他们主打的市场是下一代数据中心。

3)主动防御,我更愿意理解为事前管理,基线管理,也就是PDR及其变种模型的理论的落地,是SOC的一个重要环节。至于是否是中国特色,尚不能下结论。国外在这方面也是有很多涉足的,仅仅在SIEM产品这块,国外已经将SIEM与文件完整性,配置管理,变更管理,基线管理等等融合了,有很多类似的产品,我也提及过一些,例如Tripware。

4)客户化。其实就是产品化和项目化运作模式之分。我认为这不是中国特色的本质所在,关键在于符合中国客户市场的切实需求,是定制,还是产品,无所谓,只要满足中国客户需要即可。如果这个客户需要的是特有的,无法产品化的,就定制;而如果要解决的问题是具有普遍性的,是共性的,是可以产品化的,那么就提供产品好了。因此,我想,这个问题的另一个延伸就是“是否存在可以产品化的中国客户对于安管的需求?”仁者见仁,智者见智,总之,我认为是存在的。这个就取决于各人对市场的分析和调查,对于客户需求的理解和把握,对技术产品的认识与实践了。这里,只想强调一点,做SOC不在于大而全,而在于点到用户的痛点,关键就是那个点,不多,很少,解决即可。或许,你分析定位以后,发现SOC是可以分解的。当然,话说回来,大型一些的SOC建设,复杂的需求,还是要以项目形式走,不仅是技术的问题,还有一个项目管理,项目运作流程的问题,SOC建设不是产品部署那么简单的。

5)关于运营。这个内容与其说是中国特色,不如说是SOC发展的回归。我已经分析过很多了,不再赘述,随意翻看我的博文即可。

Anyway,我这里绝不是对这个文章进行辩驳!请原作者不要误解我的意思。事实上,这个文章包含了我对SOC的大量认识。这篇文章激发了我更多的想法,而我一直没有机会去表达而已。所以,借助这个文章的读后感,表达一些我的长久以来的看法。

欢迎与业界同仁一起讨论交流。