思科防火墙销售指南之管理篇(7)

　　在安全集中信息管理平台中，我们目前所面临的最大挑战之一是，帮助我们做出正确判断的依据被不断增加的、多个厂商的安全设备和多个系统所产生的大量安全信息所淹没。比如一次简单的Smurf攻击，网络入侵监测系统会报警，防火墙会报警，遭受攻击的主机会报警，相关的路由器甚至交换机都会报警，汇聚到安全管理平台就是多次报警，而其实攻击就只有一次。只有能够提供有效管理、隔离和优先处理代表着实际安全威胁的消息自动化处理系统，才可以保证安全响应的时实性，从而才可以在重大的安全灾难来临之前有准确的的应急响应措施。

　　目前行之有效的安全集中管理关键技术之一是一种称为安全信息管理（SIM）的软件技术，此技术可以搜集和分析网络所面临的各种安全事件数据，提供强大的智能分析和处理能力。

　　利用这种技术，可以有效地管理不断扩大的安全基础设施和有效监控处理数百万个事件消息。这种技术具有以下特点:

　　提供对于多厂商安全环境的、全面的事件监控

　　具有先进的虚拟化功能，实现迅速、直观的安全监控

　　具有风险评估能力，可以揭示网络中的任何特定资产的总体风险和网络的安全状态

　　对于所在级别的安全操作的全面报告和危害预测，提出智能化的建议

　　可以帮助大大提高生产率和降低生产成本

　　CiscoWorks SIMS 3.1集中安全信息管理平台

　　思科公司的CiscoWorks SIMS 3.1集中安全信息管理平台正是利用SIM技术，通过四个不同的阶段，搜集、分析、关联来自于整个网络系统的安全事件信息，进行规范化、汇总、关联和虚拟化。

　　规范化

　　在规范化阶段，CiscoWorks SIMS 3.1将收集所有的入侵检测系统、防火墙系统、操作系统、应用和防病毒系统的安全事件，并将其转换成一种通用的、便于理解的XML格式。

　　汇总

　　在汇总阶段，安全事件将进行汇总，清除过滤掉重复的安全事件数据——安全管理员最终只看到关键的攻击信息。

　　关联

　　利用统计关联技术，规范化安全事件，按照资产或者资产群组归入不同的安全事件类别。事件类别可能包括刺探攻击、病毒攻击和拒绝服务攻击等。对于每个资产，CiscoWorks SIMS 3.1可以通过事件的严重程度和资产的价值结合到一起，结合响应的安全威胁指数，以确定安全事件的总体潜在威胁。CiscoWorks SIMS 3.1能够发现那些被基于规则的关联系统所忽视的异常情况，提供完整的安全信息。