【原创翻译,版权所有,合作网站如欲转载,请注明原创翻译作者,及文章出处(赛迪网)。谢绝非合作网站转载,违者,赛迪网将保留追究其法律责任的权利!】
购买一种SIM(即Security Information Management安全信息管理)产品之后,我们需要做的工作是很多的。也有人认为,要想证明安全信息管理的效能绝非易事。事实上,安全信息管理并不像反恶意软件产品那样能够产生直接的安全利益。用户并不接触它们,就像对待一个新SSL VPN集中器一样。它也不像防火墙那样是人人都十分需要的安全产品。
然而,一个安全信息管理产品通过提供总体的透明度并支持你所拥有的安全产品,能够带来巨大的价值。管理的一致性可以成为购买安全信息管理产品的首要的驱动因素。不过,在选择一种安全信息管理产品时,有许多不太明显的但需要考虑的益处。实现一种安全信息管理的全部价值的关键方面是要理解其所有的益处,并以一种可以带来最大利益的方式来支持这种产品。
在一个安全信息管理产品所能提供的众多功能中,最重要的可能要算是它会从IDS检测器、IPS设备及防火墙中接收大量的数据。从这个意义上讲,一个SIM可以充当一个IDS控制台,可以帮助操纵通常情况下的海量的IDS数据。不过仅靠这项功能并不能为那些已经拥有了一个IDS控制台的企业提供充足的购买利益。
从更大的利益上讲,可以特别关注一下IDS事件的分析并重视SIM产品的警告和分析特性。这些特性会很快就被安全团队所赏识,其它的IT人员所会发现其巨大用处。例如,大多数IDS都拥有一些识别特征,可以帮助跟踪受病毒感染的系统或受特洛伊木马控制的系统。你可以使用SIM的警告来将受感染系统的数据快速传送到企业的帮助桌面,从而通过一种更加前摄性的方法来跟踪和解决这些问题。
一个SIM还可以收集防火墙的数据,这是相当有益的。你的SIM知道网络上有哪些最重要的“发送者”和“接收者”,并可能帮助确认那些“热点”和频繁地、大量地被使用的协议,这正是网络带宽控制发挥其作用的所在。在部署一个SIM时,需要通过共享报告和专注于带宽利用的控制面板来将网络工程团队带入到其作业平台。不管安全问题怎样,一个SIM可能是企业中能够向网络提供这种层次的可见性的唯一系统。
从传统的安全框架之外来考虑是支持SIM相关工具和规范化性能的好方法。虽然SIM专注于其所收集数据的充分含义,每一个日志都有其意义,这些意义可能会被成堆的不相关的细节所掩盖。例如,大多数设备都能够发出可以预示未来故障的登录消息,如不良的电源供应、风扇或硬盘驱动器故障等。使用你的SIM发现这些消息,你就能够将未来的紧急故障变为一个有规划的维护窗口。
在Windows和Unix服务器中大量的未被检查的日志还有另外一个潜在的好处。并非每一个SIM都擅长于Windows的问题,不过所有较好的产品都能够接受Windows事件日志,即使它们需要使用Snare等工具将其转化为系统日志的日志转发标准。虽然大多数系统管理员都已开发了自己本地的观察日志的方法,一个SIM还是提供了在单一的管理控制台中收集这些日志、规则和警告的地方。在以这种方式发挥SIM的杠杆作用时,你可以通过省去安装和配置本地日志观察工具的步骤来减少部署所花费的时间。而且,通过鉴定来自多个系统的多种相关日志,比起一次考虑一个系统的一个日志来,你可以获得更高的安全性的清晰度。
一个SIM一定有其自己的优缺点和处理其任务的独特方式,不过充分利用其杠杆作用来促进更高的网络性能和控制,会保障企业充分利用其投资。(责任编辑:李磊)
