網(wǎng)絡(luò)時(shí)代的企業(yè)對數(shù)字信息的依賴程度逐步加深，IT資源對業(yè)務(wù)的價(jià)值和重要性會(huì)隨著企業(yè)的成長發(fā)生較快的改變;信息化時(shí)代給社會(huì)生產(chǎn)生活方式帶來巨大變革，網(wǎng)絡(luò)安全問題也日趨嚴(yán)重。同時(shí)，面對各類攻擊的肆虐，單純依靠信息安全產(chǎn)品，并不足以保護(hù)企業(yè)網(wǎng)絡(luò)和業(yè)務(wù)無憂。這時(shí)，安全管理就成為應(yīng)對信息安全挑戰(zhàn)的必然趨勢，也順應(yīng)了“三分技術(shù)，七分管理”的舊話。在安全管理發(fā)展的過程中，依靠知識的不斷積累解決客戶現(xiàn)實(shí)問題，天融信不斷摸索，確定了安全管理類軟件的技術(shù)發(fā)展趨勢。

一、目標(biāo)就在那里，基本沒有改變

安全管理類軟件的使用目標(biāo)，長久以來基本沒有較大改變，但這并不是說系統(tǒng)的使用場景是唯一的。從系統(tǒng)使用者的職責(zé)與視角來分主要可以劃分為三大類：

1、CEO、CTO等公司高管從宏觀上分析企業(yè)內(nèi)部安全狀況與趨勢，能夠輔助其對業(yè)務(wù)及資產(chǎn)進(jìn)行相關(guān)決策;

2、CISO等信息安全主管，掌握部門安全運(yùn)維情況，提高部門服務(wù)水平和服務(wù)質(zhì)量;

3、安全管理人員等負(fù)責(zé)監(jiān)控運(yùn)維的一線人員，集中管理信息安全資源，及時(shí)檢測/追蹤來自內(nèi)部/外部的可疑行為，事后取證與溯源，能夠應(yīng)對新的攻擊，減少人工分析的時(shí)間，提高其工作效率。

二、你不重視安全，黑客就會(huì)找你

IT界的神話摩爾定律還在繼續(xù)，硬件處理能力不斷增強(qiáng)，信息化程度不斷深化，隨之產(chǎn)生的數(shù)據(jù)量越來越多;網(wǎng)絡(luò)帶寬不斷加大，傳輸數(shù)據(jù)能力加強(qiáng)，互聯(lián)網(wǎng)應(yīng)用快速發(fā)展，基于網(wǎng)絡(luò)的各種應(yīng)用日新月異;應(yīng)用多，漏洞不斷被發(fā)現(xiàn)，補(bǔ)丁的發(fā)布卻不及時(shí);黑金產(chǎn)業(yè)鏈不斷規(guī)模化，實(shí)力越來越強(qiáng)，惡意軟件生產(chǎn)能力進(jìn)一步增強(qiáng)，零日攻擊時(shí)有發(fā)生。

企業(yè)若想安全應(yīng)對以上幾方面威脅，投入的成本正在不斷增加，且無法預(yù)留足夠的時(shí)間來進(jìn)行人工分析，而且一般企業(yè)也缺乏安全專業(yè)團(tuán)隊(duì)長期跟蹤學(xué)習(xí)安全的各方面的知識。這就導(dǎo)致與安全相關(guān)的系統(tǒng)與設(shè)備基本處于各自為政的狀態(tài)。

三、發(fā)展方向圍繞實(shí)際需求

許多企業(yè)在安全部署實(shí)踐中，逐步認(rèn)可了安全管理的重要性，并紛紛采用。可以說安全管理類軟件已經(jīng)逐步由匯集和展現(xiàn)信息，向著高擴(kuò)展，宏觀輔助決策，微觀操作建議，可持久化發(fā)展與專家服務(wù)相結(jié)合進(jìn)行發(fā)展。

3.1安全視角宏觀與微觀相結(jié)合

網(wǎng)絡(luò)安全工作應(yīng)服從組織信息化建設(shè)總體戰(zhàn)略，迭代式實(shí)現(xiàn)系統(tǒng)安全體系的完善。沒有絕對的安全，因此也不可能無限度的投資安全，戰(zhàn)略優(yōu)先，合理保護(hù)，掌握風(fēng)險(xiǎn)平衡至關(guān)重要。在進(jìn)行安全風(fēng)險(xiǎn)分析時(shí)，宏觀微觀更緊密的結(jié)合,將風(fēng)險(xiǎn)的定量分析與定性分析相結(jié)合是未來發(fā)展趨勢。

3.2海量數(shù)據(jù)分層存儲(chǔ)

海里數(shù)據(jù)處理，區(qū)分日志與安全事件，進(jìn)行分層處理是大勢所趨。安全事件分析過程中我們會(huì)發(fā)現(xiàn)，很多系統(tǒng)產(chǎn)生的日志，大多數(shù)并非安全事件，如果對這些信息不加區(qū)分的進(jìn)行存儲(chǔ)分析，勢必大大降低我們安全管理建設(shè)的投資回報(bào)率。海里數(shù)據(jù)處理的有效方式，是結(jié)合傳統(tǒng)日志分析與安全事件分析，分層存儲(chǔ)，分層分析，同時(shí)又能方便回溯;自動(dòng)化實(shí)時(shí)分析與事后人工分析相結(jié)合的處理方式。

對于基本的日志，根據(jù)審計(jì)的需要進(jìn)行完全存儲(chǔ)或者部分存儲(chǔ)，通過非數(shù)據(jù)庫的存儲(chǔ)方式，加大壓縮力度，通過加密處理可以將相關(guān)數(shù)據(jù)備份到低廉的云端。

對于少量的安全事件，一方面使用各種分析引擎，對事件進(jìn)行分析，另一方面通過傳統(tǒng)數(shù)據(jù)庫及NoSQL等存儲(chǔ)手段，提高查詢，分析的速度。

3.3分析引擎分層處理

分析引擎的往往是安全平臺發(fā)現(xiàn)問題的瓶頸，實(shí)時(shí)性，高效性，決定了安全管理平臺的性價(jià)比。在實(shí)際分析過程中發(fā)現(xiàn)，很多攻擊通過日志特征很容易就發(fā)現(xiàn)了，例如日志數(shù)據(jù)增加異常，日志里面的行長得異常，沒有日志數(shù)據(jù)(或