信息安全神经中枢——安全管理平台(SOC)

信息安全神经中枢——信息安全管理平台（SOC）

信息安全管理平台，又叫作安全管理平台（security management）、安全信息管理中心（SIM,security information management）、安全信息与事件管理平台（SIEM,security information event management）、安全运营中心（SOC，security operation center），等。在国内外有多种多样的称呼，总之其目的是管理安全相关的信息。我们这里所提到的信息其实说的通俗一点就是日志信息和性能监控信息。信息安全管理平台（习惯上我们称之为SOC）就是把各式各样的设备（网络设备-交换/路由，安全设备-防火墙/IPS，系统设备-win/linux）中的日志信息收集过来，经过SOC系统的处理与分析，在海量数据中挖掘出对于用户来说重要的、危险的、有用的信息。

SOC的发展：

第一代SOC：

由事件/信息收集器演变而来的作为信息集中管理的平台，多数厂家只是支持自己的产品日志格式，国内都定义为：日志收集器。国内安全/网络设备生产厂家都有各自的日志收集器，并附带管理自己设备的功能；

第二代SOC：

由于第一代SOC能做到的工作只是作为信息收集，并不能对于其收集的各项事件信息进行分析和处理，所以第二代SOC在2005年左右在个厂家兴起。其核心技术就是加入了国外流行的概念：关联分析。

关联分析其核心技术是“状态机”，通过定义资产信息和分析事件状态的变化来对信息进行深入的分析和对攻击/异常行为的判断。国内厂家在第二代SOC上已经花费了大量的资金和时间，但效果并不理想。

第三代SOC：

从现实情况来看，第二代SOC并没有得到国内大部分用户的认可和信任。于是，第三代SOC的诞生引起了大家的兴趣。在原有第二代SOC的基础之上，各厂家纷纷对SOC进行了“改装”，有的加入了网络管理模块，有的加入运维管理模块，还有的加入各式各样能嵌入的信息系统，导致现在第三代SOC越来越庞大，越来越臃肿。其中大肆宣传的概念从“关联分析”转变为“业务导向”。为了商业目的，捆绑所有的模块（行话叫‘All In One’）在项目中限制竞争对手。最后第三代SOC能否成功只有通过时间和客户来验证了。

SOC的未来：

未来的3-5年，SOC主要围绕着两个维度来发展：产品+服务。不管在应用过程中采用第几代的SOC，都应该根据自身的需求和发展来选择适合自己的系统。产品，是一个用来支撑SOC的必要工具集，产品的功能和性能决定了工具的强大；再强大的工具如果没有专业的服务配合也是很难成功的完成SOC的建设。

决定SOC建设成功的因素大致总结为以下几个方面：

1、甲乙双方对于理解SOC定义不能存在太大的偏差，不能为了建设而建设；

2、建设过程中采用的一系列工具能够对于管理起到帮助作用，

选择一个适合自己的平台；

3、SOC建设完成后要真正用起来管起来，不能成为“摆设”，尝试着由专业团队来负责运营。

信息系统网络交织在一起是一套“神经网络”，采用SOC技术对信息进行管理就像网络中的神经中枢。网络中各种设备和系统结合在一起，由SOC来进行安全信息分析，以达到掌控全局安全现状的目的。我们把这个称作为：信息安全神经中枢。

上海赛克通信息技术有限公司

2012年2月20日