CIO应该如何解决安全管理中信息超载问题

日期:2008-7-3来源:赛迪网

  对于做网络安全技术的人来说,有一个很头疼的问题,就是每天要查看设备所产生的日志信息。现在每个设备都会产生大量的数据信息,如操作系统的日志,防火墙的事件信息,数据库的访问信息等等。出于安全的考虑,安全技术人员需要定时的对这些信息进行查看、整理。这些信息对于网络安全来说,是非常重要的,因为其可以反映出,是否有人在未经授权的情况下试图登陆其没有权利登陆的设备。但是,现在的问题就是,这么多设备所反映出来的信息,若在没有其他手段的帮助下,靠技术人员手工处理的话,那工作量是非常庞大的,信息超载问题是网络安全技术人员所面临的一个新的挑战。

  下面我结合自己的信息管理经验,谈谈我在这方面的处理方式。

  根据信息所反映内容的重要级别不同,有区别的对待

  一般来说,无论是硬件设备,如防火墙或者路由器,还是软件设备,如操作系统,其所记录的信息,并不是没有任何规律的。为了网络管理人员在遇到问题时,能够在系设备的日志信息中查到有用的资料,系统一般都对自身所记录的信息,做了归类。一般来手,可以分为三类。

  第一类是事件,他以流水帐的形式记录了设备在一定时期内进行了哪些操作。如有哪个用户在什么时间登陆上了数据库,进行了什么操作等等。除了这些信息外,还可以反映出设备运行的一些基本信息。这些事件信息,可以让我们安全管理人员了解系统运行的状况,了解有哪些授权用户访问了设备。在遇到问题时,我们也可以迅速的找到问题的创作者。如有一次,我公司的一个文件服务器突然中断了,全部员工都不能访问文件服务器,但是,网络是通的。一开始我以为是病毒原因,我查看了文件服务器的事件日志,发现是在这中间有人以管理员的身份登陆过这个文件服务器,修改了相关的配置所造成的。我把相关的配置修改回来,又一切正常了。所以,这些事件信息的时候,平时可能对于我们的使用价值不大,但是,当出现了什么问题时,如服务器受到攻击或者其他原因导致不能访问的,我们可以从这个事件信息中看出一点端倪来。故设备记录每天的时间是非常必要的,但是,定期、不定期的对这些信息进行查看、整理却是一件很头痛的事情。

  第二类是警报数据,这些数据是当设备出现一些可疑的攻击时,系统所产生的一些信息。这些警报信息我们可以自己设置,也可以由系统产生。如我们在以管理员身份登陆文件服务器的过程中,若成功登陆的话,在文件服务器上只会记录事件信息,而不会有这个行为的警报信息。若我们在尝试登陆的过程中,密码输入错误,若只是第一次输入错误的话,我们可以认为是正常的,那么也可以不用在警报数据中显示这个信息,而只在事件信息中进行记录;但是,若有人连续输入三次及三次以上密码都错误的话,那么我们就有理由相信这是一次恶意的攻击行为,有非法访问者想通过猜密码的方式非法登陆到文件服务器上,进行一些不可告人的目的,这个就是警报信息。根据密码策略,密码错误超过三次,该用户名无效。同时,也会把这条信息记录下来,其系统会自动归类为警报信息。而用户连续输入两次错误密码,但是第三次密码正确的话,则系统认为这是正常的,则只会在记录事件中进行反映,而不会在警报信息中反映出来。所以,作为企业网络的安全管理人员,要能够追踪所有的警报信息,因为这些信息可以反映出是否有人在恶意的攻击网络。

  第三类是事故信息。这类信息是比较严重的信息,如文件服务器遭受到RPC等欺骗攻击导致文件服务器瘫痪等等。这类信息记录着企业的网络设备的一些重大变故,如网络设备遇到问题重启或者网络流量突然增大所导致的数据访问瘫痪等等。

  这三类信息对于我们网络安全管理人员来说,其价值是不同的。事故信息,就好象是“110”指令一样,收到这个信息之后,我们要马上出发解决问题。而对于警报数据,在手头上有其他重要事情要处理的话,我们虽然可以暂时放放,但是,时间不能拖的太长,要尽快处理。对于事件信息的话,我们一般可以通过系统配置让其记录这些信息,在遇到事故信息或者报警信息的时候,再回过头去查看具体的事件信息,看看在警报信息或者事故信息发生的前后,设备在干什么。

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

信息安全管理>更多

  • 安全与隐私:公司应该做什么?

    亚利桑那州选民登记数据库不像是俄罗斯人明显的目标。但是在八月,FBI揭秘俄罗斯黑客装扮成亚利桑那州选举工作人员,并在该州安全系统上戳了个洞。

  • 区块链技术试水工程:碳资产开发平台部署

    区块链技术,最初是比特币的基础技术,也被称之为分布式账本技术,其特点是去中心化、公开透明,让每个人均可参与数据库记录。虽然,目前还在火热研究中,但也有企业已经开始试水使用。

  • Dropbox侵入和密码安全难题

    四年可以发生很多事。一名总统可以服务满他/她的任期;一项全新的技术可以浮现;一个发型可以回到某个造型,;或者在Dropbox侵入的案例里,你的密码可以在暗网上流通。

  • Stuart Madnick:黑暗网络的黑客更乐于分享信息

    在持续进行的,越来越多的针对世界知名企业的恶意网络攻击中,坏人占据上风。是什么原因造就了这样的的局面?

相关推荐

  • 公司网络安全:别忽略数据

    分析师可以帮助决定什么企业信息是最易受攻击的,哪里有安全流程漏洞,以及员工数据保护培训是如何缺乏的。

  • 网络安全投资商业案例

    在数字化时代,数据已经和现金一样具有价值,而不断增加的网络犯罪的威胁则迫使企业重新思考安全流程来保护他们的信息资产。

  • 兰德公司的网络安全经济模型都有哪些看点?

    兰德公司发布的这个模型极具参考价值。可以作为一个学习工具,更好地理解影响安全风险管理成本的主要因素,如何决定最佳投资,并且提供了对网络安全风险进行整体管理所需的知识。

  • 你的移动化策略安全吗?

    当企业应对移动安全之初,主要是为了保护公司的电子邮件和数据,但显然,仅仅保障这两个方面的安全是毫无意义的。

技术手册>更多

  • 敏捷方法详解

    敏捷方法强调迭代的软件设计和开发,它可以让团队在经常性的间隔中发布软件功能。敏捷方法和传统的瀑布模式不同。传统的瀑布模式包括提前整理所有的需求,并在最后发布完成后的软件应用。在业务变化的时候,有些公司已经从瀑布模式转到了敏捷,因为敏捷具有灵活的流程和在开发周期中不断改善产品的能力。本系列敏捷方法常见问题涉及敏捷方法的不同类型,可以采用的工具以及在架构项目中如何运用敏捷。

  • 多种移动设备上的应用选择和开发

    随着移动互联网的普及,企业越来越需要开发适用于多种移动平台的应用程序,从而深化其客户体验,扩展其顾客购买产品的方式方法。但复杂的移动设备和平台加大了移动开发的难度,本技术手册将会分析多种平台上的移动应用开发和选择。

  • 企业IT观察之私有云现状

    私有云计算让企业的IT部门获得了能量,可从一无所有走向了无所不能,他们可以最大化企业的资源,并根据业务需要调整IT服务。创建私有云是好事,即使对那些选择内部管理基础架构和应用的企业也是。IDC的高级副总和首席分析师Frank Gens说:“有了私有云,CIO距离有效的动态IT服务交付能力的目标就更近了。”那么目前,企业中私有云的应用情况如何呢?企业和企业的IT经理们怎么看待私有云呢?私有云只是一种营销的手段吗?在本技术手册中将介绍私有云现状。

  • 企业移动管理策略及移动设备

    移动设备和移动技术对于一个企业来说是至关重要的,CIO们必须能够熟练地掌握移动技术,有效地管理移动员工,移动应用将成为企业IT架构的一部分。我们需要在一个不同于现在企业IT管理平台的平台上建立这些服务和应用。我相信,可以证明这是企业管理未来的方向,同时也应该为能够将移动管理纳入到企业管理的一天做好准备。

TechTarget

最新资源
  • 安全
  • 数据库
  • 虚拟化
  • 数据中心
  • 云计算
  • 商务智能