安全管理平台的关键技术点应用与标准

随着企业信息化水平的不断提高,IT系统的规模和复杂度也越来越高,管理工作也变得日益交错和被动。信息部门内部需要保障系统运行质量,外部需要为用户提供更好的业务服务,在此趋势下,部分企业和部门开始采用业内公认的ITIL流程框架,以改进IT与业务的调和,不断提高管理和服务水平。Broadview针对这种情况,内置了符合中国管理特色工作流引擎COSS-WF。

COSS-WF针对国内信息部门的管理模式和工作习惯设计,并且吸收了众多国外的ITIL服务台产品的工作流理念,是符合国内用户工作管理流程运维工作流引擎。总体上说,工单管理系统就是为IT管理部门定制的流程管理系统,在Broada SCC平台的基础上可以定制开发适合安管系统的流程管理。

专家认为,一款主流的安全管理平台,应支持现有的国际国内标准和已经在事实上成为行业标准的软件和技术,同时广泛支持各安全设备厂家的产品,包括:防火墙、IDS/IPS、VPN及通信加密设备、网络设备、操作系统、数据库、防病毒、安全策略管理系统、认证、Web、代理、邮件、桌面安全管理等。

此外,它应能提供开发工具包,可轻松定制和非传统设备集成,比如物理安全系统和专有系统;收集和标准化事件数据的能力,确保丰富的、过程完整的信息被安全和有效地捕获,并用于实时分析。 智能收集、预处理和管理事件数据的传输,确保高性能和完整信息处理。数据被智能过滤和聚合,将数百万安全事件归结为有针对性的少量需要调查的事件。

安全管理平台可为来自各种安全设备的事件提供统一监控、处理。它从各种现有安全设备收集事件,并将其重新整理和格式化到统一的数据格式,集中存储、显示和分析,供安全运维人员和安全专家审核。这样就保证所有关联的事件和信息被一起陈列、比较和查看,无需使用不同厂家的不同产品的控制台去查看逐一产看。

如,Broadview SCC解决方案最重要的一个任务就是消除安全基础设施产生的过多的误警,让安全管理人员将注意力集中在真正的威胁和攻击上,避免分析麻痹,所以关联能力是非常重要的。

Broadview SCC提供的数据挖掘和关联能力,通过三级推理的逻辑信息处理流程,大大减少虚假告警,增加对攻击的实时检测能力。通过自动事件关联和基于经验的自学习,从大量安全设备产生的入侵模式将被立即比较和观测.它还提供智能和灵活的关联能力来实现安全日志数据的用例,包括内部威胁、边界威胁;能够精确、自动地识别业务相关环境中真正的威胁,并划分优先级,充分利用年智能收集数据和多种分析功能,企业获得长期价值。

安全管理平台应可综合分析防火墙、IDS、系统日志、网络、资产价值、脆弱性等等一系列的信息,它具备识别真正威胁的能力,通过它自动终止来自攻击事件的IP地址或阻止攻击端口,将损失降低到最小程度。完整的安全知识库,应整合过去和当前的安全建议,以及来自安全组织、厂家和研究组织的相关安全信息。在处理安全事件的时候,安全分析员可以直接获得相关的处理建议,也可以通过在知识库中执行细节搜索,找到所需的相关资料,从而快速而有效地处理安全事件。

通过在线的趋势分析,用户所有的行为和事件确认都会被系统记录。这些额外的信息可以被用来跟踪用户的行为,有时也可以用来帮助分析事件。报告的内容应可以在分析期间定制,而且允许包括详细的安全信息,报告可以用PDF格式生成并且可以选择采用密码保护,报告可通过Email、传真、生成PDF文件和打印等方式提交。

为了正确的识别攻击,在监控网络系统中加入了安全设备并进行标记,这是为了确保当监控网络被攻击的时候能够识别相关性。同时,也能够发现容易被攻击的安全设备,这些信息能被连接或者转发给监控网络的网管人员。

以Broadview SCC为例,它不仅仅涉及技术,支撑其运作的组织人员、流程、制度也是非常重要的。基于对ITIL的深刻理解和实践,它以组织业务和客户实际需求为出发点,设计出运维流程与紧急事件响应流程,协助客户建立并完善日常安全运维体系和紧急情况下的处理能力,真正发挥其高度集中、风险可控的巨大优势。