企业信息管理解决方案-Cisco.PDFVIP

! !# !#$% !#$% !# 在 2001 年，几乎每个企业都受到了安全攻击的影响。虽然大多数安全攻击——约占 90% —要么 是拒绝服务（DoS ）要么是病毒攻击，但据《信息周刊》（InformationWeek ）称（4/01 ），在全美 国，管理攻击和安全基础设施的总成本已增加到大约 $2660亿美元。构成这一成本的大部分在于 检测安全事件和修复这些事件所造成的破坏所涉及的人力开支。 另据《信息周刊》（InformationWeek ）介绍，目前，安全攻击的数量持续增加——比去年至少增 多了 15%。此外，目前大多数攻击都是兼备了红色代码（Code Red ）和尼姆达（Nimda ）等一 系列不同攻击机制的更复杂的“混合型”攻击。即使如此，大多数企业的最大担忧并不在于被《今 日美国》（USA Today ）头版称为“又一个安全攻击的牺牲者”所带来的困扰，而是在于安全事件 检测和补救所导致的底线成本。企业必须能从上到下妥善管理好各项安全成本 —— 特别是与人力 相关的成本。 为了抵御目前复杂的安全威胁，多数《财富》（Fortune ）1000强企业为此而付出的年均成本高达 五百万至一千万美元。多数企业都是通过投资购置防病毒软件、防火墙、公钥基础设施（PKI ）以 及入侵检测系统（IDS ）而进行外围防护的。这些设备的数量每年都会大幅增加。例如，美国东北 部某大型托管安全服务供应商（MSSP ）就是由一个 12人安全运行团队来管理整个企业中的 450 多台安全设备的——即每人负责监控约35台设备。到明年，这家MSSP 的在用设备数量将超过 550 台——也就是每人需要照管超过45 台设备！为适应安全设备基础设施的增长，该公司计划再增加 至少五名安全专业人员，预期每年成本会超过 $550,000 美元。 1 !#$% 外围防御战略的最显著特征之一就在于安全基础设施中每台设备会产生极大量的事件数据。在一 个一般的企业中，一台设备每一天都会产生多达十亿字节的告警信息。同样，一个 IDS 检测器每 一天也可产生 500,000 多条消息。这就表明了安全管理的一个首要 问题：安全设备所产生的数据 量实在太多，导致安全团队无法有效监控——更不要说关联了。 利用传统的安全分析方法，安全操作员可监控整个企业中的活动来揭示网络攻击或漏洞。他们必 须以手工方式来处理每台安全设备中所包含的极大量信息才能创建关于正在发生事件的全面视图。 以这种过时和无效的方法为基础建立法律分析系统的过程既耗费时间又代价高 昂，而且还会占用 本可用于其他更有价值的运营和/或安全活动的专家资源 。此外，传统的安全数据分析方法需要若