CIO应如何解决安全管理中信息超载问题

日期:2008-6-23来源:eNet硅谷动力

  对于做网络安全技术的人来说,有一个很头疼的问题,就是每天要查看设备所产生的日志信息。现在每个设备都会产生大量的数据信息,如操作系统的日志,防火墙的事件信息,数据库的访问信息等等。出于安全的考虑,安全技术人员需要定时的对这些信息进行查看、整理。这些信息对于网络安全来说,是非常重要的,因为其可以反映出,是否有人在未经授权的情况下试图登陆其没有权利登陆的设备。但是,现在的问题就是,这么多设备所反映出来的信息,若在没有其他手段的帮助下,靠技术人员手工处理的话,那工作量是非常庞大的,信息超载问题是网络安全技术人员所面临的一个新的挑战。

  下面我结合自己的信息管理经验,谈谈我在这方面的处理方式。

  一、 根据信息所反映内容的重要级别不同,有区别的对待

  一般来说,无论是硬件设备,如防火墙或者路由器,还是软件设备,如操作系统,其所记录的信息,并不是没有任何规律的。为了网络管理人员在遇到问题时,能够在系设备的日志信息中查到有用的资料,系统一般都对自身所记录的信息,做了归类。一般来手,可以分为三类。

  第一类是事件,他以流水帐的形式记录了设备在一定时期内进行了哪些操作。如有哪个用户在什么时间登陆上了数据库,进行了什么操作等等。除了这些信息外,还可以反映出设备运行的一些基本信息。这些事件信息,可以让我们安全管理人员了解系统运行的状况,了解有哪些授权用户访问了设备。在遇到问题时,我们也可以迅速的找到问题的创作者。如有一次,我公司的一个文件服务器突然中断了,全部员工都不能访问文件服务器,但是,网络是通的。一开始我以为是病毒原因,我查看了文件服务器的事件日志,发现是在这中间有人以管理员的身份登陆过这个文件服务器,修改了相关的配置所造成的。我把相关的配置修改回来,又一切正常了。所以,这些事件信息的时候,平时可能对于我们的使用价值不大,但是,当出现了什么问题时,如服务器受到攻击或者其他原因导致不能访问的,我们可以从这个事件信息中看出一点端倪来。故设备记录每天的时间是非常必要的,但是,定期、不定期的对这些信息进行查看、整理却是一件很头痛的事情。

  第二类是警报数据,这些数据是当设备出现一些可疑的攻击时,系统所产生的一些信息。这些警报信息我们可以自己设置,也可以由系统产生。如我们在以管理员身份登陆文件服务器的过程中,若成功登陆的话,在文件服务器上只会记录事件信息,而不会有这个行为的警报信息。若我们在尝试登陆的过程中,密码输入错误,若只是第一次输入错误的话,我们可以认为是正常的,那么也可以不用在警报数据中显示这个信息,而只在事件信息中进行记录;但是,若有人连续输入三次及三次以上密码都错误的话,那么我们就有理由相信这是一次恶意的攻击行为,有非法访问者想通过猜密码的方式非法登陆到文件服务器上,进行一些不可告人的目的,这个就是警报信息。根据密码策略,密码错误超过三次,该用户名无效。同时,也会把这条信息记录下来,其系统会自动归类为警报信息。而用户连续输入两次错误密码,但是第三次密码正确的话,则系统认为这是正常的,则只会在记录事件中进行反映,而不会在警报信息中反映出来。所以,作为企业网络的安全管理人员,要能够追踪所有的警报信息,因为这些信息可以反映出是否有人在恶意的攻击网络。

  第三类是事故信息。这类信息是比较严重的信息,如文件服务器遭受到RPC等欺骗攻击导致文件服务器瘫痪等等。这类信息记录着企业的网络设备的一些重大变故,如网络设备遇到问题重启或者网络流量突然增大所导致的数据访问瘫痪等等。

  这三类信息对于我们网络安全管理人员来说,其价值是不同的。事故信息,就好象是“110”指令一样,收到这个信息之后,我们要马上出发解决问题。而对于警报数据,在手头上有其他重要事情要处理的话,我们虽然可以暂时放放,但是,时间不能拖的太长,要尽快处理。对于事件信息的话,我们一般可以通过系统配置让其记录这些信息,在遇到事故信息或者报警信息的时候,再回过头去查看具体的事件信息,看看在警报信息或者事故信息发生的前后,设备在干什么。

  也就是说,我们平时的时候只需要关注警报信息与事故信息,通过一定的技术手段,如邮件,让这些信息发生的时候,再第一时间内发到我们指定的邮箱。而对于事件信息,只需要保存,不需要转发。如此的话,就可以大大的减少信息的阅读量,提高信息的利用效率。

  二、 做好信息与解决方案的关联动作

  其实,很多警报信息或者事故信息都是类似的,如因为网络流量过大导致文件服务器瘫痪或者里利用字典工具攻击文件服务器以取得用户名与密码的警报信息。这些信息我们在网络安全管理中,特别是把一些应用放在公网上的时候,经常会遇到。收到这些信息我们该如何处理呢?

  若每次这些信息发生时,我们都要去想该如何处理的话,那么显然效率太低了;而且,有时候我们不止一个人在处理这些信息,可能有多个人在共同维护网络应用的时候。最常见的就像我们公司,在不同的子公司都有文件服务器的情况。当出现相同警报信息或者事故信息,我们该如何提高信息的处理效率呢?或者说,该如何减少重复性的研究工作?这是一个我们值得思考的问题。

  所以,最好的方式就是把每一个事故信息或者警报信息的处理流程都能够一一对应起来。如当发生一个用户密码多次输入错误、导致用户帐户名失效这种警报信息,我们该如何处理,要形成一个统一的流程。如先核实是外部登陆还是内部登陆;若是内部登陆核实登陆的IP地址;然后根据这个地址合适登陆者的身份,再确认是恶意的登陆还确实是密码忘记所造成的。把这个流程规划化、标准化,并根对应的警报信息或者事故信息对应起来,如此的话,就可以提高这些信息的处理效率。在我们安全技术人员收到这些信息时,能够在第一时间内把问题解决了,减少可能带来的损失。

  三、 图形化可以提高处理这些海量信息的效率

  若我们能够通过一些图形,把这些信息反映出来,那无疑可以提高我们信息阅读的效率。费力的阅读大量的文本方式反映的事件、警报、事故信息,不是一种快速处理问题的方法。我们希望能够通过图形的方式,更加只管的反映出这些信息的种类。如用户多次输入密码导致用户名失效这个警报信息会有一个专门的ID对应,我们希望能够直观的反映处,这个警报信息在今天警报信息中所占据的百分比。因为有时候,这些警报信息不是单独出现的,若是攻击的话,很多信息会关联出现。在图形中显示的就是成对的警报信息或者事件信息与警报信息对应上升等等,这有利于我们处理这些信息。

  总之,我们安全技术人员要想方设法的提高处理这些信息的效率。我们若不能处理好这个信息超载的问题的话,那么我们很可能被这些信息所淹没。我们的大部分时间将会去刷选数据、整理数据、归类数据,而对这些信息所反映出来的问题、该如何解决与预防类似的情况再次发生等等,就没有时间可以顾及。这是一个本末倒置的做法。

  虽然现在各种设备信息管理器集成的产品不多,但是,我们仍然可以采取一些手段,来提高信息的处理效率。如象上上面所说的,有些设备都提供了信息通过邮件转发的功能,我们可以通过这个功能提高对警报信息与数据信息的追踪力度。同时,我们也可以把这些信息跟数据库、后者EXCLE表进行关联起来。只要有具体的数据,这些工具就可以帮我们得出一些图形化的统计结果。虽然说,中间可能需要一些时间做相关的准备工作,但是,至少比我们阅读纯文本的信息效率要高的多。而且,以后需要经常查看相关的信息,所以花一点时间做好准备功课,以后办事情就可以省事许多,这是一个不错的交易。

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

企业网络管理>更多

  • 物联网安全:谁来为之负责?

    在整个物联网安全生态链中,制造商、IP开发人员、顾客、受攻击的受害者以及安全专家等都囊括其中,他们眼中的物联网安全是怎么样的?

  • 戴尔EMC物联网产品扩展 不再仅限于边缘网关

    随着收购和结盟,戴尔EMC将提供从设备到数据中心以及后端的物联网基础设施。戴尔EMC进一步扩展物联网产品,包括第三方物联网应用和工具,OEM的网关等。

  • 华为Cloud Fabric 5.0:让SND网络运维更高效

    2015年, 李克强总理提出制定“互联网+”行动计划,推动移动互联网、云计算、大数据、物联网等技术与现代制造业结合,促进电子商务、工业互联网和互联网金融健康发展后,我们看到了更多行业开始加深对云、SDN、大数据等技术的应用,大量企业开始了云化的旅程。

  • 借助NB-IoT,华为能否能撑起物联网大潮?

    日前,在华为2016全联接大会上,华为展示了 IoT(物联网)战略、IoT行业应用和创新成果,并介绍了华为与合作伙伴为共建IoT生态系统所开展的工作,旨在充分发挥IoT的潜力,创造社会与经济效益。

相关推荐

  • 公司网络安全:别忽略数据

    分析师可以帮助决定什么企业信息是最易受攻击的,哪里有安全流程漏洞,以及员工数据保护培训是如何缺乏的。

  • 网络安全投资商业案例

    在数字化时代,数据已经和现金一样具有价值,而不断增加的网络犯罪的威胁则迫使企业重新思考安全流程来保护他们的信息资产。

  • 兰德公司的网络安全经济模型都有哪些看点?

    兰德公司发布的这个模型极具参考价值。可以作为一个学习工具,更好地理解影响安全风险管理成本的主要因素,如何决定最佳投资,并且提供了对网络安全风险进行整体管理所需的知识。

  • 你的移动化策略安全吗?

    当企业应对移动安全之初,主要是为了保护公司的电子邮件和数据,但显然,仅仅保障这两个方面的安全是毫无意义的。

技术手册>更多

  • 灾难恢复方案新探索:虚拟化和云计算

    大多数企业都有灾难恢复计划以保障业务系统在短期和长期不至于中断。在经济和新技术等冲击之下,灾难恢复预算和方案较之以前都发生了很大的变化。本技术手册将分析在虚拟化和云计算的影响下,企业在灾难恢复方案的规划制定中的新探索,此外,本手册中还为灾难恢复方案规划提供了技术技巧建议。

  • CIO知识大测验

    现在CIO已经成了一个热门话题,政府、企业以及学术界都对CIO这个话题投入了广泛的关注。CIO应该是连接组织业务和IT的重要纽带,他既要负责IT的供给,又要负责IT的需求。CIO的这样一种角色,决定了CIO既要懂技术,又要懂业务,同时CIO作为组织层面的领导者还必须具备领导能力。本手册中提供了一些小测试,如果你已经是CIO,本测试集可以帮你进行企业IT管理;如果你不是CIO,本测试集可以帮你检查你离CIO还有多远。

  • 揭秘云计算(升级版)

    时下,云计算是IT行业的一个热点话题。作为一项有望大幅降低成本的新兴技术,云计算正日益受到众多公司的追捧。它不是革命性的新发展,而是数据管理技术不断演进的结果。云计算的蓝图已呼之欲出:在未来,只需要一台笔记本或者一个手机,就可以通过网络服务来实现我们需要的一切,甚至包括超级计算这样的任务。从这个角度而言,最终用户是云计算的真正拥有者。

  • 企业数据保护管理指南

    数据作为信息的重要载体,其安全问题在信息安全中占有非常重要的地位。数据的保密性、可用性、可控性和完整性是数据安全技术的主要研究内容。

TechTarget

最新资源
  • 安全
  • 数据库
  • 虚拟化
  • 数据中心
  • 云计算
  • 商务智能