当大数据邂逅信息安全_数据分析师考试

数据的激增、互联网攻击手段的升级、新技术的应用，让银行、政府等行业用户的SOC（安全运营中心）不得不升级安全防护的手段。他们希望通过内部的一些合规和安全事件之间的相互关联进行有效的防守和防御。大数据平台恰好满足了行业用户对这类事件进行主动调查、分析的需求，填补了以往信息安全手段的空白，帮助行业用户打造企业内部整体防御的新手段。

作为大数据技术IT运维、安全、交易监控解决方案提供商，从2007年成立至今，北京华青融天技术有限责任公司一直致力于利用大数据技术帮助客户实现IT系统从基础运维到主动运维，再到安全运维的提升。近日，华青融天正式发布了基于大数据技术的新一代的SOC解决方案产品Accur，Accur是一套基于异构日志的企业安全日志分析管理系统。它不仅可以从海量异构安全日志中过滤出最有价值的安全信息，而且可以通过分析这些安全信息，帮助管理者还原危害现场，找到隐藏在现象背后的安全威胁。 Accur恰恰是将大数据分析技术与企业的安全事件相结合的产物。

 大数据为企业安全提供新思路

信息安全建设过程中会遇到很多典型的问题：有太多的安全系统，但是没有足够的人手来进行管理；安全系统的信息之间缺乏关联性；系统有大量的信息安全误报信息；太多的产品、太多的品牌……对人员技能要求很高；“如何来量化系统安全？我的环境有多安全？”；越来越多的合规要求，27001、POX、PCI、等保……；要在安全事故发生之前解决问题。

“华青融天之所以研发了基于大数据的安全事件管理分析系统Accur，是因为原有传统的SIEM（安全信息与事件管理）方式在事件调查、事件分析方面已经感觉到它的局限性，不能快速满足用户的要求。大数据技术则可以弥补这方面的不足：大数据技术能快速地从复杂条件里把用户需要的结论总结出来。比如，SIEM对不太规范的数据源不够支持，一些数据采集不到系统中来，信息不全的话，很多关键的事件分析就做不了，大数据平台就没有这个限制。”华青融天总经理吴雨介绍说。

“外部环境恶劣了，黑客的手段越来越多，传统方法又没办法有效防御。所以，用户才开始试图寻找一些新的解决方案。在这个领域中，恰好大数据平台瞄准的就是这个目标，填补过去手段的空白，打造企业内部整体防御手段。”华青融天技术总监王勇补充说。“用户现在已经不再满足于特征式的安全事件挖掘和处理，他们觉得是互联网攻击手段的升级、新技术的应用，使得他们不得不升级系统，提升技术和安全防护手段。所以，在已有安全产品不能得到有效的防护时，他们希望通过内部的一些合规和安全事件关联程度来有效进行防守和防御。在这个前提之下，促成了用户开始选用大数据平台的相关产品来满足这类型事件的调查、分析。华青融天已经针对于银行、政府用户，为他们单位量身订作了这样的大数据安全平台，正是基于这些用户系统的经验积累，并借鉴国外产品的理念和思路，华青融天研发了新的产品平台——Accur。”

 大数据安全平台Accur可以带来……

基于大数据的安全事件管理分析系统Accur可以为用户带来：最广泛的数据采集与处理；基于大数据架构的分布式数据存储及检索；基于企业自定义灰白名单、安全模型的异常行为检；实时安全威胁告警；深度的安全事件调查分析；长期的安全态势分析。

华青融天传统的客户以银行业为多。“对于银行来说，Accur可以实现两点：第一，对于银行一些非结构化数据，至少有一个存储跟分析的平台来完成；第二，帮助银行进行内部的合规性的梳理和关联，建立用户的行为模型，满足对用户行为的日常检测。对于整体的全行的安全态势的展现，能够非常直观地向行级领导、向市级领导、向部门领导进行展示和汇报，这是大数据平台能够满足的。”王勇介绍说。

之所以说Accur填补了以往安全产品的空白，王勇认为Accur至少填补了两类空白：“第一类，针对非结构化数据的收集、挖掘和分析，至少目前非常多的企业中针对这个类型比如应用日志、流日志以及数据这样的日志没办法很好地解决这个问题，另外，Accur收集到日志后，可以进行细致化和结构化的关联分析，在国内目前还没有这样的平台来完成这样的目标。同时，我们也希望Accur未来能够具备针对于安全产品自适应性和模型的自学习性，让客户安全防护措施变得智能起来。”

   和传统的SIEM产品相比，王勇认为，Accur的优势主要体现在三个方面：1、最广泛的日志收集变化和定制化事件展现；2、突破传统SIEM关联分析的技术瓶颈；3、突破传统SIEM的安全事件调查功能。另外，Accur也能和传统SIEM结合使用，两者结合将达到更好的安全防御目标：1、非结构化数据（应用日志、NetFlow等）发送至大数据平台储存；2、SIEM/日志集中收集平台发送预警事件（以及相关联原始事件）至大数据平台进行分析；3、在Accur利用模型和算法深度挖掘数据之间关联关系，并产生分析事件结果；分析事件结果重新输入到SIEM平台中，用于事件预警、展现和处置；并对关联规则形成补充，丰富安全事件发现手段。

Accur是国内方案商独立研发、自主可控的大数据安全平台，它完全符合国家的相关政策法规；Accur为用户提供实时的安全事件预警、响应和调查分析；消除安全事件和预警信息孤岛，统一安全运维视角；为用户提供丰富的安全事件规则和模型。这是都是Accur的核心价值所在。Accur的目标就是通过大数据手段为用户提供安全的环境，帮助用户进行有效的运维。