SIMS事故响应管理.PDF

! SIMS !# !#$% 安全行业的多数人都已经熟知我们每一天所面对的传统挑战，安全数据太多而无法筛选、假报警 太多而无法应对，缺乏足够预算或资源来处理越来越多的安全事件。还有一个经常被人们所忽视 的挑战在于安全管理流程本身。在事件响应计划 （IRP ）中所定义的明确规定的、记录在文件中的、 可重复的安全管理流程，是确保企业快速而准确地处理安全事件的必要条件，而当今很多 IT 企业 却基本上忽视了这一点。 对于任何机构而言，及时和有效的事件响应直接关系到能否最大限度降低事件所导致的损失。它 也许还有助于避免代价高昂而往往很难恢复，往往会随安全事故而导致声誉损失。有鉴于此， 通过制定一份系统化事故响应预案而做好准备，不失为机构可以采取的成本效益最好的安全措施 之一。 IRP 可以帮助企业回答在安全事故发生之中乃至之后所引发的关键问题。这些问题可能包括： ● 我们现在该怎么办？ ● 我们该如何使网络恢复原来的正常状态？ ● 谁该负责处理此次事故？事故是否得到了有效处理？ ● 我们该如何避免此类事故今后再次发生？ ● 我们如何把准备工作做得更好以避免其他事故的发生？ 建立IRP的过程比我们想象的要更容易，SANS研究所最近就刚刚公布了一套最初是为美国能源部 开发的，而后被美国政府其他部门采纳的六步事故响应方法。这套方法包括处理安全事故的六个 关键步骤： 1. 准备 2. 识别 3. 封堵 4. 根除 5. 恢复 6. 后续 SIMS !# 当在整个企业中部署IRP 时，企业一般是依靠事故响应管理系统来实现尽可能多的程序的 自动化。 然而，经常发生的问题在于，今天的多数企业所依赖的都是Remedy 或 Computer Associates 帮助 台系统等一般化、非安全的智能化 “事件跟踪”系统。 这就要求企业建立一个针对安全管理而定制的全面的事故响应管理系统——这个系统应该完美地 集成到总体安全信息管理（SIM ）解决方案之中。 SIMS解决方案再配合 以新推出的事故响应管理模块就构成了对任何IRP 系统的完美补充，因为它 包含 了全部或至少大部分解决哪怕是最复杂的安全事故所需要的数据和程序信息 。更具体地说， SIMS 事故响应管理（Incident Resolution Management ）专注于收集安全事件数据并将其组织成 逻辑形式，然后执行适当的安全响应工作流，从而实现对安全事故的快速和有效响应。此外，通 SIMS !# 过利用SIMS的事故响应管理知识库，用户就能获得进一步的决策支持来帮助 自己解决几乎任何安 全事件。 SIMS实现了安全信息管理系统与事故响应管理模块的紧密集成，因此可为所有的安全操作员和分 析员提供很多重要优势 。通过建立一个 同时针对事件管理和事故响应管理的控制点，操作员和分 析员就都有了一个强大的解决方案，可轻松监控各类事件进而对已发生事件进行响应和跟踪。 SIMS !#$% 很少有别的SIM解决方案能提供内置的事故响应管理 （IH ）模块——相反它们往往依赖的是Rem- edy 公司或 Computer Associates 公司等厂家所提供的外部系统。Cisco SIMS 集成了 目前市场上 最先进的安全事故响应管理解决方案之一，提供了一整套特性来处理哪怕是最复杂的安全事件管 理需求 。而且，Cisco SIMSIH 实现了与基础 SIM 产品的全面集成，并可实现事件检测 / 响应与事 故响应管理 / 跟踪之间的无缝转换 。在本节 中，我们将着重探讨 Cisco SIMS IH 的几个重要特性 。 !#$!% SIMS IH 采用了一个强大而易用的图形用户界面（GUI ）。利用这个 SIMS IH GUI，操作员和分