企業(yè)IT管理人員一定不會(huì)對(duì)以下這個(gè)場(chǎng)景感到陌生：一名員工在集團(tuán)上海分公司刷卡進(jìn)入公司內(nèi)部，五分鐘后后臺(tái)系統(tǒng)顯示該員工在北京分公司登錄企業(yè)OA系統(tǒng)。孤立地看，這兩件事都不屬于安全事故，但如果將它們聯(lián)系起來(lái)，IT人員就會(huì)立刻意識(shí)到問(wèn)題的嚴(yán)重性，一個(gè)人怎么能在五分鐘內(nèi)從上海飛到北京?企業(yè)信息正面臨泄露風(fēng)險(xiǎn)。

　　如果集團(tuán)的IT系統(tǒng)復(fù)雜，各地分公司每天產(chǎn)生的日志數(shù)量繁多，并且不能集中管理，類(lèi)似的安全威脅就可能淹沒(méi)在幾十萬(wàn)條安全日志里?，F(xiàn)在，借用大數(shù)據(jù)分析，SIEM(安全信息和事件管理)正在讓這些安全隱患無(wú)所遁形。

　　正如英特爾中國(guó)研究院首席工程師吳甘沙所提出的那樣，大數(shù)據(jù)是本，云計(jì)算是術(shù)，物聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)是用。大數(shù)據(jù)讓舊有IT和業(yè)務(wù)運(yùn)營(yíng)模式發(fā)生極大變化，它也同樣影響著信息安全的未來(lái)走向。

　　2013年將是企業(yè)大規(guī)模采用大數(shù)據(jù)技術(shù)的一年。42%的IT主管表示其所在的企業(yè)已經(jīng)投資大數(shù)據(jù)技術(shù)或者將在一年內(nèi)進(jìn)行相關(guān)投資。從海量的低價(jià)值密度的結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)中獲取有價(jià)值的信息，已經(jīng)成為企業(yè)IT收益的重要組成部分。

　　大數(shù)據(jù)給信息安全帶來(lái)的最大改變是通過(guò)自動(dòng)化分析處理與深度挖掘，將之前很多時(shí)候亡羊補(bǔ)牢式的事中、事后處理，轉(zhuǎn)向事前自動(dòng)評(píng)估預(yù)測(cè)、應(yīng)急處理，讓安全防護(hù)主動(dòng)起來(lái)。大數(shù)據(jù)對(duì)安全廠商而言，意味著海量日志、黑客攻擊更加隱蔽，同時(shí)也是安全技術(shù)水平提升的有效手段。

　　將安全檢測(cè)與大數(shù)據(jù)技術(shù)相融合，第一步是收集數(shù)據(jù)，包括：可執(zhí)行文件、壓縮包、圖片、頁(yè)面、流量等，那些長(zhǎng)尾數(shù)據(jù)往往有著重要的價(jià)值;第二步是提煉數(shù)據(jù)，對(duì)上一步收集上來(lái)的數(shù)據(jù)進(jìn)行分類(lèi)、關(guān)聯(lián)分析和挖掘;第三步是檢測(cè)，這個(gè)過(guò)程會(huì)用到安全分析技術(shù)和數(shù)據(jù)挖掘技術(shù)。通過(guò)這三步，最終發(fā)現(xiàn)威脅。

　　大數(shù)據(jù)是否會(huì)重構(gòu)信息安全產(chǎn)業(yè)，對(duì)這個(gè)問(wèn)題，安全界仍然存在爭(zhēng)議。但可以肯定是，大數(shù)據(jù)正在為安全從業(yè)者提供一個(gè)更寬廣的新視角，幫助他們更加前瞻性地發(fā)現(xiàn)安全威脅。