迈克菲安全互联架构

▲迈克菲安全互联平台(SCP)

　　从上图我们可以看到迈克菲所提出的安全互联的整个架构模型，由于Intel收购的关系，迈克菲安全互联平台可以基于Intel硬件进行增强的安全保护;然后是数据层，可以不断的通过安全系统提取数据，数据是获取资源的基础;接下来就是安全管理平台，这个平台首先需要兼容不同的安全系统，其次还要有很好的扩展性，再其次就是需要有一个非常好的管理流程的能力;基于这些基础，我们需要给企业提供不同的应对和管理的措施，基于不同的安全需求，我们对遵从这种需求以及安全的现状需要有不同的方式帮助我们增强安全;在增强以后，我们需要看的是安全回报，究竟安全帮助我们防护了什么，所以我们要对数据进行深入的分析。这个深入的分析需要我们对安全事件和信息深入分析去挖掘大数据;最后，通过安全互联平台，我们把不能理解的机器的语言，比如一条攻击的事件翻译成我们能够理解的数据，而进一步知道什么时候谁对哪一台机器进行了什么样的攻击，最终我们决定应该怎么去防护。

　　这其中最重要的安全事件分析能力，就是由迈克菲SIEM来实现的。有了安全互联平台做基础，迈克菲SIEM可以帮助企业更准确的进行安全事件的分析。程智力也表示到，“当实施了很多安全控制以后，怎么样把安全的事件整合成我们所理解的数据尤为重要。也就是对大数据进行深入的挖掘和分析，才能形成有效的防护体系。”

　　程智力形象的比喻到，“我们的SIEM是整个系统串联的关键，就像是整个系统的心脏和发动机。”程智力继续谈到，迈克菲可以为企业用户提供全面的安全互联平台，这正是适用于大数据安全风险管理领域所必须的平台，对于企业来说，尤其是大型的行业用户，在策划或者设计他们的安全管理架构时所必须考虑的一个因素。

　　什么样的企业需要SIEM？

　　讲到了这么多安全互联、SIEM的好处，到底什么样的企业需要它呢?程智力向笔者解释到，并不是哪个企业需要SIEM，而是这个企业什么时候需要SIEM。SIEM对每个企业来说都是需要的，只不过需要的时间点可能不一样，这个企业可能在做基础的安全管理的建设，自身的基础建设还没有完成当然不需要SIEM。但是当它的安全建设完成以后，发现他会面临大数据挑战的时候他就需要SIEM。

　　其次，企业需要SIEM的层次也是不一样的。第一他可能只需要SIEM做一些集成的数据体现，这是SIEM基本的功能;二是企业发展后会面临很多安全的风险和压力，甚至面临行业安全遵从的挑战，这就需要做更深入的安全数据挖掘，需要利用SIEM更高层次的功能来解决这个问题。

　　安全威胁的变化，以及企业对SIEM的需求，导致企业对于人才的需求也会发生根本的变化。因此，企业在下决心做好SIEM的同时也要有这方面的思想准备。安全每天都是的变化，我们所面临的安全风险也在不断的变化。程智力谈到，企业真的需要有这样一个专业的人员每天去做一些动态的调整和我们对安全策略的变更，才能够使我们不断的更好的面对安全的风险。而这样管理的目标随着企业的增加先是一个人然后是一个团队，最终得到从上层到下层的支持，才能帮助我们更好的做安全管理，从开始的被动变为主动，甚至做到对安全风险有效的预知，才能帮助企业更好的解决安全的问题。