Q003 SIEM基本特征分为几个部分，技术门槛是什么，有哪些商业产品？

SIEM（安全信息与事件管理）并非最新的概念，早在2006年国内就有大量的专业安全公司投身于SIEM技术的研发，并一度引爆了企业安全管理、内部威胁管控与安全运营中心SOC的话题。企业用户不太了解Zabbix、Splunk、OSSIM、ELK这些技术之间到底有什么区别。要知道，SIEM作为以安全信息和安全事件为基础的管理平台，一直以来都是企业安全策略的重要组成部分。应该说SIEM的关键信息点在于平台集成化、日志标准化、事件关联化、界面可视化。它的核心思想是通过信息源的收集，实现关联分析，提供风险评估和威胁报告，最终帮助安全团队快速做出响应。

事实上，在激烈的市场竞争中，有McAfee、IBM QRadar、HP ArcSight、ManageEngine等基于SIEM理念的商业产品脱颖而出，但这些产品有以下3点不足。

〇 内需不明确。并不是所有的企业都适合类似SIEM的产品，上市企业的信息安全管理和流程管理一般在达到较高的层次后，为了进行网络审计和合规需求会提出的更高要求。

〇 资金不足。开发厂家必须有足够的资金和业界号召力来开发SIEM各项标准，这样才能确保实现基础信息的收集分析。

〇 缺少SIEM技术专家。中小企业通常无力购买适合自身的SIEM解决方案，因为其年度开销可达几十万甚至上百万元；小公司也没能力雇佣持续维护开发SIEM系统所需的人才（开发人员、架构师、分析人员、管理人员）。对中小企业而言，云安全服务是它们的选择。

中小企业的业务系统通常会选择主机托管或者虚拟主机。对于将数据存储在云端的企业，通过安装监控代理来推送流量和日志到公共的云服务器，利用软件即服务（SaaS）应用程序接口从公有云端采集日志信息，就能实现跨多个平台的流量事件分析。这种云平台的应用程序同样可以提供统一的仪表盘视图和审计报告，然而它的最大问题在于所有企业数据和分析报表的数据库都存储在云端，数据的安全性让人担忧。