许多企业在安全部署实践中，逐步认可了安全管理的重要性，并纷纷采用。可以说安全管理类软件已经逐步由汇集和展现信息，向着高扩展，宏观辅助决策，微观操作建议，可持久化发展与专家服务相结合进行发展。

  一.安全视角宏观与微观相结合

  网络安全工作应服从组织信息化建设总体战略，迭代式实现系统安全体系的完善。没有绝对的安全，因此也不可能无限度的投资安全，战略优先，合理保护，掌握风险平衡至关重要。在进行安全风险分析时，宏观微观更紧密的结合,将风险的定量分析与定性分析相结合是未来发展趋势。

  安全管理核心之一是风险分析，安全风险分析必须是对安全工作有指导意义。风险分析核心是识别企业所面临的安全隐患，并及时发现安全事件的能力，从而一方面给出宏观安全风险状态，给出降低风险的建议，另一方面微观识别安全事件引起的风险变化，给出应对安全事件的参考办法。风险的结果对实际管理工作提供可落地参考建议，从而实现从宏观的安全趋势分析辅助决策到微观的安全事件处理。从而是风险分析不再是为了分析而分析的尴尬地位，到底部署了那些网络设备，都起到什么作用，效果如何，都能在宏观与微观的结合中找到答案。

  二.海量数据分层存储

  海里数据处理，区分日志与安全事件，进行分层处理是大势所趋。安全事件分析过程中我们会发现，很多系统产生的日志，大多数并非安全事件，如果对这些信息不加区分的进行存储分析，势必大大降低我们安全管理建设的投资回报率。海里数据处理的有效方式，是结合传统日志分析与安全事件分析，分层存储，分层分析，同时又能方便回溯；自动化实时分析与事后人工分析相结合的处理方式。

  对于基本的日志，根据审计的需要进行完全存储或者部分存储，通过非数据库的存储方式，加大压缩力度，通过加密处理可以将相关数据备份到低廉的云端。

  对于少量的安全事件，一方面使用各种分析引擎，对事件进行分析，另一方面通过传统数据库及NoSQL等存储手段，提高查询，分析的速度。

  三.分析引擎分层处理
 
     分析引擎的往往是安全平台发现问题的瓶颈，实时性，高效性，决定了安全管理平台的性价比。在实际分析过程中发现，很多攻击通过日志特征很容易就发现了，例如日志数据增加异常，日志里面的行长得异常，没有日志数据（或日志数据减少异常），而这些并不需要关联分析来发现。正如海量数据的分层存储，安全事件的分层分析是分析引擎的发展趋势。

  对于实时事件分析主要分为基础层分析和研究层分析：

  基础层分析：在这一层完成日志到事件的转变，包括关键日志识别，从普通的背景事件中识别关键事件（事件识别与分类必须完备），通过常用技术手段是数据归并、过滤；

  初步异常事件发现，通过基础分析引擎的应用，包括特征匹配分析，统计阀值分析，将分析的安全事件结果传递给更高层级做进一步分析。

  研究层分析：在这一层完成事件到预警、工单、风险等处理的转变

  多引擎分析架构包括基于趋势发展分析，状态机分析，数据挖掘分析，多属性关联分析，多类型事件间的关联分析。

  安全管理的实际效果，通常来源与管理分析规则的落地程度，以及关联分析普适性预制场景，以及持续升级是保持安全管理平台活力的直接来源。与云端和安全服务相结合，是大多数企业较好的选择。

  更多内容尽在：www.commernet.cn