SOC起源
谈起SOC(Security Operations Center,安全运营中心)的起源,我们不得不先谈谈MSS(Managed Security Service,托管安全服务),SOC是伴随着MSS的出现产生的。MSS的产生的主要是为了节省客户的相关安全投入,即客户将安全外包给MSSP(Managed Security Service Provider, 托管安全服务提供商),以小于原投入的资金获得更加专业的业务安全。早在2000年初, Counterpane(2006年被英国最大电话公司BT收购)公司率先推出了MSS,并为此开始在全美范围构建安全管理监控中心,以此实现MSS。这些安全管理监控中心就是SOC的原型。随后,更多的安全公司加入进来,纷纷推出了自己的MSS,其中ISS(2006年被IBM收购)是声势与影响最大的。当时他同AT&T、BellSouth等运营商展开合作推出了很多MSS业务。随着MSS的推广,安全管理监控中心由于工作方式与NOC(Network Operations Center,网络运营中心)相仿,被更名为SOC并沿用至今。
SOC是MSS实现的基础,它的构建包括:人员(安全专家)、工具、流程、地点及物理设施(网络、监视屏)等。它提供安全的集中运营,包括安全研究 、安全评估、安全策略制定、安全集中监视、安全响应、安全设备配置等。
2001年初,安氏公司利用ISS的知识将MSS的概念引入中国,并与世纪互联签订了当时中国的第一份MSS合作协议。与此同时,SOC概念登陆中国,但由于国内安全发展的特点,SOC的概念逐渐被SOC原概念中的工具部分替代,成为了工具的代名词。2004年安氏推出了安全运行中心(Security Operation Center,简称SOC)解决方案。同年,启明星辰推出了泰合信息安全运营中心系统(Security Operation Center)。天融信推出ESP企业安全平台(Enterprise Security Platform)2.0系统。随后,天融信又在2006年推出了TSM3.0-安全运营管理中心TopAnalyzer。经过近几年的发展,以SOC命名技术平台的用法正逐步被“安全管理平台”命名方式所替代。
(注:国内对于SOC的英文拼写中的Operation是单数而不是国外Operations复数的形式,是因为早期引入该概念时国人对于Operation的理解和英语用法的疏忽所致。)
SOC市场
SOC经过近10年的发展日臻成熟,无论知识、技术、流程还是设施都有了很大的提高。目前构建SOC的需求主要来自两方面:一方面是MSSP为提供MSS,需要构建服务型的SOC;另一方面是有些政府、企业或组织因为数据的私有与机密性等问题,需要自行进行集中的安全管理,需要构建自用型的SOC。两种构建SOC的需求,因为国内外安全市场各自发展特点的不同,呈现了不同的现状。
国外这些年MSS业务日趋成熟,市场规模也一直保持着不错的增长势头。据Gartner公司北美MSSPs的Magic Quadrant报告称2006年北美MSSPs的收益大约是5亿美元; 2007年的收益大约是5.7亿美元,2008年预计还将有15%的增长。
国内MSS业务最早在开始于2001年,但由于国内安全发展的特点和阶段,这些年MSS业务在国内推广的并不尽人意,效果也远不及国外。目前,国内对于SOC的需求主要来自政府与企业的自用型需求。2007年由公安部签发的43号文《信息安全等级保护管理办法》也促进了构建自用型SOC的需求。
SOC产品
目前,无论国内外都没有SOC产品。
国外许多涉及安全的厂商如:Symantec、Arcsight、Cisco等公司都有针对构建SOC的咨询服务,服务内容包括:用人模式设计、物理设施构建、技术构建、流程及过程制定、人员培训等,含盖了SOC概念的全部内容。
国内安全厂商目前没有提供构建SOC的咨询服务,主要提供SOC概念中工具部分的产品。目前公认的称谓是“安全管理平台”。如:天融信、启明星辰、联想网域、神州泰岳等公司都有各自的安全管理平台系统。
SOC技术
国外SOC中采用的技术是由其MSS业务决定与引领的。目前,北美拥有着数量众多的MSSPs,他们提供着各具特色的MSSs。 
Gartner北美2008年MSSPs的Magic Quadrant
Gartner公司将MSS定义为以下几类:
防火墙或IPS的监视与托管(Monitored or managed firewall or IPSs)
IDS的监视与托管(Monitoring or managed IDSs )
DDOS防护(DDOS protection)
邮件反病毒/反垃圾托管服务(Managed e-mail antivirus/anti-spam services )
防病毒网管托管服务(Managed gateway antivirus services )
安全信息管理(Security information management )
安全事件管理(Security event management )
网络、服务器或应用的弱点扫描托管(Managed vulnerability scanning of networks, servers or applications )
安全弱点或威胁通知服务(Security vulnerability or threat-notification services )
日志分析托管(Managed log analysis )
监视/托管设备报告与故障响应报告(Reporting associated with monitored/managed devices and incident response )
以上所有由CPE或ISP中心局设施交付的服务(All of these listed services delivered via CPE or ISP central office equipment )
实际上MSSs的类型还远不止这些,还有如:Symantec的备份托管服务(Managed Backup Services)、IBM Internet Security Systems(ISS)的虚拟安全运营中心(Virtual Security Operations Center)服务等等。并且随着安全的发展,用户需求的增加,MSSs的类型正变得更加丰富。
为实现以上的MSSs, MSSPs会采用不尽相同的工具,但大体可分为以下几类,这些类工具在国内都有相应的产品提供商:
漏洞扫描/管理(Vulnerability Scanner/Management):即漏扫工具。提供商有:启明、绿盟、榕基等。
安全信息/事件管理(SIEM, Security Information/Event Management):国内没有单一的SIEM产品,SIEM一般是安全管理平台的核心功能之一。提供商有:天融信、启明、安氏、网神、亿阳、神泰等。
日志管理(Log Management) :日志审计。提供商有:天融信、网神、思福迪等。
终端反病毒(Endpoint AntiVirus):杀毒软件。提供商有:金山、江民等。
…
国内目前SOC采用的技术业界公认为“安全管理平台”。它由国内安全市场的现状决定,是一个庞大的系统。它的功能覆盖了很多细分产品的功能如:SIEM、设备管理、漏洞管理、合规性及风险管理等。并且有趋势,变得更加庞大,会整合进更多的安全功能进行集中的安全管理。
总结
SOC是伴随着MSS而生的,它是一个包括:人员、工具、流程及物理设施的综合体。
SOC按用途可分为服务型与自用型。国内目前自用型需求为主,但考虑到国内安全发展相对国外的迟滞性及国内安全发展的现状,未来几年MSS可能会成为安全市场的热点。
SOC目前没有产品。
SOC技术因需求而定。国外普遍由MSS业务的内容决定,细分产品;国内一般指“安全管理平台”。
扫一扫
1008
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
