你是否需要安全运营中心？

2012年1月28日，DarkReading发表了一篇文章，题为“Do You Need a Security Operations Center?”。文章提到：

1）首先要评估是否需要建立SOC，这可以通过评估攻击可能对业务造成的损害做起。你可以设想一些最坏的情况，如果后果将十分严重，那么你需要考虑建立SOC。

2）下一步的关键是要建立起CSO或者CISO的管理机制和责任制。

3）建立SOC首先要做的不是加强安全，而是获得对全网的可见性（Visibility）。【注：我很赞同这个观点，你想要掌控全网的安全，首先要知道全网的运行状态】

4）很重要的一条，在建立SOC的监控流程的时候，要围绕被保护对象和业务系统来建立，而不是试图将各种安全产品集成到一起。【注：事实上，建立SOC的很多初衷就是将现有的安全产品/措施集成起来。这没有错，但这只是手段，而非目标。我们的目标是通过获得对业务的可见性进而获得对业务的安全保护增强】

5）最后，如果建立SOC的主要目标之一是为了防范信息泄漏，那么应该让SOC获取和存储尽可能多的安全信息，即便SOC还不具备对这些信息的处理能力。因为，你无法预料攻击什么时候发生，发生后会留存什么信息，但是只要那些信息一股脑儿都存储起来了，总归是有办法事后去找寻攻击的线索。