安全管理之“补完计划”

　　在阅读过关于安全管理技术架构的报道后，有读者表示，希望能进一步了解安全管理的企业效益，并选择适合的系统。为此，记者总结了专家对于安全管理系统的建设意见，以飨读者。

　　补完一：六类需求

　　安全管理系统是一个复杂的技术体系，对企业来说，并不意味着上安全管理就一定要选择全套方案。事实上，不少已经吃了螃蟹的用户，都是基于已有的安全基础设施，根据企业的实际需求进行理性选择。

　　从大多数用户的选择看，基于资产、控制和维护技术的安全管理方案最受欢迎。对此，天融信的安全产品经理王彦平曾向记者透露，目前企业部署的安全管理系统至少要为用户解决六类安全问题。

　　第一，安全管理的问题。

　　企业的安全管理制度是否得到了有效贯彻，安全运作流程是否能够有效实施，以前无法衡量。安全管理平台可帮助企业利用技术与管理手段有效解决安全管理的问题。

　　第二，海量数据的问题。

　　企业面临着来自异构系统、平台和应用的安全数据的冲击，它们都以不同方式产生信息，且以不同的格式呈现、存储在不同的地方，并且报告不同的内容，而这每天数以百万条信息淹没了安全基础设施。统一的安全管理平台，可以把这些信息统一起来。

　　第三，信息孤岛的问题。

　　各种安全设备间缺少信息层互通能力，各自为营。降低了系统整体的运作效率，增加了安全事件的发现时间和响应时间。而安全管理平台则可以克服这一点。

　　第四，实时监控的问题。

　　安全管理平台可以对整个网络的安全威胁形势、安全漏洞情况、安全事件情况、安全攻击情况和综合安全风险情况提供准确、实时的分析数据。

　　第五，业务安全的问题。

　　业务始终是一个企业发展的核心，如何保障业务的安全至关重要。现有安全技术侧重保障某特定资源，但业务应用系统一般都由众多IT资源组合构成，如何从业务整个流程上进行安全保障则是安全管理平台的优势。

　　第六，持续改进的问题。

　　安全管理需要不断对处理过的安全事件进行总结，不断更新安全知识库，不断改进安全运维流程，以及不断完善安全管理制度等，因而需要有效的平台化管理手段来实现持续改进。

　　补完二：七大效益

　　在上期的技术特写中，记者介绍了基于“部署”和“风险”的两种安全管理模型。根据经验，无论采取哪种模型，企业构建完成的安全管理平台基本上都可以实现七大类的安全效益。

　　第一类，实现安全事件管理。

　　企业部署安全管理平台以后，可以实现安全风险实时管理与监控，全面实时掌握信息系统内的安全状况，对组织安全政策的执行情况进行有效的监督与审计，从海量事件中发现安全事件进行分析，并避免事故的发生或降低损失。

　　第二类，实现资产管理。

　　安全管理平台主要通过风险评估进行资产初始化，其资产管理不仅仅涉及传统资产管理中基本特征的统计，如资产名称、IP地址等，还包括与资产有关的业务属性，如区域特征、资产交互特征、脆弱性特征等。

　　第三类，实现安全监控。

　　安全管理平台帮助企业从不同的视角去了解和发现自身的安全状况以及安全发展趋势：支持展现特定时间段内的安全风险可视化监控，根据最佳安全实践分析的安全风险值进行量化，并同时可以分析其变化趋势。平台支持传统方式的安全监控，同时也支持基于企业成本控制的部门监控和基于企业的业务类型进行安全监控。

　　第四类，实现安全响应管理。

　　安全管理平台可以帮助企业有效地从“发现安全问题”过渡到“解决安全问题”。平台能根据安全事件的特征、业务属性特征进行安全响应。同时通过丰富的响应方式，如：报警响应、通告响应以及交换响应等多种方式有效地进行及时处理。凭借智能的事件升级机制，平台可以很好地结合企业原有的组织结构和流程，有效监督和提高整个安全响应效率。

　　第五类，实现安全策略管理。

　　安全管理平台作为一个平台组织体系，帮助企业进行全面的安全策略管理，从“分析与规划”到“响应与优化”，以及策略的“配置与部署”等多个方面。

　　第六类，实现安全预警。

　　安全管理平台的预警管理系统大多提供两种解决方案：首先是具备强大的预警信息跟踪系统，包括对系统漏洞、病毒等动态信息的同步，能够及时更新平台的预警信息库并为用户提供专业的安全建议；其次平台对企业全网进行安全监控，通过把众多的安全事件进行深度关联，实现在安全事故前对所发现的安全事件的演变趋势进行判断。

　　第七类，安全报表管理。

　　安全管理平台的报表系统能将过去发生的安全行为和事件进行完全的归类和回放，同时能以不同的视角提交给用户进行查阅，并最终帮助用户的安全系统不断地进行持续性改进。

　　补完三：部署意见

　　前面讲了，安全管理平台复杂度很高，仅其中的SIM（安全信息管理）核心系统一部分，就要涵盖调控、管理和代理三大模块。整个平台可以通过“代理”收集信息，经由“调控”产生管理界面，利用“管理”进行关联分析与交互部署。

　　网御神州的安全管理经理叶鹏曾指出，安全管理不是一个简单的产品，需要引进生命周期概念。企业部署安全管理系统，需要进行前期的规划评估，比如要实现到什么程度，对哪些要素进行管理。特别是在一段时间以后，必须要提供必要的运维。

　　而卫士通副总经理谭兴烈表示，企业选择安全管理平台不能简单地从功能大而全方面进行选择，而是要根据自己信息系统的具体情况选择功能适当的。因为功能越多越消耗系统资源，极端的情况会影响信息系统的正常运行。因此，选择安全管理系统要注重安全管理系统部署后对信息系统的影响程度，因此，安全管理系统的性能是很重要的。另外，企业选择安全管理系统应选择对安全设备支持比较广泛的产品。

　　最后，王彦平再三敦促记者提醒用户注意：在安全管理系统上线之前，一定要进行风险评估，包括对全网进行安全信息预采集。他表示，安全管理平台的建设不仅是技术问题，更多透出了管理思路。而神州数码网络的安全产品经理王景辉也表示，用户在建设安全管理平台的时候，已经没有了退路。这个过程非常类似ERP，不仅要考虑流程，还要考虑今后的扩展。在变化中实现调控，才是安全管理平台的真谛。