弯曲评论上关于SOC的一段文章【整理】

近几天，弯曲评论上针对一个文章进行了热烈的讨论。这个文章本无关乎SOC，不过，有业界同仁willchen将话题引到了SOC上，并发表了一番言论，整理如下（BTW，看着willchen的文字，让我想到了segelo ^_^）：

SOC是所有安全售前的痛。其实不只是SOC，安全审计平台也是能把所有产品很好串起来，并形成技术壁垒的好东西。可惜我在每个公司都喊了半天，没人搭理。

我当时的产品推广背景是：xx公司有很长的安全产品线，领导层希望能够通过针对客户业务以解决方案的方式将多种产品进行有效的组合，形成产品组合优势，并直接推动产品销售。
我经过很长时间的分析，发现目前xx公司的产品线现状有以下两个大问题：
1、产品虽然很多，但可以说是所有的产品都没有唯一性特性（排除为了控标故意做的特性）
2、产品线虽长，但整体性不好。具体说就是：产品的组合只是浅层次的互动而已。比如说FW与IDS互动，审计能收集所有产品日志等。
由此带来的问题可以归结为一句话：方案没有不可替代性。也许方案会写的很针对客户业务，客户也很喜欢。但其中的产品因为缺乏鲜明特性，并且不能形成整体，可以直接用其他厂商的同类型产品直接替代。而效果基本一样。
这件事相信使很多售前技术人员很沮丧。千辛万苦跟了很久的单子，写出很漂亮的方案，最后被别的厂家低价中标，客户虽然认可你的技术，但也无能为力。
为了解决这个问题，我当时对xx公司的领导提出以下建议：
通过大力研发SOC和安全审计产品，在单一产品无法实现不可替代特性时，发挥整体的不可替代性。

为什么用这两个产品，是因为这两个产品是能将所有安全产品线串连起来的唯一产品类型。
首先说安全审计，并不是说安全审计能满足收集所有安全日志，并进行一些自动分析和审计就达到目标了。公安和国家等保制度已经越来越关注审计。审计成了越来越多安全体系中不可缺少的一部分。而目前大部分日志审计产品还主要关注于可审计类型等功能，没有在合规性上下大力气。我认为今后的日志审计，合规性是关键。如果能实现直接出等保、27001等相关审计报告，对用户的价值应该更大。
再说SOC。目前国内的SOC基本分为能对本公司安全产品进行管理和监控的瘦SOC和力争什么都管，什么都看的胖SOC。个人认为瘦SOC更符合现实场景。而且SOC更应该突出的应该是监控而不是管理。胖SOC看上去很美，但不管是天融信还是网神，乃至于先烈安氏，都没取得很大成功。其根本因素是，安全毕竟在整个信息网络中是小头，不是用户的主要关注。没有几个用户愿意花太多钱在一个管理平台上。特别是这个监控平台还只能管理一个厂家的产品。而监控是每个用户都希望的。毕竟能展示安全态势，而花费又不高。
我给xx公司的建议是，以目前的安全管理平台和审计为基础，加大监控能力和审计合规性的研发力度。同时将界面逐渐统一，最终形成以一上（安全管理平台）一下（安全审计）为线索，以其他安全设备为骨架的产品解决方案。
当时还写了PPT和大篇文章，这里就不献丑了。欢迎大家共同探讨。

其实我为什么提出SOC在现阶段只把监控做好，不提管理，其原因也就在于监控较容易实现，而管理一是技术难度大，二是牵涉到用户的架构问题。
我期望我卖出的产品是真正能够给客户带来实际收益的。哪怕不如他预期的收益高。也好过纯忽悠，最后用户骂娘，弃之不用。