安全系统日趋复杂 用户需要集成化管理技术

　　信息安全正在不断地从“单一防护”转向“整体防 护”。当安全系统的复杂程度不断提高的时候，客户需要更加集成的管理技术，利用单一控制中心和代理平台来整合和集中管理安全系统的所有组件。

　　为了让用户能够更好地了解安全管理技术的脉络，本报邀请到了McAfee、联想网御、神州数码网络、深信服、天融信、卫士通、网御神州的安全专家。同时还邀请了国家发改委、新华人寿集团、大众汽车、河南省税务局的IT负责人，一起分享部署与应用安全管理技术的经验。

　　用户的期待

　　从2005年至今，随着越来越多企业用户对于安全的关注，特别是以UTM技术为突破的整合安全网关得到了用户的接受，客观上促进了各种安全管理技术的崛起。就像记者反复谈了两年多的安全管理和当初的网络管理，其思路与手段是比较类似的，这决定了其市场发展的特点：渐进而非速成。

　　天融信安全产品经理王彦平向记者透露，他很早就注意到，随着UTM的出现，造就了大量中小企业对于统一管理、集中管理的认识，他们理解了管理与安全的联系，而这在无意中推动了安全管理技术的发展。

　　不过，记者并不认同所谓的将网络管理中的NOC依葫芦画瓢的去勾勒出安全管理中的SOC。虽然有厂商提出了SOC的理念，但这个观点在国际上也是没有成型。道理很简单，正如McAfee安全产品经理陈纲所讲的，网络有标准的SNMP协议，为统一管理打下了基础，可安全什么也没有。记者很难想象，在缺乏统一接口、规范、甚至是协议的情况下，统一的管理标准可以建立。

　　当然，这并不意味着安全管理技术无法实现。恰恰相反，大量用户的期待已经为技术指明了方向。卫士通公司副总经理谭兴烈在接受记者采访时表示，大量用户都需要能够对信息系统中所有设备—终端、主机、网络设备、安全设备，以及各种系统—操作系统、数据库、系统软件、应用系统的运行情况进行实时监视和控制。在此基础上，用户还需要统一定制、部署及实施信息系统的安全策略，包括及时预警并处理信息系统发生的各种安全事件。这意味着，通过安全管理技术，用户可以将整个系统中的所有安全设备组合成统一的防护系统。

　　不难看出，安全管理技术将不再是一个技术点或者单一产品，它将成为一个严格而细致的技术体系。神州数码网络安全产品经理王景辉透露说，在目前阶段，一个标准的安全管理技术至少要包含四部分内容：对信息系统的网络监控管理；对信息系统中安全设备的监控管理；对信息系统中桌面系统的监控管理；对信息系统的安全事件管理。

　　可以确定的是，在这个复杂的技术体系中，传统的安全基础设施基本上“一个都不能少”。国家发改委的IT负责人在接受记者采访时表示，他们近期刚刚开始了基于全网、全系统的安全管理系统建设，从实际的经验看，防火墙、IDS、反病毒、甚至是UTM这些产品都可以为正在构建的管理平台提供基础信息源，而这也是安全管理技术不可缺少的条件。

　　建设导向型技术

　　前面讲了，安全管理是一个复杂的结合体，这就决定了其技术脉络的多种形式。

　　对此，谭兴烈介绍说，当前的安全管理技术呈现平台化趋势，因为每个企业的信息系统都有自己的特点，网络拓扑不同，部署的设备不同，安全要求也不相同，所以提供一个适合于各种信息系统的安全管理系统是不现实的。因此需要提供一个统一的基础平台，再根据各信息系统的需要进行适应性的开发和策略部署。

　　目前，主流的安全管理技术体系分成国内、国外两大派别。其中国内派以联想网御、神州数码网络、天融信、网御神州为代表。对此王景辉向记者透露，一般国内派别都以用户的建设部署为导向，习惯于将安全管　理技术分成三个层次。

　　第一层，安全监控SNI。在这个层次中，主要是对整个网络的运行状态进行监控，确保网络的可靠性与可用性。

　　第二层，安全信息管理SIM。在这个层次中，安全管理系统会把所有企业的IT信息，包括超越业务运行的一些管理信息全部收集，进行规划、关联分析、整合，最后出示可视化报告，或者进行一些应急响应处理。

　　第三层，安全决策管理SDM，这是三个技术层次中最高端的。王景辉认为，SNI和SIM是偏重底层基础信息收集，强调技术手段，找到信息，发现内外部威胁。而SDM则是加入企业级别信息，比如对重要的信息系统进行分级，区分哪些重要，哪些不是很重要。即使是两个面临同样威胁的机器，受控于不同的重要性评级，处理的方式也会不同。换句话说，这个层次要求SDM要与企业的业务相结合，比如进行资产的管理、风险评估，把弱点信息、SIM中发现的威胁信息结合起来，逐步形成一个评估报告，同时还要进行应急响应、企业的安全政策管理，甚至是发布安全策略、安全演练等工作。

　　需要指出的是，这三个层次并非孤立存在。网御神州安全管理产品经理叶鹏表示，所有安全管理的对象都是企业的IT计算环境。这个IT计算环境涵盖了网络设备主机、应用系统、数据库、安全设备。而在此基础上的安全管理才更加有效。

　　事实上，以上三个技术层次并非单一的安全产品。谭兴烈介绍说，目前业内通行的做法是，将三种技术打包成一个统一的基础架构，称之为安全管理平台。这个平台类似于企业常用的中间件，它把所有的监控、采集、分析全部都融入进去，并提供标准的安全服务接口，提供给用户具体的软件使用。

　　据悉，像神州数码网络、网御神州、卫士通等企业已经根据平台架构开发了三种功能产品。而新华人寿集团的IT负责人指出，作为大型企业，他们对于安全管理情有独钟。而灵活的功能配置，可以让企业用户根据需要进行采购。对此，王景辉也表示，即使用户将三个模块全部用到，整个安装和使用过程也都是在一个技术平台上，因此不会带来额外开销。

　　风险导向型技术

　　细心的读者会发现，三个技术层次看上去更像建设安全管理平台的三个步骤。事实上，这种思路确实具有容易实施的特点，但在逻辑缜密性上，似乎有进一步突破的余地。对此，陈刚的看法是，他们从用户最根本的需求入手—量化风险、降低风险—以此为出发点，设计了基于风险管控的安全风险管理SRM模型。

　　同样，SRM也是一个庞大的整体，而且其复杂性似乎更高。目前，基于SRM的安全管理技术同样包括了三个层次。

　　第一层，完善的安全基础设施。这一点和国产厂商提出的SNI比较类似，都强调企业用户必须要有基础的防御手段。

　　第二层，在法律法规符合性方面进行风险评估，并将遵从性意见报告与评估结果呈现给企业用户。事实上，这一层是很多国际上从事安全管理技术研发的厂家比较关注的。特别是随着萨班斯法案公布以来，越来越多规范上市公司行为的法律法规都将对企业的管理、财务提出要求，其中势必涉及到对IT系统的安全要求。

　　第三层，利用统一的技术，实现将前两层从上到下串联在一起。对于这一点，陈刚解释说，传统上单独的安全技术，或者单一的法律法规之间，都是空洞且没有联系的。根据经验，很多用户需要一种手段，把防御手段与法律法规或者企业要求的东西结合在一起，统一进行管理。换句话说，这种技术产生的结果，就不是简单地生成决策意见，而是需要直接调动具体的防御设备，帮助用户作出防御动作。

　　据悉，采用基于风险架构的安全管理技术，突出的优势是可以获得强大的内部审计效果。记者了解到，大众汽车目前是在全球范围内实现基于SRM安全管理的企业。而大众汽车北京总部的IT人员透露，他们在上安全管理技术之初，恰恰考虑的就是风险管控。他们多年来都是从两个方面考虑问题，一个是安全的检测能力，包括涵盖上海大众和一汽大众的内部数据收集；另一个就是在此基础上，对企业策略进行控制。即在业务不出问题的情况下，符合中国和国际的法律要求、审计要求，并通过多种安全产品整合实现统一管理。

　　关注技术控制

　　目前主流的安全管理技术分为旁路与在线两种。对此，叶鹏介绍说，一般安全管理平台都具备实时监控、定期轮训、周期扫描等分析模式，其中涉及到一些行为监控部分，可以采用旁路技术，通常都是利用专门的硬件在交换机边上进行行为采集，送到管理平台进行分析。如果分析出威胁，可以支持采取行动。

　　王彦平认为，在具体行动的时候，可以通过平台自己实现，也可以与其他厂商的产品进行协同。而王景辉也表示，采用在线模式的时候，可以通过SIM或者SNI实现，发现问题就可以通知防火墙或类似产品去实现阻断，基于802.1x实现总的协同调动。

　　另外，谭兴烈也表示，在IDS提出报警之后，安全管理系统首先会对这些事件进行存储；然后对这些报告事件进行综合分析，找到信息系统的主要事件源；同时安全管理系统会将整个系统的事件进行优先排队；最后启动事件处理机制对事件进行处理。

　　同时，他也进一步提出，安全管理技术可以对企业用户的网络行为进行监控。一般情况下，安全管理系统具有网络管理的模块，如果信息系统中没有安装网络管理系统，可以利用安全管理系统的网络管理功能对企业用户的网络行为进行监管和控制；对于已经安装了网络管理的信息系统，安全管理系统可以通过对网管系统进行管理和控制，从而对企业用户的网络行为进行监管与控制。安全管理系统可以与各种网络准入与全网安全系统进行整合。

　　在安全管理是否要对企业上网行为进行监控的问题上，深信服的安全产品经理邬迪坚定地表示，安全管理必须包括从内到外的安全审计与外发信息监控。他认为，当网络基础设施建立完毕以后，用户会不可避免地面对从内到外的问题，比如一些内部用户使用一些内部应用，或者BT、QQ、MSN等P2P应用，都容易把外部的安全隐患带入内网，最常见的就是下载文件导致内网病毒泛滥。

　　不过由于用户的安全产品大部分五花八门，因此在信息收集与控制上仍旧存在诸多不便。陈刚认为，衡量安全管理技术的条件之一，就是看厂商对于主流安全设备的信息汇总能力。

　　举例来看，某天微软发布了新的漏洞，或者安全设备扫描出来机器上存在一个新的漏洞，那么系统就可以自动要求IPS对这个漏洞进行防御，对这个漏洞进行阻挡。

　　记者在采访过程中越发觉得，今后安全管理的发展趋势，特别是对内的行为监控部分，很可能是向着旁路方向发展。在这一点上，王景辉和邬迪的看法也是惊人的一致。毕竟以前很多安全管理设备都是作串接的，但是对很多大型企业来说，其网络出口上已经有不少设备了，因此很多用户担心性能与单点故障。虽然在旁路的情况下，控制方面的效果不如在线模式，但是审计功能可以很好地实现。比如ＵＲＬ访问、邮件审计、ＩＭ管理等，发现信息后都可以采取记录形式，个别可以通过控制列表阻拦。王景辉认为，在安全管理技术上，采用软件的企业越来越多，毕竟实现方式比较完整，但软件大都是采用旁路技术。

　　对用户的建议

　　事实上，安全管理技术的复杂性之高，令记者也心有余悸。记得王彦平曾指出，“成也管理，败也管理。”的确，上安全管理犹如一套企业的安全ERP，绝非即买即用的产品。

　　对此，河南省税务局的IT负责人向记者透露，在部署了全省的安全管理系统之后，他们觉得无论是政府机构还是企业除了基础的安全设施，同样要关注具体应用的问题。因为领导不愿意每天看到有多少漏洞报告，而是希望清楚地知道哪个部门的安全风险最高，哪个部门最低，这涉及到政策、法律法规的要求。

　　事实上，越来越多的企业都把安全管理的核心落实到了应用。王景辉认为这是一个好现象，因为安全管理是一个需要不断扩展的技术，它从建立之日起就充满了变化。对用户来说，各种结果或者评分，都将关系到安全威胁防御的产品，关系到用户安全审计的产品，关系到用户想要什么。事实上，安全管理不仅是阻挡攻击，不能只停留在技术层面，它需要得到宏观的结果。看到评分高，风险大，能够调动相应方案来解决。

　　而谭兴烈的总结似乎更加具体。他将用户应用安全管理技术分成七个层次：第一，要选择符合企业信息系统实际需要的安全管理系统产品；第二，通过合理的设置将企业信息系统中所有需要管理的设备和系统接入到安全管理系统进行管理；第三，要确定企业信息系统中的整体安全策略；第四，通过安全管理系统将整体安全策略分解成各个设备和系统的安全策略，并通过安全管理系统将这些安全策略设置到设备和系统中；第五，通过安全管理系统的帮助，建立其企业信息系统的应急响应体系；第六，在企业内部注重安全培训，加强全员信息安全意识；第七，制定严密的安全管理制度并切实执行。

　　编看编想：安全管理急需标准

　　安全管理中的鸿沟，有的时候真的令人无法想象。其来源不在于技术，而在于标准。正如本文开头所讲的，之所以记者不赞成SOC的说法，并非源于其技术特性，而是在于缺乏统一标准。

　　即便是国际上认可的SIM理念，能够做到全面收集信息的厂家，也是屈指可数。还是那句话，缺乏统一标准导致了大量企业没有办法让SIM或支持所有信息产品的汇总。具体来说，对不同厂商产品的可操作数量是零，而可关联的数量取决于企业的能力。

　　目前来看，国外的SIM都是关联上百种主流产品，但国内的产品则严重不足。

　　换言之，由于这种标准上的缺失，导致了主流安全管理系统大部分停留在呈现报告阶段上，极少有能够完全采取联动措施的产品出现。（除非所有安全产品都由一家企业提供，但这又不符合风险分担原则）而这也就是为什么这么多安全厂家不停地奔走呼吁，希望建立统一规范的原因。