網(wǎng)絡時代的企業(yè)對數(shù)字信息的依賴程度逐步加深，IT資源對業(yè)務的價值和重要性會隨著企業(yè)的成長發(fā)生較快的改變;信息化時代給社會生產(chǎn)生活方式帶來巨大變革，網(wǎng)絡安全問題也日趨嚴重。同時，面對各類攻擊的肆虐，單純依靠信息安全產(chǎn)品，并不足以保護企業(yè)網(wǎng)絡和業(yè)務無憂。這時，安全管理就成為應對信息安全挑戰(zhàn)的必然趨勢，也順應了“三分技術，七分管理”的舊話。在安全管理發(fā)展的過程中，依靠知識的不斷積累解決客戶現(xiàn)實問題，天融信不斷摸索，確定了安全管理類軟件的技術發(fā)展趨勢。

一、目標就在那里，基本沒有改變

安全管理類軟件的使用目標，長久以來基本沒有較大改變，但這并不是說系統(tǒng)的使用場景是唯一的。從系統(tǒng)使用者的職責與視角來分主要可以劃分為三大類：

1、CEO、CTO等公司高管從宏觀上分析企業(yè)內部安全狀況與趨勢，能夠輔助其對業(yè)務及資產(chǎn)進行相關決策;

2、CISO等信息安全主管，掌握部門安全運維情況，提高部門服務水平和服務質量;

3、安全管理人員等負責監(jiān)控運維的一線人員，集中管理信息安全資源，及時檢測/追蹤來自內部/外部的可疑行為，事后取證與溯源，能夠應對新的攻擊，減少人工分析的時間，提高其工作效率。

二、你不重視安全，黑客就會找你

IT界的神話摩爾定律還在繼續(xù)，硬件處理能力不斷增強，信息化程度不斷深化，隨之產(chǎn)生的數(shù)據(jù)量越來越多;網(wǎng)絡帶寬不斷加大，傳輸數(shù)據(jù)能力加強，互聯(lián)網(wǎng)應用快速發(fā)展，基于網(wǎng)絡的各種應用日新月異;應用多，漏洞不斷被發(fā)現(xiàn)，補丁的發(fā)布卻不及時;黑金產(chǎn)業(yè)鏈不斷規(guī)?；瑢嵙υ絹碓綇?，惡意軟件生產(chǎn)能力進一步增強，零日攻擊時有發(fā)生。

企業(yè)若想安全應對以上幾方面威脅，投入的成本正在不斷增加，且無法預留足夠的時間來進行人工分析，而且一般企業(yè)也缺乏安全專業(yè)團隊長期跟蹤學習安全的各方面的知識。這就導致與安全相關的系統(tǒng)與設備基本處于各自為政的狀態(tài)。

三、發(fā)展方向圍繞實際需求

許多企業(yè)在安全部署實踐中，逐步認可了安全管理的重要性，并紛紛采用?？梢哉f安全管理類軟件已經(jīng)逐步由匯集和展現(xiàn)信息，向著高擴展，宏觀輔助決策，微觀操作建議，可持久化發(fā)展與專家服務相結合進行發(fā)展。

3.1安全視角宏觀與微觀相結合

網(wǎng)絡安全工作應服從組織信息化建設總體戰(zhàn)略，迭代式實現(xiàn)系統(tǒng)安全體系的完善。沒有絕對的安全，因此也不可能無限度的投資安全，戰(zhàn)略優(yōu)先，合理保護，掌握風險平衡至關重要。在進行安全風險分析時，宏觀微觀更緊密的結合,將風險的定量分析與定性分析相結合是未來發(fā)展趨勢。

3.2海量數(shù)據(jù)分層存儲

海里數(shù)據(jù)處理，區(qū)分日志與安全事件，進行分層處理是大勢所趨。安全事件分析過程中我們會發(fā)現(xiàn)，很多系統(tǒng)產(chǎn)生的日志，大多數(shù)并非安全事件，如果對這些信息不加區(qū)分的進行存儲分析，勢必大大降低我們安全管理建設的投資回報率。海里數(shù)據(jù)處理的有效方式，是結合傳統(tǒng)日志分析與安全事件分析，分層存儲，分層分析，同時又能方便回溯;自動化實時分析與事后人工分析相結合的處理方式。

對于基本的日志，根據(jù)審計的需要進行完全存儲或者部分存儲，通過非數(shù)據(jù)庫的存儲方式，加大壓縮力度，通過加密處理可以將相關數(shù)據(jù)備份到低廉的云端。

對于少量的安全事件，一方面使用各種分析引擎，對事件進行分析，另一方面通過傳統(tǒng)數(shù)據(jù)庫及NoSQL等存儲手段，提高查詢，分析的速度。

3.3分析引擎分層處理

分析引擎的往往是安全平臺發(fā)現(xiàn)問題的瓶頸，實時性，高效性，決定了安全管理平臺的性價比。在實際分析過程中發(fā)現(xiàn)，很多攻擊通過日志特征很容易就發(fā)現(xiàn)了，例如日志數(shù)據(jù)增加異常，日志里面的行長得異常，沒有日志數(shù)據(jù)(或