安全运营中心（SOC）的建设方式

对于最终用户而言，如果已经决定要引入SOC，那么要如何建设SOC安全运营中心？注意，这里的SOC 包括技术、流程和组织三个部分，不单指SOC技术平台。目前，业界通行的做法有三种：

1）自建SOC，自己搭建平台，建立自己的组织和流程，并进行运维。其中平台部分，用户可以自己设计并开发平台，也可以外购一个技术平台；

2）购买MSS服务，租用MSSP的SOC，或者叫做安全服务外包，包括租用安全基础设施；

3）共建SOC——目前比较多见的方式，自己搭建SOC技术平台，建立核心的组织结构和流程，处理核心的安全问题，然后利用外脑（外包服务）来进行协维、咨询。

其中，第三种方式可以看成是前两种方式的综合。

对于自建型SOC（或者称作自运维型SOC），首先要处理的问题是如何构建SOC实体，也就是要有一个场地的问题，这篇文章《如何创建自己的SOC》可以参考。如果SOC中心建立起来，怎么运维使用起来呢？回答这个问题之前，应该先对SOC运维有一个正确的理解，树立正确的认知，这篇文章《如何用好SOC》可以帮助我们厘清一些问题。然后，可以看看业界的一些最佳实践，看看其他人是怎么去运维自己的SOC的，例如这个Intel的SOC运维实践，或者微软的SOC设计实践。

对于外包型SOC（也就是购买MSS的方式），顾名思义，就是要让专业的人去做专业的事。与所有其他IT运维服务一样，对于用户而言，选择外包型SOC首先要考虑的就是ROI（投资回报）的问题，SLA的问题（风险合理转嫁的问题）。用户应该知道国内外MSS发展的现状以及国内目前现状，要对MSSP有个理性、正确的认识和预期。正如这篇文章中提到的，MSS不是交钥匙工程！客户不可能因为将安全外包给了MSSP就不用承担安全的责任了。实际上，客户的安全责任最终还是客户自己承担。就算MSSP赔偿你损失，很多东西也无法挽回了。选择MSS，就是在选择一个重要的、长期的合作伙伴，是一种特别的信任。作为用户，选择的MSSP除了要有强有力的基础实施、人员、流程和制度管理外，还应该有很好的信誉和资质，就是要能够给用户带来安全感。有资质不一定就有安全感，你可以有ISO27001认证，有安全服务资质，系统集成资质，可以与用户签订NDA，但是这些只是必要条件，不充分。在现有的国内环境下（缺少法律保障和保险），如何选择，或者说选对MSS，对于用户的确是个挑战。一个可行的方式，是用户先界定好一个较小的问题域，将一部分业务外包出去试水一下，慢慢来。最后要强调的是，是否选择MSS是与用户的业务战略相一致的，要围绕这个企业的业务战略来做出决策。例如，对于一个十分依赖IT的新兴企业，为了快速在市场上树立强有力的地位和获得竞争优势，可能就应该考虑对IT服务进行外包，包括对IT安全进行外包。而对于一个既有的市场领导者型企业，则会可能会采取更加稳妥的方式。值得庆幸的是，尽管当前经济形势趋紧，当前国内经济发展整体还是很迅猛，会有MSS需求的公司会越来越多。

共建型SOC综合上述两种方式。一般是将SOC中心建在本单位内部，并有一套核心的组织和流程，然后借助MSS来进行咨询和运维。这种方式适用于较大型的企业，因为这会有一个ROI周期的问题，尽管比自建型SOC要小，但是对于SMB依然是难以承受的。还有一个方式，在行业或者主管部门的牵头下，若干个中小单位联合起来，与一个承建商（通常是MSSP）协作，共建SOC，也是一个思路。事实上，目前运营商的SOC基本都属于共建型，而联合自建型SOC则可能会出现在行业指导性强的企业和单位中。

 

除了上面讲到的最终用户建设SOC的方式之外，还有一类客户，他们想自己搭建一个SOC安全运营中心，但主要不是自用，而是用它去做MSSP。这类客户又该如何建设SOC呢？同样，也要考虑技术、流程和组织三个方面的内容。具体操作的时候，也有两个方式：

1）自建型MSSP，也就是自己来，以我为主的方式。可以利用自身现有的积累和优势，拓展成为一个MSSP，其中包括选择一个合适的SOC技术平台。

2）共建型MSSP，就是几个人（几家单位）一起来，各自贡献自己的优势，参与方可能包括基础设施提供商、运维和服务提供商，还有技术平台提供商，等等。

要做自建型MSSP，最重要的不是选择SOC技术平台，而是设计好商业模式，搭建好组织架构，制定出运维流程，然后才是平台。甚至，对于一些初始的阶段，如果设定的服务范围较小，服务类型叫单一的话，都可以没有SOC技术平台，而只用一些运维流程支撑系统配以一组工具集即可。在选平台的时候，重要的在于找到合适的，而非业界最佳的。什么叫合适，也就是与你的组织架构和流程设计相匹配，与目标相匹配，这也是为什么说技术要在组织和流程之后的原因。如果你已经有很好的组织和架构基础，有很丰富的IT运维经验和实践积累，选择平台可以更加单纯一些，反之，就更加要注重实用性和适用性，并关注SOC技术平台的扩展性，定制化。

要做共建型MSSP，最重要的也不是选择SOC技术平台，而是资源整合能力，能够把各方面的资源整合到一起，形成共同的愿景。当前国内以IDC为代表的服务商具有较好的基础设施及其运作经验，还有不少集成商或者IT服务公司具有运维方面的人才和技术积累，而专业安全领域知识和安全架构设计及咨询又基本上集中在专业安全厂商手中，因此，多方合作的趋势很明显，但是可操作性有待验证。

无论上述哪种，在设计商业模式的时候，都要进行充分的客户市场分析，做好市场定位工作，了解客户对于安全的FUD（恐惧、不确定性、怀疑），要知道如何化解这些FUD。

最后，我要给安全厂商，包括安全技术产品提供商和安全服务提供商在参与到SOC建设或者MSS建设的时候提出一些忠告，如果你考虑只是造势，是赔本挣吆喝，是别有用心，那么我不管，也没有任何忠告。如果你是真正要做些实事，那么在参与到MSS建设的时候，以及参与到客户SOC建设的时候，都要先做好自身的定位。要先做出MSS和SOC的模型，划分清楚其中的角色和参与方，也就是画出较完整的用例图，然后确定好自己在其中扮演什么角色，千万不要模糊，要知道自己什么行，什么不行。