简化安全管理选择SIM

申请免费试用、咨询电话：400-8352-114

【计世独家】作为企业CSO，你是否面临着各种海量日志信息的困扰？一种新的安全信息管理（SIM）工具，有望将你的这种烦恼消除。

面对日益增多的海量安全日志信息，最近出现的新的日志管理工具有望将人们从烦琐的日志信息分析中解放出来。

安全信息管理（SIM）产品目前逐渐成为网络安全基础架构中的一个关键部分。正因为如此，弄清楚用什么标准选择SIM就变得很重要。此外，在这个迅速发展的市场中，SIM本身也在不断演变：演变成安全事件管理器（SEM），变成安全信息/事件管理器（SI/EM）—未来不知还会变成什么。但有一点必须认识到，弄清楚架构的区别和实施需求比弄清楚行业的缩略语和产品名称更重要。一股合并浪潮已经开始席卷SIM市场。

何谓SIM？

SIM 产品能够自动收集及分析来自网络上所有安全设备的信息。安全管理人员没必要查看来自防火墙、入侵检测系统（IDS）、反病毒软件、虚拟专用网（VPN）及其他安全系统的日志和报警，利用单一的SIM控制台就能获得所有这些信息。有些SIM产品只是把来自这些不同设备的报告聚合起来；有些产品则可以对信息进行关联，从而提高整体安全信息的质量和准确性。

这种数据聚合有两大优点：首先降低了安全监控的成本，又提高了效率；其次，简化并改进了报告安全信息的机制，可用于审查，从而实现法规遵从。这些法律包括《健康保险可携性及责任性法案》（HIPAA）、《萨班斯－奥克斯利法案》、《金融服务现代化法案》（GLB）和《联邦信息安全管理法案》（FISMA）等，并报告不遵守这些法规将带来的后果。这是促使公司加快部署SIM的几个主要动因。

这里有必要介绍一下SIM、SEM和异常检测软件之间的区别。SIM系统往往收集来自不同的安全设备的各种信息。这些信息包括事件、报警、平常状态以及捕获的全部网络流量。

而SEM产品关注的往往是事件和报警，并增强入侵检测系统（IDS）的功能。异常检测软件则采用了略有不同的方法：先是检查网络，建立条件和行为基准，然后报告这些模式出现的任何变化。

有些SIM在实际使用时采用了异常检测技术中的技术。实际上，这三种产品的功能正在迅速趋向融合，但最终出现的这种统一产品叫什么，还有待确定。

如何选购SIM？

1．考察SIM是如何获得信息的。

一个基本的问题是，SIM是依赖安装在网络上的代理程序（有时叫监控程序或者探测程序）还是从现有的网络基础架构生成的日志文件和SNMP事件中获得信息？如果SIM产品依赖自己的代理程序，把进来的信息与事件处理紧密地联系起来，效率就要高一点。如果SIM产品依赖日志文件和SNMP事件，它的覆盖面就要广得多（不过你必须确信它能处理网络设备生成的日志文件），部署成本也比较低。

有些产品综合利用这两种架构，既接受处理日志文件，又使用自己的专用代理程序。你要看一下自己网络的架构，弄清楚哪一种方法能够为SIM提供最大的可靠性。

2． 考察信息将在何处进行处理。

在各种规模的网络上，SIM都能处理大量的数据。想知道某个SIM产品能不能处理网络生成的大量数据，关键在于要知道数据具体在哪里被处理？如何被处理？几乎所有的SIM产品都有两个主要部件用于创建及显示信息：SIM设备本身、在远程工作站上运行的应用程序。如果所有信息都不得不在主设备或在工作站中进行处理，那么一旦网络流量变大或事件的密度变得很大，性能就会成为问题。向厂商询问一下数据在何处被处理、是不是由两个（或更多）系统共同进行处理，就变得非常必要。延迟的安全信息会导致你成为被攻击的对象，而原本你是可以躲过这种攻击的。

3．考察信息将如何进行关联。

所有SIM产品都能获得来自网络上许多信息源的信息。有些产品可以收集来自外部信息源的信息，这些外部信息源包括公共威胁识别服务和专有的关联网络。有了 SIM产品，安全工程师不需要为了查看日志文件而在工作站上打开93个窗口；另外，在很大程度上，SIM产品还能查找网络流量模式，由此增添了新价值。这项工作需要SIM的两大功能：一是能够收集来自不同地方的数据；二是具有智能，可以把所有这些数据转变成有意义的信息，两者缺一不可。正如SIM产品获得来自网络上所有重要设备的信息一样，关联数据也会来自你信任的信息源。

4．考察报告是如何生成的。

接到通知、得知网络上出现了未授权活动是一回事，说服不大精通安全的网络管理员对此采取相应的行动则完全是另一回事。你希望SIM产品能够生成报告来支持你要采取的行动——而且能迅速生成报告。如果产品本身带有内置的报告，你只要修改一下，就能提供专门针对公司及相应事件的信息，那么你就大大领先了一步。

说到审计以便遵守法规，内置的报告是极其重要的，因为这可以大大节省时间。如果你知道审计部门需要的格式，那么无论如何都要事先问一下这些报告是否包含在你所考虑购买的SIM当中。某些审计报告可用于法规遵从，这本身就证明有必要购买SIM系统。

5．考察SIM如何查看重点事件。

报告在许多情况下都很重要，不过说到日常的安全分析，人们会把大量的时间用于分析SIM显示的数据。界面整洁、组织有序的窗口以及深入分析按时间、严重性和类型报告的事件等功能，将关系到是否能提高用户的工作效率？关系到按照指定的标准来分析流量有多容易？关系到客户端中的引擎在指定的时间段内查找信息有多容易？关系到查看某些地址之间或某些客户端之间的信息交流是容易还是困难？

正如任何产品一样，你希望产品拥有易于定制的屏幕，能自动进行分析，以满足你的要求。

６．考察SIM如何与其他应用共享信息。

毫无疑问，SIM产品是安全基础架构中的一个重要部分，但它无法单独使用。你需要其他软硬件来处理SIM产品发现的事件；如果SIM产品本身能够处理与网络中其他安全设备之间的关系，用户的任务就会轻松一些。你在物色SIM产品时，要考虑以下的事情：希望安全人员如何使用自动化系统？系统如何处理尽可能多的事情？系统能通知工作人员采取什么动作？是否希望系统提供智能帮助的同时，能让工作人员负责控制？

有些SIM产品采用其中的一种工作方式，或者多种方式兼而有之：开始由人员来控制；等人员对产品功能越来越熟悉后，慢慢地将更多的权力交给系统。因此要问一下厂商将采用哪种方式，以便采购的产品能符合部署的目标。

7. 考察SIM产品的安装及配置有多容易。

这方面根本无法预知。与几乎任何一类硬件或者软件一样，有些SIM产品安装起来比较容易；而有些则需要大量时间才能安装完成。在大多数情况下，部署SIM产品需要两项耗时的任务：让SIM产品收集来自网络的信息；让人员收集来自SIM产品的信息。

把信息提供给SIM产品的难度并不一样，这取决于SIM产品是否收集日志文件、是否收集来自自身探测程序的数据，或者同时收集来自两者的信息。最初的工作量或多或少依赖于SIM产品收集信息的程度：SIM产品对网络上的所有设备进行扫描吗？还是只探测网络信息流来查找事件、资产和可疑的流量？

同样，对安全监控及分析进行配置的工作量可能也大不一样，具体取决于每款SIM产品的自动化功能有多强。有些SIM产品能够自行完成配置，基本上不需要人员干预。有些产品却需要你逐步完成冗长的配置。后者需要更多的时间，不过好处是，这种系统从开始就能帮助获得专门针对自己需要的信息。