近年来,随着网络威胁的越来越多,人们的网络安全意识也逐步提高,很多企业部署了防火墙、防病毒和IDS等安全产品。有了这些措施,看起来好像一切问题都解决了,但是在面对网络攻击时我们依然损失惨重!这究竟是为什么?带着对这个问题的思考,记者采访了e-Cop中国区业务总监王鹤先生。
谁动了我的安全
据王鹤介绍,信息安全系统通常是由防火墙、入侵检测、漏洞扫描、安全审计、防病毒、流量监控等产品组成的,但是由于安全产品来自不同的厂商,没有统一的标准,因此安全产品之间无法进行信息交流,于是形成许多安全孤岛和安全盲区。这样所看到的永远只是一个相对独立的安全信息,就像是那个盲人摸象的故事,我们看问题只是看到了一个角,而没有看到问题的全部,而那些细节和隐藏在外表下的真相可能恰恰被我们所忽略。它们往往是问题的关键所在。对于电信运营商这样拥有庞大的全国性网络,网络中安全产品成千上万的大型企业,这种问题尤为突出。
同时,网络设备、安全设备、系统每天产生的日志可能有上千甚至几十万条,人工地对多个安全系统的大量日志进行实时审计、分析多流于形式,再加上误报(典型的如NIDS、IPS)、漏报(如未知病毒、未知网络攻击、未知系统攻击)等问题,造成安全事件不能及时准确发现。
此外,在日常的安全管理工作中,为了更好地了解各项设备的工作情况,我们需要统计出大量的报表,如某台服务器的安全情况报表、所有机房发生攻击事件的频率报表、网络中利用次数最多的攻击方式报表等。如果管理员人去对这些事件做统计分析,不但耗费大量人力,而且无法保证统计数据的准确。
还有,管理员发现安全问题后,往往因为安全知识的不足导致事件迟迟不能处理,信息部门主管也不了解哪些管理员对该事件做了处理,处理过程和结果有没有做记录,处理效率低下。
该向谁要安全
企业在构建自己的安全体系时,通常会有以下的想法:第一,我为什么买这么多安全产品,我觉得没有多少用处;第二,当我遇到安全事故时,有什么样的工具可以帮助我;第三,安全让人觉得很恐怖,我的风险到底在哪里,我的安全做得怎么样了;第四,我们需要建立一个什么样的安全体系。
在回答以上问题时,王鹤的自信和激情溢于言表:“我们正是一家专业提供信息安全科技及服务的公司,致力于帮助全球的政府及企业处理它们与信息安全相关的威胁与风险。依托e-Cop的技术和经验,企业将能够有效地应对安全威胁、风险与漏洞。我们通过全球监控中心(GCC)及自行研发的运用于SOC的尖端技术,实现对企业的信息安全管理、安全部件监控及对威胁风险的实时响应。”
为专业的网络安全公司,e-Cop一贯是从整体的角度去看待安全问题。从整体入手,在整个网络框架中加入管理系统,将系统各个层面的安全信息进行有效的整合,然后再根据收集到的信息调整网络安全策略形成一个不断循环、动态的安全维护过程。相比较其它的公司,e-Cop不仅提供安全管理产品,更是一家提供安全管理服务的公司。企业将不再需要投巨资在他们的“单点”安全产品,所有这些现在由e-Cop的Cyclops ESM (CESM)来提供。CESM提供的一些关键的管理过程和事故处理过程包括:
一、原始告警的数据归并
CESM首先归并来自安全设备的所有安全数据,这些安全设备包括防火墙、网络IDS、主机IDS、安全应用程序和服务器的日志等。
二、数据正规化
为分析安全事件,“技术规范解码器”将原始数据处理成有意义的有用信息。通过这个过程,将原始数据转化为TIF(Transportable-Incident-Format)格式。
三、数据挖掘和关联
CESM 以其独特的数据挖掘和关联技术能力,实现三级推理的逻辑信息处理流程。这种能力可以减少虚假告警,增加对攻击的实时检测能力。
四、经过专家建议和分析的统一处理
我们的安全专家将同时处理CESM安全控制台产生的多个安全事件。通过这种统一的处理方法有效地分析所有的安全事件。
五、实时的防范措施
一旦来自外部或内部的攻击企图发生了,我们的安全专家将同客户紧密合作,立即采取防范措施,在信息损失前抵御入侵。
根据用户对其设备的管理要求,e-Cop把安全管理中心基本上分成了三个类型:第一是N-SOC,是国家/政府级的;第二个是P-Soc企业级的;第三级的是商业级的。用户可以根据自身的安全管理需求,灵活地选择所需构建的安全管理中心类型。
欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com |
关注天下网吧微信,了解网吧网咖经营管理,安装维护:
本文来源:赛迪网-中国计算机报 作者:佚名