三論SOC的起源

【摘要】本文經過分析1998～2001年間國際上Managed Security Service的發展初始階段的事件，探討了Security Operations Center的起源，代表SOC的發展存在着服務和產品兩條路徑。同時，簡要敘述了2004及之前的中國SOC市場的歷史發展狀況。

引子
在2003～2005年間，國內SOC概念正如火如荼。當時，國內主流的安全廠商從安全產品和安全服務發展的不一樣角度出發，開展了一場轟轟烈烈的SOC運動。

做爲業界同仁對SOC的一次重要交流，在2004年的XFOCUS論壇上，有人發起了一次「探究SOC起源」、「再論SOC起源」、「亂彈SOC」等一系 列討論，帶你們去尋找最先的SOC來自哪裏？並就SOC究竟是產品仍是服務進行了深刻探討，還針對當時國內主要的SOC廠商的狀況進行了交流。那個時代， 本人也有幸作爲一名SOC的從業人員，參與國內SOC建設大潮之中。2004年的時候，本人主要承擔SOC系統的研發工做，利用咱們的核心管理平臺架構搭 建SOC。那個時候，他們中一部分人對SOC侃侃而談，把SOC看做安全服務、MSS的將來，固然也有人不看好SOC。

如今，本人在參照前人成果的基礎上，再次爲你們探究一下SOC的起源。

先提一下，在2010年代，去翻尋2000年之前的東西，不是很容易的一件事情，不少資料都是以文字期刊的形式流傳下來的，Google也不過1997成 立，而網絡安全業界的前輩們有的從1994年開始創業了。不過，幸虧互聯網是強大的，藉助Google和期刊電子檢索，還能尋找到一些蛛絲馬跡。
SOC的發展之初，就是有服務和產品兩個軌跡的。

關於ISS的SOC
在「探究SOC起源」中，參與者們基本都向ISS致敬。的確，ISS是網絡安全的先驅。這個成立於1994年的公司，擁有一個天才的創始人、CTO—— Christopher Klaus。來自佐治亞理工的他最先從事反***的共享軟件開發。在1998年，互聯網泡沫破裂以前，他的公司在Nasdaq上市了。首日收市，他的身價過億美圓，那一年，他才24歲。那時的ISS主要從事網絡安全弱點分析和***檢測產品的研發。

大約在1998～1999年間，ISS和其餘前驅們提出了MSS的概念，並付諸實踐。在1999年8 月，ISS收購了當時最大的獨立安全服務提供商——Netrex Secure Solutions公司，從而創建了一個端到端的SAFEsuite(R)安全管理平臺，爲客戶提供MSS。

而關於ISS創建的SOC的最先可以查到的新聞是2000年12月11日，ISS宣佈在瑞典的赫爾辛堡成立其第4個SOC中心，做爲對其在亞特蘭大等地的SOC中心的補充。

2001年6月5日，ISS宣佈在亞特蘭大啓用新的Global Threat Operations Center，以及在日本東京成立負責亞太的SOC。

因爲ISS已經在 2006年8月被IBM收購，於是這些新聞都比較難於查詢到。

要知道，說ISS的SOC，都是說成立SOC，不是說開發出了SOC，也就是說他們都是自建SOC，用於MSS運營之用。

關於Symantec的SOC
在互聯網興起以前，他就頗有名了。後來，互聯網起來了，這時的 symantec做爲當時業界的大佬天然也不肯意錯過這個機會，涉足互聯網安全。

在2001年，新聞報道稱Symantec在聖安東尼奧啓用了最新的SOC，替換他們原有的安全設施。這個最新的SOC與Symantec位於英國Epsom的SOC中心一道，爲全球客戶提供24×7×365的外包安全管理服務。新SOC中心計劃僱傭140名安全專家。因爲Symantec至今猶存，於是能夠網上直接查到，看這裏。

很顯然，Symantec的SOC也是自建的，用於對外提供MSS。

關於Counterpane的SOC
Counterpane，成立於1990年，創始人，CTO是大名鼎鼎的Bruce Schneier。在2000年的時候，有一篇關於Counterpane位於弗吉尼亞的SOC採訪報道。

Counterpane是 MSM（Managed security Monitoring）的先驅。在早期的MSS服務項目中，MSM是最須要後端SOC支撐的。

其餘公司的SOC： NetSec、CheckPoint、WatchGuard、GuardedNet、 Cyber Security
在1998年末，以色列的CheckPoint公司推出了Check Point Provider-1，做爲對其防火牆/×××產品的集中管理平臺，並能夠提供給MSSP去管理多個客戶的防火牆之用。這應該是最先的集中安全管理平臺了吧。

在1999年，WatchGuard在公司成立3年後也開始涉足MSS領域，並與WebTrends合做面向MSSP推出了針對防火牆/×××的狀態監測 和日誌分析報表系統。WatchGuard包裝了一套MSS平臺，想推銷給ISP，讓ISP更好的從事MSS。能夠說，這算是 WatchGuard的SOC平臺了。這個平臺包括一個集中化的基於NOC的管理軟件（centralized NOC-based management software）、一組配套的安全軟件、他們公司的防火牆設備、以及稱做LiveSecurity的在線通告服務系統。這也算是最先的SOC軟件系統了 吧。

1999年8月25日，Network Security Technologies, Inc.（NSTI，也就是咱們後來常說的NetSec，還記得我在這個博文提到的故事嗎？沒錯，他2005年被MCI電信收購了） 推出了他們號稱達到軍方水準監控系統——NSOC（Network Security Operations Center）。沒錯，NetSec是由三名前NSA（美國國家安全局）僱員組建的。在9月14日，NetSec又宣佈其NSOC能夠爲ISP使用，成爲 他們的平臺。此舉代表，他們不只自建了SOC，還但願把他們的NSOC包裝成產品（方案），賣給ISP們去作MSS。

2001年10月份，GuardedNet把ISS的一個創始人挖了過來，專門負責其SOC。而GuardedNet的SOC產品今後neuSecure 名聞遐邇。後來，GuardedNet爲IBM曲線收編，成了Tivoli Security Operations Manager。

此外，在那個時代，還有不少初創的互聯網安全服務公司，尤爲是在1999年互聯網泡沫破裂以前，隨着互聯網神話的膨脹，ISP的壯大，互聯網安全問題的日 益突出，出現了不少以MSS爲理念的公司。例如Cyber Security，也在1999年先後在美國的Chantilly創建了本身的SOC，提供24x7x365的安全外包服務。

總結
經過上面對1998～2001年國外SOC發展的大體狀況，咱們能夠了解，SOC發展一直都是做爲服務（中心）和產品（平臺）兩個維度來發展的。SOC的提出首先來源於安全服務提供商，他們首先提出了可管理安全服務（MSS）概念。

SOC最初的發展是與 MSS緊密聯繫的。

而MSS爲何興起？又與互聯網的興起密切相關。正式因爲互聯網的興起，以前的網絡安全問題被極大的放大了，於是傳統的網絡安全廠商（例如防火牆、***檢 測產品廠商）開始關注互聯網背景下的網絡安全問題。所以，他們很天然的就得出了作MSS的結論。此外，藉助互聯網的模式，服務模式和商業模式能夠進行創 新，也促使了MSS的產生。

所以，作MSS的先驅要麼是傳統的網絡安全設備廠商，要麼是那個時候成立的純MSS提供商，要麼就是在當時無所不能的ISP們。這裏有一個對 2001年的MSS市場的分析報告。

話說回來，有了MSS的概念，如何落實？你們開始提出了SOC的概念。至於爲何叫SOC，不叫別的，那是由於以前有NOC（Network Operations Center）之說，例如 AT&T的Global NOC。而且，傳統的ISP藉助NOC開展了不少網絡增值服務，模式與MSS相似，被稱爲MNS（Managed Network Service）。因此，那些專一於MSS的廠商天然就提出了SOC的名詞，跟NOC相呼應。
基於不一樣公司發展MSS的策略，有的人自建SOC，基於SOC提供服務，爲了本身作MSS，成爲MSSP；還有的人開發SOC系統，爲的是賣給那些想作MSS的人，尤爲是ISP們，如今叫MSSP。
所以，不存在SOC是服務仍是系統（產品）的問題，就看您本身採起何種策略去發展了。固然，那時候的SOC服務和產品是圍繞MSS運營展開的，而咱們如今提到的SOC產品則通常又將產品與運營之間的關係裁剪掉了。因此，如今的SOC現狀能夠這麼表述：
1）    SOC能夠用於創建MSS運營平臺，成爲MSS的基礎，這個SOC是一箇中心，有固定的場所，有一個SOC技術支撐平臺，有組織人員，有一套運營的流程，爲第三方提供安全管理服務。
2）    SOC能夠用於創建企業和組織的安全運營中心。這個中心首先要有一套SOC平臺，而後藉助這個平臺，企業和組織進行安全運維。若是僅僅購買一個平臺，而不考慮運維，就像買了一把掃帚而不用，房間是不會本身乾淨起來的。

這裏，SOC平臺，或者說SOC技術支撐平臺，就是SOC軟件系統。他很重要，以致於能夠單獨採購，例如去向那些作SOC平臺的廠商們採購。於是，SOC產品的存在是有道理的。只是說，要搞SOC，買了平臺還不夠，還須要相關的配套。