网络安全维护的工具.docxVIP

SｅcviewSOＣ

网络安全维护的必备工具

一、网络安全现状

大部分的网络如图构成：

网络设备、安全设备、服务器、应用系统、数据库、环境监控

即使用户购置了FIREＷALL、NIDS、防病毒系统等安全设备但是还是有大量的安全隐患存在和安全发生事件：

安全事件不能及时准确发现

海量事件（海量的安全事件充满着大量不可靠的信息,从而变的毫无价值。网络设备、安全设备、系统都会不可防止的产生对网络不会导致影响的无效事件，有的设备事件报警一天可以上万甚至几十万，人工分析已经变得不可能）

误报问题(经典的如ＮIDS、IPS）

漏报问题（如未知病毒、未知网络攻击、未知系统攻击)

漏报另一大因素：缺少重要服务器、网络设备的安全曰记实时分析(ＮIＤＳ即使可以防御网络攻击，但是黑客运用对服务器、网络设备系统漏洞却一筹莫展，这就规定对重要的服务器、网络设备除了做好安全加固外,还需要实时对系统安全曰记做分析监控,当非法用户或超级权限用户探测系统信息的时候，就会在安全曰记里迅速地记下服务器、网络设备被探测时所用的用的ＩＰ、时间、探测所用的用户名和密码等等，一旦管理员发现此事件可以及时采取方法;；对于安全设备如firｅwａlｌ天天产生大量曰记，里面有黑客预攻击或者扫描的记录，由此可见实时曰记审计的重要性。但是每台服务器或网络设备天天产生的曰记可能有上千条甚至几十万条,这么人工地对多个安全系统的大量曰记进行实时审计、分析流于形式。)

安全事件不能准拟定位

事件孤立相互之间无法形成很好的集成关联，給系统管理员提供的控制台各种各样,一个事件的出现不能关联到真实问题。(如NIＤS事件报警,关联同一时间防火墙报警、被攻击的服务器安全曰记报警等,从而了解是真实报警还是误报；如未知病毒的攻击，分为2类网络病毒、主机病毒,网络病毒大都体现为流量异常，主机病毒大都的体现CPU异常、MＥM异常、DＩSK空间异常、文件的属性和大小变化等，要发现这个问题，需要关联流量监控(网络病毒）、关联服务器运营状态监控（主机病毒)、关联完整性检测(主机病毒）来发现,为了大规模在网络内暴发前,必须迅速发现问题在中毒机器源头切断；如发现网络流量异常，超过正常阀值，那么在网络设备的端口出会报警,在这个情况并不能拟定问题因素，需要经过事件关联,发现网络设备所在上级和下级网络设备是否报警，一方面可以拟定网络流量异常所在位置，然后依照所在的Ｓｎｉfｆeｒ、ＮDIＳ、曰记分析系统是否发现安全报警,假如存在阐明是未知网络攻击行为或者是未知网络病毒；假如没有那么可能是正常量增大导致的。如服务器的宕机,可能是安全事件遭病毒感染，DDＯＳ攻击，可能是服务器健康ＣPＵ超负荷,端口某服务流量太大，访问量太大等，必须将多个因素结合起来才能更加好分析，迅速知道真实问题点及时恢复正常。……）

没法做集中的事件自动记录

无法自动了解某台服务器的安全情况报表,全部机房发生攻击事件的频率报表；网络中运用次数最多的攻击方式报表；发生攻击事件的网段报表；服务器性能运用率最低的服务器列表等等。需要管理员人为去对这些事情做记录记录,生成报告，花费大量人力。

没有有效的事件解决查询

没有对事件解决的整个过程作跟踪记录，信息部门主管不了解哪些管理员对该事件作了解决,解决成果过程没有做记录，解决得知识经验不能得到共享，导致下次再发生同类事件时，解决效率的低下。

缺少专业的安全技能

管理员发现问题后,因为安全知识的局限性导致事件迟迟不能被解决，影响网络的安全性、延误网络的正常使用。

二、SEＣVIEW可以解决的问题

自网络和互联网技术和使用被广泛的运营以来,暴露出较多的安全隐患和因为内部员工的误操作或恶意破坏导致的严重损失。为了防止和降低安全和系统故障对用户导致的危害，由信息中心对所属的业务进行集中式的监控维护，并对安全产品实现集中监控,建立统一的网络安全监控和响应中心，对安全事故做到防患于未然、及时发现、及时解决解决和追踪危害起源。

对需要保护的用户进行安全意外、系统故障和非正常宕机现象进行事前的预警、事中的紧急解决和事后的问题分析和总结。

ＳECVIEW集中监控平台的重要关键不仅仅是产品自身，更重要的是建立一个一级监控、二级维护的体系。

劳动力节约,提高维护效率

用户只需要在一个平台上就可以了解网络中重要资产，网络设备、服务器和应用服务、数据库的运营情况中和发生的安全事件，每个设备产生的大量的安全事件,而导致的海量事件,经过SECVIＥW筛选过滤器，可以将大量无效信息过滤，将真实报警展现給用户。简化了公司网络安全维护。

填补安全的局限性,提高整体安全性

填补局限性:经过ＳＥCVIＥW曰记分析系统，对系统、设备安全做实时监控，有效提高了重要服务器、设备的安全。

误报:经过SＥCVIEW关联分析有效降低NIDS的误报问题

漏报问题：