跳出SOC看SOC

本刊記者 馮朝暉

隨著互聯(lián)網(wǎng)發(fā)展的日趨多元化，網(wǎng)絡(luò)架構(gòu)體系更加復(fù)雜，安全風(fēng)險也更加突出。企業(yè)的IT管理者也開始認(rèn)識到，傳統(tǒng)的安全產(chǎn)品難以定位企業(yè)的實際安全情況，而大量投資后建立的安全解決方案也未必能適應(yīng)企業(yè)的實際情況。東軟引領(lǐng)的國內(nèi)SOC安全管理理念，應(yīng)運(yùn)而生了。

一、SOC思路需要放開

SOC在安全體系中的架構(gòu)是一個最為基礎(chǔ)的框架，把技術(shù)、管理、運(yùn)維都牢牢融合在一起。據(jù)了解，在體系框架里，SOC是東軟的重中之重。“我們不僅是產(chǎn)品供應(yīng)商，更是整體解決方案供應(yīng)商。而作為整體解決方案供應(yīng)商的關(guān)鍵競爭優(yōu)勢在于能夠提供優(yōu)秀產(chǎn)品以及非產(chǎn)品之外的關(guān)聯(lián)服務(wù)。目前產(chǎn)品同質(zhì)化趨勢嚴(yán)重，但SOC的運(yùn)作思路可以放開，它不是獨(dú)立的產(chǎn)品組合。現(xiàn)在，越來越多的用戶將SOC看作是在企業(yè)IT運(yùn)營中涉及產(chǎn)品的統(tǒng)一管理和監(jiān)控的一個平臺”。東軟網(wǎng)絡(luò)安全營銷中心副總經(jīng)理曹鵬說。

“一個好的管理，不能完全依靠一個人去實現(xiàn)，應(yīng)根據(jù)需求用現(xiàn)代化的技術(shù)手段去實現(xiàn)。SOC在發(fā)展中的一個瓶頸就是很多廠商把它作為一種產(chǎn)品來開發(fā)，但根據(jù)東軟的經(jīng)驗，SOC并非產(chǎn)品，而是一種解決方案”。這是曹鵬對信息安全的理解，也是東軟SOC的核心理念。

究其原因，是因為用戶對安全管理平臺的需求是千變?nèi)f化的，有的需要在專門的監(jiān)控室內(nèi)的大屏幕上進(jìn)行監(jiān)控，有的只需要在電腦屏幕上進(jìn)行監(jiān)控，有的除了需要對網(wǎng)絡(luò)內(nèi)各種設(shè)備、流量、內(nèi)容、網(wǎng)絡(luò)攻擊、攻擊日志進(jìn)行監(jiān)控外，甚至還要求對應(yīng)用的安全運(yùn)行分別進(jìn)行監(jiān)控。

曹鵬說：“可以這么說，有多少個用戶就有多少個SOC版本，如果一個廠商沒有很好的技術(shù)和商業(yè)模式，那么僅僅是修改和測試軟件這一項工作，就可能將企業(yè)的利潤消耗干凈，甚至拖垮企業(yè)”。

SOC最大的一個特色在于對信息安全攻擊的監(jiān)控，對信息安全設(shè)備產(chǎn)生的海量攻擊日志的分析和監(jiān)控，對安全攻擊事件的關(guān)聯(lián)分析和報警，以及產(chǎn)生精確的安全報告。其背后依靠的是國家漏洞庫的力量，是信息安全公司幾十年來積累起來的專業(yè)信息安全知識和經(jīng)驗，這些都是普通網(wǎng)管不可能在短期內(nèi)實現(xiàn)的。

此外，SOC的很多監(jiān)控功能已經(jīng)與各種不同的應(yīng)用系統(tǒng)緊密結(jié)合在一起了，是為應(yīng)用定制的，而網(wǎng)管軟件大多數(shù)是通用的軟件產(chǎn)品，很難為某個用戶專門進(jìn)行修改或定制，因此目前兩者不具可比性。

二、從管理的角度看SOC

從SOC的發(fā)展來看，SOC正在逐漸趨向于理性。曹鵬回憶說：“從2006年到2008年，SOC在國內(nèi)的定位一直是供信息中心等少數(shù)人用的分析工具。而在這幾年，越來越多的用戶已經(jīng)認(rèn)識到，SOC不僅要給IT部門提供支持，還要讓更多的人無縫獲取到有價值的內(nèi)容，信息安全本來就是需要全員參與和重視的，而企業(yè)領(lǐng)導(dǎo)和業(yè)務(wù)部門所看到的界面應(yīng)該是不同的，前者突出一目了然，后者更需要精細(xì)的數(shù)據(jù)分析展示。這幾年研究SOC的廠商也逐步跳出了技術(shù)框架，開始從管理的角度看待SOC，有些豁然開朗的感覺。一個項目的成功與否，在于有多少人關(guān)注這個項目”。

將病毒、攻擊、蠕蟲、惡意網(wǎng)站產(chǎn)生的原始告警信息收集起來，將信息安全狀況針對不同的對象人群以不同的方式形象地展現(xiàn)出來，讓更多人了解到當(dāng)前安全狀況的同時，可以讓更多的人真正的將信息安全重視起來。