Jason從自己的電腦中熟練地調(diào)出防火墻界面，查看防火墻日志，由于日志量太大，沒有辦法查找出自己需要的日志信息；只好又轉(zhuǎn)向了入侵檢測(cè)產(chǎn)品，因?yàn)槿肭謾z測(cè)產(chǎn)品是可以發(fā)現(xiàn)內(nèi)部攻擊的安全設(shè)備。先關(guān)掉防火墻控制界面，由于兩個(gè)產(chǎn)品控制界面不一樣，并且由于防火墻的控制是由Java界面編寫的，速度有些慢；等了半天才打開了入侵檢測(cè)界面，查找日志，發(fā)現(xiàn)日志量比防火墻的日志量還要大，真稱得上是海量日志，一時(shí)之間很難發(fā)現(xiàn)到底出了什么問題。

30分鐘過去了，Jason還是找不到到底發(fā)生了什么安全事件導(dǎo)致網(wǎng)站被黑；黑客是怎么進(jìn)來的？以前是我黑別人（游戲），今天怎么被別人黑了？Jason心里想。

原來Jason在進(jìn)入到馬來西亞AAA銀行之前，曾經(jīng)是一個(gè)黑客，Jason對(duì)黑客攻擊和防守技術(shù)十分熟悉，并且能夠進(jìn)行入侵，占領(lǐng)主機(jī)，獲得控制權(quán)，遠(yuǎn)程指揮作戰(zhàn)。

CESM安全管理系統(tǒng)平臺(tái)

“Jason！快看一下我們的銀行電子商務(wù)網(wǎng)站，出什么問題了！”，聽到馬來西亞AAA銀行IT部總經(jīng)理Tom的電話，Jason馬上登陸銀行的電子商務(wù)網(wǎng)站，發(fā)現(xiàn)一個(gè)獰笑的骷髏正對(duì)著自己，心里感覺到不妙：網(wǎng)站真的被黑了！

雖然在黑客界很有名氣，但是大學(xué)畢業(yè)1年，靠寫一些文章和安全工具小軟件給一些安全雜志與報(bào)紙，Jason很難維持生活。

正好馬來西亞AAA銀行招聘銀行網(wǎng)絡(luò)安全管理員，考慮自己的興趣和愛好，Jason選擇了銀行的網(wǎng)絡(luò)安全管理員職位。

當(dāng)時(shí)馬來西亞各家媒體、網(wǎng)站都在宣傳電子商務(wù)，那時(shí)就聽說了中國(guó)的阿里巴巴、易趣、淘寶網(wǎng)、當(dāng)當(dāng)書店等電子商務(wù)網(wǎng)站，Jason對(duì)電子商務(wù)網(wǎng)站十分著迷，夢(mèng)想著有一天自己也可以象中國(guó)的馬云、邵亦波一樣通過網(wǎng)站把馬來西亞很多質(zhì)量好價(jià)格低的產(chǎn)品遠(yuǎn)銷國(guó)際。

Jason憑借自己的實(shí)力很順利進(jìn)入到了馬來西亞AAA銀行，到了銀行工作之后，Jason很快就進(jìn)入了角色，經(jīng)過對(duì)銀行內(nèi)部的考察發(fā)現(xiàn)了很多網(wǎng)絡(luò)信息安全問題。

Jason發(fā)現(xiàn)好多問題需要求助于專業(yè)的安全公司，于是就打電話給e-COP公司，e－COP公司派來專業(yè)安全顧問Brian，對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行安全評(píng)估，發(fā)現(xiàn)銀行電子商務(wù)網(wǎng)絡(luò)有很多安全問題：

·數(shù)據(jù)分散，并且量極大

由于馬來西亞AAA銀行購(gòu)買“最佳品牌”產(chǎn)品，這些安全產(chǎn)品（防火墻、入侵檢測(cè)、防病毒等）通常從不同廠家購(gòu)得，每個(gè)產(chǎn)品都有自己的信息日志和控制臺(tái)，目前各種安全設(shè)備缺乏統(tǒng)一管理平臺(tái)，只能通過這些安全產(chǎn)品各自的控制臺(tái)去查看事件，窗口繁多，而且所有的事件都是孤立的，不同設(shè)備之間的事件缺乏關(guān)聯(lián)，分析起來極為麻煩；無法弄清楚真實(shí)的狀況。

·安全管理人員必須具備很高的技巧，了解各廠商的各種安全設(shè)備

不同廠家的設(shè)備對(duì)同一個(gè)事件的描述可能是不同的，這意味著馬來西亞AAA銀行安全管理人員必須分析各種不同格式的信息，才有可能進(jìn)行管理，這導(dǎo)致安全管理人員的工作非常繁重，大量的時(shí)間用于一些價(jià)值不大的任務(wù)上。

·無法做到快速識(shí)別和響應(yīng)

對(duì)于網(wǎng)絡(luò)安全人員來說，海量信息不但無法幫助找出真正的問題，反而因?yàn)樘喽斐蔁o法管理，并且不同廠商所制造的軟硬件可能送出不同的信息格式，使得在網(wǎng)絡(luò)安全威脅的鎖定上，變得難上加難，原本的安全系統(tǒng)反而成為管理上的負(fù)擔(dān)。

·運(yùn)維關(guān)鍵

以往的安全管理運(yùn)維工作都是基于資產(chǎn)的運(yùn)維，但是安全卻是基于安全事件的運(yùn)維。企業(yè)每出現(xiàn)一個(gè)安全問題就需要進(jìn)行一次大范圍的維護(hù)，比如出現(xiàn)病毒問題。這使得安全的運(yùn)維工作不同于以往的運(yùn)維工作習(xí)慣，造成運(yùn)維工作效率低下，并且難以規(guī)劃。

Brian還提出了安全建議：在馬來西亞AAA銀行部署的Cyclops企業(yè)安全管理系統(tǒng)(CESM)能夠?qū)︺y行所有不同IT安全產(chǎn)品和相關(guān)設(shè)備發(fā)出的事件進(jìn)行采集、格式化和智能關(guān)聯(lián)，具有嚴(yán)密的處理層次和流程。CESM能夠?yàn)榘踩珜I(yè)人員提供可管理的安全信息，如事件趨勢(shì)分析，攻擊處理對(duì)策和日志分析取證。

在馬來西亞AAA銀行的實(shí)際應(yīng)用中，CESM提供如下的管理過程和事件處理過程:

·原始告警的數(shù)據(jù)歸并

CESM首先歸并來自安全設(shè)備的所有安全數(shù)據(jù)，這些安全設(shè)備包括防火墻、網(wǎng)絡(luò)IDS,主機(jī)IDS，安全應(yīng)用程序和服務(wù)器的日志等。

·數(shù)據(jù)正規(guī)化

為分析安全事件，“技術(shù)規(guī)范解碼器”將原始數(shù)據(jù)處理成有意義的有用信息。通過這個(gè)過程，將原始數(shù)據(jù)轉(zhuǎn)化為TIF（Transportable-Incident-Format）格式。

·數(shù)據(jù)挖掘和關(guān)聯(lián)

CESM 以其獨(dú)特的數(shù)據(jù)挖掘和關(guān)聯(lián)技術(shù)能力，實(shí)現(xiàn)三級(jí)推理的邏輯信息處理流程。這種能力可以減少虛假告警，增加對(duì)攻擊的實(shí)時(shí)檢測(cè)能力。通過自動(dòng)事件關(guān)聯(lián)和基于經(jīng)驗(yàn)的自學(xué)習(xí)，從大量安全設(shè)備產(chǎn)生的入侵模式將被立即比較和觀測(cè)。

·經(jīng)過專家建議和分析的統(tǒng)一處理

提供易用的界面，同時(shí)處理CESM安全控制臺(tái)產(chǎn)生的多個(gè)安全事件。通過這種統(tǒng)一的處理方法有效地分析所有的安全事件。

·實(shí)時(shí)的防范措施

一旦發(fā)現(xiàn)來自外部或內(nèi)部的攻擊企圖發(fā)生，立即采取防范措施，在信息損失前抵御入侵。

Jason馬上向IT部總經(jīng)理Tom匯報(bào)Brian對(duì)網(wǎng)絡(luò)安全的分析，并且請(qǐng)Brian進(jìn)行現(xiàn)場(chǎng)演示，Tom感覺非常不錯(cuò)，但是Tom還是認(rèn)為，馬來西亞AAA銀行已經(jīng)有了最好品牌的防火墻、入侵檢測(cè)、防病毒等安全產(chǎn)品，安全管理平臺(tái)應(yīng)該沒有必要上了，于是此項(xiàng)目就此擱淺。

Jason從回憶中回到了現(xiàn)實(shí)：現(xiàn)在需要解決網(wǎng)站被黑問題，怎么辦啊？

Jason馬上打電話給Tom，匯報(bào)現(xiàn)在一時(shí)之間看不出到底發(fā)生了什么事情，需要e-COP公司協(xié)助完成，Tom馬上答應(yīng)。

30分鐘后，Brian到達(dá)現(xiàn)場(chǎng)，在銀行內(nèi)部部署了一套安全管理平臺(tái)，然后對(duì)各種產(chǎn)品的日志進(jìn)行分析。

Brian通過一個(gè)統(tǒng)一平臺(tái)看到了防火墻、入侵檢測(cè)、防病毒等事件信息，通過設(shè)備的關(guān)聯(lián)，很快確定了黑客攻擊路徑，原來黑客通過了兩層防火墻，然后到內(nèi)部一臺(tái)剛買回來的主機(jī)上，利用這臺(tái)主機(jī)作為跳板，攻擊了網(wǎng)站服務(wù)器。

Brian馬上建議對(duì)剛買回來的主機(jī)進(jìn)行加固，然后修改里外兩層防火墻策略，重新?lián)Q上了網(wǎng)站的頁(yè)面，解決安全問題。

這時(shí)，Tom也出現(xiàn)在了Jason和Brian面前，連聲稱謝，表示：

“說得對(duì)，現(xiàn)在已不是單兵作戰(zhàn)的年代，而是團(tuán)隊(duì)作戰(zhàn)，整體作戰(zhàn)，需要整體協(xié)調(diào)才能夠減少經(jīng)濟(jì)損失，希望你們的產(chǎn)品能夠在此使用。”

過了一個(gè)月后，Jason又發(fā)現(xiàn)銀行電子商務(wù)網(wǎng)絡(luò)的一些安全問題，于是銀行又購(gòu)買了一套CESM產(chǎn)品。

采用CESM安全事件管理系統(tǒng)做為安全管理平臺(tái)，參考e-COP多年的安全事件處理流程經(jīng)驗(yàn)SOP，銀行建立起了標(biāo)準(zhǔn)的內(nèi)部安全事件處理體系，如圖所示。

馬來西亞AAA銀行通過安全事件處理體系，相關(guān)安全管理人員從海量事件中解脫出來，只關(guān)心少量的最為緊迫、最為關(guān)鍵的事件信息。并且，安全事件處理體系的成果為后續(xù)整體安全策略的規(guī)劃和調(diào)優(yōu)提供了有力的依據(jù)。

通過對(duì)CESM產(chǎn)品和服務(wù)的使用，使得安全管理更有效化、簡(jiǎn)單化、條理化、專業(yè)化，節(jié)約了安全管理的成本，縮短了對(duì)安全事件響應(yīng)時(shí)間。

從此，馬來西亞AAA銀行實(shí)現(xiàn)了安全事件的可知、可控、可預(yù)測(cè)，建立起了可管理的安全體系，同時(shí)Jason的工作也變得輕松很多。