安全的新方向

隨著IT的快速發(fā)展，CIO對安全考慮的重要性已經(jīng)到了最重要的位置。原有的安全管理僅僅是對安全設備的簡單配置管理，這已遠遠不能滿足企業(yè)的實際需求。更廣、更多的安全管理的理念和技術(shù)不斷涌現(xiàn)，其中安全風險管理成為其中的一個重要發(fā)展方向，即從風險的角度去評估安全管理的流程和處理方式。

但隨著業(yè)務的開展，人們逐漸發(fā)現(xiàn)，安全風險管理能夠執(zhí)行的基礎似乎有些欠缺，安全風險的評估不是簡單的資產(chǎn)價值或預定好的事件安全級別就可以準確描述的，相關事件的信息，發(fā)生的地方，什么事件發(fā)生的等，都需要綜合考慮，才能得出準確的安全風險評估數(shù)據(jù)，從而安全風險管理才得以執(zhí)行下去。

從這個意義上，安全風險管理的游戲規(guī)則在發(fā)生改變，以前重視對風險的評估和管理流程，而轉(zhuǎn)向更具體、更實際的安全風險管理，即需要解決如下幾個用戶最關注的問題：

用戶需求

面臨的挑戰(zhàn)

如何管理多廠商的安全設備？

很難管理來自不同廠商的安全信息

發(fā)生了什么樣的安全事件？

用戶需要化肥他們大量的時間，從海量的安全信息中，包括錯誤信息中，才能找到真正的安全挑戰(zhàn)

哪兒發(fā)生了安全事件

當安全事件確認后，需要快速找到阿全設備的來源，攻擊路徑，以便實施防護，保證網(wǎng)絡的高穩(wěn)定性

如何處理安全事件？

當安全事件確認后，用戶希望知道如何防護，是在接近攻擊端，還是在接近被攻擊端？在路由器上，防火墻上，還是VPN設備上？是否有建議的處理辦法？

如何實現(xiàn)異常檢測？

有些攻擊時新型的，或變種，傳統(tǒng)安全設備（防病毒軟件、防火墻、IDS等）無法識別，造成網(wǎng)絡出現(xiàn)故障后才發(fā)覺出現(xiàn)了安全事件，無法提供零日保護

簡單實施流程

對一般用戶而言，太復雜的配置時難于實施的，希望有簡化的實施流程

為了解決這些問題，出現(xiàn)了安全信息管理（SIM）系統(tǒng)。SIM可以從不同廠商的多個設備接收日志數(shù)據(jù)，存儲和管理所創(chuàng)建的大量文件，以及實現(xiàn)至少部分的數(shù)據(jù)證據(jù)分析，甚至可以做一定的安全威脅評估分析，發(fā)現(xiàn)發(fā)生了什么樣的安全事件。但是，SIM技術(shù)仍然不能解決上述其他幾個關鍵問題：

* 什么地方發(fā)生了安全事件？ 安全事件發(fā)生的路徑？

* 如何快速處理和防護安全事件？SIM技術(shù)分析深度不夠，不足以及時地阻止正在進行的網(wǎng)絡攻擊。

* 如何提供異常現(xiàn)象檢測能力？如果通常的入侵檢測技術(shù)和安全產(chǎn)品均不能識別某種新型的安全攻擊手段。

* 如何輕松部署？對于企業(yè)用戶來講，復雜的安全管理技術(shù)和流程沒有實際意義，最有效的就是如何以盡量少的投資解決問題，并容易操作？

在SIM之后，出現(xiàn)了一種新型的技術(shù)——STM（安全威脅管理），注重在提高網(wǎng)絡感知能力和加快分析速度，以發(fā)現(xiàn)實際的網(wǎng)絡攻擊并近乎實時地制止這些攻擊，同時可以通過對網(wǎng)絡流量模型的分析，提供異常檢測的能力，自動執(zhí)行目前大部分由安全分析人員完成的工作，簡單易用。

安全威脅管理技術(shù)

STM技術(shù)需要監(jiān)控網(wǎng)絡中的各種安全和網(wǎng)絡產(chǎn)品產(chǎn)生的多種日志和報告流量，精簡龐雜的網(wǎng)絡事件信息，為網(wǎng)絡操作人員提供監(jiān)控和阻止網(wǎng)絡攻擊所需要的信息：

* 端到端的網(wǎng)絡拓撲感知能力

* 高效能進程化威脅管理和基于進程的主動關聯(lián)威脅管理

* 集成化的動態(tài)主機脆弱性分析和精確跟蹤威脅管理

STM必須從全面感知網(wǎng)絡拓撲開始。隨著動態(tài)主機配置協(xié)議（DHCP）和網(wǎng)絡地址解析（NAT）的廣泛采用，必須知道這些協(xié)議在哪里創(chuàng)建了網(wǎng)絡地址，以便當某個攻擊的源和目的地地址發(fā)生變化時繼續(xù)加以跟蹤。

而且，簡單網(wǎng)絡管理協(xié)議（SNMP）的使用在設備的IP地址和它的固定硬件MAC地址之間提供了映射，使可以準確地識別網(wǎng)絡路徑上的某個設備。MARS設備可以使用來自于路由器、交換機和其他計算機的完整配置信息，以及來自于安全設備的信息建立網(wǎng)絡的完整視圖。

STM技術(shù)首先從安全設備和網(wǎng)絡組件接收網(wǎng)絡事件，將事件信息與它的網(wǎng)絡感知能力結(jié)合到一起，發(fā)現(xiàn)網(wǎng)絡攻擊活動集中的“熱點”，并且可以顯示攻擊終端之間的網(wǎng)絡路徑, 隨后提供操作人員為阻止危險流量提供適當?shù)脑O備配置信息。

圖1（從上往下讀圖）顯示了STM技術(shù)用于減少原始網(wǎng)絡事件數(shù)據(jù)量和制止網(wǎng)絡攻擊的邏輯流程：

共2頁: 1 [2] 下一頁