扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
来源:赛迪网技术社区 2007年10月10日
关键字:
在本页阅读全文(共10页)
需要指出的是,这三个层次并非孤立存在。网御神州安全管理产品经理叶鹏表示,所有安全管理的对象都是企业的IT计算环境。这个IT计算环境涵盖了网络设备主机、应用系统、数据库、安全设备。而在此基础上的安全管理才更加有效。
事实上,以上三个技术层次并非单一的安全产品。谭兴烈介绍说,目前业内通行的做法是,将三种技术打包成一个统一的基础架构,称之为安全管理平台。这个平台类似于企业常用的中间件,它把所有的监控、采集、分析全部都融入进去,并提供标准的安全服务接口,提供给用户具体的软件使用。
据悉,像神州数码网络、网御神州、卫士通等企业已经根据平台架构开发了三种功能产品。而新华人寿集团的IT负责人指出,作为大型企业,他们对于安全管理情有独钟。而灵活的功能配置,可以让企业用户根据需要进行采购。对此,王景辉也表示,即使用户将三个模块全部用到,整个安装和使用过程也都是在一个技术平台上,因此不会带来额外开销。
风险导向型技术
细心的读者会发现,三个技术层次看上去更像建设安全管理平台的三个步骤。事实上,这种思路确实具有容易实施的特点,但在逻辑缜密性上,似乎有进一步突破的余地。对此,陈刚的看法是,他们从用户最根本的需求入手—量化风险、降低风险—以此为出发点,设计了基于风险管控的安全风险管理SRM模型。
同样,SRM也是一个庞大的整体,而且其复杂性似乎更高。目前,基于SRM的安全管理技术同样包括了三个层次。
第一层,完善的安全基础设施。这一点和国产厂商提出的SNI比较类似,都强调企业用户必须要有基础的防御手段。
第二层,在法律法规符合性方面进行风险评估,并将遵从性意见报告与评估结果呈现给企业用户。事实上,这一层是很多国际上从事安全管理技术研发的厂家比较关注的。特别是随着萨班斯法案公布以来,越来越多规范上市公司行为的法律法规都将对企业的管理、财务提出要求,其中势必涉及到对IT系统的安全要求。
第三层,利用统一的技术,实现将前两层从上到下串联在一起。对于这一点,陈刚解释说,传统上单独的安全技术,或者单一的法律法规之间,都是空洞且没有联系的。根据经验,很多用户需要一种手段,把防御手段与法律法规或者企业要求的东西结合在一起,统一进行管理。换句话说,这种技术产生的结果,就不是简单地生成决策意见,而是需要直接调动具体的防御设备,帮助用户作出防御动作。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。