随着IT技术的不断发展，而衍生出来的全新安全威胁已经使得企业IT应对乏力。企业需要一种全局角度掌控分析安全问题的能力。在这样的趋势下，SOC已被公认为能帮企业解决这个困境的有效手段。近两年来，国内SOC市场发展混乱，产品种类繁多，而导致企业用户在SOC选型、部署上遇到了一些困难。为此，我们采访到了迈克菲安全技术专家胡江波先生，就企业用户SOC选型、市场趋势等问题给出参考意见。

国内SOC市场分析

胡江波谈到，目前国内的SOC市场主要面向的是大企业客户。不同行业的企业客户对产品的理解和需求也存在差异，而且对SOC也都有一定的定制化需求。这些因素促成了国内有非常多的SOC供应商，而且这些供应商大多只耕耘几个特定的行业或者客户。

SOC起源于国外，谈到产品形态，就必须提另外一个名词SIEM。国内厂商的产品多以SOC自居，而国外厂商则将产品定位为SIEM。胡江波介绍到，以目前在售的产品形态看，国内的SOC大约等于国外的SIEM加上网络运维中心NOC，这与国内外客户的IT运维环境有关。国外客户多是在NOC无法满足其安全需求时，引入SIEM产品，而国内客户在引入SOC产品时，在IT运维方面多是零基础，基本的NOC并没有建立。而国内某些厂商为了在竞争中引导客户，先以SIEM为核心构筑SOC，然后不断扩大SOC产品功能范围，先是加入网络管理，后又加入设备管理、策略管理、变更管理、基线管理、应用管理等原本属于IT运维管理范畴的功能。

胡江波分析到，虽然这类SOC加入了很多功能，但是这些功能并没有被充分实现，比如其核心的网络管理功能与专业的网管平台相比差异巨大，非核心的策略管理、应用管理等功能更是缺乏充分的验证和实现。最终国内SOC产品的核心价值还是其SIEM功能。

而针对国内环境的企业用户，怎样的产品才能算是一款优秀的SOC呢?胡江波总结了四个方面，一是产品使用和维护要非常简单，最好采用Out of Box的交付形式，在界面设计上应该保持逻辑的高度统一;二是产品要有高速的查询速度和数据库写入速度。传统的关系型事务型数据库无法满足高速查询和写入的需求，必须进行革新;三是产品的架构要非常容易扩展，既支持面向大型客户的分布式部署模式，也支持面向中小客户的Combo模式;最后产品既要支持与SOC出品商自有产品的垂直整合，也要支持与第三方厂商的横向整合，如此才能对事件信息进行丰富，提供动态上下文信息及情势感知信息。

分析SOC能为企业带来的好处，胡江波说，“不同企业的痛点不一样，所以SOC对企业的最大价值也很难一概而论。但是如果我们回归最原始的需求，企业无SOC，则企业看到的是零散的海量的孤立的海量事件，完全是一个无法触摸的黑盒。企业有了SOC，SOC会对事件自动分析，形成可视化的视图，并将企业关注的情报推送至管理员的面前，即将海量无生命的事件转化为可操作的信息。”

所以SOC对企业最原始最重要的价值是让企业获得了可操作的信息，让企业真正明白自己的IT环境发生了什么和正在发生什么。当企业获得这些信息时，企业在其他产生日志给SOC的设备(比如防火墙、入侵防御)上的投资才体现出价值。

企业SOC选型建议

1、 产品量级选型方面的建议

企业当选择与企业规模与运维能力相适应的SOC产品，具体包括如下几点：

1) 交付形态：目前SOC产品有多种交付形态，常见的交付形态是客户购买服务器、操作系统、数据库，SOC厂商负责安装SOC软件，最终SOC产品寄存于客户的服务器上。

2) 维护成本：SOC是一种重服务的产品，购买SOC一定要计算维护成本。

3) 运维能力：由于SOC产品的高度复杂性，使得很多客户不得不选择专业的第三方公司来帮助其运维SOC产品。这种方式有其合理性，但是弊端也是显而易见的，首先是维护成本的大幅攀升，其次客户的业务逻辑和SOC产品之间的联系被第三方公司割裂了，操作SOC的人员并不真正懂得客户的业务，SOC和客户的业务并没有真正融合在一起。