部件类产品的平台化整合
发布时间:2008-01-17   录入:启明星辰

从上面的分析可以看出,部件类产品各自为营的局面将不能实现整体的信息安全管理系统,而平台化的整合将是未来信息安全建设的思路和趋势。


传统的安全管理方式是将分散在各地、不同种类的安全防护系统分别管理,这样导致安全信息分散互不相通,安全策略难以保持一致,这种传统的管理运行方式因此成为许许多多安全隐患形成的根源。平台化整合将是针对传统管理方式的一种重大变革。它将不同位置、不同安全系统中分散且海量的单一安全事件进行汇总、过滤、收集和关联分析,得出全局角度的安全风险事件,并形成统一的安全决策对安全事件进行响应和处理。总体来说平台建设的根本模型就是PDR模型,并实现其中的D(Detection,检测)和R(Response,响应)。


平台建设的真正需求主要是从以下几个方面得到体现:


大系统的管理


通常安全系统是分别独立逐步的建立起来的,比如防病毒系统、防火墙系统、入侵检测系统等,各个系统都有单独的管理员或者管理控制台。这种相对独立的部署方式带来的问题是各个设备独立的配置、各个引擎独立的事件报警,这些分散独立的安全事件信息难以形成全局的风险观点,导致了安全策略和配置难于统一协调。这种对于大规模系统的安全管理也正是平台建设的需求根源,只有大系统、拥有复杂应用的系统才有平台化建设的需求。


海量信息数据


随着安全系统建设越来越大,除了需要协调各个安全系统之间的问题之外,由于安全相关的数据量越来越大,有些关键的安全信息和告警事件常常被低价值或无价值的告警信息所淹没,一些全局性的、影响重大的问题很难被分析和提炼出来。为了从大量的、孤立的单条事件中准确的发现全局性的、整体的安全威胁行为,需要平台使得整个安全体系的检测能力更加准确,更加集中于影响重大的焦点问题。


信息安全目标


我们知道传统的信息安全有若干属性,如保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、真实性(Authenticity)、不可否认性(Non-reputation)、可追究性(Accountability)和可控性/可治理性(Controllability/Governability)。信息安全的目标是要确保全局的掌控,确保整个体系的完整性,而不仅限于局部系统的完整性;对于安全问题、事件的检测要能够汇总和综合到中央监控体系,确保可追究性是整个体系的可追究性。平台的建设就是为了确保对全局的掌控,实现全面支撑信息安全运营管理目标。


专业安全人员匮乏


事实上,安全信息过多的问题已经远远超出了企业所能处理的限度。即使企业可以雇佣足够多的人手来具体解决每一个安全事件,但仍可能会劳而无功:这不仅是因为雇佣更多人手是对资本的低效利用,而且还因为,电子、数据位和字节的流动速度总是要比人的操作速度快得多。人力资源匮乏、信息泛滥、工具短缺,所有这些问题均可通过整体化的平台应用来加以解决,而且,这些应用还能处理大量的安全和审计数据,帮助我们从这些数据中发现问题,使企业只需配备很少量的人员就能充分利用其中的自动化技术和功能。


全局可控性


可控性是信息安全属性中最重要的一个,可控性最重要的体现是全局监控、预警能力和响应处理能力。全局预警就是要建立全局性的安全状况收集系统,对于新的安全漏洞和攻击方法的及时了解,针对体系内局部发生的安全入侵等事件进行响应。我们通常用水桶效应来描述分布式系统的安全性问题,认为整个系统的安全性取决于水桶中最薄弱的一块木条。平台就像是这个水桶的箍,有了这个箍,水桶就很难崩溃,即使出现个别的漏洞,也不至于对整个体系造成灾难性的破坏。平台建设充分利用所掌握的空间、时间、知识、能力等资源优势,形成全局性的资源协调体系,为系统的全局可控性提供有力的保障。

 

综上所述,平台需要整合部件类的安全产品,包括若干功能模块实现整体安全,如标准事件收集功能、标准事件分析功能、域与资产管理功能、风险监控功能、标准脆弱性管理功能、标准的报表功能、标准的用户管理功能等等,并考虑若干高级的特性,如安全信息知识库、论坛与信息发布、策略管理、工单及流程管理等功能。具体的体系架构和功能模块介绍将在后面的章节和设计篇中做更为详尽的介绍。

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号