互联网+ 的实质是一切活动数字化，通过数据化的方式来改变传统业务，驱动业务管理。所谓体系化、规范化等都是在数据化的基础上而形成。如何有效的实现“数据分析+应用变现”，挖掘数据的价值，探索到合理的商业模式，是当务之急。就信息安全行业而言，谈谈数据分析这点事。

1、从平台到内容的过渡(“平台+内容”)：

航母是一个平台，自己不产生进攻能力，让航母上的舰载机具备强大进攻能力，它是一个生态。下一个十年是“内容为王”的时代，“平台”因“内容”而产生价值。对信息安全行业依然如此，从产品到平台到内容的转化。

从cyphort的这幅图上，能够清晰的看到“产品”—“平台”—“内容”的层级。

传统的安全产品主要是采集或提供安全基础信息，并执行分析平台分析后的处置动作（action）,这里一般分为从网络层、终端（含服务器）上来执行action。
平台主要包含了数据的存储、共享，同时分析平台提供API接口，和传统安全产品进行“互动”。平台主要是要保证性能、稳定性等。
内容：通过Correlation、Analytics、Inspect产生内容。内容附带了action。

另一副RSA大会上CISCO的图也能看出大致的架构。威胁情报的分析很关键（外部的威胁情报共享、本地的威胁情报分析&情景感知）。安全情报就是“内容”的一种，安全情报就是“内容”的一种，TIA是威胁情报分析，通过stix的标准格式进行信息的共享。

2、数据分析的成熟度模型

托马斯达文波特提出一个分析的成熟度模型，下图显示了数据分析的不同层级，值得我们思考。基本遵循了从标准报告、专项报告、告警、统计分析、取证、预测的逐层递进。

3、安全数据分析需要的技能

数据分析需要三个学科的交叉：安全技能（这里不是“黑客”，是安全攻防技术），对业务的深入理解，以及数学和统计（包括应用数据分析工具）。

现在的大数据安全分析很难，主要是同时具备这三部分能力的团队太少。通过协同合作可以来解决这些问题。安全攻防知识是基础，对业务和数据的深入理解才是根本。

放两幅图，不做过多的介绍了。

数据的真实性、数据的噪音等等需要关注的，这些放到下一期再谈。

*消息来源：sec-un，作者：zhuyue