信息来源：安全焦点

这两天在网上google了一下有关SOC的起源，把我个人看到的结果拿到坛子上来跟大家探讨一下。

  SOC这个词应用在很多不同的领域（后面我会简单提两个别的领域的SOC做类比）。
IT界的SOC据我查找应该最早是ISS提出的，ISS的第一个SOC我没有看到是什么时候建立的。
在2000年12月11日，ISS宣布在瑞典的Helsingborg成立其第4个SOC
（http://www.iss.net/issEn/deliver ... type=&oid=14653），
2001年6月5日ISS宣布在日本东京成立其第5个SOC
（http://www.iss.net/issEn/deliver ... e=ISS&oid=14759），同时宣布在其
总部美国亚特兰大成立Global Threat Operations Center（GTOC），GTOC收集各个SOC的
安全信息进行统一的综合分析。ISS的SOC主要是用于为其客户提供安全外包服务（MSS），提供客户
的防火墙、VPN、IDS、AV的管理服务和安全评估服务。从这一点上可以看出国内外的SOC的不同用法，
国外公司是安全厂商建SOC给客户提供MSS，但是MSS在国内还不流行，所以每个客户都想建自己的SOC，
但是客户能否用得好SOC我觉得在将来可能会是个问题。

   在这里有一个细节要说一下，美国人对SOC的全称是Security Operations Center，中间的
operations是复数形式，但是安氏拿来之后变成了单数的operation，我想这可能是因为中国人对于
operation的理解和英语用法的疏忽，就好像前些天在外面大排挡看到五星啤酒的太阳伞上的广告写着
他们的英文名称是Five Star（不是Five Stars，也不是Five-Star）。
   （补充一点就是网管中常用的NOC的全称是Network Operations Center，我想SOC多少可能
是受启发于NOC产生的吧。）

   在美国还可以在其他领域也看到SOC这个称呼，比如美国的国土安全运营中心（Homeland Security
Operations Center，HSOC），HSOC主要用于震慑、检测和预防（Deter, Detect, Prevent）恐怖
袭击，它从全国各地联邦、州、地区和一些私营部门伙伴收集信息、分析并协调处理安全事件。
（http://www.dhs.gov/dhspublic/display?content=3814）

   还有比如美国马里兰大学（UMCP）的校园公共安全部门用于管理校园安全的SOC，它主要是应用分布
在校园室内室外的几百个摄像头做为信息来源，来检测校园内的安全事件，并把从SOC监测到的非法事件直接
转发给相关的公共安全部门，交由警方进行处理。
（http://www.umpd.umd.edu/organization/tsb/socwebpage/vidfaq.htm）

关于SOC/MSS的讨论越来越热闹，因为在安氏的时候经历过不少这方面的事情，刚好昨天晚上还和Jordan通了个电话，因此也来凑个热闹说上几句。

首先，对于一些英文缩写，大家不要理解死了，不同的公司，不同的环境，可以表示不同的或者至少不同程度的意思。比如MSS（managed security services），核心思想就是一个：outsourcing security。但是不同的公司，比如ISS，TruSecure， FoundStone，Counterpane，Exodus，@stake，这些当年MSS的积极鼓吹者，各自的描述和范围是不尽相同的。

再比如SOC，是security operations center 还是 security operation center？就是ISS自己狂推MSS/SOC的时候，关于MSS业务的不同PPT里有时用operations，有时用operation。当然用operations的时候多一些。

Mad的帖子讲Couterpane是MSS/SOC的先行者没错，但是声势最大，影响最大的还是ISS，ISS当时在美国和AT&T, Bell South等很多运营商一起开展MSS服务，大力推广MSS/SOC，当时ISS把MSS当成非常重要的一个发展方向，设计了很多的业务模式，分析了Value Chain，提出大力发展MSSP（managed security services provider）来解决MSS的scalability 和capacity的问题。这和当时加盟ISS的一个高级VP是MSS这方面的长期研究者和从业者有关，后来此公离开了ISS，ISS也调整了业务方向，MSS业务也就慢慢淡化下来了。

当时的SOC，是一个安全集中监控、研究、处理流程的概念，通过它实现MSS，为客户提供安全外包服务。它依赖于“security research+ security management application+ security management operations”，因此各位仅仅停留在名字上，甚至缩写上，并没有什么实际意义。operations只是SOC里的一个环节。

2000年初我加入安氏开始建立服务部，当时安全服务如评估、体系设计等等还是只有较少客户认同，国内火热的IDC还没有崩溃，但是也在苦苦寻找增值服务的概念，我们看到了这个机会，利用了ISS的一些知识转移，开始在国内大力推广MSS/SOC的概念，并很快和世纪互联签署了中国第一个MSS/SOC合作协议，（我和郑海明谈了N次后签的合同，该同志是IDC业务的老同志了，现在自己开了个公司做反垃圾邮件产品了），开始形势还不错，但是随着IDC整体市场的萎缩，慢慢这个合作就无疾而终了。当时还同时和多家IDC谈了MSS/SOC合作，并签署了多个合作协议，虽然在MSS上没有带来多少收入，但其中有些IDC成功转型后至今还是安氏不错的合作伙伴，在有些省的安氏SOC项目中发挥了作用。

这里强调的一点是，当时安氏推MSS/SOC服务概念，即使在实际收益上没有大突破，但在安氏的融资过程中，发挥了很好的作用，当时安氏仅仅卖ISS的代理产品，对投资者来说，这并没有太多吸引力，安氏利用“安氏实验室＋MSS/SOC＋FW开发计划”，给投资者编出的故事还是有一定吸引力的，当年编数字也是一件很有趣的事情。加上Paul的资本市场经验，以及和TM的一些Bargain，拿到了钱。

当时的想法是利用ISS的模型，开发一个SOC平台，包含前面提到的三个要素，然后把这个产品提供给MSSP，把自己定位在Value Chain的高端。

后来SOC的概念被慢慢转移到开始出现的集中安全管理的需求上来。当时联系了eSecurity，Intellitactics和NetForensics三个主要的SIM厂家，最后还是和eSecurity合作了。

至于SIM，还是SOC，还是SMC，MAD在上个帖子进行了论述，可以看作是一种解释。

各位，名称不是最重要的，重要的是集中安全管理这个市场开始慢慢起来了，从最早的三个SIM小公司，到现在各大公司纷纷发力进入（CA，IBM，HP，Cisco（netforensics的主要投资者），集中安全管理的内涵和外延也自然都在发生变化。从较单一的安全产品管理到现在越来越庞大的结构体系，比如包含安全设备管理、关键资产管理、响应流程管理、纳入角色管理等等，全面实现information Security Magazine提出的3C概念，都随着越来越多公司的介入而逐步完善。

至于技术层面，实现真正的关联分析就好比当年的人工智能，可能比较镜花水月。更加具有实际意义的是如何有效的结合资产、脆弱性管理，提高威胁事件分析的准确性，纳入合理的响应流程，在现有技术水平上尽可能提高整体安全管理的效率和准确性，这应该是大家努力的方向之一。