安全管理实务之二：事件管理

　　应对病毒爆发、黑客入侵等突发事件是网管员们的日常工作。在与网管员接触过程中，我们经常能听到他们的抱怨：邮件病毒、黑客入侵等会在同一时间内发生，让人无从招架；IDS设备会在几秒钟之内发出上千条报警信息，让人很难在短时间内从中挑选出有用信息。随着网络应用的日益广泛和网络结构的日益复杂，网管员们的烦恼只会与日俱增。其实，有一种办法可以减少网管员的烦恼，那就是借助相关设备进行安全事件集中管理。 　　

　　 安全管理实务之二：事件管理

　　 边一 　　

　　 为了避免一个网管员忙不过来的局面，许多大型机构通常在各个分支机构都会设立由多个网管员组成的安全小组，通过这些装备着各式安全工具的小组来阻止入侵者进入网络内部。尽管这些安全小组在保护网络安全方面发挥了重要作用，但是人为的疏忽仍然使病毒和黑客有机可乘，企业网络仍然需要部署安全管理设备来为企业网络加上一把更加牢固的锁。

　　 集中式安全管理设备能够汇集来自多个分布式安全产品发出的报警信息，并将这些信息联系起来综合考虑。这样，网管员可以实时识别来自同一源IP地址的针对企业多个分支机构发起的攻击。通过将得到的信息与一周前得到的报告进行比较，网管员可以在攻击造成危害之前阻止它们。

　　 集中式安全管理的思想最早出现在三年前，但是将这种思想转化成安全事件管理设备是近年来才有的事情。目前已经有许多厂商在这一领域崭露了头角，其中包括ArcSight、GuardedNet、Intellitactics、Mountain Wave (最近被Symantec所收购)、NetForensics、Network Intelligence (以前为 OpenSystems.com)和OpenService (最近与Response Networks合并)。一些老牌厂商，特别是IBM Tivoli也加入到这场竞争中来。有关集中安全管理厂商和产品的介绍，可参见www.cnw.com.cn网站。 　　

　　 安全事件管理设备

　　 能够进行安全事件集中管理的设备必须符合以下三个条件。首先，它们能够监测来自多家厂商的安全设备并且对这些设备生成的大量数据进行格式化。考虑到不同厂商以不同方式报告同样的数据，格式化是安全事件集中管理设备应该具备的最基本特征。做到数据格式化不是一项容易的事情。入侵检测系统(IDS)是生成报警数据的主要设备，不同厂商IDS设备的数据格式是不相同的。一项新问世的IETF标准—入侵检测信息交换格式，承诺为IDS用户提供帮助，但ＩＤＳ厂商目前只是刚刚开始遵守这项标准。其次，安全事件管理设备应当汇集数据，并且在处理过程中，通过剔除属于同一事件的多个报警来减少数据量。最后，安全事件管理设备能够关联分析来自不同设备的报警信息，找出最严重的问题。

　　 格式化数据这一功能对于那些使用IDS设备的用户来说至关重要。IDS每天都会产生大量报警信息，人们很难从中选择出真正有用的信息，加上IDS存在的误报现象，人们急需一种能够辨别报警信息真伪的设备，安全事件管理工具基本上可以满足人们的这一需求。但是，仅靠安全事件管理工具还不能及时发现入侵行为，还需要有经验的专业人员为安全事件管理工具编写规则，以帮助系统正确识别表明严重安全破坏的事件。

　　 许多用户对于事件管理工具还存在疑问：它能帮助用户分辨出入侵行为吗？事实上，借助有效的规则，它能够做到这一点。例如，一个基于网络的IDS设备可能会从一次端口扫描中产生几百次报警，用户通过加入一条额外规则可以让事件管理工具在检测到发生在两个IDS端口上的扫描时触发一次报警，通知用户出现了一次潜在的、分布式的慢扫描。在这种情况下，安全管理工具可以在发生真正攻击时向用户发出警报。反之，事件管理工具应当很智能，可以不去理睬不会对系统造成伤害的攻击。这样看来，当事件管理工具与脆弱性评估数据联系在一起时就会显示出更大的价值，事件管理工具是企业安全整体解决方案中的一个关键部分。

　　 目前大多数集中式安全设备都可以完成格式化和汇集/过滤工作，可以对来自同一类安全设备的报警信息进行关联分析，例如对来自分布式IDS的报警信息或是对来自不同客户端的病毒报警进行统一分析，但能够把来自不同安全设备的信息关联起来的安全管理设备并不多见。目前，市场上还没有出现能够真正同时分析不同安全厂商的安全产品信息的集中安全管理设备。在实际网络环境中，各种安全事件是紧密联系在一起的，预计能够综合各种报警信息的安全管理产品要等到2003年底才可能出现。 　　

　　 管理设备的规则

　　 在实际应用中，一些用户利用安全事件管理工具采集分析IDS报警信息，已经从中受益。对于一些在全国范围内设有分支机构的用户来说，安全事件集中管理工具能使设在不同区域的分支机构的安全水平保持一致，不会因为个别分支机构的漏洞而影响全局的安全。

　　 正确分析报警信息，用户必须能够干涉安全事件管理设备的信息处理过程。厂商和用户都应该把重点放在加入信息关联规则方面。许多厂商已经把关联规则预先集成到安全管理产品当中，一些公司的产品也允许用户自己创建规则。对于用户来说，后者比使用集成规则更具吸引力。这是因为集成规则通常是“常识的、善意的规则”，而对用户来说没有比自己内部人员更了解应该使用什么规则最有效。用户在自己编写规则时也会遇到一些困难，于是一些厂商也开始推出一些集成的也能让用户修改的折衷产品。例如，目前市场上出现了一种管理工具，这一工具提供了大量可供用户打开和关闭的预先定义的关联规则。 　　

　　 没有免费的午餐

　　 安全事件管理厂商正在解决安全事件管理工具存在的一些缺点，这些缺点包括缺少可伸缩性和造成安装费用增加的处理器与存储需求。在可伸缩性方面，安全事件管理工具能够管理各种防火墙、路由器、VPN、防病毒和IDS。所有以上系统都需要不断记录安全事件，成百万、成百万的事件要被记录在数据库中，这需要高速处理器及时进行处理。

　　 安全管理设备需要相应的存储设备作支持。存储设备的容量是根据厂商的实现方法和用户的使用要求来确定的。如果产品设计是需要保存所有的日志数据，而不是只保存有关数据，这就需要较大的存储空间。如果用户希望能够看到90天而不是３０天的历史报告，这自然需要更大的存储空间。

　　 部署纯软件安全事件管理设备时还需要考虑采用相应的硬件设备。以适合低端用户使用的Network Intelligence管理软件为例，它所需要的专用设备起价约为18000美元，同时对于较大型的公司来说，OpenService公司软件的典型安装费用约为100000美元。同样，能够监测20台设备的e-Security软件的入门级安装费用则需要95000美元。

　　 生活中没有免费的午餐。不过，人们从安全事件管理中得到的好处要远远超过初装费用。人们也应该认识到，如果不在安全事件管理设备方面投资，人们将会面临病毒、入侵等灾难所带来的更大的经济损失。