國內安全管理平臺(SOC)市場2010年回顧與2011年展望

【前言】本文已經在媒體上發表，現刊載於51CTO

Last Modified: 2011-7-12

1、市場定義

國內信息安全建設已經從過去的局部優化階段進入了全局優化的階段。安全管理平臺（SOC，Security Operations Center）做爲構建在已有單點安全防護體系之上的整合安全管理解決方案，在中國信息安全建設中扮演着愈來愈重要的角色。

從進入中國伊始，安全管理平臺（SOC）的發展之路就極具中國特點，並逐步造成了一套與國內信息安全建設發展相適應的技術體系。

國際上，通常將SOC看做是安全運營中心，它是一個對ITC（In-the-Cloud）服務及配套的CPE（Customer-Premise-Equipment）設施進行全面監控、運維、管理的場所，並涵蓋相關的物理安全防禦設施、辦公設施、人員組織、工做流程和技術支撐環境。

國際上通常將SOC納入MSS（Managed Security Service，可管理安全服務）市場或者安全服務市場，而將SOC的核心技術支撐平臺之一——SIEM（Security Information and Event Management，安全信息與事件管理）納入安全管理軟件市場。

通過多年的發展，SOC在國內市場也基本上沿着產品和服務兩種模式前進。

在產品層面，國內更多地將SOC的技術支撐平臺部分稱做安全管理平臺，並常常指代 SOC自己。安全管理平臺的通常性定義是：安全管理平臺是一個以資產爲核心，以安全事件管理爲關鍵流程，採用安全域劃分的思想，創建一套實時的資產風險模 型，協助管理員進行事件分析、風險分析、預警管理和應急響應處理的集中安全管理系統。

在服務層面，國內也出現了經過建設SOC來支撐其MSS業務的安全服務廠商或IDC服務商。同時，還有一些企業和組織創建了本身的安全運營中心對其內部客戶提供安全管理服務。

目前，國內的SOC市場主要是以安全管理平臺市場爲主。本文的回顧與展望將着重闡述安全管理平臺市場，並將簡要說起SOC服務市場。

2、2010年市場回顧

隨着IT建設的不斷深刻，以及IT安全管理水平的不斷提高，用戶對IT安全管理有了更高的指望。爲了順應國內客戶的實際需求，2010年市場推出的安全管理平臺大都具有了網絡管理與安全管理融合的特色，尤爲在政府行業表現明顯。

從產品維度來看， 2010年的國內安全管理平臺（SOC）市場主要有如下特色：

·安全管理平臺融入了網絡管理的功能。因爲國內客戶IT建設階段和發展示狀使然，大 部分客戶在引入IT安全建設的同時還在完善IT網絡建設，於是很天然地對同屬於IT管理的安全管理和網絡管理提出了融合的需求。這展現出了國內安全管理平 臺的發展更加貼近中國本土客戶市場的趨勢。

·安全管理平臺的功能設計更加面向業務信息系統。新一代的安全管理平臺在設備資產安 全的基礎上，更增強調面向業務，面向客戶價值的安全管理。安全管理平臺的功能設計更多地考慮到這方面的客戶需求，新出現的功能主要包括業務建模、業務價值 分析、業務視圖、業務風險評估、業務影響性分析等。

·安全管理平臺朝工具化和體系化兩個方向同時發展。爲了知足大型客戶以及中小型客戶 對於安全管理的不一樣訴求，安全管理平臺出現了兩個發展方向。針對大型客戶，安全管理平臺向體系化方向發展，強調安全運維和流程管理，結合ITIL，強調與 企業和組織的IT服務管理整合，將安全管理平臺的核心技術與整個IT服務體系融合。針對中小型客戶，安全管理平臺的核心技術被裁減和從新包裝，進入不一樣的 細分市場領域，例如出現了安全監控系統、安全信息與事件管理系統、日誌管理系統、綜合審計系統、安全風險評估系統，等等。

從服務維度來看，隨着以電信運營商爲表明的新一輪安全管理平臺建設的活躍期到來，涌現出了很多面向行業客戶的定製型安全服務，以及定製的SOC技術平臺，客戶領域涉及運營商、大型企業、政府主管部門等。

3、2011年市場趨勢分析

展望2011年，安全管理平臺將繼續在朝着爲業務支撐系統提供集中管理的方向夯實，更加貼近客戶的業務價值，並具有更好的客戶體驗。保障客戶的關鍵業務系統及（或）重要信息系統的安全將成爲安全管理平臺的核心訴求。

3.1 2011年市場發展驅動力

2011年安全管理平臺市場將繼續高速發展，並將繼續高於信息安全市場的平均複合增加率。驅動市場前進的主要動因包括：

·日益複雜的外部威脅的增加：隨着包括APT（Advanced Persistent Threat，先進持續性威脅）、以及針對SCADA（Supervisory Control And Data Acquisition，數據採集與監視控制）設施的Stuxnet病毒在內的各類複雜的***的層出不窮，企業和組織須要更加智能的全局安全監控與分析系 統來及時發現各類外部***和***。

·合規性需求的不斷強化：在中國市場，主要表現爲政府和國有企業領域的信息系統等級化保護建設的強制性要求，以及金融領域的各類內控指引要求以及PCI-DSS要求。此外，還包括《企業內部控制基本規範》、SOX等合規性要求。

·客戶的IT架構日益複雜、業務系統建設更加敏捷快速：隨着諸如雲計算、虛擬化等新 的IT技術的引入，客戶的IT架構將日趨重要和複雜，這對安全管理平臺提出了更高的技術要求。同時，客戶業務系統的建設過程將更加敏捷，業務變更將更加頻 繁，這也對面向業務的安全管理平臺提出了技術挑戰，並提供了驅動力。

3.2 2011年市場發展趨勢

根據2010年的市場回顧，以及2011年市場驅動力的分析，2011年國內安全管理平臺市場將體現出如下發展趨勢和特色：

·網絡管理與安全管理繼續融合，網絡及應用性能管理 （Network/Application Performance Management）將成爲安全管理平臺必不可少的組成部分。尤爲針對中國市場的中小型客戶而言，這個表現將更爲顯著。出於下降管理複雜度和投資成本的 考慮，這些客戶將須要整合了網絡與安全功能的一體化管理系統，對全網的IT資源進行全面的運行監控、安全分析和基本的事件應急響應自動化。而這也符合安全 與網絡密不可分的客觀實際。

·日誌審計將成爲安全管理平臺的一個重要功能點。爲了應對日益加強的合規管理與審計需求，日誌審計功能將成爲安全管理平臺的一個重要功能點。日誌審計功能將充分利用做爲安全管理平臺核心技術的事件關聯分析引擎技術，爲客戶提供更加智能化的日誌合規審計能力。

·安全管理平臺將更加註重運維管理。安全管理平臺將從單純考慮產品的功能向注重產 品、實施和運維整個平臺生命週期的統籌考慮轉變。客戶將更增強調安全管理平臺的實施、部署和後期運營維護，強調安全管理平臺支撐下的安全運維組織、流程， 以期落實安全管理工做的流程化、例行化。

·安全管理平臺將具有對雲和虛擬化環境下的IT資源監控、分析能力。隨着雲計算和虛擬化技術的逐步運用，安全管理平臺做爲客戶的統一管理平臺，將須要對客戶的雲和虛擬化環境下的IT資源進行監控、審計和分析。

·面向業務的功能將更加豐富多樣。藉助業務建模，新一代的安全管理平臺將更加貼近用戶的業務系統，從業務系統的角度來進行業務事件、威脅和風險管理的功能設計，爲用戶的業務支撐系統提供更好的綜合安全保障。

·行業化的安全管理平臺將出現。行業定製成爲安全管理平臺的一大發展方向，並將首先在較成熟的行業領域獲得應用。

以上是從產品維度的趨勢分析。從服務維度來看，MSSP們將考慮藉助雲計算和虛擬化技術構建支撐其MSS運營的SOC技術平臺。同時，將有更多的企業和組織考慮或採納MSS形式的安全監控/安全事件管理/日誌審計/威脅管理/風險管理服務。

3.3 2011年市場發展主要制約因素及其建議

儘管2011年國內安全管理平臺市場將持續高速增加，但依然會受到來自多方面的因素制約。這主要體如今安全管理平臺的客戶滿意度廣泛不高的問題上。針對這個制約因素，須要從客戶和平臺提供商兩個方面分別作出努力。

對於安全管理平臺提供商而言，須要改進現有的業務運做模式，從單純的注重產品銷售向注重客戶體驗轉變，圍繞改善客戶體驗質量來進行平臺設計、諮詢、實施和運維。同時，安全管理平臺提供商還要利用其積累下來的成熟管理理念和最佳實踐幫助客戶創建合理的安全管理平臺建設預期。

對於客戶而言，最關鍵的就是要創建對於當前安全管理平臺的合理預期，而且要從組織、流程和技術三方面統籌規劃、分步實施，創建起技術和管理的良性互動。

另外，從服務維度來看，基於SOC的MSSP主要面臨的問題是相關法律環境的不完 善，以及缺少信譽和保險體系。儘管國家陸續出臺了多個鼓勵信息服務產業發展的政策，可是因爲相關法律環境的不健全，以及MSSP和客戶的不成熟，很難定義 出合理可行的SLA（Service Level Agreement，服務水平協議），從而致使服務條款難以界定，責任和義務難以劃分，使得MSSP難以盈利，客戶安全難以獲得切實保障。而這些問題的改 善一樣須要MSSP和客戶的共同努力，以及國家政策層面的支持。