什么是SOC

网络安全的发展随着网络建设经历了三个阶段：一是防火墙、防病毒与IDS(入侵检测系统)部署的初级阶段。二是随着网络扩大，各种业务从相互独立到共同运营，网络管理中出现的安全域的概念，利用隔离技术把网络分为逻辑的安全区域，并大量的使用区域边界防护与脆弱性扫描与用户接入控制技术，此时的安全技术分为防护、监控、审计、认证、扫描等多种体系，纷繁复杂，称为安全建设阶段。三是随着业务的增多，网络的安全管理成为网络建设的新重点，把各个分离的安全体系统一管理、统一运营，我们称为安全管理阶段，最典型的就是综合性安全运营中心(Security Operation Center)SOC的建设.
SOC是安全技术“大集成”过程中产生的，最初是为了解决安全设备的管理与海量安全事件的集中分析而开发的平台，后来由于安全涉及的方面较多，SOC逐渐演化成所有与安全相关的问题集中处理中心：设备管理、配置下发、统一认证、事件分析、安全评估、策略优化、应急反应、行为审计等等。能把全部安全的信息综合分析，统一的策略调度当然是理想的，但是SOC要管理的事如此之多，实现就是大难题。基于不同的理解，市场出现的各种SOC也各取所长，有风险评估为基础的TSOC，有策略管理的NSOC，有审计为主的ASOC，还有干脆是安全日志分析为主的专用平台……
各种SOC特点各异，但都是围绕安全管理的过程来进行的，对应了安全事件管理的事前、事中、事后三个阶段，事前重点是防护措施的部署，排兵布阵；事中是安全的监控与应急响应，对于可以预知的危险可以防护，但对于未知的危险只能是监控，先发现再想办法解决；事后是对安全事件的分析与取证，对于监控中没有报警的事件的事后分析。由此SOC的功能发展就延伸为下面三个维度：
* 安全防护管理：负责安全网络设备的管理与基础安全体系的运营。是安全事件出现前的各种防护管理，其鲜明的特征就是制定的各种安全策略并下发到相关的安全设备。
* 监控与应急调度中心：对安全事件综合分析，根据威胁程度进行预警，并对各种事件做出及时的应对反应。
* 审计管理平台：事件的取证与重现、安全合规性审计、数据的统计分析、历史数据的挖掘。安全的审计安全管理的事后“总结”，也是安全防护的依据。