安全管理类软件技术发展趋势

网络时代的企业对数字信息的依赖程度逐步加深，IT资源对业务的价值和重要性会随着企业的成长发生较快的改变;信息化时代给社会生产生活方式带来巨大变革，网络安全问题也日趋严重。同时，面对各类攻击的肆虐，单纯依靠信息安全产品，并不足以保护企业网络和业务无忧。这时，安全管理就成为应对信息安全挑战的必然趋势，也顺应了“三分技术，七分管理”的旧话。在安全管理发展的过程中，依靠知识的不断积累解决客户现实问题，天融信不断摸索，确定了安全管理类软件的技术发展趋势。

一、目标就在那里，基本没有改变

安全管理类软件的使用目标，长久以来基本没有较大改变，但这并不是说系统的使用场景是唯一的。从系统使用者的职责与视角来分主要可以划分为三大类：

1、 CEO、CTO等公司高管从宏观上分析企业内部安全状况与趋势，能够辅助其对业务及资产进行相关决策;

2、 CISO等信息安全主管，掌握部门安全运维情况，提高部门服务水平和服务质量;

3、 安全管理人员等负责监控运维的一线人员，集中管理信息安全资源，及时检测/追踪来自内部/外部的可疑行为，事后取证与溯源，能够应对新的攻击，减少人工分析的时间，提高其工作效率。

二、你不重视安全，黑客就会找你

IT界的神话摩尔定律还在继续，硬件处理能力不断增强，信息化程度不断深化，随之产生的数据量越来越多;网络带宽不断加大，传输数据能力加强，互联网应用快速发展，基于网络的各种应用日新月异;应用多，漏洞不断被发现，补丁的发布却不及时;黑金产业链不断规模化，实力越来越强，恶意软件生产能力进一步增强，零日攻击时有发生。

企业若想安全应对以上几方面威胁，投入的成本正在不断增加，且无法预留足够的时间来进行人工分析，而且一般企业也缺乏安全专业团队长期跟踪学习安全的各方面的知识。这就导致与安全相关的系统与设备基本处于各自为政的状态。

三、发展方向围绕实际需求

许多企业在安全部署实践中，逐步认可了安全管理的重要性，并纷纷采用。可以说安全管理类软件已经逐步由汇集和展现信息，向着高扩展，宏观辅助决策，微观操作建议，可持久化发展与专家服务相结合进行发展。

3.1安全视角宏观与微观相结合

网络安全工作应服从组织信息化建设总体战略，迭代式实现系统安全体系的完善。没有绝对的安全，因此也不可能无限度的投资安全，战略优先，合理保护，掌握风险平衡至关重要。在进行安全风险分析时，宏观微观更紧密的结合,将风险的定量分析与定性分析相结合是未来发展趋势。

安全管理核心之一是风险分析，安全风险分析必须是对安全工作有指导意义。风险分析核心是识别企业所面临的安全隐患，并及时发现安全事件的能力，从而一方面给出宏观安全风险状态，给出降低风险的建议，另一方面微观识别安全事件引起的风险变化，给出应对安全事件的参考办法。风险的结果对实际管理工作提供可落地参考建议，从而实现从宏观的安全趋势分析辅助决策到微观的安全事件处理。从而是风险分析不再是为了分析而分析的尴尬地位，到底部署了那些网络设备，都起到什么作用，效果如何，都能在宏观与微观的结合中找到答案。

3.2海量数据分层存储

海里数据处理，区分日志与安全事件，进行分层处理是大势所趋。安全事件分析过程中我们会发现，很多系统产生的日志，大多数并非安全事件，如果对这些信息不加区分的进行存储分析，势必大大降低我们安全管理建设的投资回报率。海里数据处理的有效方式，是结合传统日志分析与安全事件分析，分层存储，分层分析，同时又能方便回溯;自动化实时分析与事后人工分析相结合的处理方式。

对于基本的日志，根据审计的需要进行完全存储或者部分存储，通过非数据库的存储方式，加大压缩力度，通过加密处理可以将相关数据备份到低廉的云端。

对于少量的安全事件，一方面使用各种分析引擎，对事件进行分析，另一方面通过传统数据库及NoSQL等存储手段，提高查询，分析的速度。

3.3分析引擎分层处理

分析引擎的往往是安全平台发现问题的瓶颈，实时性，高效性，决定了安全管理平台的性价比。在实际分析过程中发现，很多攻击通过日志特征很容易就发现了，例如日志数据增加异常，日志里面的行长得异常，没有日志数据(或日志数据减少异常)，而这些并不需要关联分析来发现。正如海量数据的分层存储，安全事件的分层分析是分析引擎的发展趋势。

对于实时事件分析主要分为基础层分析和研究层分析：

基础层分析：在这一层完成日志到事件的转变，包括

关键日志识别，从普通的背景事件中识别关键事件(事件识别与分类必须完备)，通过常用技术手段是数据归并、过滤;

初步异常事件发现，通过基础分析引擎的应用，包括特征匹配分析，统计阀值分析，将分析的安全事件结果传递给更高层级做进一步分析。

研究层分析：在这一层完成事件到预警、工单、风险等处理的转变

多引擎分析架构包括基于趋势发展分析，状态机分析，数据挖掘分析，多属性关联分析，多类型事件间的关联分析。

安全管理的实际效果，通常来源与管理分析规则的落地程度，以及关联分析普适性预制场景，以及持续升级是保持安全管理平台活力的直接来源。与云端和安全服务相结合，是大多数企业较好的选择。

3.4可视化目标决定形态

安全管理的可视化技术最重要的场景是两个：全局安全状况展现与实时监控，安全事件事后分析。

全局安全状况展现与实时监控中，去繁从简，宏观到微观紧密结合是大趋势。复杂的配置，眼花缭乱的展现效果并不能给普通企业管理人员带来实质性的效果。简介明了的预制模板，让管理者和运维人员都能很好的聚焦要解决的问题，层层下钻的交互方式，则将宏观的状态与趋势与微观的事件，漏洞等相结合，使得定性监控与定量分析融为一体。

安全事件事后分析中，聚类分析、图像分析、属性自动联想综合运用的关联分析方法是安全事件分析的发展趋势。能从各种可视化效果，为管理员准确定位，判断影响，制定应对措施提供有力的辅助。精确定位是事后分析的处理问题的前提，发生攻击企图或者攻击行为的时候，能快速精确定位攻击的目标，这是从发现问题到解决问题的必然途径。精确定位中有效的可视化技术，能帮助管理人员及时定位问题区域，影响范围。

3.5安全产品集中化，安全管理管到实处

过去几年，安全管理和网络管理逐渐融合，未来，资产与业务安全管理(终端，主机，设备，应用)与安全事件分析与处理将更加紧密的结合在一起，为企业建立全方位的安全管理架构。

安全管理一定要管起来，这包括：

· 终端安全，这不可缺少的一部分，包括终端的策略与恶意软件查杀;

· 主机与设备操作监控与审计，确保各管理员的工作一要授权，二要审查，避免出现IT里的权利真空;

· 主机、网络设备与安全设备的配置检查、备份与恢复，定期的自动化工作能尽早发现问题，及时得到恢复;

· 操作系统与应用的漏洞(补丁)管理与运行监控，持续的漏洞与补丁跟踪，才能提前做好防范与应对准备。

安全管理不是一味的和攻击者比快，而是监管结合，提前防备，攻击预警，事后定位相结合，才能使安全管理发挥最大作用。做好这些“管理”工作，才能从被动响应到主动管理。通过规范终端安全，加强主机监管，定期配置检查，进行备份与恢复，对所使用的主流通用系统定期漏洞检查，自动获取各系统补丁，而这些都在安全管理中自动完成，并与系统运维体系相结合，使IT管理部门将精力放在策略的制定和维护上，避免被动响应造成资源浪费与服务质量下降。

3.6安全管理产品与远程服务相结合

目前还没有一劳永逸的安全管理产品，完全的智能化，任重而道远。因此安全服务与安全管理类产品相结合，是安全管理类软件发挥最大效果的途径之一。

大部分情况下，攻击的发生，通过安全管理平台的分析是能够发现的，但这需要及时的分析规则升级，7×24小时的监控，不同事件的专业化分析与积累，不断完善事件处理知识库。安全管理类软件，与专业的安全管理服务中心所建立的远程在线实时服务，可以降低成本，获得及时咨询与服务，在一定程度上控制风险。对于大多数缺少专业人员的企业，结合安全服务来使用安全管理类产品是非常值得去尝试的。