在这里转贴一下，SOC的起源

       关于SOC/MSS的讨论越来越热闹，因为在安氏的时候经历过不少这方面的事情，刚好昨天晚上还和Jordan通了个电话，因此也来凑个热闹说上几句。
       首先，对于一些英文缩写，大家不要理解死了，不同的公司，不同的环境，可以表示不同的或者至少不同程度的意思。比如MSS（managed security services），核心思想就是一个：outsourcing security。但是不同的公司，比如ISS，TruSecure， FoundStone，Counterpane，Exodus，@stake，这些当年MSS的积极鼓吹者，各自的描述和范围是不尽相同的。
       再比如SOC，是security operations center 还是 security operation center？就是ISS自己狂推MSS/SOC的时候，关于MSS业务的不同PPT里有时用operations，有时用operation。当然用operations的时候多一些。Mad的帖子讲Couterpane是MSS/SOC的先行者没错，但是声势最大，影响最大的还是ISS，ISS当时在美国和AT&T, Bell South等很多运营商一起开展MSS服务，大力推广MSS/SOC，当时ISS把MSS当成非常重要的一个发展方向，设计了很多的业务模式，分析了Value Chain，提出大力发展MSSP（managed security services provider）来解决MSS的scalability 和capacity的问题。这和当时加盟ISS的一个高级VP是MSS这方面的长期研究者和从业者有关，后来此公离开了ISS，ISS也调整了业务方向，MSS业务也就慢慢淡化下来了。
       当时的SOC，是一个安全集中监控、研究、处理流程的概念，通过它实现MSS，为客户提供安全外包服务。它依赖于“security research+ security management application+ security management operations”，因此各位仅仅停留在名字上，甚至缩写上，并没有什么实际意义。operations只是SOC里的一个环节。
       2000年初我加入安氏开始建立服务部，当时安全服务如评估、体系设计等等还是只有较少客户认同，国内火热的IDC还没有崩溃，但是也在苦苦寻找增值服务的概念，我们看到了这个机会，利用了ISS的一些知识转移，开始在国内大力推广MSS/SOC的概念，并很快和世纪互联签署了中国第一个MSS/SOC合作协议，（我和郑海明谈了N次后签的合同，该同志是IDC业务的老同志了，现在自己开了个公司做反垃圾邮件产品了），开始形势还不错，但是随着IDC整体市场的萎缩，慢慢这个合作就无疾而终了。当时还同时和多家IDC谈了MSS/SOC合作，并签署了多个合作协议，虽然在MSS上没有带来多少收入，但其中有些IDC成功转型后至今还是安氏不错的合作伙伴，在有些省的安氏SOC项目中发挥了作用。
这里强调的一点是，当时安氏推MSS/SOC服务概念，即使在实际收益上没有大突破，但在安氏的融资过程中，发挥了很好的作用，当时安氏仅仅卖ISS的代理产品，对投资者来说，这并没有太多吸引力，安氏利用“安氏实验室＋MSS/SOC＋FW开发计划”，给投资者编出的故事还是有一定吸引力的，当年编数字也是一件很有趣的事情。加上Paul的资本市场经验，以及和TM的一些Bargain，拿到了钱。
       当时的想法是利用ISS的模型，开发一个SOC平台，包含前面提到的三个要素，然后把这个产品提供给MSSP，把自己定位在Value Chain的高端。后来SOC的概念被慢慢转移到开始出现的集中安全管理的需求上来。当时联系了eSecurity，Intellitactics和NetForensics三个主要的SIM厂家，最后还是和eSecurity合作了。至于SIM，还是SOC，还是SMC，MAD在上个帖子进行了论述，可以看作是一种解释。
       各位，名称不是最重要的，重要的是集中安全管理这个市场开始慢慢起来了，从最早的三个SIM小公司，到现在各大公司纷纷发力进入（CA，IBM，HP，Cisco（netforensics的主要投资者），集中安全管理的内涵和外延也自然都在发生变化。从较单一的安全产品管理到现在越来越庞大的结构体系，比如包含安全设备管理、关键资产管理、响应流程管理、纳入角色管理等等，全面实现information Security Magazine提出的3C概念，都随着越来越多公司的介入而逐步完善。
至于技术层面，实现真正的关联分析就好比当年的人工智能，可能比较镜花水月。更加具有实际意义的是如何有效的结合资产、脆弱性管理，提高威胁事件分析的准确性，纳入合理的响应流程，在现有技术水平上尽可能提高整体安全管理的效率和准确性，这应该是大家努力的方向之一。

[ 本帖最后由 richardlee 于 2008-5-8 21:07 编辑 ]

上面说的很有道理,至于SOC/MSS如何拼写这些问题,讨论没有多少实际的意义.自己开始接触SOC也快半年时间了,目前也正在做XX电信的SOC项目,谈谈我对SOC的理解吧.安全运营中心(soc),应该是由5个独立的模块组成:事件产生器、事件收集器、信息数据库、分析引擎、应急管理,SOC概念中主要的问题在于如何将这5大模块完美的结合起来,并且在实际的应用中为事件的监控、安全问题的发现、分析、处理、到最后的生成报表起到一定的辅助作用,但是不要完全依赖于它,这些功能实现的好坏重要的因素还是在于安全分析人员的自身素质!
      天融信携手中国网通共建安全运营中心(我们的办公室很大,很舒服,嘿嘿):http://www.topsec.com.cn/News/Show.asp?id=793

[ 本帖最后由 richardlee 于 2008-5-8 21:19 编辑 ]

呵呵，很大很舒服~~~~

受不了了，那你也不在啊~~~~

你们那边那么熟，给大家讲点Arcsight吧:handshake

嘿嘿，怎么感觉这张照片里面的穿白大褂的某人背着镜头在偷着乐呀……

哪个谁，第三个戴眼镜的，做思考者状的，嘿嘿:lol