我讲的时候，大概有三个主题，第一个是说，从SOC到MSS，第二个是MSS的实践，那么会讲到国内的情况和国外的一些情况的区别。第三个是会讲一下关于MSS需求的一个讨论。

　　首先我讲一下SOC，因为这大概是这两年国内的热点，很多人在讲，包括我们电信运营商和国内的大企业里面，都会有这种SOC的部署。但是，SOC布完以后，到底有没有用?或者是我希望SOC达到什么样的目的?到底好用不好用呢?其实这里面有很多的思考。那么我们来看，没有最好的SOC，而是这个SOC适不适合你，所以SOC的定义非常重要。如果你的定位和你最终的目标有差别，所以你可以看到，这个SOC不是我想的SOC。有很多类似这样的定义，那么一个SOC是什么呢?它是结合的安全和网络事件的收集。那么收集的目标是什么?使得安全和运维的人员，能够了解所有的安全事件。最重要的是什么呢?根据你预先定义的安全策略，实现最佳的响应方式。那么实际上SOC是安全运维中心的英文的缩写，那么有几个重要的因素，第一个我要把事件收上来，第二我要使得这些事件的收集，我要能够真正了解这些事件背后真正的原因是什么，第三个我要根据预定义的安全事件去响应。那么很多的嘉宾认为我以前有安全事件，但是我不知道这个安全事件是什么，那么作为运营商或者是网通等等，那么我收到SOC的事件，但是我不了解这个事件是什么。那么我们有一个抗洪抢先的救灾办公室，那么这个办公室也是这个意思，当我知道哪个地方的降水达到什么程度的时候，我应该采取什么措施。实际上，我们不是来做收集的，很多国内的SOC都走向了收集信息的路，这可能是说SOC不成功的重要的原因。

　　那么第二个，我借助这个SOC进行安全运维的目的是什么?一种情况下，我就是为了管理和安全，还有一种情况下我是因为萨班斯法案的要求，我是因为公司策略的要求，我必须进行SOC。哪怕从管理上来说，我希望我所有的事件都可以找到一个负责的单位，我就建一个SOC，那么所有的事件都找SOC，出了问题也找他们。那么我们从另外一个角度想，我们是不是有必要建一个SOC来进行服务呢?这是一个完全成本的东西，对于运营商我不愿意做这个东西，那么我可不可以把它变成一个运营中心?我可不可以对外提供服务?其实对外提供服务没有那么容易，IBM转向为服务做了很长的时间，现在看起来是比较成功的，但是中间是很曲折的。那么你怎么样成为一个很好的服务运营商?不是说你有一个SOC中心，你想拿出去服务，别人就会买账。我说我今天120元，我500元，那么别人为什么要付你500元，你可以提供什么样的服务?如果你的服务达不到别人想象的时候，别人很难付这个钱。那么运营商或者是其他的厂商，你想通过什么样的模式把这个服务实现?

　　那么这个是我们在日本的SOC。IBM的SOC和安全管理中心，但是IBM的安全管理中心是完全对外服务的，对用户提供服务的。对于IBM来说，这是我们最好的一块现金收入的来源。大家可以想像，在SOC的远程管理服务，是可以离岸的，在全球任何一个点，我可以看到全球哪些国家的成本最低，我就可以提供服务。比如说在印度、美国、英国、中国，我可以在美国，我看到用户有任何的响应都可以做出处理，这是我们在日本实际的一个图片。那么对于电信运营商的启示是什么呢?如果电信运营商希望把自己的SOC，把自己的安全服务，能够提供收益，把服务中心转化为安全服务中心。对于你来说，用户把这个安全交给你来管，你就是份内的。你从骨干网到用户的网络，所有的设备都是你管，你自然可以查找一个事件的来源是什么，你也可以把这个事件控制到你可控制的范围，控制到你SOC所符合的范围。这是我们将来可以看到的趋势。

　　那么我们看一下国外是怎么做MSS的，MSS是管理安全服务的缩写。那么都有哪些厂商或者是哪些人在做这个生意。我们看这个图的左上角，是系统集成商。那么系统集成商可能会去想这个生意，我作为系统集成商，我的利润增长点是什么?我能不能提供一些增值的服务?那么还有服务商，这可能是电信的运营厂商，电信运营厂商我是SP，也是一个服务商。那么还有安全产品的厂商，比如说我们之前讲到了一些安全厂商，或者是IBM或者是你可以作为一个安全产品型的厂商。还有纯粹就是做安全管理服务的供应商。现在看起来，这是我们看到之前的情况，实际上来看，这是一个专门做市场研究的组织，左边是2006年，右边是2007年的市场情况的图。看起来这个市场上只有两种人在玩这个游戏，一种是做安全、服务的厂商，比如说IBM。大家可以看到IBM在这个图上，还有一种是类似于IBM这样的安全厂商。这张图上还有其他的厂商，但是到07年的时候都被收购掉了。那么另外一些人玩这个游戏的是电信运营商，你可以看到BP、ATMT等等。大概看起来是两种人在玩这个游戏，一种是我懂得什么是安全，我知道怎么去管这个安全。这是它的一种人，另外一种人是什么?是我有这条线路，用户是连到我这里去的，只有这两种人才可以做这个生意。

　　那么我们之前看到的系统集成商或者是纯粹做产品的人都是亩可能玩这个的，因为这个技术跟产品有区别，但是不是很大的区别。我有这个知识和技术，我知道这个问题来的时候，我怎么做这个安全策略。那么我们中国也是这个情况，比如说IBM公司在中国提供很多的服务，其实我们很高兴遇到了联想的朋友，也和他聊起来。像很多联想公司现在的产品，就是包给IBM来管理的。那么像在国外，用户的防火墙或者是他的安全系统，都是由我们IBM来做的。那么联想会说，你给我提供这样的服务，我付你钱。那么我们IBM会说，我给联想做这样的服务，如果我做不到，我会赔偿你什么。

　　还有一种是我帮助你管理入侵检测系统，大部分人有这个东西，但是不知道这个东西怎么用，他的世界量最多，但是不知道这是什么意义。另外一种是我帮你管防火墙、UTM、漏洞扫描系统、VPN、邮件、安全设备。这是我们看到的国外主要提供的一些管理方面的服务。还有什么呢?我帮你做互联网的一些信息通知，相当于什么?天气预报，因为我们可能管全球各大公司、各大网络、各大洲都有我们的管理用户。我知道美国今天发生什么样的事情，我看在坐的都比较年轻，大家可能知道雅思，可能新西兰考完了以后，我可能打一个电话告诉你今天的阅读或者是听力是什么题。因为是有时差的，互联网也有，那么昨天在美国发生的攻击，第二天会在中国实现。包括我的管理用户，我告诉你今天可能会有什么样的攻击进来，你可能在防火墙或者是防毒网关上面做什么样的策略。

　　还有，我可以帮助你做安全网关的服务。这也是SOC的一种服务模式，现在如果说我们运营商会采用对外提供安全服务的话，大概会走这个路子。

　　那么国内其实现在看起来，我知道一些运营商在看这个事情，因为他们不光是说和IBM公司交流，他们也和国外的同行交流，也会得到这种反馈。如果我们的线路不是靠行政划分，不是靠这个写字楼里面规定必须用哪个运营商，那么真的由用户自己选的时候，他怎么选?是因为他的提供的价格好吗?还是他提供的价格高，但是他的服务更好?安全是这样子的，他会影响你其他服务的质量，我告诉你一根2兆的线，但是受到了攻击的话，这2兆的线可能跟512没有什么两样。就像我们买电视，你买一个三星的还是夏普的或者是Sony的?我们看什么?还是看质量。

　　所以国内，我目前还没有看到哪个运营商可以成功地把这个服务对外提供。国外就是对外提供服务的，所以我是企业的利润中心，那么我怎么考虑问题呢?我一个区域就放一个，我不像国内的运营商我是对内服务的。那么我放这个区域的时候我要考虑成本，我要考虑每个工位服务的最大用户数，同一个工位服务200个和10个是天差之别。后者可能要破产，因为你要比别人多花10倍的成本不止。

　　另外，我们看国内的情况，国内看起来，首先基本上它管理的方案是对内的，对内是承担责任的功能。所以，我很难要求，即使是电信的，我也很难要求这些人7×24小时×365的加班做这些事情。即使是做了，监控到一些事件的时候，我没有一个积累，我不知道怎么解决。我也不知道互联网上发生什么事情，因为我是电信的，我不知道网通在发生什么事情。也许我参加一个研讨会，我知道了一些案例，但是这个案例可能是2年前的，对于我没有什么指导意义，那么下一步应该怎么做我不知道。那么还有一个很大的缺点是，安全这一环的积累，如果你没有研究，也很难做持续的开发。如果我不知道互联网上发生什么样的漏洞，我也不知道别人怎么攻击，那么对于电信运营商来说，你是不是要花大量的人力、物力作为投入的研究呢?还是我把这个服务外包出去?这是国内重大的误区。

　　那么如果一个MSS要成功，其实我们看起来是不太容易的，我们看到一些点，比如说安全方面的研究。那么我运维方面的经验，我怎么样保证我一些系统和处理的流，还有我有没有合格的每个层次的人员，运营商能不能成为黑客的大本营，每种事件后面我都知道是怎么回事。还有我业务的推展怎么样?我怎么样做中国的市场?我是以市场占有率多大，还是以多快的时间达到一个平衡点。看起来这是很复杂的事情，如果你简单地去想，我要想我人员怎么样，我的运维流程怎么样，我的工具系统是不是足够好，还有我的执行力怎么样?

　　那么说了这么多的困难，其实MSS还是大有可为的，因为主要是市场的趋势。无论是我们的个人用户，还有我们的中小企业用户，更受不了这个话题。因为对于他们来说，有的时候是要自建还是外包服务，我是把这个事情管到最后一公里，还是只管骨干网。对于中国电信来说，是不是我把这个服务外包出去，是不是中国电信或者是中国网通等等就帮我解决这个问题。我可以多花一笔钱，但是我的注意力是注意在我企业的核心发展，我是做制造业的，我不做7×24小时的安全管理的工作。

　　那么对于IDC的报告，整个的安全管理的市场是一个高速成长的市场。那么大的目标客户是在哪?是在中小企业的圈，那么中小企业，我们IBM最新的叫法，我们叫做JB。有的公司叫做SMB，我们以后会叫做JB。那么IBM会逐步地采用专业的人士，交给专业的公司去管，因为重要的是你没有能力管，对于你来看，只要到了你的防火墙以后，里面的东西都不是你能管理的，可能是在运营商那里，或者是在黑客那里。再往后看，你的PC和服务器都是别人能够管理的资产，索性我交给服务商，那么签定一个服务质量的协议，至少有人帮我管理安全管理。

　　那么国内和国外的情况又不太一样，国内是说外包还不是那么地成为一个趋势。第二，有些企业会去考虑，我这个外包出去，会不会有一些敏感信息的处理，比如说政府。我举个例子，可能我是做一些研发的企业，所有的安全都由你管理，会不会有泄密的问题。但是这个问题需要自己解决，所以我看起来，国内这两年的，最有可能发生的是什么呢?是电信运营商和安全服务商一起合作做这个事情。因为电信运营商有资源，毕竟都我们的国有企业，他们也可信。那么服务商有这个安全实践，可以帮助我们的电信运营商很快地实现安全管理，使得我们减少网络提供安全服务的成本。

　　那么NTT也是在日本和国外的公司合作，也是作为安全管理提供商的模式。那么NTT的模式很简单，因为日本是比较喜欢用质量或者是服务水平分用户的。大家看起来，NTT有很多的企业网，连到NTT的网络上面去，他会先划分一下，你要不要选安全的网络和一般的网络。如果你选一般的网络，上面有防火墙、ITS是我们NTT帮你管的。那么用户的第二个选择是，你是选共享响应和专用响应的?那么如果你选专有响应，那么会有专门的服务团队为你服务。那么你选共享的，你会和大家一起享受这个服务。

　　那么大家觉得既然网络设备和路由器的设备是NTT管的，那么我的网络安全也是由你管的，那么用户只要求我的网络可用率达到什么程度够可以了。

　　那么这是我们在美国的SOC实际的案例，那么对于运营商来说，从成本中心转化成利润中心需要很长的路要走。但是国内由于安全会带来成本的附带，而不是利润的增长点。那么我就想到了MSS，那么我就讲到这里，谢谢大家!