你是否需要安全运营中心？

2012年1月28日，DarkReading发表了一篇文章，题为“Do You Need a Security Operations Center?”。文章提到：

1）首先要评估是否需要建立SOC，这可以通过评估攻击可能对业务造成的损害做起。你可以设想一些最坏的情况，如果后果将十分严重，那么你需要考虑建立SOC。

2）下一步的关键是要建立起CSO或者CISO的管理机制和责任制。

3）建立SOC首先要做的不是加强安全，而是获得对全网的可见性（Visibility）。【注：我很赞同这个观点，你想要掌控全网的安全，首先要知道全网的运行状态】

4）很重要的一条，在建立SOC的监控流程的时候，要围绕被保护对象和业务系统来建立，而不是试图将各种安全产品集成到一起。【注：事实上，建立 SOC的很多初衷就是将现有的安全产品/措施集成起来。这没有错，但这只是手段，而非目标。我们的目标是通过获得对业务的可见性进而获得对业务的安全保护 增强】

5）最后，如果建立SOC的主要目标之一是为了防范信息泄漏，那么应该让SOC获取和存储尽可能多的安全信息，即便SOC还不具备对这些信息的处理 能力。因为，你无法预料攻击什么时候发生，发生后会留存什么信息，但是只要那些信息一股脑儿都存储起来了，总归是有办法事后去找寻攻击的线索。