大数据时代企业安全管理建设如何去做

伴随大数据和云计算时代的到来，安全问题正在变成一个大数据问题，企业和组织的网络及信息系统每天都在产生大量的安全数据，并且产生的速度越来越快。并且国家、企业和组织所面对的网络空间安全形势严峻，需要应对的攻击和威胁变得日益复杂，这些威胁具有隐蔽性强、潜伏期长、持续性强的特点。面对这些新挑战，传统的企业安全管理平台局限性显露无遗，主要体现在以下几个方面：

1. 多源异构数据采集

企业网络中的各种安全设备、网络设备、应用系统等均可能涉及不同种类不同厂家，由于各设备的产品差异性，企业安全管理平台面对的安全数据在结构和格式上均不统一，给数据分析带来困难。这一问题造成企业安全管理平台数据采集效率降低，从而导致性能上遇到瓶颈。

2. 缺乏深度挖掘手段

当前网络环境中新型攻击手段层出不穷，与传统攻击手段不同，新型攻击手段更加隐蔽，用传统检测方法更加难以发现，比如APT攻击。面对新型攻击手段的长期性、隐蔽性和高级性，传统的基于实时分析的监控技术已经不再适应，为了防止新型攻击手段造成的危害，有必要对历史安全数据进行深层的离线挖掘，从大量的历史数据之中发现新型攻击行为的端倪，从而防患于未然。

3. 海量数据的处理

企业安全管理平台管理涉及企业网络中的各种安全设备、网络设备、应用系统等，每天会产生大量的安全事件和运行日志等安全数据，其数据量可能非常巨大。面对海量的安全数据，安全管理人员很难从中发现有价值的信息;另一方面，面对海量数据时，传统的企业安全管理平台技术架构在数据采集、存储、分析处理和展现方面也遭遇不同瓶颈。

4. 安全数据分散和孤立

企业网络中的各种安全设备、网络设备、应用系统等会分散在网络的不同位置，如果各个数据之间缺乏有效的关联，则会导致安全信息的孤立，形成信息孤岛，无法对大量数据进行整体性的分析。目前网络中的攻击行为一般都是分段式的攻击方式，每个步骤都可能由不同的安全设备监测发现并存在于不同日志当中，如果仅对单独设备安全日志进行分析则难以发现完整攻击行为。为了提高安全数据分析的准确性，就需要通过基于大数据的事件关联分析，找出多条报警之间的相关性，从中发现潜在的威胁行为或攻击行为。