业务审计策略管理

1)   提供日志业务审计策略管理，支持数据采集源的增加、删除、修改、禁用、启用等，支持数据存储备份参数配置，支持系统运行状态告警参数配置，支持日志数据转发参数配置等。

2)   提供网络业务审计策略管理，支持网络协议识别规则的添加、删除、修改、禁用、启用，支持webmail协议内容识别规则的添加、删除、修改、禁用、启用，支持网络协议审计还原级别设置，支持数据缓存策略设置，支持数据外发策略设置，支持数据审计模式设置等。

3)   提供数据库业务审计策略管理，支持数据库协议识别规则的添加、删除、修改、禁用、启用，支持数据库协议审计还原级别设置，支持数据缓存策略设置，支持数据外发策略设置，支持数据表名字段名审计规则设置等。

统一策略管理扩展

下一代安全管理系统能够支持进行扩展，在虚拟安全网关、虚拟资源统一管理、应用交付管理、数据集中化管理等系统提供接口的情况下能够将其也融合为下一代安全管理系统的安全管理引擎，从而提供更多的统一策略管理能力。

大数据分析在这个云计算应用越来越盛行的大数据时代，信息安全管理所面对的安全数据也在跟随着潮流不断的庞大。企业的应用在云计算之前通常是企业网中进行散落分布的，但是在云化之后所有的应用都集中到企业的私有云上了，那么随着应用变化以前散落的基础安全防护设施如防火墙、IDS等也开始向企业云上集中，因此安全管理平台需要管理的数据迅速攀升。据经验统计基础安全防护设施10台时每天安全管理平台的数据量约500MB，20台时台时约2GB，100台时约20GB，如此不断几何级攀升的安全管理数据量为安全管理平台的数据分析带来了巨大压力。因此下一代安全管理系统必须要能进行统一的大数据分析。

近年时有发生且对全世界安全造成重大威胁的高级可持续攻击正在不断的对安全管理提出统一大数据分析提出要求。传统的检测是基于单个时间点进行的基于威胁特征的实时匹配检测，而高级可持续攻击(APT)是一个实施过程，无法被实时检测。此外，由于大数据的价值低密度特性，使得安全分析工具很难聚焦在价值点上，黑客可以将攻击隐藏在大数据中，给安全服务提供商的分析制造很大困难。黑客设置的任何一个会误导安全厂商目标信息提取和检索的攻击，都会导致安全监测偏离应有方向。安全界目前已经逐渐达成共识，对于高级可持续攻击必须要改变传统的防御模式，转变为主动出击模式，而这种模式的转变则必须要基于统一的大数据分析。

下一代安全管理系统能够基于四个方面要素提供统一的大数据分析能力：

1)   下一代安全管理系统的引擎管理模式。要通过大数据进行高级可持续攻击分析，必须要能收集到网络行为的全面信息数据，例如：网络流量信息数据、终端状态及用户操作行为数据、用户对应用的访问数据、网络行为数据、数据库行为数据、防火墙日志数据、IDS事件数据等等，如果只有传统的被管理对象下一代安全管理系统所能采集到的数据信息通常有限，而且最重要的是涵盖面不够广，所以下一代安全管理系统通过引擎管理模式去更多融合能带来全面信息数据的安全引擎对于大数据分析能力有极大提升。

2)   基于NoSQL技术的数据存储。每天新产生20GB的数据安全管理平台，如果一天只做一次SQL查询，对于关系数据来说是没有问题的，但几秒钟就要做一次查询那么关系数据将是无法承受的，如果再将查询的时间段增长为一个月或一年，那么关系数据将无法完成。NoSQL数据库都具有非常高的读写性能，尤其在大数据量下，同样表现优秀。这得益于它的无关系性，数据库的结构简单。据实验统计50GB数据量情况下，NoSQL与Oracle10g写数据时间上为1:3000，读数据时间上为1:20。

3)   基于并行计算技术的分析处理能力。无论是对大量的安全数据进行普通的统计分析还是从中挖掘出高级可持续攻击此类的威胁，分析处理算法必须能够进行并行计算，只有这样才能将分析应用到一块块的大数据分割块上提高分析的可用性。