研究背景

大家都對(duì)SOC、SIM、SIEM等自己不同的見解，就像很多人說SOC的真正全稱是Security Operation Center一樣。SOC在國際上一直有著重要的應(yīng)用，比如美國的國土安全運(yùn)營中心（Homeland Security Operations Center，HSOC），HSOC主要用于震懾、檢測和預(yù)防（Deter, Detect, Prevent）恐怖襲擊。但對(duì)于國內(nèi)的很多用戶來說，這類較大的應(yīng)用并不是平時(shí)能看到摸到的。甚至很多人都沒怎么聽說過這個(gè)叫SOC的東西。但作為大中型企業(yè)的CIO/CTO/CSO/運(yùn)維人員怎么看待這類產(chǎn)品？大家都不太清楚。

有鑒于此，51CTO特別策劃了這一次SOC調(diào)研活動(dòng)，讓人們對(duì)以上問題有個(gè)清醒的認(rèn)識(shí)。

研究方法

本次調(diào)查為有獎(jiǎng)?wù){(diào)查，共有十五道題，分別覆蓋技術(shù)、市場等方向。

51CTO在2011年9月28日——10月31日將調(diào)查活動(dòng)發(fā)布到了51CTO主頁和郵件群組中。隨后，共有409個(gè)網(wǎng)友參與了調(diào)研活動(dòng)。

概念定義

SOC（Security Operations Center）是一個(gè)外來詞。而在國外，SOC這個(gè)詞則來自于NOC（NetworkOperation Center，即網(wǎng)絡(luò)運(yùn)行中心）。NOC強(qiáng)調(diào)對(duì)客戶網(wǎng)絡(luò)進(jìn)行集中化、全方位的監(jiān)控、分析與響應(yīng)，實(shí)現(xiàn)體系化的網(wǎng)絡(luò)運(yùn)行維護(hù)。

隨著信息安全問題的日益突出，安全管理理論與技術(shù)的不斷發(fā)展，需要從安全的角度去管理整個(gè)網(wǎng)絡(luò)和系統(tǒng)，而傳統(tǒng)的NOC在這方面缺少技術(shù)支撐，于是，出現(xiàn)了SOC的概念。不過，至今國外都沒有形成統(tǒng)一的SOC的定義。維基百科也只有基本的介紹：SOC（SecurityOperationsCenter）是組織中的一個(gè)集中單元，在整個(gè)組織和技術(shù)的高度處理各類安全問題。SOC具有一個(gè)集中化的辦公地點(diǎn)，有固定的運(yùn)維管理人員。國外各個(gè)安全廠商和服務(wù)提供商對(duì)SOC的理解也差異明顯。

5、參與調(diào)研的公司網(wǎng)絡(luò)規(guī)模分析

在參與調(diào)研的公司網(wǎng)絡(luò)規(guī)模中，網(wǎng)絡(luò)設(shè)備、安全設(shè)備與服務(wù)器總數(shù)低于50臺(tái)的企業(yè)為17.8%。50-99臺(tái)的有20.5%。100-299臺(tái)的有22.0%。多于300臺(tái)的有39.6%。由此可以發(fā)現(xiàn)，大中型企業(yè)的比例在所有參與調(diào)研的公司網(wǎng)絡(luò)規(guī)模中是最大的。畢竟設(shè)備和PC不是一個(gè)等級(jí)。一般擁有100臺(tái)服務(wù)器或網(wǎng)絡(luò)設(shè)備、安全設(shè)備的公司，業(yè)務(wù)量已經(jīng)是相當(dāng)大了。

6、2011年用戶對(duì)自己公司安全滿意度調(diào)查分析

在參與調(diào)研的公司中，我們可以發(fā)現(xiàn)對(duì)安全狀況表示滿意的公司僅有19.1，表示一般的是46.5%，而不滿意的，則占34.5%。這意味著有高達(dá)81%的企業(yè)需要提高自己公司的安全管控能力。網(wǎng)絡(luò)安全狀況并不樂觀。

7、用戶當(dāng)前最需要解決的安全問題分析

通過本次調(diào)查發(fā)現(xiàn)，企業(yè)IT運(yùn)維與管理需求日趨明顯。在所有參加調(diào)查的企業(yè)中，有近四層的大型企業(yè)用戶認(rèn)為運(yùn)維管理方面的問題是目前亟待解決的。其中僅有1層的企業(yè)用戶還在為網(wǎng)絡(luò)設(shè)備發(fā)生的故障而擔(dān)憂。同時(shí)，我們不難發(fā)現(xiàn)，在企業(yè)安全管理與運(yùn)維需求呈現(xiàn)多樣性。企業(yè)IT部門管理者不僅要面臨IT系統(tǒng)正常運(yùn)轉(zhuǎn)的維護(hù)工作，還要防御來自外部網(wǎng)絡(luò)攻擊與內(nèi)部網(wǎng)絡(luò)泄密的雙重威脅。而這兩部分威脅，則僅次于運(yùn)維管理需求，占調(diào)查總樣本數(shù)的44%。此外，來自網(wǎng)絡(luò)內(nèi)部病毒管理的問題與往年相比，有非常明顯的變化，僅有8%的企業(yè)用戶認(rèn)為病毒是目前需要解決的問題。

8、用戶對(duì)SOC安全運(yùn)維管理的認(rèn)知分析

在用戶對(duì)SOC的認(rèn)知程度調(diào)查上，調(diào)研結(jié)果比較讓人驚訝，僅有6.6%的用戶表示對(duì)SOC安全運(yùn)維管理很熟悉。57%的用戶了解一點(diǎn)兒。而高達(dá)36.4%的用戶不了解。這意味著，SOC的廠商急需對(duì)市場進(jìn)行推廣和培育。而用戶也應(yīng)為了讓自己在繁雜的運(yùn)維工作中解放出來而多多接觸SOC類解決方案。SOC的市場，潛力巨大。

9、安全運(yùn)維管理市場發(fā)展現(xiàn)狀

當(dāng)被問到現(xiàn)在國內(nèi)SOC解決方案的成熟度如何時(shí)，大多數(shù)用戶表示不太成熟，但是值得期待，這一比例達(dá)到63.1%，對(duì)于廠商來說是個(gè)好消息，但仍然有30.3%的用戶表示還差得很遠(yuǎn)，僅有6.7%的用戶表示現(xiàn)在國內(nèi)SOC已經(jīng)成熟了 。

10、SOC安全運(yùn)維管理市場需求分析

面對(duì)“認(rèn)為SOC安全管理平臺(tái)應(yīng)該具備的功能包括哪些”這個(gè)多選題時(shí)，比例最高的并沒有輪到“對(duì)各種安全設(shè)備進(jìn)行集中統(tǒng)一的控制72.7%”，而是“對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)安全事件進(jìn)行統(tǒng)一分析”76.1%。緊隨其后的是“具備網(wǎng)絡(luò)管理的功能，包括拓?fù)涔芾?、設(shè)備運(yùn)行狀態(tài)監(jiān)控等  ”75.4%。可見大部分用戶還是比較理性的。

11、安全運(yùn)維管理產(chǎn)品認(rèn)可度

從安全運(yùn)維管理產(chǎn)品認(rèn)可度上，可以看到SOC完勝SIEM和日志審計(jì)?？梢娫趪鴥?nèi)，SIEM的認(rèn)可度遠(yuǎn)遠(yuǎn)不止SOC。這也許和國內(nèi)廠商的推廣力度有關(guān)。認(rèn)可日志審計(jì)的網(wǎng)友有38.4%，也說明了還有很大一部分網(wǎng)友依然信賴這個(gè)最基礎(chǔ)的運(yùn)維管理方案。

12、SOC安全運(yùn)維管理產(chǎn)品重點(diǎn)提供商分析

用戶所熟悉的SOC或相關(guān)解決方案的提供商有哪些？在SOC安全運(yùn)維管理產(chǎn)品提供商中，我們列舉了七家著名的安全廠商供大家選擇，可以看到，還是國外廠商拔得頭籌，賽門鐵克以22.7%的高比例位列第一。國內(nèi)的東軟和啟明星辰以18.6緊隨其后。近期兩家公司在SOC產(chǎn)品方面動(dòng)作頻頻，倒是符合本項(xiàng)調(diào)查中難分難解的狀況。第三第四的位置由網(wǎng)御星云的16.6%和天融信的15.9%占據(jù)，實(shí)力均不可小覷。

13、總數(shù)在100臺(tái)以上(含100臺(tái))的單位，對(duì)SOC解決方案的成熟度認(rèn)可情況

網(wǎng)絡(luò)設(shè)備、安全設(shè)備與服務(wù)器總數(shù)在100臺(tái)或100臺(tái)以上的單位（共有157個(gè)）已經(jīng)算是大中型企業(yè)行列，他們對(duì)SOC解決方案的成熟度認(rèn)可情況，將對(duì)整個(gè)SOC的市場表現(xiàn)有著一個(gè)較為準(zhǔn)確的反應(yīng)。我們發(fā)現(xiàn)有29.9%的用戶持悲觀態(tài)度，認(rèn)為SOC還不成熟，差得很遠(yuǎn)，而8.9%的用戶表示認(rèn)可其成熟度，剩下的用戶仍在期待61.1%。總體上來說，大部分人對(duì)SOC還是有期待的。

14、對(duì)目前網(wǎng)絡(luò)安全狀況不滿意的用戶，對(duì)SOC解決方案的了解度

對(duì)目前網(wǎng)絡(luò)安全狀況不滿意的用戶，對(duì)SOC解決方案的了解度又是怎樣呢？高達(dá)93.6%的用戶并不十分了解SOC解決方案。這意味著，SOC提供商需要對(duì)市場進(jìn)行更多的推廣和培育。而用戶也應(yīng)該為讓自己在繁雜的運(yùn)維工作中解放出來而了解各種先進(jìn)的安全運(yùn)維管理解決方案。而對(duì)于6.4%的用戶既對(duì)SOC很了解，但又對(duì)目前網(wǎng)絡(luò)安全狀況不滿意的用戶。則有必要進(jìn)一步的溝通和分析。以便能有更好的解決方案去幫助這部分用戶。

15、在了解或熟悉SOC安全管理平臺(tái)的用戶中，認(rèn)為SOC最重要的功能

在了解或熟悉SOC安全管理平臺(tái)的用戶中（260人），認(rèn)為SOC最重要的功能是“建立有效的安全告警和處理流程”36.5%、“對(duì)各種設(shè)備的數(shù)據(jù)采集和集中管理”31.2%、“能夠進(jìn)行智能關(guān)聯(lián)分析”19.2%這三項(xiàng)。對(duì)能提供各種安全報(bào)表和豐富的圖形展示、擴(kuò)展性這三項(xiàng)，大家反而沒有什么熱情。SOC的“實(shí)用性”成為用戶首選。

16、有興趣在單位中采用SOC解決方案的用戶中，最熟悉的SOC或相關(guān)解決方案提供商

在調(diào)查其有興趣在單位中采用SOC解決方案的用戶中（202人），最熟悉的SOC或相關(guān)解決方案提供商中，賽門鐵克再次占據(jù)第一25.7%。群眾基礎(chǔ)可見一斑。啟明星辰以17.3%屈居第二，第三第四第五分別有天融信16.3%、網(wǎng)御星云15.3%、東軟14.9%占據(jù)。國內(nèi)廠商需自強(qiáng)。

17、認(rèn)為國內(nèi)SOC解決方案不成熟或不太成熟的用戶中，最希望SOC給他們的IT管理帶的好處和便利

這項(xiàng)調(diào)查指出了用戶對(duì)SOC提供商最直接的要求，即目前認(rèn)為國內(nèi)SOC解決方案不成熟或不太成熟的用戶中，最希望SOC給他們的IT管理帶的好處和便利是什么。有379名用戶符合此項(xiàng)調(diào)查要求，其中36.4%的用戶還是最想要“安全的網(wǎng)絡(luò)運(yùn)維管理”。其次有33.8%的票數(shù)投給了“安全故障檢測和災(zāi)難恢復(fù)”，“網(wǎng)絡(luò)攻擊預(yù)警和防御”以23.5%占據(jù)第三。這意味著，想要獲得大部分用戶的垂青，SOC產(chǎn)品的“基本功”很重要！

【編輯推薦】

1. 專題：2011中國SOC安全管理平臺(tái)市場應(yīng)用現(xiàn)狀