cisco信息安全解决方案计划.pdfVIP

! !# ! !# 在确保 IT 基础设施的安全方面，当今企业面临着很多挑战。利用现有人手来处理越来越复杂的工 作就是在可以预见的未来继续存在的挑战。这一复杂性的两个主要来源就在于入侵检测系统 （IDS ）、防火墙（FW ）、操作系统（OS ）、应用（APPS ）以及防病毒系统（AVS ）所检测和报告的 数量极大且种类繁多的安全警报。仅一个防火墙每天就能产生超过十亿字节的日志数据，而一个 IDS 系统每天能产生超过 500,000 条消息。 更糟糕的是——这些安全系统所产生的很多信息大多是假肯定（即表示有敌对活动，但实际上没 有）。多数消息只不过是表示网络资源正常合理使用情况的古老数据。这里的挑战在于如何区分并 优先化那几个的确表示真正安全威胁的消息。这一将重要安全事件从 IDS 、FW、OS、APPS 以及 AVS 等消息的白噪声中区别出来的必要性也是更大规模经济现状的一部分，即要求机构能更有效 地利用其现有的安全资源。因此运营中心内部安全运作工作负担和各项任务优先化的自动化是至 关重要的。 1 ! !# 更有效的安全自动化的关键在于 Cisco 公司率先开发的软件技术——安全信息管理（SIM ）。SIM 结合了若干与众不同的特性来实现对安全事件数据的收集、规范化和分析。Cisco SIM 技术的核 心在于三种重要的数据关联功能—— 一种是基于安全政策规则的定义，另一种是基于统计威胁评 分，而第三种则是基于与资产相关的实际漏洞 。 虽然目前存在很多用于事件关联的技术，但Cisco公司的技术处于行业领先地位，因为它集成了可 用于衡量两个或多个安全事件之间关系的三种独特的关联功能，来确定事件发生的可能性。当检 测出可疑的安全活动时，Cisco SIMS 系统就会提醒操作员注意，进而采取适当对策。 Cisco SIMS 基于规则的、统计的和漏洞的关联功能既与众不同又功能强大。虽然每种关联技术都 是非常准确的，但实施起来却十分简单和直截了当——其中每种技术都从不同角度来实现事件关 联，进而保护企业免遭更广泛的潜在安全事件的威胁。为了实现这一 目的，Cisco 公司提供了一种 可作为一整套 SIM 功能之有机组成部分的综合管理解决方案。 ! !#$ Cisco SIMS 解决方案集成了三种与众不同且功能强大的事件关联方法——第一种是基于规则的关 联，它可通过针对从 SIMS 所监控的 IDS、FW、OS、APPS 或 AVS 设备 中接收的每个事件来激活 “时间警觉型”安全政策规则，将假肯定安全警报与可能十分重要的安全事件区别开来。