对于一个企业用户来说，他们很难区分SOC、ESM、SIEM和Insider Threat在技术与概念上的差异。这就造成了安全管理市场的一片混乱。

　　当IDC在2006年对企业内部安全威胁潜在市场进行过预测之后，大量的专业安全公司一时间全部倾尽全力投身于对SIEM(安全信息和事件管理)技术的研发，并一度引爆了ESM(企业安全管理)、Insider Threat(内部威胁管控)与SOC(安全运营中心)的话题，并最终在2007～2008年引发一场彻底的混乱。

　　安全管理概念混淆

　　对于一个企业用户来说，他们很难区分SOC与SIEM在技术与概念上的差异。要知道，SIEM作为以安全信息和安全事件为基础的管理平台，一直以来都是企业安全策略的重要组成部分。应该说，SIEM的关键信息点在于：标准化、整合化、关联化、可视化。其核心思想是通过信息源的收集，实现对信息的关联分析，提供基于风险与威胁的及时响应，包括以法规遵从为导向的合规性保护。不幸的是，如同当前面临危机的UTM一样，当大家一起扑向SIEM时，技术本身获得了神话般的光环，但应用效果却频频爆冷。其中最为棘手的就是SOC，虽然SOC被形容为“木桶原理中的桶箍”：它能把各种安全技术、安全产品、安全策略、安全措施等各种目标箍在一起，共同形成一个坚实的木桶，保护桶里面的资源。

　　发展到现在的SOC给企业用户留下的印象更多是无用消息的堆砌以及无法实现的功能，以至于在国内很难找到非常成功的SOC案例。

　　ArcSight全球工程研发副总裁宋海燕表示：“对用户而言，SOC带来的最大收益就是能把所有与安全有关的信息综合起来，用户在窗口中看到这些信息，同时接收采取行动的建议。对很多公司来讲，做一个大的SOC需要庞大的投入，这种投入如果在一开始标定不清或者认识不清，就会引发混乱。这种混乱主要体现在布局、规划的不成功。其实，基于SIEM的方案是弹性的，大企业可以投入大量人力去建设ESM或者SOC，小企业也可以利用SIEM，通过邮件、短信息、黑莓等设备管控信息。”

　　关注关联分析

　　宋海燕认为，实现SIEM技术的应用化，有两个问题不能忽视。

　　第一，关联分析技术需要做得灵活、完善。举例来看，5分钟之内，某个事件如果发现了5次或者5次以上，系统就要作预警，这是最简单的关联分析。但国内用户需要的并非如此简单的技术，用户希望知道的是，某次安全事件发生了，那么下一次类似事件会在什么时间发生?换句话说，第二件事情发生的情况，就是根据第一件事情产生出的信息进行关联分析预测的，它能够把非常多的因素加入到不同的分析模型中去。最重要的是，这些分析需要在实时的情况下去做，在很大的数据量的情况下完成。比如很多银行用户，它的应用系统在一分钟内可以产生上百条信息，这对关联分析引擎的功能要求非常高。

　　第二，数据收集要从平台架构出发。数据收集如果不从平台架构去想，那么用户在IT系统中每增加一个新产品，厂商都不得不重头开发。合理的做法是，厂商要为用户提供一个架构，可以快速部署上线进行信息搜集。遗憾的是，能够把很多没有架构、没有结构的信息用一种很好的方式给它统一化，实现的难度非常高。对于内部威胁控制，她认为，基于SIEM的做法就是实现对于企业人员的监控、以及对于人员在企业各个资产操作上的监控。一个合理的建议是，尽可能地建立人员身份模型并吸收到相关SIEM系统中去。通过建立一个不断更新的架构，将企业人员的角色和其应该做的事情联系在一起，开展基于身份、角色、时间地点的关联分析。