面对海量日志和更加隐蔽的黑客攻击，企业应对安全风险需要更有效的手段。对于组织架构庞大、IT系统部署复杂的企业来说，各地分公司每天产生的日志数量繁多，且不能集中管理，安全威胁就可能淹没在上亿条安全日志里。

以中型企业或互联网公司为例，内部安全设备每天会生成海量日志。如果没有强大和高效的处理能力和响应速度，就很难发现安全威胁，智能防御更是成为一种奢谈。这样日复一日会对企业数据和财产造成巨大安全隐患，一旦遭受安全威胁，影响后果巨大。

由于国内安全运营平台(SOC)提供商多数不具备存储、分析海量安全大数据的能力，以及安全可视化的展示方式，导致现有安全运营平台(SOC)效率低下，不能及时发现安全风险，无法真正发挥全运营平台(SOC)的“安全大脑”作用。

IT168网在2013年6月进行的一次企业SOC应用状况调研数据显示，企业在使用SOC安全管理平台时遇到的主要挑战包括：无法真正发现和排查安全问题;人手不足，缺少安全运维工程师;系统维护起来十分复杂。

概况来说，市场上现有的安全运营平台(SOC)产品主要有以下问题：

1、现有安全运营平台(SOC)采用单机架构，导致数据存储量受限，但IT系统和安全设备每天都会产生大量日志。面临海量数据时，每秒数十万 EPS 的要求，不应是一台机器进行处理的。这种单机架构的弊端显而易见;

2、现有安全运营平台(SOC)缺乏大数据检索分析能力，无法对海量数据进行深度分析和挖掘，IT系统与安全设备的日志数据无法发挥应有的价值和作用;

3、现有安全运营平台(SOC)缺乏安全可视化的展示能力，无法通过对数据进行交互的可视方式，从总体上把握系统的安全状况，从而快速理解日志细节，支持决策。

4、现有安全运营平台(SOC)缺乏云端威胁情报的支撑，对IT系统与安全设备的日志中的异常行为无法及时发现，因而预警和响应就更无从谈起进行。

现实的安全挑战使现有的安全运营平台(SOC)亟待升级。安全专家预计，未来基于分布式大数据架构、威胁情报支撑的新一代安全运营平台，将会逐步取代现有的SOC产品，成为大数据安全分析时代的理想平台。

原文发布时间为：2015-12-31

本文来自云栖社区合作伙伴至顶网，了解相关信息可以关注至顶网。