安全管理重于防毒反黑

集中式安全管理设备能够汇集来自多个分布式安全产品发出的报警信息，并将这些信息联系起来综合考虑。这样，网管员可以实时识别来自同一源IP地址的针对企业多个分支机构发起的攻击。通过将得到的信息与一周前得到的报告进行比较，网管员可以在攻击造成危害之前阻止它们。集中式安全管理的思想最早出现在三年前，但是将这种思想转化成安全事件管理设备是近年来才有的事情。目前已经有许多厂商在这一领域崭露了头角，其中包括ArcSight、GuardedNet、Intellitactics、Mountain Wave（已经被赛门铁克收购）、NetForensics、Network Intelligence（以前的OpenSystems.com）和OpenService（已经与Response Networks合并）等厂商，特别是IBM Tivoli也已经加入到了这场竞争中。

今天管理企业安全是一个艰难的过程，需要将缺乏集成和互操作性的不同厂商的不同产品进行综合。其结果是复杂性加剧和运营成本增加，而且在做出重大安全决策时不得不依赖孤立的安全数据。使这一过程更为艰难的是要在整个企业浏览系统和网络信息流中保护产品，并就每一个可疑行动发出信息。每一个信息都被称做一个安全事件，即便是中等规模的公司每个月也会出现一千万起这样的事件，它可能是表明缓冲区溢位攻击的畸形或超长网络包，也可能是影响重大或无关紧要的登录失败。

总之，很难决定一个既定事件会不会带来麻烦。而事故是指需要应对并加以解决的事件或形势。主动攻击或病毒爆发通常都是由一个或多个事件组成的事故。已知的系统漏洞或已被发现的违反政策行为都应被视为需要快速响应的事故。然而，问题的关键就难在要在数以百万的事件中及时发现事故并采取行动。

针对这些安全管理难题，赛门铁克采取的方法是为用户提供开放式政策和事故管理能力，使他们能够积极地保护其网络不受已知威胁的攻击，并对未知的新型攻击保持实时响应。而协助赛门铁克采取开放式政策和事故管理能力的产品则是一个集中开放式的信息安全管理系统。该系统包括包括赛门铁克事件管理软件（Symantec Event Managers）、赛门铁克事故管理软件（Symantec Incident Manager）和用于政策遵循的赛门铁克企业安全管理软件（Symantec ESM）三个主要组成部分。而这套管理系统要做到的就是告诉企业的信息主管们“我的企业到底有多安全？”、“我应该把资源集中用于那里？”及“我是不是在尽我所能保护我的企业？”。

Avnet运营安全顾问Phil Tyler说：“我们每天都要面对的最大挑战就是网络中大量的事件。而部署了安全管理系统后，只需一个控制台就能够实时全面审视我们的安全状况了，并能够针对安全警报做出快速有效的反应。”

值得一提的是，用户环境十分复杂，常常包括多种安全产品。因此，互操作性的构架对于那些对安全性和集中管理要求极高的企业来说是十分重要，选购安全管理产品时，必需要考虑到这一点。（责任编辑：刘燕之）