一、目標就在那里，基本沒有改變

安全管理類軟件的使用目標，長久以來基本沒有較大改變，但這并不是說系統的使用場景是唯一的。從系統使用者的職責與視角來分主要可以劃分為三大類：

1、CEO、CTO等公司高管從宏觀上分析企業內部安全狀況與趨勢，能夠輔助其對業務及資產進行相關決策;

2、CISO等信息安全主管，掌握部門安全運維情況，提高部門服務水平和服務質量;

3、安全管理人員等負責監控運維的一線人員，集中管理信息安全資源，及時檢測/追蹤來自內部/外部的可疑行為，事后取證與溯源，能夠應對新的攻擊，減少人工分析的時間，提高其工作效率。

二、你不重視安全，黑客就會找你

IT界的神話摩爾定律還在繼續，硬件處理能力不斷增強，信息化程度不斷深化，隨之產生的數據量越來越多;網絡帶寬不斷加大，傳輸數據能力加強，互聯網應用快速發展，基于網絡的各種應用日新月異;應用多，漏洞不斷被發現，補丁的發布卻不及時;黑金產業鏈不斷規模化，實力越來越強，惡意軟件生產能力進一步增強，零日攻擊時有發生。

企業若想安全應對以上幾方面威脅，投入的成本正在不斷增加，且無法預留足夠的時間來進行人工分析，而且一般企業也缺乏安全專業團隊長期跟蹤學習安全的各方面的知識。這就導致與安全相關的系統與設備基本處于各自為政的狀態。

三、發展方向圍繞實際需求

許多企業在安全部署實踐中，逐步認可了安全管理的重要性，并紛紛采用。可以說安全管理類軟件已經逐步由匯集和展現信息，向著高擴展，宏觀輔助決策，微觀操作建議，可持久化發展與專家服務相結合進行發展。

3.1安全視角宏觀與微觀相結合

網絡安全工作應服從組織信息化建設總體戰略，迭代式實現系統安全體系的完善。沒有絕對的安全，因此也不可能無限度的投資安全，戰略優先，合理保護，掌握風險平衡至關重要。在進行安全風險分析時，宏觀微觀更緊密的結合,將風險的定量分析與定性分析相結合是未來發展趨勢。

安全管理核心之一是風險分析，安全風險分析必須是對安全工作有指導意義。風險分析核心是識別企業所面臨的安全隱患，并及時發現安全事件的能力，從而一方面給出宏觀安全風險狀態，給出降低風險的建議，另一方面微觀識別安全事件引起的風險變化，給出應對安全事件的參考辦法。風險的結果對實際管理工作提供可落地參考建議，從而實現從宏觀的安全趨勢分析輔助決策到微觀的安全事件處理。從而是風險分析不再是為了分析而分析的尷尬地位，到底部署了那些網絡設備，都起到什么作用，效果如何，都能在宏觀與微觀的結合中找到答案。

3.2海量數據分層存儲

海里數據處理，區分日志與安全事件，進行分層處理是大勢所趨。安全事件分析過程中我們會發現，很多系統產生的日志，大多數并非安全事件，如果對這些信息不加區分的進行存儲分析，勢必大大降低我們安全管理建設的投資回報率。海里數據處理的有效方式，是結合傳統日志分析與安全事件分析，分層存儲，分層分析，同時又能方便回溯;自動化實時分析與事后人工分析相結合的處理方式。

對于基本的日志，根據審計的需要進行完全存儲或者部分存儲，通過非數據庫的存儲方式，加大壓縮力度，通過加密處理可以將相關數據備份到低廉的云端。

對于少量的安全事件，一方面使用各種分析引擎，對事件進行分析，另一方面通過傳統數據庫及NoSQL等存儲手段，提高查詢，分析的速度。

3.3分析引擎分層處理

分析引擎的往往是安全平臺發現問題的瓶頸，實時性，高效性，決定了安全管理平臺的性價比。在實際分析過程中發現，很多攻擊通過日志特征很容易就發現了，例如日志數據增加異常，日志里面的行長得異常，沒有