安全管理平台的关键技术点应用与标准

sunday-12531

随着企业信息化水平的不断提高，IT系统的规模和复杂度也越来越高，管理工作也变得日益交错和被动。信息部门内部需要保障系统运行质量，外部需要为用户提供更好的业务服务，在此趋势下，部分企业和部门开始采用业内公认的ITIL流程框架，以改进IT与业务的调和，不断提高管理和服务水平。Broadview针对这种情况，内置了符合中国管理特色工作流引擎COSS-WF。COSS-WF针对国内信息部门的管理模式和工作习惯设计，并且吸收了众多国外的ITIL服务台产品的工作流理念，是符合国内用户工作管理流程运维工作流引擎。总体上说，工单管理系统就是为IT管理部门定制的流程管理系统，在Broada SCC平台的基础上可以定制开发适合安管系统的流程管理。
目前病毒威胁无处不在，从近来病毒发作的情况来看，病毒的攻击目标没有特定性，并且和黑客融合在一起，越来越隐蔽，如不提前防范，一旦被袭，网络阻塞、系统瘫痪、信息传输中断、数据丢失等等，无疑将给企业业务带来巨大的经济损失。病毒可能正在从桌面、服务器、邮件、IM通信、Internet 网关等各个点侵入到企业网络。
另外，由于网络的互联共享，来自企业内部和外界黑客都有可能对其实施攻击。我们几乎每天都可以听到黑客对某企业信息资源进行入侵、篡改和破坏的报道，所以要了解黑客入侵技术，对安全漏洞及时修补之，增强网络和信息的安全性能，抵抗黑客入侵破坏，构建一个安全的企业网络系统。安全运维管理就是要防患于自然，将网络系统的安全隐患消灭在萌芽状态，即使发生网站“被黑”、病毒泛滥等重要安全事件，也能积极应对，尽快恢复企业网络与系统，使其能正常稳定地运行。
专家认为，一款主流的安全管理平台，应支持现有的国际国内标准和已经在事实上成为行业标准的软件和技术，同时广泛支持各安全设备厂家的产品，包括：防火墙、IDS/IPS、VPN及通信加密设备、网络设备、操作系统、数据库、防病毒、安全策略管理系统、认证、Web、代理、邮件、桌面安全管理等。此外，它应能提供开发工具包，可轻松定制和非传统设备集成，比如物理安全系统和专有系统；收集和标准化事件数据的能力，确保丰富的、过程完整的信息被安全和有效地捕获，并用于实时分析。 智能收集、预处理和管理事件数据的传输，确保高性能和完整信息处理。数据被智能过滤和聚合，将数百万安全事件归结为有针对性的少量需要调查的事件。
安全运维管理平台标准及其应用：一款稳定、高性能的安全管理平台可集中对安全威胁进行检测和响应，使企业能获得最新的技术收集、关联、分析和管理网络上可用的孤立的安全信息，提供实时的事故处理、安全威胁响应以及统一的安全状况视图。如，通过使用广通信达公司的Broadview SCC软件来进行深入报告和历史分析，企业就能更容易地对风险进行评估并作出决策来避免今后可能发生的攻击。SCC软件使企业能充分利用现有安全设备所产生的信息以及应用数据，并对这些海量数据进行智能化的分析和整理从而极大提高安全管理效率，因此可降低总拥有成本并提高投资回报率。
安全管理平台一般可提供以下几方面服务：从任何日志无缝收集信息；通过其独特的数据挖掘和关联技术能力，可从极大量不同的安全数据中迅速识别出关键事件，并可自动做出响应，最大化地减少攻击对网络产生影响。提供单一的管理控制台，使企业能有效地监控和管理其不断扩大的安全系统，而无需配备更多专门安全人员。可提供一个全集成的事故响应系统，进而可提供集成的知识库和集成的流程来自始至终地管理事故个案。可提供企业安全趋势分析，使企业能轻松了解各种风险并采取明智决策。可提供各类报告，以满足不同人员的需求，包括对法律法规的遵循。
主流的安全管理解决方案使得安全简单化，它为所有信息安全数据提供信息的中心点，它强大的分析能力关注于消除误报、确认安全威胁并划分优先级、以及提供相关的上下文。企业能够更快速识别真正威胁、沟通和效率大大增加、响应时间大大缩短、在无需增加人手的情况下，能够处理多10倍的威胁等等。

安全管理平台可为来自各种安全设备的事件提供统一监控、处理。它从各种现有安全设备收集事件，并将其重新整理和格式化到统一的数据格式，集中存储、显示和分析，供安全运维人员和安全专家审核。这样就保证所有关联的事件和信息被一起陈列、比较和查看，无需使用不同厂家的不同产品的控制台去查看逐一产看。 如，Broadview SCC解决方案最重要的一个任务就是消除安全基础设施产生的过多的误警，让安全管理人员将注意力集中在真正的威胁和攻击上，避免分析麻痹，所以关联能力是非常重要的。
广通信达公司的Broadview SCC提供的数据挖掘和关联能力，通过三级推理的逻辑信息处理流程，大大减少虚假告警，增加对攻击的实时检测能力。通过自动事件关联和基于经验的自学习，从大量安全设备产生的入侵模式将被立即比较和观测.它还提供智能和灵活的关联能力来实现安全日志数据的用例，包括内部威胁、边界威胁；能够精确、自动地识别业务相关环境中真正的威胁，并划分优先级，充分利用年智能收集数据和多种分析功能，企业获得长期价值。
安全管理平台应可综合分析防火墙、IDS、系统日志、网络、资产价值、脆弱性等等一系列的信息，它具备识别真正威胁的能力，通过它自动终止来自攻击事件的IP地址或阻止攻击端口，将损失降低到最小程度。完整的安全知识库，应整合过去和当前的安全建议，以及来自安全组织、厂家和研究组织的相关安全信息。在处理安全事件的时候，安全分析员可以直接获得相关的处理建议，也可以通过在知识库中执行细节搜索，找到所需的相关资料，从而快速而有效地处理安全事件。
通过在线的趋势分析，用户所有的行为和事件确认都会被系统记录。这些额外的信息可以被用来跟踪用户的行为，有时也可以用来帮助分析事件。报告的内容应可以在分析期间定制，而且允许包括详细的安全信息，报告可以用PDF格式生成并且可以选择采用密码保护，报告可通过Email、传真、生成PDF文件和打印等方式提交。
为了正确的识别攻击，在监控网络系统中加入了安全设备并进行标记，这是为了确保当监控网络被攻击的时候能够识别相关性。同时，也能够发现容易被攻击的安全设备，这些信息能被连接或者转发给监控网络的网管人员。
以Broadview SCC为例，它不仅仅涉及技术，支撑其运作的组织人员、流程、制度也是非常重要的。基于对ITIL的深刻理解和实践，它以组织业务和客户实际需求为出发点，设计出运维流程与紧急事件响应流程，协助客户建立并完善日常安全运维体系和紧急情况下的处理能力，真正发挥其高度集中、风险可控的巨大优势。

wave1

Thank you very much,that's good.

wave1

Thank you very much,that's good.