为了从安全的角度来对付“大数据”，企业应该怎么做？很多企业会希望整合大量不同的数据源，但大部分企业没有这样做的原因在于：这是一个长期而具有挑战性的过程。

　　为了利用大数据来加强企业信息安全，我们需要部署哪些技术和流程？日志管理？SIEM部署？我们需要进行什么样的培训？保护数据中心需要怎么做？在本文中，笔者将提供现实的建议，让企业信息安全团队知道他们必须部署什么样的技术以及必须部署什么样的流程以充分利用大数据。

　　什么是大数据？为什么它对信息安全意义重大？

　　就像电影《黑客帝国》中的感知机器人或者《终结者》电影中的Skynet一样，现在的大数据环境由大规模并行处理数据库产品（不过所幸的是，它们没有自我感知能力）组成，这些产品通过处理PB级到ZB级看似不同的数据来创建趋势和数据映射。通过建立这种宏观层面的信息，大数据可以让企业了解到他们的产品是如何以前所未有的经济理解水平在运行。也就是说，通过以新方式来结合和分析海量数据，我们可以实现新的业务洞察力。

　　虽然大数据在商业世界有很多有价值的应用，重要的是要记住，这些大数据信息对于企业信息安全团队同样具有价值。那么，安全团队应该怎样利用大数据以加强企业安全，同时抵御内部和外部威胁？

　　保护大数据：基础设施准备

　　首先，对于利用大数据系统来分析企业内活动的安全工具，企业安全团队必须了解传统安全修复工具和它们之间的基础设施差异。在现在的企业安全办公室，我们并不难找到报告不同类型安全数据（试图查找问题的安全分析师会对这些数据感兴趣）的各种安全工具，日志记录工具、安全监控工具、外围安全设备、应用程序访问控制设备、配置系统、供应商风险分析程序、GRC产品等，这些工具收集了大量信息，企业安全团队必须分解和规范化这些信息以确定安全风险。

　　虽然这些传统工具针对其特定类型的控制提供了数据视图，但这些系统的输出往往不是统一的，又或者这些数据被分解成汇总数据，并被输入到一个或者多个SIEM工具以在视觉上显示安全团队感兴趣的预定事件。一旦确定了某个趋势或者潜在事故，安全专业人士团队就必须从大量输出数据中筛选出证据以发现任何未经授权或恶意的活动。对于安全管理而言，这种“松散结合”的方法通常可行，但它速度很慢，很容易错过良好伪装的恶意事件，并且要在对大量历史数据进行收集、分析和总结后，才能发现严重的安全事件。

　　相比之下，大数据安全环境的创建需要依赖于前面提到的工具，为安全信息输入单一逻辑大数据安全信息仓库。这种仓库的优势在于，它将数据作为更大的安全生态系统的一部分，这个安全生态系统具有强大的分析和趋势分析工具来识别威胁，威胁需要通过检查多个数据集才能被确认，而不像传统的方法那样---安全团队通过虚拟放大镜来筛选松散耦合的数据集。