三论SOC的起源

【摘要】本文通过分析1998～2001年间国际上Managed Security Service的发展初始阶段的事件，探讨了Security Operations Center的起源，表明SOC的发展存在着服务和产品两条路径。同时，简要叙述了2004及以前的中国SOC市场的历史发展情况。

引子
在2003～2005年间，国内SOC概念正如火如荼。当时，国内主流的安全厂商从安全产品和安全服务发展的不同角度出发，开展了一场轰轰烈烈的SOC运动。

作为业界同仁对SOC的一次重要交流，在2004年的XFOCUS论坛上，有人发起了一次“探究SOC起源”、“再论SOC起源”、“乱弹SOC”等一系列讨论，带大家去寻找最早的SOC来自哪里？并就SOC到底是产品还是服务进行了深入探讨，还针对当时国内主要的SOC厂商的情况进行了交流。那个时代，本人也有幸做为一名SOC的从业人员，参与国内SOC建设大潮之中。2004年的时候，本人主要承担SOC系统的研发工作，利用我们的核心管理平台架构搭建SOC。那个时候，他们中一部分人对SOC侃侃而谈，把SOC看作安全服务、MSS的未来，当然也有人不看好SOC。

现在，本人在参照前人成果的基础上，再次为大家探究一下SOC的起源。

先提一下，在2010年代，去翻寻2000年以前的东西，不是很容易的一件事情，很多资料都是以文字期刊的形式流传下来的，Google也不过1997成立，而网络安全业界的前辈们有的从1994年开始创业了。不过，幸好互联网是强大的，借助Google和期刊电子检索，还能寻找到一些蛛丝马迹。
SOC的发展之初，就是有服务和产品两个轨迹的。

关于ISS的SOC
在“探究SOC起源”中，参与者们基本都向ISS致敬。的确，ISS是网络安全的先驱。这个成立于1994年的公司，拥有一个天才的创始人、CTO——Christopher Klaus。来自佐治亚理工的他最早从事反***的共享软件开发。在1998年，互联网泡沫破裂之前，他的公司在Nasdaq上市了。首日收市，他的身价过亿美元，那一年，他才24岁。那时的ISS主要从事网络安全弱点分析和***检测产品的研发。

大约在1998～1999年间，ISS和其他前驱们提出了MSS的概念，并付诸实践。在1999年8 月，ISS收购了当时最大的独立安全服务提供商——Netrex Secure Solutions公司，从而建立了一个端到端的SAFEsuite(R)安全管理平台，为客户提供MSS。

而关于ISS建立的SOC的最早能够查到的新闻是2000年12月11日，ISS宣布在瑞典的赫尔辛堡成立其第4个SOC中心，作为对其在亚特兰大等地的SOC中心的补充。

2001年6月5日，ISS宣布在亚特兰大启用新的Global Threat Operations Center，以及在日本东京成立负责亚太的SOC。

由于ISS已经在 2006年8月被IBM收购，因而这些新闻都比较难于查询到。

要知道，说ISS的SOC，都是说成立SOC，不是说开发出了SOC，也就是说他们都是自建SOC，用于MSS运营之用。

关于Symantec的SOC
在互联网兴起之前，他就很有名了。后来，互联网起来了，这时的 symantec作为当时业界的大佬自然也不愿意错过这个机会，涉足互联网安全。

在2001年，新闻报道称Symantec在圣安东尼奥启用了最新的SOC，替换他们原有的安全设施。这个最新的SOC与Symantec位于英国Epsom的SOC中心一道，为全球客户提供24×7×365的外包安全管理服务。新SOC中心计划雇佣140名安全专家。由于Symantec至今犹存，因而可以网上直接查到，看这里。

很显然，Symantec的SOC也是自建的，用于对外提供MSS。

关于Counterpane的SOC
Counterpane，成立于1990年，创始人，CTO是大名鼎鼎的Bruce Schneier。在2000年的时候，有一篇关于Counterpane位于弗吉尼亚的SOC采访报道。

Counterpane是 MSM（Managed security Monitoring）的先驱。在早期的MSS服务项目中，MSM是最需要后端SOC支撑的。

其他公司的SOC： NetSec、CheckPoint、WatchGuard、GuardedNet、 Cyber Security
在1998年底，以色列的CheckPoint公司推出了Check Point Provider-1，作为对其防火墙/***产品的集中管理平台，并可以提供给MSSP去管理多个客户的防火墙之用。这应该是最早的集中安全管理平台了吧。

在1999年，WatchGuard在公司成立3年后也开始涉足MSS领域，并与WebTrends合作面向MSSP推出了针对防火墙/***的状态监测和日志分析报表系统。WatchGuard包装了一套MSS平台，想推销给ISP，让ISP更好的从事MSS。可以说，这算是 WatchGuard的SOC平台了。这个平台包括一个集中化的基于NOC的管理软件（centralized NOC-based management software）、一组配套的安全软件、他们公司的防火墙设备、以及称作LiveSecurity的在线通告服务系统。这也算是最早的SOC软件系统了吧。

1999年8月25日，Network Security Technologies, Inc.（NSTI，也就是我们后来常说的NetSec，还记得我在这个博文提到的故事吗？没错，他2005年被MCI电信收购了）推出了他们号称达到军方水准监控系统——NSOC（Network Security Operations Center）。没错，NetSec是由三名前NSA（美国国家安全局）雇员组建的。在9月14日，NetSec又宣布其NSOC可以为ISP使用，成为他们的平台。此举表明，他们不仅自建了SOC，还希望把他们的NSOC包装成产品（方案），卖给ISP们去做MSS。

2001年10月份，GuardedNet把ISS的一个创始人挖了过来，专门负责其SOC。而GuardedNet的SOC产品从此neuSecure名噪一时。后来，GuardedNet为IBM曲线收编，成了Tivoli Security Operations Manager。

此外，在那个时代，还有很多初创的互联网安全服务公司，尤其是在1999年互联网泡沫破裂之前，随着互联网神话的膨胀，ISP的壮大，互联网安全问题的日益突出，出现了很多以MSS为理念的公司。例如Cyber Security，也在1999年前后在美国的Chantilly建立了自己的SOC，提供24x7x365的安全外包服务。

总结
通过上面对1998～2001年国外SOC发展的大致情况，我们可以了解，SOC发展一直都是作为服务（中心）和产品（平台）两个维度来发展的。SOC的提出首先来源于安全服务提供商，他们首先提出了可管理安全服务（MSS）概念。

SOC最初的发展是与 MSS紧密联系的。

而MSS为什么兴起？又与互联网的兴起密切相关。正式由于互联网的兴起，之前的网络安全问题被极大的放大了，因而传统的网络安全厂商（例如防火墙、***检测产品厂商）开始关注互联网背景下的网络安全问题。因此，他们很自然的就得出了做MSS的结论。此外，借助互联网的模式，服务模式和商业模式可以进行创新，也促使了MSS的产生。

因此，做MSS的先驱要么是传统的网络安全设备厂商，要么是那个时候成立的纯MSS提供商，要么就是在当时无所不能的ISP们。这里有一个对 2001年的MSS市场的分析报告。

话说回来，有了MSS的概念，如何落实？大家开始提出了SOC的概念。至于为什么叫SOC，不叫别的，那是因为之前有NOC（Network Operations Center）之说，例如 AT&T的Global NOC。并且，传统的ISP借助NOC开展了很多网络增值服务，模式与MSS类似，被称为MNS（Managed Network Service）。所以，那些专注于MSS的厂商自然就提出了SOC的名词，跟NOC相呼应。
基于不同公司发展MSS的策略，有的人自建SOC，基于SOC提供服务，为了自己做MSS，成为MSSP；还有的人开发SOC系统，为的是卖给那些想做MSS的人，尤其是ISP们，现在叫MSSP。
因此，不存在SOC是服务还是系统（产品）的问题，就看您自己采取何种策略去发展了。当然，那时候的SOC服务和产品是围绕MSS运营展开的，而我们现在提到的SOC产品则一般又将产品与运营之间的关系裁剪掉了。所以，现在的SOC现状可以这么表述：
1）    SOC可以用于建立MSS运营平台，成为MSS的基础，这个SOC是一个中心，有固定的场所，有一个SOC技术支撑平台，有组织人员，有一套运营的流程，为第三方提供安全管理服务。
2）    SOC可以用于建立企业和组织的安全运营中心。这个中心首先要有一套SOC平台，然后借助这个平台，企业和组织进行安全运维。如果仅仅购买一个平台，而不考虑运维，就像买了一把扫帚而不用，房间是不会自己干净起来的。

这里，SOC平台，或者说SOC技术支撑平台，就是SOC软件系统。他很重要，以至于可以单独采购，例如去向那些做SOC平台的厂商们采购。因而，SOC产品的存在是有道理的。只是说，要搞SOC，买了平台还不够，还需要相关的配套。