东软:引领SOC向一个新的目标迈进
作者: CBINews编辑
责任编辑: 阚智
来源: 电脑商情在线综合
时间: 2011-11-11 17:25
于安全监控平台(SOC)的初步印象,类似于科幻或商业谍战电影中出现的网络总部一样,是企业保护其信息安全的一个“战略指挥部”。而在信息主导、信息安全如“喉舌”的时代,SOC是充当着这样职能的中心:提供7x24小时无间断的服务,收集日志、监控以及反映安全事件,并且在适当的时机按照流程将事件交给上一层负责人,以及记录、比对,并从中学习。
经过几年的时间,国内的SOC产品也已步入了技术架构、产品功能完善的成熟期。用户对于SOC的认识和需求也在快速提升的阶段,但很多已经建设了SOC的组织机构虽然投入了大量的物力和人力,却没能很好地将系统利用起来,也无法达到原本预期的效果。可见,安全监控预警类产品的社会需求与实际效果之间存在着一定的落差。
另一方面,当前的企业环境中,来自内部的威胁在增加:移动计算和远程访问变得越来越多;无线网络飞速增长,对应用程序访问需求增长,企业内外网络的边界越来越模糊化;员工访问机密信息带来内部威胁的频率持续增高;尤其是云计算和Web2.0等新技术的热潮,泄密的可能性无时不在...... SOC面临着新的挑战。
近日,在东软SOC5.0系统发布之际,笔者专访了东软集团股份有限公司网络安全营销中心副总经理曹鹏,在他眼中,东软SOC肩负了一些新的使命,同时,他也与笔者交流了东软SOC5.0的一些创新之处。
SOC的“理想与现实”
至今仍有很多人简单地将SOC理解为管着一堆网络安全硬件设备的一个软件系统。据曹鹏介绍,企业上SOC的初衷也很简单:采购的安全设备越来越多,原则上只要新增一套安全设备,企业就要多花1-2人去管理,而这些设备每天还产生大量的系统日志和报警信息,哪些日志是有用的?这成为很多安全运维人员的困扰。在国内IT部门分工不细,企业负责安全的运维人员往往是一个人或者一个团队,而用SOC就是要解决多设备管理的复杂性和信息孤岛的问题。
在SOC经过几年的发展之后,经历了从不成熟到成熟的过程,而曹鹏认为,用户的需求也有了阶段性的变化:“以前客户问可否兼容现有的安全设备,后来客户问是否能兼容国外安全设备,再后来客户问出了安全设备还能不能管其他设备?”
从问题的转变可以看出SOC产品技术的进化。一些兼容的问题已经不成问题了,那问题在哪里?据曹鹏介绍,对于东软来说,难点并不在技术上,任何安全设备都有日志转发,但难在没有通用的格式,国内安全产品与国外安全产品的差异在于版本管理的混乱,没有统一的标准和接口,所以就需要花一定的时间来学习这些格式。
建设SOC的时候面临着整合问题,除了技术之外还有政策、流程、制度、人才等各种问题,导致SOC的实施周期长短不一,此外还在于用户的期待是多少。“有时候很长,过程很痛苦。但是这是基于客户的认知,客户是有追求的,提出问题去改,改完客户还要有犹豫期。”曹鹏说。
如何看待实施SOC是否成功?这是大家都关心的一个现实问题。但并不像其他的项目,SOC没有统一的验收标准。“很难界定什么是成功和失败。是不是日志能全部收集全部解析?那是不是全解析了都关联分析了? 都关联分析了是不是有人看?”曹鹏说,“这里面很难说是产品本身问题还是用户的问题。”
云和SOC的“转身”
云计算将是IT的未来。不知不觉,网络底层的技术被人关注得越来越少,企业将会把逐步把业务应用放在云端。安全边界、域和域的界限模糊了。传统SOC重点关注的安全防御设备逐步被边缘化。SOC要从以往的只关注安全设备的监管,转变为更加深入的对业务安全的监管。
“传统安全设备发展空间有限。”曹鹏对于云计算浪潮下的信息安全产品做了这个肯定的判断。在笔者看来,他的意思是,云计算之下,数据、网络设备越来越集中,传统安全设备的需求量也必然减少;另一方面,移动互联时代,企业级和消费级IT产品和技术在融合,用户更关注数据本身。
依据这个判断,东软致力于将SOC打造成标准的信息管理类产品。互联网的信息量每年以50%的速度增长,所以SOC在做这样的转型:“以前的路很窄,只能管信息安全设备,但今后一定要管到信息本身和业务本身。以前是被动学习,以后要主动去找。”曹鹏认为。
如果说以前SOC更像个网管软件,那么以后将成为企业业务的管家。东软的SOC将关注点放在有价值的信息层面,而不再是底层防御了。“SOC经过五六年,已经翻过了第一座山,未来的挑战刚刚接触到。”曹鹏说。东软SOC5.0新版本,开始积极拓展做互联网信息收集、舆情的监控,同时也在做和业务系统的接口。
据曹鹏透露,最近两年他几乎全身心在做SOC,致力于将SOC打造成东软NetEye的旗舰产品。从投入来看,SOC产品研发团队增加到60余人。他表示,“在国内做安全产品只能最便宜里面最好的。SOC代表了东软NetEye新利润的增长点,从业绩来看,今年SOC销量已经追平了东软传统信息安全设备的销量。”
经过几年的时间,国内的SOC产品也已步入了技术架构、产品功能完善的成熟期。用户对于SOC的认识和需求也在快速提升的阶段,但很多已经建设了SOC的组织机构虽然投入了大量的物力和人力,却没能很好地将系统利用起来,也无法达到原本预期的效果。可见,安全监控预警类产品的社会需求与实际效果之间存在着一定的落差。
另一方面,当前的企业环境中,来自内部的威胁在增加:移动计算和远程访问变得越来越多;无线网络飞速增长,对应用程序访问需求增长,企业内外网络的边界越来越模糊化;员工访问机密信息带来内部威胁的频率持续增高;尤其是云计算和Web2.0等新技术的热潮,泄密的可能性无时不在...... SOC面临着新的挑战。
近日,在东软SOC5.0系统发布之际,笔者专访了东软集团股份有限公司网络安全营销中心副总经理曹鹏,在他眼中,东软SOC肩负了一些新的使命,同时,他也与笔者交流了东软SOC5.0的一些创新之处。
SOC的“理想与现实”
至今仍有很多人简单地将SOC理解为管着一堆网络安全硬件设备的一个软件系统。据曹鹏介绍,企业上SOC的初衷也很简单:采购的安全设备越来越多,原则上只要新增一套安全设备,企业就要多花1-2人去管理,而这些设备每天还产生大量的系统日志和报警信息,哪些日志是有用的?这成为很多安全运维人员的困扰。在国内IT部门分工不细,企业负责安全的运维人员往往是一个人或者一个团队,而用SOC就是要解决多设备管理的复杂性和信息孤岛的问题。
在SOC经过几年的发展之后,经历了从不成熟到成熟的过程,而曹鹏认为,用户的需求也有了阶段性的变化:“以前客户问可否兼容现有的安全设备,后来客户问是否能兼容国外安全设备,再后来客户问出了安全设备还能不能管其他设备?”
从问题的转变可以看出SOC产品技术的进化。一些兼容的问题已经不成问题了,那问题在哪里?据曹鹏介绍,对于东软来说,难点并不在技术上,任何安全设备都有日志转发,但难在没有通用的格式,国内安全产品与国外安全产品的差异在于版本管理的混乱,没有统一的标准和接口,所以就需要花一定的时间来学习这些格式。
建设SOC的时候面临着整合问题,除了技术之外还有政策、流程、制度、人才等各种问题,导致SOC的实施周期长短不一,此外还在于用户的期待是多少。“有时候很长,过程很痛苦。但是这是基于客户的认知,客户是有追求的,提出问题去改,改完客户还要有犹豫期。”曹鹏说。
如何看待实施SOC是否成功?这是大家都关心的一个现实问题。但并不像其他的项目,SOC没有统一的验收标准。“很难界定什么是成功和失败。是不是日志能全部收集全部解析?那是不是全解析了都关联分析了? 都关联分析了是不是有人看?”曹鹏说,“这里面很难说是产品本身问题还是用户的问题。”
云和SOC的“转身”
云计算将是IT的未来。不知不觉,网络底层的技术被人关注得越来越少,企业将会把逐步把业务应用放在云端。安全边界、域和域的界限模糊了。传统SOC重点关注的安全防御设备逐步被边缘化。SOC要从以往的只关注安全设备的监管,转变为更加深入的对业务安全的监管。
“传统安全设备发展空间有限。”曹鹏对于云计算浪潮下的信息安全产品做了这个肯定的判断。在笔者看来,他的意思是,云计算之下,数据、网络设备越来越集中,传统安全设备的需求量也必然减少;另一方面,移动互联时代,企业级和消费级IT产品和技术在融合,用户更关注数据本身。
依据这个判断,东软致力于将SOC打造成标准的信息管理类产品。互联网的信息量每年以50%的速度增长,所以SOC在做这样的转型:“以前的路很窄,只能管信息安全设备,但今后一定要管到信息本身和业务本身。以前是被动学习,以后要主动去找。”曹鹏认为。
如果说以前SOC更像个网管软件,那么以后将成为企业业务的管家。东软的SOC将关注点放在有价值的信息层面,而不再是底层防御了。“SOC经过五六年,已经翻过了第一座山,未来的挑战刚刚接触到。”曹鹏说。东软SOC5.0新版本,开始积极拓展做互联网信息收集、舆情的监控,同时也在做和业务系统的接口。
据曹鹏透露,最近两年他几乎全身心在做SOC,致力于将SOC打造成东软NetEye的旗舰产品。从投入来看,SOC产品研发团队增加到60余人。他表示,“在国内做安全产品只能最便宜里面最好的。SOC代表了东软NetEye新利润的增长点,从业绩来看,今年SOC销量已经追平了东软传统信息安全设备的销量。”
