我的年终总结：做了9年SOC的一点点实践体会

推荐原创

叶蓬 2010-12-31 14:48:21 博主文章分类：安全管理（SIEM/SOC） ©著作权

文章标签 安全管理 SOC SIEM 安全事件管理安全管理平台 文章分类 代码人生

©著作权归作者所有：来自51CTO博客作者叶蓬的原创作品，请联系作者获取转载授权，否则将追究法律责任

从2006年加入网御神州至今，已近5年了。已是岁末，但北京还未迎来一场真正的大雪，就好象在酝酿着什么一样。安全业界似乎也是如此，各种传言到处流散着，似乎要等到2011年才见分晓。

有意或者无意，我本人也被拉入了这个安全业界的年终变动之中。尽管跟那些大的变动没啥关系，但是我也作出了变化，就好象这个北京的暖冬闹腾的，没法让人平静下来，我离开了网御神州。

终于又把一段澎湃的岁月打包起来了。过去的一年，或者应该说是5年，是我真正实践自己SOC理想的日子。如果再加上在研究院的4年，回味起来，感觉还是收获颇丰。

我们顺应技术和业界发展的潮流，从一个全新的角度去发展了SOC（Security Operations Center），或者称之为安全管理平台，赋予了其我们给予的全新的定义，并正在得到业界事实上的认可。

关于网管安管一体化

什么是安全管理？我给出了自己的理解：“可用+安全=真正的安全”：安全管理的首要目标是要保障网络的可用性和业务的连续性。其实，这并不是什么创新，只不过是更加深刻地认识到了国内当前安全管理发展的现状以及客户的认知与需求水平。正是这种独到的眼光，使我们的产品一下子打开了市场。至今，我依然深信不疑。

在网管安管一体化的安全管理平台（SOC）提出数年之后，业界同行逐渐认可并加入了这个潮流之中。

1）东软重塑了其SOC，并提出了其设计SOC的思路，其中就提到：“针对系统服务平台的应用特点，将主机、网络、系统、安全、流量与应用系统的健康监控工作统一纳入其工作范畴。采用多种方式定期轮询系统运行的性能数据，收集告警信息，并通过创新的核心关联分析技术，将网管与安管系统合二为一。”

2）联想网御更是干脆直接提出了融合网管与安管的口号，并基本上全盘接受了这个思路。

3）天融信也调整了其SOC设计和宣传的口径，加入了“统一的网络与安全管理平台”的表述。

4）神州泰岳在做SOC之前，就已经做了很长时间的网管，尤其是针对运营商客户。但是其SOC与网管是完全不同的两个事业部来做的。因此，为了顺应发展潮流，他们也宣传网管安管的统一，尽管技术上尚未真正做到。对于一体化这个思路，神州泰岳的张建军甚至还写过一篇文章，与我写的这个文章核心思路一致，尽管他想的更大。

5）启明星辰也被迫在其TSOC中加入了些许的网管功能。

甚至于，现在还有一些传统的网管厂商也跃跃欲试，试图加入这个阵营。

关于面向业务

什么是业务？什么是业务安全？什么是面向业务？如何做面向业务的安管？从这个话题的提出就一直充满着争议。不过，大家争论的是如何落地的问题，而对于是否要面向业务的问题却惊人的一致——当然要面向业务！其实，这个结论也很自然，看看包含安管在内的IT管理的发展趋势便可明晰。

1）东软提出“信息安全必须为应用服务”。

2）天融信则将SOC置于其整个产品线以业务为目标的产品体系的最顶端。

3）神州泰岳提出其SOC“KBP（关键业务点）为核心，以咨询服务为桥梁、融合……，以实现业务安全为目的。”

除了在保持SOC核心概念的基础上对其赋予新的内涵和外延外，我们也对SOC的业务模式进行了反思和创新。

关于SOC产品化

实践证明，我们已经找到了一条切实可行的发展之路。这个发展道路的策略方针，从我个人总结起来，就是：“系统平台化、产品模块化、营销产品化”。其中的核心就是——产品化！

需要特别指出的是，我个人对于SOC的愿景与绝大部分业界同仁的认识是趋于一致的，我强调产品，最终并不在于产品。我认为“产品是手段，不是目标”。我以前在谈及我们的SOC的时候，已经讲到过。我以前还提出过一个观点：向生产汽车一样生产SOC类产品。去年的这个采访有提及，但并未完全表达出我的全部想法。其实大家可以想象一下汽车的生产体系，尤其是那个生产线（平台），为什么同样是大众的PQ35平台，可以生产出奥迪A3、高尔夫、速腾、明锐、……？呵呵。

经过多年的实践，我们总结出一条在国内发展SOC的规律：只有产品化才能最大限度的复制我们的研发成果，而只有实现管理技术平台的架构化、模块化才能在支撑我们灵活多样的市场策略。也只有这样，我们的以客户为导向的目标才能执行到位。当很多人都在争论应该如何做SOC的时候，我们已经开始做了。

事实上，我认为，一个业务（不限于SOC业务）的成功，至少可以有三种模式：项目模式、产品模式和服务模式。我已经实践过项目模式和产品模式，也研究过服务模式。相比较而言，我更加深刻地感受到产品模式给我们带来的回报，因为只有将安全管理平台产品化，才能实现技术成果的有效积累和快速复制，才能实现业务的飞速增长。产品模式是开拓其它业务模式的基础。

最后，我想说，认识到产品模式并不等于就能实现这个模式，如何做产品，尤其是SOC这样的管理类产品，与防火墙、IDS这类产品的做法还是存在区别的。幸运的是，大量的实践让我对此有了更加深刻的体会。

用了9年的时间，我实践着自己的SOC理想，却依然没有实现自己的SOC理想，我还需要继续努力。幸运的是，我已经找到了一把通往未来的钥匙。

最后，关于团队

如果说还有什么是值得回味的，那么，就是团队！SOC团队！如同任何一个事情一样，做IT，尤其是做IT管理类的业务，如果没有一支团队，没有分工协作，单凭一己之力是决计不可能的。而要有一支团结的、协作的、精英的团队，谈何容易！每个人都有自己的理想，在一个团队之中，不仅要发挥每个人的长处，有时候往往需要一些人隐藏自己的某些长处，所谓妥协。这是一个动态的平衡，不存在完美的团队。

让我们一起憧憬2011年。当然，对我而言，首要的任务是寻找和选择……。