簡化安全管理選擇SIM

（計算機世界報 2023年03月31日第11期 64）

2008-03-28 23:01:13

作為企業cso，你是否面臨著各種海量日誌資訊的困擾？一種新的安全資訊管理（sim）工具，有望將你的這種煩惱消除。

面對日益增多的海量安全日誌資訊，最近出現的新的日誌管理工具有望將人們從煩瑣的日誌資訊分析中解放出來。

安全資訊管理（sim）產品目前逐漸成為網路安全基礎架構中的乙個關鍵部分。正因為如此，弄清楚用什麼標準選擇sim就變得很重要。此外，在這個迅速發展的市場中，sim本身也在不斷演變：演變成安全事件管理器（sem），變成安全資訊/事件管理器（si/em）—未來不知還會變成什麼。但有一點必須認識到，弄清楚架構的區別和實施需求比弄清楚行業的縮略語和產品名稱更重要。一股合併浪潮已經開始席捲sim市場。

何謂sim？

sim 產品能夠自動收集及分析來自網路上所有安全裝置的資訊。安全管理人員沒必要檢視來自防火牆、入侵檢測系統（ids）、反病毒軟體、虛擬專用網（vpn）及其他安全系統的日誌和報警，利用單一的sim控制台就能獲得所有這些資訊。有些sim產品只是把來自這些不同裝置的報告聚合起來；有些產品則可以對資訊進行關聯，從而提高整體安全資訊的質量和準確性。

這種資料聚合有兩大優點：首先降低了安全監控的成本，又提高了效率；其次，簡化並改進了報告安全資訊的機制，可用於審查，從而實現法規遵從。這些法律包括《健康保險可攜性及責任性法案》（hipaa）、《薩班斯－奧克斯利法案》、《金融服務現代化法案》（glb）和《聯邦資訊保安管理法案》（fisma）等，並報告不遵守這些法規將帶來的後果。這是促使公司加快部署sim的幾個主要動因。

這裡有必要介紹一下sim、sem和異常檢測軟體之間的區別。sim系統往往收集來自不同的安全裝置的各種資訊。這些資訊包括事件、報警、平常狀態以及捕獲的全部網路流量。

而sem產品關注的往往是事件和報警，並增強入侵檢測系統（ids）的功能。異常檢測軟體則採用了略有不同的方法：先是檢查網路，建立條件和行為基準，然後報告這些模式出現的任何變化。

有些sim在實際使用時採用了異常檢測技術中的技術。實際上，這三種產品的功能正在迅速趨向融合，但最終出現的這種統一產品叫什麼，還有待確定。

如何選購sim？

1．考察sim是如何獲得資訊的。

一個基本的問題是，sim是依賴安裝在網路上的**程式（有時叫監控程式或者探測程式）還是從現有的網路基礎架構生成的日誌檔案和snmp事件中獲得資訊？如果sim產品依賴自己的**程式，把進來的資訊與事件處理緊密地聯絡起來，效率就要高一點。如果sim產品依賴日誌檔案和snmp事件，它的覆蓋面就要廣得多（不過你必須確信它能處理網路裝置生成的日誌檔案），部署成本也比較低。

有些產品綜合利用這兩種架構，既接受處理日誌檔案，又使用自己的專用**程式。你要看一下自己網路的架構，弄清楚哪一種方法能夠為sim提供最大的可靠性。

2．考察資訊將在何處進行處理。

在各種規模的網路上，sim都能處理大量的資料。想知道某個sim產品能不能處理網路生成的大量資料，關鍵在於要知道資料具體在**被處理？如何被處理？幾乎所有的sim產品都有兩個主要部件用於建立及顯示資訊：sim裝置本身、在遠端工作站上執行的應用程式。如果所有資訊都不得不在主裝置或在工作站中進行處理，那麼一旦網路流量變大或事件的密度變得很大，效能就會成為問題。向廠商詢問一下資料在何處被處理、是不是由兩個（或更多）系統共同進行處理，就變得非常必要。延遲的安全資訊會導致你成為被攻擊的物件，而原本你是可以躲過這種攻擊的。

3．考察資訊將如何進行關聯。

所有sim產品都能獲得來自網路上許多資訊源的資訊。有些產品可以收集來自外部資訊源的資訊，這些外部資訊源包括公共威脅識別服務和專有的關聯網路。有了 sim產品，安全工程師不需要為了檢視日誌檔案而在工作站上開啟93個視窗；另外，在很大程度上，sim產品還能查詢網路流量模式，由此增添了新價值。這項工作需要sim的兩大功能：一是能夠收集來自不同地方的資料；二是具有智慧型，可以把所有這些資料轉變成有意義的資訊，兩者缺一不可。正如sim產品獲得來自網路上所有重要裝置的資訊一樣，關聯資料也會來自你信任的資訊源。

4．考察報告是如何生成的。

接到通知、得知網路上出現了未授權活動是一回事，說服不大精通安全的網路管理員對此採取相應的行動則完全是另一回事。你希望sim產品能夠生成報告來支援你要採取的行動——而且能迅速生成報告。如果產品本身帶有內建的報告，你只要修改一下，就能提供專門針對公司及相應事件的資訊，那麼你就大大領先了一步。

說到審計以便遵守法規，內建的報告是極其重要的，因為這可以大大節省時間。如果你知道審計部門需要的格式，那麼無論如何都要事先問一下這些報告是否包含在你所考慮購買的sim當中。某些審計報告可用於法規遵從，這本身就證明有必要購買sim系統。

5．考察sim如何檢視重點事件。

報告在許多情況下都很重要，不過說到日常的安全分析，人們會把大量的時間用於分析sim顯示的資料。介面整潔、組織有序的視窗以及深入分析按時間、嚴重性和型別報告的事件等功能，將關係到是否能提高使用者的工作效率？關係到按照指定的標準來分析流量有多容易？關係到客戶端中的引擎在指定的時間段內查詢資訊有多容易？關係到檢視某些位址之間或某些客戶端之間的資訊交流是容易還是困難？

正如任何產品一樣，你希望產品擁有易於定製的螢幕，能自動進行分析，以滿足你的要求。

６．考察sim如何與其他應用共享資訊。

毫無疑問，sim產品是安全基礎架構中的乙個重要部分，但它無法單獨使用。你需要其他軟硬體來處理sim產品發現的事件；如果sim產品本身能夠處理與網路中其他安全裝置之間的關係，使用者的任務就會輕鬆一些。你在物色sim產品時，要考慮以下的事情：希望安全人員如何使用自動化系統？系統如何處理盡可能多的事情？系統能通知工作人員採取什麼動作？是否希望系統提供智慧型幫助的同時，能讓工作人員負責控制？

有些sim產品採用其中的一種工作方式，或者多種方式兼而有之：開始由人員來控制；等人員對產品功能越來越熟悉後，慢慢地將更多的權力交給系統。因此要問一下廠商將採用哪種方式，以便採購的產品能符合部署的目標。

7. 考察sim產品的安裝及配置有多容易。

這方面根本無法預知。與幾乎任何一類硬體或者軟體一樣，有些sim產品安裝起來比較容易；而有些則需要大量時間才能安裝完成。在大多數情況下，部署sim產品需要兩項耗時的任務：讓sim產品收集來自網路的資訊；讓人員收集來自sim產品的資訊。

把資訊提供給sim產品的難度並不一樣，這取決於sim產品是否收集日誌檔案、是否收集來自自身探測程式的資料，或者同時收集來自兩者的資訊。最初的工作量或多或少依賴於sim產品收集資訊的程度：sim產品對網路上的所有裝置進行掃瞄嗎？還是只探測網路資訊流來查詢事件、資產和可疑的流量？

同樣，對安全監控及分析進行配置的工作量可能也大不一樣，具體取決於每款sim產品的自動化功能有多強。有些sim產品能夠自行完成配置，基本上不需要人員干預。有些產品卻需要你逐步完成冗長的配置。後者需要更多的時間，不過好處是，這種系統從開始就能幫助獲得專門針對自己需要的資訊。（沈建編譯）

簡化安全管理選擇SIM

簡化雲選擇

簡化的軟體專案管理

簡化的軟體專案管理

簡化安全管理選擇SIM

簡化雲選擇

簡化的軟體專案管理

簡化的軟體專案管理

相關推薦