安全管理平台的背景
【电脑商网专稿】目前,随着各单位信息系统的大规模建设和实施,其业务运转对信息系统的依赖性越来越强。虽然各单位在信息系统建设中考虑了比较完整的安全方案,并部署了防火墙、入侵检测、防病毒、VPN等安全设备,但是由于如今攻击手段的日新月异,安全事件层出不穷,安全设备在系统中要很好地发挥作用,真正保障信息系统的可靠运行,就需要做到:对安全设备进行合理的安全策略配置,形成信息系统的纵深防御体系;对信息系统中的安全设备、网络设备、主机等设备的运行情况进行实时监视和控制;对信息系统发生的安全事件进行及时的响应和处理;对信息系统的资产进行有效管理并对系统存在的风险进行预警。安全管理平台是针对以上需求而出现的安全产品,以统一平台的方式将系统的安全设备、网络设备、主机设备等进行统一监控、配置和管理,帮助用户建立起信息系统的纵深防御体系。
安全管理平台保证信息系统安全可靠运行
安全管理平台通过对信息系统的集中监控,能够及时发现和准确定位信息系统正在发生的安全事件,并通过安全管理平台的专家系统帮助系统管理员及时制定合理的解决措施,对安全事件进行处理,将安全事件对信息系统正常运行的影响降到最低。当前,安全管理平台主要在信息系统的安全策略、设备配置管理、安全事件与日志的管理及应急响应流程四个方面的功能应用较受关注。
一.集中管理信息系统的安全策略
在安全管理平台的应用中,要使信息系统中的安全设备很好地发挥作用,必须根据信息系统的具体情况、业务系统的具体要求为它们制定统一的安全策略,有了合适的、统一的安全策略才能使系统中的安全设备在遇到攻击时阻止安全事件的发生。信息系统中的网络设备、主机设备、安全设备数量众多,要对这些设备都设置好安全策略不是一件很轻松的事情。安全管理平台大都提供图形化的界面,让用户通过直观的拓扑图,查看和修改安全设备、网络设备、用户终端的配置、状态和安全策略。同时通过安全管理平台的统一管理,可以为系统制定整体安全策略并配置到各个设备中,从而实现了全系统安全策略的统一配置、分发与管理,使信息系统的安全策略从分散、独立的状态转变成统一、集中的部署。
二.集中管理全部的安全设备与系统配置
安全管理平台为用户提供统一的平台,并管理信息系统中所有的安全设备与系统(很多安全管理平台还能管理网络设备、主机设备和应用系统),从而实现安全设备与系统的集中管理,起到安全网管的作用。安全管理平台对设备和系统的管理主要有两种实现方式,一种方式是利用标准网管协议(SNMP协议)与安全设备和系统通讯,获取设备的配置信息,并对安全设备和系统进行参数配置。第一种方式是由于目前对安全设备的管理没有标准的协议,很多安全设备自定义了自己的管理协议,通过这些管理协议可以比较精确、实时地对安全设备进行监视和管理,在安全管理平台上实现对这些协议的支持从而实现对设备的管理。市场上主流的安全管理平台目前大都支持对主流入侵检测系统、VPN、网闸、防火墙、漏洞扫描系统等安全设备和系统的监控和管理。
三.集中管理安全事件与日志
在信息系统中,各种设备和系统的运行日志非常重要。首先,运行日志是系统的运行轨迹,从中可以分析出系统中安全事件发生的蛛丝马迹。运行日志亦是系统审计的基础,安全管理平台必须对系统中各种设备和系统的运行日志进行统一的存储和管理。但是安全设备、网络设备、主机设备每天产生的运行日志量非常巨大,例如一台千兆的防火墙一天能产生2000万条以上的事件,一个千兆IDS一天正常的日志量是800万条以上,在蠕虫爆发时会激增至2000万条以上。安全管理平台通常都配备了海量数据库存储信息系统中各个设备的运行日志信息,而且通过标准的SNMP、SYSLOG协议或者安全设备自定义的协议与设备进行通讯,获取设备运行日志和发生的各类安全事件。安全管理平台将收集到的设备运行情况信息存储到自身的海量数据库中,并分析各个设备的运行日志,总结出设备的运行状态,并以图形的方式显示出各个设备的实时运行状况。
四.集中管理安全事件的应急响应流程
安全管理平台定义出各种安全事件的类型,通过对系统日志的综合分析,提取出当前系统正在发生的安全事件,进行预警和事件处理。安全管理平台大都对安全事件进行了细分,缺省定义了病毒事件、异常登录事件、异常操作事件、漏洞检测事件、系统资源异常占用事件、流量异常事件等常规的安全事件,并提供给用户自定义安全事件的功能。安全管理平台还提供了安全事件预警功能,用户可以为安全事件设置阀值,当系统运行达到设置的阀值时,安全管理平台使用用户设置的方式进行提醒安全事件的发生。安全事件预警有多种方式供选择,例如Email、消息通知、短信等。灵活的预警提示方式使用户即使不在现场也能掌握系统的安全状况,对安全风险进行即时控制。
除了上述安全管理平台的四大主要功能外,多数安全管理平台还提供一些附加的管理、配置功能以及一些实用的安全管理工具。而部分安全管理平台还会提供一些对用户更为实用的功能,包括有:对信息系统中的软件、硬件、网络资产进行管理和配置的信息系统资产管理费;采用风险评估模型对资产进行定性和定量的风险评估,出具完整的资产风险列表,对具有高风险值的资产进行风险预警的信息系统资产风险评估;及对主机设备中外设的使用进行控制,提供安全U盘管理功能,保证U盘等外设的安全使用的外设控制功能;提供对客户端的网络访问监控、终端行为监控等监管功能的客户端监管;提供拓扑发现工具、SNMP Trap信息发送工具、PING工具、路由工具、MIB编译工具等实用管理工具。
主流安全管理平台的特点
纵观目前信息安全领域,主流安全管理平台的功能特点主要围绕支持多样化的应用设备,包括:支持安全设备、网络设备、主机设备的监视和控制;支持对应用系统的监控及增强网络管理等功能。提供二次开发接口及标准,满足对设备的监控及管理进行二次开发的需要也同样是其功能的亮点。
而主流安全管理平台技术上的特点主要体现在强悍的安全性及良好的扩展性。在安全性方面,由于安全管理平台是保证整个系统可靠运行的关键,所以其自身的安全非常重要。部分安全管理平台利用加密技术等安全处理保障了各模块之间的信道安全,主要从应用模式保证了安全管理平台的高可用性,身份认证和基于角色的访问控制加强了对用户的鉴别和授权管理;同样,它还具有良好的扩展性,主流安全管理平台预留了多种接口,支持多种安全设备、网络设备、主机设备和应用系统,能够在很短时间内实现对新设备的接入。
选择安全管理平台的关注点
在用户的信息系统中选择并部署一个合适的安全管理平台非常重要,它能使信息系统的管理提升到一个更高的台阶。而如何选择一个适合自身环境的安全管理平台,品牌与产品两方面的表现决定着它的价值。
在品牌方面,安全管理平台厂商的整体实力决定了安全管理平台本身的产品品质。经济、技术实力与现场实施、售后等服务能力等均属于厂商整体实力范畴。品牌效应对产品的宣传、销售有着极为重要的促进,有句广告语曾这样说过:“大品牌,值得依赖”。
了解产品最直接是方式,是从产品本身入手。安全管理平台的功能是否完善、性能是否可靠都是选择产品时需要考虑的非常重要的因素。性价比也是选择产品时应该关注的问题,除此之外,具备良好的扩展性能同样是安全管理平台实力的体现。
综上所述,安全、管理完美融合的安全管理平台将在常见的网络安全产品中脱颖而出。用户在选择过程中,适合自身应用环境、功能的多样化、出色的安全性及扩展性能等均成为评定安全管理平台优劣的最重要标准。 |
