IBM集中安全风险管理平台解决方案

　　IBM认为，企业需要集中的、企业级的安全风险管理，方能运筹帷幄，决胜千里。对于企业来说，安全入侵经常将企业作为一个整体而不仅是针对某一个子系统。 一个安全攻击事件可能是独立的，也可能是一个较大规模协同攻击的一部分。对于所有的安全检测点，如果没有一个集中的分析视角，你可能低估某个安全攻击的真正威胁，相应采取的安全措施也可能无法解决真正的问题。因此，对安全平台所记录和存储的审计数据进行综合分析及处理至关重要，这些审计数据可能来自防火墙、路由器、入侵探测系统、主机系统、防病毒系统和桌面安全系统。对上述审计数据的统一和集中的分析将能帮助更好地管理安全事件，从而描绘出整个企业当前安全情况的更清晰和准确的图画。没有一个对安全事件的集中分析和处理，一个企业需要雇用多名安全专家对每个检测点的检测结果进行分析。由于安全记录数据的数量越来越大，需要安全专家的数目也越来越多，问题在于雇用安全专家的成本越来越高，合格人员越来越不容易找到。安全风险管理平台能够集中分析来自企业的所有安全检验点的安全记录，使得并非安全专家的系统管理员也能够从整体高度有效地实时监控并评估安全风险。通过这一平台，企业所需的专职安全人员数量将会相应减少，安全管理成本将会降低。同时，通过集中风险管理，一个企业可以最大程度地减少重复工作从而提高安全事件管理的效率。

　　集中安全风险管理处理流程

　　下述部分为IBM集中安全风险管理处理流程的逻辑概述以及所涉及的主要组件。

　　1.检测:大范围内收集信息，信息来源包括第三方安全软件、数据库、服务器和入侵探测等。这些来源生成了不同形式的安全信息，如记录文件、SNMP trap、操作系统日志等等。

　　2.事件产生:安全风险管理适配器能够截获检测组件所产生的警报或记录，并根据预先定义的格式将其转化为事件。

　　3.合并:适配器生成的事件通常由安全风险管理平台的代理器处理并进行合并，合并将有助于消除重复数据。经过合并后，事件被发送到安全风险管理服务器组件进行关联。

　　4.一级关联:来自适配器的安全事件由安全事件服务器进行关联。安全风险管理平台能够使用基于状态的(state-based)关联引擎去搜索行为的模式。根据检测到的可疑行为，生成安全突发事件。这些突发事件将被发送至控制台服务器进行进一步的处理。

　　5.二级关联:来自一个或多个关联引擎的突发事件将被进一步处理，根据相同的可疑活动模式生成突发安全事件组。突发安全事件组是多种突发事件的集合。

　　6.显示:通过安全事件控制台可以查看安全检测事件、突发事件和突发事件组。

　　7.存档:可以配置分布式关联服务器或事件服务器来将检测器产生的安全事件进行存档。

　　8.报告:集中安全风险管理平台可提供综合报告功能，该功能将存档的安全事件数据生成符合需要的安全报告。

　　择集中安全风险管理解决方案时应考虑哪些问题?

　　那么，在选择集中安全风险管理解决方案时应考虑哪些问题呢?IBM认为:集中安全风险管理解决方案应能从企业的高度对所有安全检测点送来的数据进行分析和处理，更好地进行安全事件管理并节省相应成本。它们应包括:

　　·便于操纵的图形用户界面

　　·能够提供对安全事件集中管理的单一控制界面

　　·从多种应用软件、设备和产品收集数据的功能

　　·检测和分析来源于主机、应用软件和网络等系统中的数据

　　·分析和合并来自不同方面的事件数据并实现集中分析以降低数据的量和复杂性

　　·提高实时分析安全事件的能力并大幅度降低花费在人工分析实时数据上的时间

　　·提供强大的决策支持和报告功能

　　·根据定义的规则，采取自动纠正行动

　　·高度客户化能力

　　·跨平台和基于开放标准

　　·适应企业规模增长，提供高实用性

　　·解决方案供应商在安全研发领域保持领先水平

　　设计及实施集中安全风险管理解决方案时应考虑的其他问题:集中风险管理不只是一个技术问题，它需要一套系统的和科学的安全管理体系来保证集中风险管理的有效性。没有这套安全管理体系，集中风险管理技术将难以发挥其所应发挥的作用。安全管理体系包括很多方面，与集中风险管理关联最紧密的有三个方面:有效的安全组织，科学的安全策略和标准，完善的安全事件响应和处理机制。以下仅简要举例说明前两部分:

　　安全组织举例:

　　安全组织是安全风险管理和处理的中心。 该组织应以集中式安全管理体系为基础，透过自上而下的组织架构为各个单位提供集中统一的信息安全事件管理、控制和监控机制并能与下属单位信息安全组织架构相协调并提出指导。