第1页Alphachn网络安全支撑平台(一)背景由于网络规模庞大、系统复杂,其中的各种网络设备、服务器、工作站、业务系统、支撑系统都存在着超常的复杂性、多样性。随着安全越来越受到重视,安全子系统也逐步发展到复杂和多样的系统,这些安全子系统通常首先在各个业务系统中独立建立,然后随着安全管理的规模和成本的不断上升逐步发展到产生了整个企业建立一致的安全管理体系的需求,网络安全支撑平台(SecuritySupportingPlatform简称SSP)正是满足这种需求,为企业安全整合提供解决方案,通过最佳的安全技术和最佳的安全实践帮助用户从分散的安全审查实现集中管理与决策。SSP解决方案帮助用户解决以下的问题:•分散的管理增加管理成本和管理难度作为一个新兴的、覆盖范围极大技术领域,信息安全可以划分为众多的细分领域,例如防火墙、入侵检测、漏洞扫描、认证和授权、加密、防病毒、VPN、PKI、内容过滤等等,每个领域内均有最好的厂商和解决方案供应商,企业往往根据自身的需求,选择其中最优秀的产品,这就造成了这样一种现象:安全产品和厂商基本均为基于“点”的解决方案,即基于某一安全细分领域的解决方案,这些解决方案都需要单独购买、实施和管理。这种情况下,随着使用产品种类和数量的增加需要不断增加管理和维护人员,管理成本往往呈指数级的增加,但是管理效率却仍然存在瓶颈,特别是多种数据不能相互沟通和关联更加剧了这一现象,这些问题导致对集中化管理的要求;•安全信息和知识的共享水平较差以往的观念往往认为,“安全是安全管理人员的事情”,目前,这种情况正在极大地改善,越来越多的企业通过安全策略明确地定义不同人员在安全组织中所处的位置和应该担负的责任,与之不能相称的是,目前的安全产品仍然往往仅仅提供安全管理员的角色和视图,不能让普通系统管理员参与到安全管理和安全信息的共享中来,必须建立一种让所有的IT人员能够使用和监控与他们相关的安全信息的系统,让整个安全组织,而不仅仅是安全管理员为网络的安全负责•海量事件某企业在一次病毒爆发的过程中在一天内产生了二千万的入侵检测告警,在这样的告警量水平情况下,管理员往往疲于应付,并且容易忽略一些重要但是数量较小的告警,尽管海量事件分析的需要的技能并不很高超,但如果仅仅依靠安全管理员人工分析,需要占用大量人员,而且容易出错。必须将规则化的分析让第2页机器来实现,管理员和安全专家可以专注于更为复杂的分析。海量事件是现代企业安全管理和审计面临的主要挑战之一•缺乏智能告警的信息是一台服务器受到某种windowsRPC病毒的攻击,而事实上该服务器是Unix服务器;传统的网络IDS事件告警无法分析当服务器受到攻击时攻击是否成功;无法通过发现攻击者的一系列组合攻击从而提高告警级别.以上的种种问题提示我们,孤立的事件无法为我们揭示问题的本质,必须有更加智能的分析方法,它可以分析多个事件的之间的联系,可以将不同的数据来源关联起来,可以将各种数据和知识关联起来;总而言之,企业需要智能化的处理方式,需要极大地提高效率,需要防止误报。•必须改变以事件为中心的视角现有的安全产品往往以安全事件为视角,用户第一眼看到的是各种各样的事件,但实际情况是,用户关注的核心不是事件本身,而是他们的资产是否受到了保护,需要保护的关键资产是否受到了威胁。因此必须改变以事件为中心的视角,以用户关心的核心资产为中心,提供面向资产的、基于安全健康指标的告警服务•安全知识的不足。各种各样的产品提供了大量的安全机制,但是无论是关联、分析还是响应,都必须建立在知识的基础上。这些知识有些是通用的,可以来自供应商,有些是与客户实际环境密切相关的,必须来自实际生产环境,必须保证这些知识的不断积累,才能真正实现智能化。•安全响应能力不足对安全响应的要求包括:/发现问题后必须能快速找到解决方法并最快速度进行响应,响应的过程中要求明确响应的责任人、响应办反并反馈响应结果,对安全事件响应的整个过程必须有记录和考核;/建立一支有经验的响应队伍,这个队伍包括内部人员和外部专家支持;/支持自动化的响应和通知手段。对这些问题的...
