CIO应如何解决安全管理中信息超载问题

日期:2008-6-23来源:eNet硅谷动力

  对于做网络安全技术的人来说,有一个很头疼的问题,就是每天要查看设备所产生的日志信息。现在每个设备都会产生大量的数据信息,如操作系统的日志,防火墙的事件信息,数据库的访问信息等等。出于安全的考虑,安全技术人员需要定时的对这些信息进行查看、整理。这些信息对于网络安全来说,是非常重要的,因为其可以反映出,是否有人在未经授权的情况下试图登陆其没有权利登陆的设备。但是,现在的问题就是,这么多设备所反映出来的信息,若在没有其他手段的帮助下,靠技术人员手工处理的话,那工作量是非常庞大的,信息超载问题是网络安全技术人员所面临的一个新的挑战。

  下面我结合自己的信息管理经验,谈谈我在这方面的处理方式。

  一、 根据信息所反映内容的重要级别不同,有区别的对待

  一般来说,无论是硬件设备,如防火墙或者路由器,还是软件设备,如操作系统,其所记录的信息,并不是没有任何规律的。为了网络管理人员在遇到问题时,能够在系设备的日志信息中查到有用的资料,系统一般都对自身所记录的信息,做了归类。一般来手,可以分为三类。

  第一类是事件,他以流水帐的形式记录了设备在一定时期内进行了哪些操作。如有哪个用户在什么时间登陆上了数据库,进行了什么操作等等。除了这些信息外,还可以反映出设备运行的一些基本信息。这些事件信息,可以让我们安全管理人员了解系统运行的状况,了解有哪些授权用户访问了设备。在遇到问题时,我们也可以迅速的找到问题的创作者。如有一次,我公司的一个文件服务器突然中断了,全部员工都不能访问文件服务器,但是,网络是通的。一开始我以为是病毒原因,我查看了文件服务器的事件日志,发现是在这中间有人以管理员的身份登陆过这个文件服务器,修改了相关的配置所造成的。我把相关的配置修改回来,又一切正常了。所以,这些事件信息的时候,平时可能对于我们的使用价值不大,但是,当出现了什么问题时,如服务器受到攻击或者其他原因导致不能访问的,我们可以从这个事件信息中看出一点端倪来。故设备记录每天的时间是非常必要的,但是,定期、不定期的对这些信息进行查看、整理却是一件很头痛的事情。

  第二类是警报数据,这些数据是当设备出现一些可疑的攻击时,系统所产生的一些信息。这些警报信息我们可以自己设置,也可以由系统产生。如我们在以管理员身份登陆文件服务器的过程中,若成功登陆的话,在文件服务器上只会记录事件信息,而不会有这个行为的警报信息。若我们在尝试登陆的过程中,密码输入错误,若只是第一次输入错误的话,我们可以认为是正常的,那么也可以不用在警报数据中显示这个信息,而只在事件信息中进行记录;但是,若有人连续输入三次及三次以上密码都错误的话,那么我们就有理由相信这是一次恶意的攻击行为,有非法访问者想通过猜密码的方式非法登陆到文件服务器上,进行一些不可告人的目的,这个就是警报信息。根据密码策略,密码错误超过三次,该用户名无效。同时,也会把这条信息记录下来,其系统会自动归类为警报信息。而用户连续输入两次错误密码,但是第三次密码正确的话,则系统认为这是正常的,则只会在记录事件中进行反映,而不会在警报信息中反映出来。所以,作为企业网络的安全管理人员,要能够追踪所有的警报信息,因为这些信息可以反映出是否有人在恶意的攻击网络。

  第三类是事故信息。这类信息是比较严重的信息,如文件服务器遭受到RPC等欺骗攻击导致文件服务器瘫痪等等。这类信息记录着企业的网络设备的一些重大变故,如网络设备遇到问题重启或者网络流量突然增大所导致的数据访问瘫痪等等。

  这三类信息对于我们网络安全管理人员来说,其价值是不同的。事故信息,就好象是“110”指令一样,收到这个信息之后,我们要马上出发解决问题。而对于警报数据,在手头上有其他重要事情要处理的话,我们虽然可以暂时放放,但是,时间不能拖的太长,要尽快处理。对于事件信息的话,我们一般可以通过系统配置让其记录这些信息,在遇到事故信息或者报警信息的时候,再回过头去查看具体的事件信息,看看在警报信息或者事故信息发生的前后,设备在干什么。

  也就是说,我们平时的时候只需要关注警报信息与事故信息,通过一定的技术手段,如邮件,让这些信息发生的时候,再第一时间内发到我们指定的邮箱。而对于事件信息,只需要保存,不需要转发。如此的话,就可以大大的减少信息的阅读量,提高信息的利用效率。

  二、 做好信息与解决方案的关联动作

  其实,很多警报信息或者事故信息都是类似的,如因为网络流量过大导致文件服务器瘫痪或者里利用字典工具攻击文件服务器以取得用户名与密码的警报信息。这些信息我们在网络安全管理中,特别是把一些应用放在公网上的时候,经常会遇到。收到这些信息我们该如何处理呢?

  若每次这些信息发生时,我们都要去想该如何处理的话,那么显然效率太低了;而且,有时候我们不止一个人在处理这些信息,可能有多个人在共同维护网络应用的时候。最常见的就像我们公司,在不同的子公司都有文件服务器的情况。当出现相同警报信息或者事故信息,我们该如何提高信息的处理效率呢?或者说,该如何减少重复性的研究工作?这是一个我们值得思考的问题。

  所以,最好的方式就是把每一个事故信息或者警报信息的处理流程都能够一一对应起来。如当发生一个用户密码多次输入错误、导致用户帐户名失效这种警报信息,我们该如何处理,要形成一个统一的流程。如先核实是外部登陆还是内部登陆;若是内部登陆核实登陆的IP地址;然后根据这个地址合适登陆者的身份,再确认是恶意的登陆还确实是密码忘记所造成的。把这个流程规划化、标准化,并根对应的警报信息或者事故信息对应起来,如此的话,就可以提高这些信息的处理效率。在我们安全技术人员收到这些信息时,能够在第一时间内把问题解决了,减少可能带来的损失。

  三、 图形化可以提高处理这些海量信息的效率

  若我们能够通过一些图形,把这些信息反映出来,那无疑可以提高我们信息阅读的效率。费力的阅读大量的文本方式反映的事件、警报、事故信息,不是一种快速处理问题的方法。我们希望能够通过图形的方式,更加只管的反映出这些信息的种类。如用户多次输入密码导致用户名失效这个警报信息会有一个专门的ID对应,我们希望能够直观的反映处,这个警报信息在今天警报信息中所占据的百分比。因为有时候,这些警报信息不是单独出现的,若是攻击的话,很多信息会关联出现。在图形中显示的就是成对的警报信息或者事件信息与警报信息对应上升等等,这有利于我们处理这些信息。

  总之,我们安全技术人员要想方设法的提高处理这些信息的效率。我们若不能处理好这个信息超载的问题的话,那么我们很可能被这些信息所淹没。我们的大部分时间将会去刷选数据、整理数据、归类数据,而对这些信息所反映出来的问题、该如何解决与预防类似的情况再次发生等等,就没有时间可以顾及。这是一个本末倒置的做法。

  虽然现在各种设备信息管理器集成的产品不多,但是,我们仍然可以采取一些手段,来提高信息的处理效率。如象上上面所说的,有些设备都提供了信息通过邮件转发的功能,我们可以通过这个功能提高对警报信息与数据信息的追踪力度。同时,我们也可以把这些信息跟数据库、后者EXCLE表进行关联起来。只要有具体的数据,这些工具就可以帮我们得出一些图形化的统计结果。虽然说,中间可能需要一些时间做相关的准备工作,但是,至少比我们阅读纯文本的信息效率要高的多。而且,以后需要经常查看相关的信息,所以花一点时间做好准备功课,以后办事情就可以省事许多,这是一个不错的交易。

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

企业网络管理>更多

  • CISO:为了实现物联网设备的安全,请记住这些基础知识

    连接已经创造了新的威胁景象,但iRobot CISO Ravi Thatavarthy表示,在涉及到IoT设备的安全性时,记住基本的IT安全原则至关重要。

  • 确保工业物联网安全:万亿美元的困境

    IIoT为工业设备和相关系统的制造商和供应商提供了巨大的机会。但是,对于可以通过无线网络远程连接而受益的机器和设备,能否安全地桥接操作技术(机器)与IT系统(云)之间的空隙,是阻碍IIoT发展的一个重大挑战。

  • 物联网生态系统:边缘计算

    边缘计算越来越受欢迎,将处理能力从信息中心逐渐转移到网络边缘。即使像微软(Azure IoT Edge)和亚马逊(AWS Greengrass)这样的巨头最近也意识到这样的趋势,并提供他们的边缘解决方案。

  • 受害者和安全专家眼中的物联网安全

    在《物联网安全:谁来为之负责?》中,作者从制造商、IP开发人员和客户三方面诠释了各自眼中的物联网安全。那么,受攻击的受害者以及安全专家又将作何解释呢?最后,关于真正的物联网安全,要如何实现这一切呢?

相关推荐

  • 公司网络安全:别忽略数据

    分析师可以帮助决定什么企业信息是最易受攻击的,哪里有安全流程漏洞,以及员工数据保护培训是如何缺乏的。

  • 网络安全投资商业案例

    在数字化时代,数据已经和现金一样具有价值,而不断增加的网络犯罪的威胁则迫使企业重新思考安全流程来保护他们的信息资产。

  • 兰德公司的网络安全经济模型都有哪些看点?

    兰德公司发布的这个模型极具参考价值。可以作为一个学习工具,更好地理解影响安全风险管理成本的主要因素,如何决定最佳投资,并且提供了对网络安全风险进行整体管理所需的知识。

  • 你的移动化策略安全吗?

    当企业应对移动安全之初,主要是为了保护公司的电子邮件和数据,但显然,仅仅保障这两个方面的安全是毫无意义的。

技术手册>更多

  • Q&A:IT 外包项目启动的关键

    在过去的十几年中,IT外包和离岸外包在很多企业IT部门中持续升温,主要的目的是实现成本节约、全球化操作,并获得自己员工缺乏的工作技能。经济的压力让很多机构都比较关注对内部运营的关注,转而暂时减少IT外包工作。尽管如此,IT外包仍然在扮演着重要的角色。根据AMR所作的一项调查,大约有80%的企业在IT外包方面将会增加外包量,或者保持不变。本技术手册中将会介绍为什么企业部门要寻求完整的IT外包策略,CIO在决策的时候应该咨询谁,企业部门如何评估他们的外包准备工作,以及IT外包供应商在执行工作的时候需要谨记的技巧。

  • 企业信息移动指南

    移动信息、移动通话和即时通讯已经成为非常流行的交流媒介,但是很多企业还不能满足客户的需求。移动短信息服务和香烟一样能让人上瘾,这情况还发生在移动邮件上。移动语音服务也正在爆炸式的发展。用户对信息移动的需求越来越大,而企业对信息移动话的要求主要体现在邮件的移动化。本技术手册是关于企业移动信息的,为负责移动的经理提供移动信息应用的深入信息,包括企业移动邮件、移动即时通讯、移动语音服务和移动安性和管理问题。

  • IT内部计费模式:IT扣款详解手册

    表面上,IT扣款管理好像很简单:允许业务部门看到他们使用的IT服务的成本和账单。这样业务部门就看到他们是为什么付账的,他们获得的服务值不值那些成本。扣款管理还可以让业务和IT部门更好地处理预算和控制成本,并有希望为IT投入提出正当的解释。在本技术手册中,TechTarget的专家将会分析IT扣款对IT和业务部门的伤害和帮助,还将介绍IT部门如何采用这种复杂的流程。

  • 移动设备更新策略

    决定更新移动设备库的时间和方式是很多移动经理需要面对的挑战。当更新移动设备的时候,你必须考虑投资回报率和相关的风险,例如停工时间和系统变更。在本手册中,TechTarget的专家将讨论在更新的时候,移动决策者需要考虑的一些重要因素。本手册的重点是评估设备使用年限、功能和可能的硬件和软件更新的兼容性的方法,并提供了帮助您决定现在是否是更新的正确时机的列表。

TechTarget

最新资源
  • 安全
  • 存储
  • 数据库
  • 虚拟化
  • 网络
  • 数据中心