理念前沿

在企业发展的同时利用网络提高运营效率

安全性

在中小型企业(SMB)的网络安全部署过程中,一场风暴正在酝酿。现在,由于IT人员在网络中添加了入侵检测和预防系统、防火墙和虚拟专用网(VPN),因而整天都"浸泡"在事件日志文件、警报和虚警中。

不仅如此,层出不穷的法规还需要IT人员提供法规遵从性报表和审计报表,例如美国健康保险便携性和可说明性法(HIPAA)和Sarbanes-Oxley法(SOX)、欧盟的Basel资本修订法(Basel II)。如果企业没有建立适当的监控和响应系统,很快就会淹没在数据的海洋中。

位于加利福尼亚州配特鲁马的金融服务机构Legacy Marketing Group 的IT网络规划经理Troy Myers说,公司必须满足多项法规的要求,包括Gramm-Leach-Bliley法(GLBA)、SOX和HIPAA。Troy Myers解释说:"除了标准策略审计师要求的信息,包括业务连续性计划、系统访问控制、物理和环境控制等以外,我们还需要提供只能由网络设备收集并存储在独立日志文件中的信息。最困难的地方在于,我们必须将这些日志文件整理成有用的逻辑格式。"

与其它中小企业相似,Legacy 也需要将海量数据转换成有意义、可操作的信息,以便更好地保护网络,并满足各项法规的要求。尽管只有1.5万美元的预算和不到两个月的时间,但Myers 与拥有VPN安全专业化认证的思科高级认证代理商 NetworkGuys 公司一起,只部署了一台设备就解决了这个问题。Legacy部署的这台设备是思科开发的安全信息管理(SIM)设备--思科安全监控、分析和响应系统(Cisco Security MARS)。

救生艇:SIM

SIM是最近几年刚刚出现的一种一体式安全设备,由于它能够汇总、关联和排列来自各种设备的日志数据,将其转换成易于使用的格式,因而有效地简化了网络安全数据管理。

SIM能够将日志分析和事件关联实时地与入侵检测结合在一起,使企业能够:

  • 从同一个中央控制台监督和控制TCP/IP网络上的安全设备和软件;
  • 自动收集和关联重要的网络和安全事件数据;
  • 轻松地识别各种新威胁,并快速作出反应;
  • 满足法规数据管理要求;
  • 为执法机构提供审计报表。

Gartner 的研究经理、安全性和私密性专家Amrit Williams 说:"最近,法规遵从性已经发展成企业面临的大问题。企业不但要保证网络和系统的安全,还要保证用户访问事件的安全。"

IT员工可以使用网络安全信息满足法规遵从要求,制定新的安全策略。由于SIM设备能够提供潜在威胁可能穿越的网络和数据路径的系统级可视化信息,因此,网络管理员可以利用这些信息制定安全策略,及时阻止类似的用户访问或流量。通常情况下,审计师审计的主要内容是,看企业是否执行了自己制定的策略。

由于安装和使用都不需要很多安全知识,因此,SIM非常适合IT人员较少的中小企业使用。另外,SIM还能滤除虚警消息,指出潜在威胁,因此,一个人就可以分析来自几十台设备和应用的日志文件。由于员工能够大大缩短花费在收集和处理日志文件上的时间,因而大大降低了企业的成本。

某些SIM设备还可以检查普通网络交易以外的操作,例如混合攻击、蠕虫、零日攻击和间谍件等,因而能消除这些威胁。SIM发现异常之后,将显示潜在攻击经过网络的路径,以便管理员能够向途经组件发送抵御命令,以缩短网络停顿时间。

公司需要将海量数据转变成有意义、可操作的信息。

SIM设备能通报它收集到的网络交易信息,包括在向政府机构说明法规遵从性时非常重要的用户访问事件。

得来全不费工夫

除SIM设备外,中小企业还可以委托经销商和咨询公司管理其安全和审计职能。事实上,根据Forrester Research 的分析,2005年,安全评估和规划是中小企业购买最多的三项咨询服务之一。

例如,为执法机构生产仪器的5.11 Tactical 公司就采用了这种方法。高级网络工程师 Elias Martinez 说:"我们一般都委托外部公司执行安全审计,以及Web服务器和电子邮件监控,以保证Web的正常运行。"该公司的合作伙伴是思科中小企业核心和高级认证代理商合作伙伴NetLogic Solutions公司。

无论是通过经销商、咨询公司还是使用SIM设备,中小企业都可以成为海量安全数据的主宰。

自由技术撰稿人LESLIE T. O'NEILL 一直担任INFOWORLD MAGAZINE的测试中心管理编辑和专业项目编辑。

下一步

如需详细了解Cisco Security MARS设备,请访问:cisco.com/go/iq-csmars

来自思科

让有用的数据浮出水面
思科安全监控、分析和响应系统(Cisco Security MARS)是一种SIM设备,它能够将分布式威胁消除和入侵防御有机地结合在一起,全面显示网络中发生的全部事件。

该设备能够监控、收集和关联来自多种网络组件的数据,包括来自不同厂商的设备的数据。它不但能提取和管理从路由器、防火墙、VPN、入侵防御系统和防病毒应用日志收集到的数据,还能提取和管理来自数据库、Web和认证服务器以及网络包的数据。另外,它还能自动产生法规遵从报表。

与某些SIM不同,Cisco Security MARS 能帮助企业实时应对和抵御各种威胁。它提供网络行为的图形显示,并能够向威胁经过的整条数据路径发出抵御命令。

当Cisco Security MARS发现企业应该关注的安全意外事件时,它将及时向您通报有问题的设备或端口,并说明管理员应该进行哪些配置才能拦截这些流量。另外,它还能自动检测和阻止各种异常行为。--L.T.O.

了解更多信息

揭示漏洞

从总体质量管理的角度确保安全性

联系我们