信息安全正在不斷地從“單一防護”轉向“整體防護”。當安全系統的復雜程度不斷提高的時候，客戶需要更加集成的管理技術，利用單一控制中心和代理平臺來整合和集中管理安全系統的所有組件。

為了讓用戶能夠更好地了解安全管理技術的脈絡，本報邀請到了McAfee、聯想網御、神州數碼網絡、深信服、天融信、衛士通、網御神州的安全專家。同時還邀請了國家發改委、新華人壽集團、大眾汽車、河南省稅務局的IT負責人，一起分享部署與應用安全管理技術的經驗。

用戶的期待

從2005年至今，隨著越來越多企業用戶對于安全的關注，特別是以UTM技術為突破的整合安全網關得到了用戶的接受，客觀上促進了各種安全管理技術的崛起。就像記者反復談了兩年多的安全管理和當初的網絡管理，其思路與手段是比較類似的，這決定了其市場發展的特點：漸進而非速成。

天融信安全產品經理王彥平向記者透露，他很早就注意到，隨著UTM的出現，造就了大量中小企業對于統一管理、集中管理的認識，他們理解了管理與安全的聯系，而這在無意中推動了安全管理技術的發展。

不過，記者并不認同所謂的將網絡管理中的NOC依葫蘆畫瓢的去勾勒出安全管理中的SOC。雖然有廠商提出了SOC的理念，但這個觀點在國際上也是沒有成型。道理很簡單，正如McAfee安全產品經理陳綱所講的，網絡有標準的SNMP協議，為統一管理打下了基礎，可安全什么也沒有。記者很難想象，在缺乏統一接口、規范、甚至是協議的情況下，統一的管理標準可以建立。

當然，這并不意味著安全管理技術無法實現。恰恰相反，大量用戶的期待已經為技術指明了方向。衛士通公司副總經理譚興烈在接受記者采訪時表示，大量用戶都需要能夠對信息系統中所有設備—終端、主機、網絡設備、安全設備，以及各種系統—操作系統、數據庫、系統軟件、應用系統的運行情況進行實時監視和控制。在此基礎上，用戶還需要統一定制、部署及實施信息系統的安全策略，包括及時預警并處理信息系統發生的各種安全事件。這意味著，通過安全管理技術，用戶可以將整個系統中的所有安全設備組合成統一的防護系統。

不難看出，安全管理技術將不再是一個技術點或者單一產品，它將成為一個嚴格而細致的技術體系。神州數碼網絡安全產品經理王景輝透露說，在目前階段，一個標準的安全管理技術至少要包含四部分內容：對信息系統的網絡監控管理；對信息系統中安全設備的監控管理；對信息系統中桌面系統的監控管理；對信息系統的安全事件管理。

可以確定的是，在這個復雜的技術體系中，傳統的安全基礎設施基本上“一個都不能少”。國家發改委的IT負責人在接受記者采訪時表示，他們近期剛剛開始了基于全網、全系統的安全管理系統建設，從實際的經驗看，防火墻、IDS、反病毒、甚至是UTM這些產品都可以為正在構建的管理平臺提供基礎信息源，而這也是安全管理技術不可缺少的條件。

建設導向型技術

前面講了，安全管理是一個復雜的結合體，這就決定了其技術脈絡的多種形式。

對此，譚興烈介紹說，當前的安全管理技術呈現平臺化趨勢，因為每個企業的信息系統都有自己的特點，網絡拓撲不同，部署的設備不同，安全要求也不相同，所以提供一個適合于各種信息系統的安全管理系統是不現實的。因此需要提供一個統一的基礎平臺，再根據各信息系統的需要進行適應性的開發和策略部署。

目前，主流的安全管理技術體系分成國內、國外兩大派別。其中國內派以聯想網御、神州數碼網絡、天融信、網御神州為代表。對此王景輝向記者透露，一般國內派別都以用戶的建設部署為導向，習慣于將安全管　理技術分成三個層次。

第一層，安全監控SNI。在這個層次中，主要是對整個網絡的運行狀態進行監控，確保網絡的可靠性與可用性。

第二層，安全信息管理SIM。在這個層次中，安全管理系統會把所有企業的IT信息，包括超越業務運行的一些管理信息全部收集，進行規劃、關聯分析、整合，最后出示可視化報告，或者進行一些應急響應處理。

第三層，安全決策管理SDM，這是三個技術層次中最高端的。王景輝認為，SNI和SIM是偏重底層基礎信息收集，強調技術手段，找到信息，發現內外部威脅。而SDM則是加入企業級別信息，比如對重要的信息系統進行分級，區分哪些重要，哪些不是很重要。即使是兩個面臨同樣威脅的機器，受控于不同的重要性評級，處理的方式也會不同。換句話說，這個層次要求SDM要與企業的業務相結合，比如進行資產的管理、風險評估，把弱點信息、SIM中發現的威脅信息結合起來，逐步形成一個評估報告，同時還要進行應急響應、企業的安全政策管理，甚至是發布安全策略、安全演練等工作。

需要指出的是，這三個層次并非孤立存在。網御神州安全管理產品經理葉鵬表示，所有安全管理的對象都是企業的IT計算環境。這個IT計算環境涵蓋了網絡設備主機、應用系統、數據庫、安全設備。而在此基礎上的安全管理才更加有效。

事實上，以上三個技術層次并非單一的安全產品。譚興烈介紹說，目前業內通行的做法是，將三種技術打包成一個統一的基礎架構，稱之為安全管理平臺。這個平臺類似于企業常用的中間件，它把所有的監控、采集、分析全部都融入進去，并提供標準的安全服務接口，提供給用戶具體的軟件使用。

據悉，像神州數碼網絡、網御神州、衛士通等企業已經根據平臺架構開發了三種功能產品。而新華人壽集團的IT負責人指出，作為大型企業，他們對于安全管理情有獨鐘。而靈活的功能配置，可以讓企業用戶根據需要進行采購。對此，王景輝也表示，即使用戶將三個模塊全部用到，整個安裝和使用過程也都是在一個技術平臺上，因此不會帶來額外開銷。

風險導向型技術

細心的讀者會發現，三個技術層次看上去更像建設安全管理平臺的三個步驟。事實上，這種思路確實具有容易實施的特點，但在邏輯縝密性上，似乎有進一步突破的余地。對此，陳剛的看法是，他們從用戶最根本的需求入手—量化風險、降低風險—以此為出發點，設計了基于風險管控的安全風險管理SRM模型。

同樣，SRM也是一個龐大的整體，而且其復雜性似乎更高。目前，基于SRM的安全管理技術同樣包括了三個層次。

第一層，完善的安全基礎設施。這一點和國產廠商提出的SNI比較類似，都強調企業用戶必須要有基礎的防御手段。

第二層，在法律法規符合性方面進行風險評估，并將遵從性意見報告與評估結果呈現給企業用戶。事實上，這一層是很多國際上從事安全管理技術研發的廠家比較關注的。特別是隨著薩班斯法案公布以來，越來越多規范上市公司行為的法律法規都將對企業的管理、財務提出要求，其中勢必涉及到對IT系統的安全要求。

第三層，利用統一的技術，實現將前兩層從上到下串聯在一起。對于這一點，陳剛解釋說，傳統上單獨的安全技術，或者單一的法律法規之間，都是空洞且沒有聯系的。根據經驗，很多用戶需要一種手段，把防御手段與法律法規或者企業要求的東西結合在一起，統一進行管理。換句話說，這種技術產生的結果，就不是簡單地生成決策意見，而是需要直接調動具體的防御設備，幫助用戶作出防御動作。

據悉，采用基于風險架構的安全管理技術，突出的優勢是可以獲得強大的內部審計效果。記者了解到，大眾汽車目前是在全球范圍內實現基于SRM安全管理的企業。而大眾汽車北京總部的IT人員透露，他們在上安全管理技術之初，恰恰考慮的就是風險管控。他們多年來都是從兩個方面考慮問題，一個是安全的檢測能力，包括涵蓋上海大眾和一汽大眾的內部數據收集；另一個就是在此基礎上，對企業策略進行控制。即在業務不出問題的情況下，符合中國和國際的法律要求、審計要求，并通過多種安全產品整合實現統一管理。

關注技術控制

目前主流的安全管理技術分為旁路與在線兩種。對此，葉鵬介紹說，一般安全管理平臺都具備實時監控、定期輪訓、周期掃描等分析模式，其中涉及到一些行為監控部分，可以采用旁路技術，通常都是利用專門的硬件在交換機邊上進行行為采集，送到管理平臺進行分析。如果分析出威脅，可以支持采取行動。

王彥平認為，在具體行動的時候，可以通過平臺自己實現，也可以與其他廠商的產品進行協同。而王景輝也表示，采用在線模式的時候，可以通過SIM或者SNI實現，發現問題就可以通知防火墻或類似產品去實現阻斷，基于802.1x實現總的協同調動。

另外，譚興烈也表示，在IDS提出報警之后，安全管理系統首先會對這些事件進行存儲；然后對這些報告事件進行綜合分析，找到信息系統的主要事件源；同時安全管理系統會將整個系統的事件進行優先排隊；最后啟動事件處理機制對事件進行處理。

同時，他也進一步提出，安全管理技術可以對企業用戶的網絡行為進行監控。一般情況下，安全管理系統具有網絡管理的模塊，如果信息系統中沒有安裝網絡管理系統，可以利用安全管理系統的網絡管理功能對企業用戶的網絡行為進行監管和控制；對于已經安裝了網絡管理的信息系統，安全管理系統可以通過對網管系統進行管理和控制，從而對企業用戶的網絡行為進行監管與控制。安全管理系統可以與各種網絡準入與全網安全系統進行整合。

在安全管理是否要對企業上網行為進行監控的問題上，深信服的安全產品經理鄔迪堅定地表示，安全管理必須包括從內到外的安全審計與外發信息監控。他認為，當網絡基礎設施建立完畢以后，用戶會不可避免地面對從內到外的問題，比如一些內部用戶使用一些內部應用，或者BT、QQ、MSN等P2P應用，都容易把外部的安全隱患帶入內網，最常見的就是下載文件導致內網病毒泛濫。

不過由于用戶的安全產品大部分五花八門，因此在信息收集與控制上仍舊存在諸多不便。陳剛認為，衡量安全管理技術的條件之一，就是看廠商對于主流安全設備的信息匯總能力。

舉例來看，某天微軟發布了新的漏洞，或者安全設備掃描出來機器上存在一個新的漏洞，那么系統就可以自動要求IPS對這個漏洞進行防御，對這個漏洞進行阻擋。

記者在采訪過程中越發覺得，今后安全管理的發展趨勢，特別是對內的行為監控部分，很可能是向著旁路方向發展。在這一點上，王景輝和鄔迪的看法也是驚人的一致。畢竟以前很多安全管理設備都是作串接的，但是對很多大型企業來說，其網絡出口上已經有不少設備了，因此很多用戶擔心性能與單點故障。雖然在旁路的情況下，控制方面的效果不如在線模式，但是審計功能可以很好地實現。比如ＵＲＬ訪問、郵件審計、ＩＭ管理等，發現信息后都可以采取記錄形式，個別可以通過控制列表阻攔。王景輝認為，在安全管理技術上，采用軟件的企業越來越多，畢竟實現方式比較完整，但軟件大都是采用旁路技術。

風險導向型技術

細心的讀者會發現，三個技術層次看上去更像建設安全管理平臺的三個步驟。事實上，這種思路確實具有容易實施的特點，但在邏輯縝密性上，似乎有進一步突破的余地。對此，陳剛的看法是，他們從用戶最根本的需求入手—量化風險、降低風險—以此為出發點，設計了基于風險管控的安全風險管理SRM模型。

同樣，SRM也是一個龐大的整體，而且其復雜性似乎更高。目前，基于SRM的安全管理技術同樣包括了三個層次。

第一層，完善的安全基礎設施。這一點和國產廠商提出的SNI比較類似，都強調企業用戶必須要有基礎的防御手段。

第二層，在法律法規符合性方面進行風險評估，并將遵從性意見報告與評估結果呈現給企業用戶。事實上，這一層是很多國際上從事安全管理技術研發的廠家比較關注的。特別是隨著薩班斯法案公布以來，越來越多規范上市公司行為的法律法規都將對企業的管理、財務提出要求，其中勢必涉及到對IT系統的安全要求。

第三層，利用統一的技術，實現將前兩層從上到下串聯在一起。對于這一點，陳剛解釋說，傳統上單獨的安全技術，或者單一的法律法規之間，都是空洞且沒有聯系的。根據經驗，很多用戶需要一種手段，把防御手段與法律法規或者企業要求的東西結合在一起，統一進行管理。換句話說，這種技術產生的結果，就不是簡單地生成決策意見，而是需要直接調動具體的防御設備，幫助用戶作出防御動作。

據悉，采用基于風險架構的安全管理技術，突出的優勢是可以獲得強大的內部審計效果。記者了解到，大眾汽車目前是在全球范圍內實現基于SRM安全管理的企業。而大眾汽車北京總部的IT人員透露，他們在上安全管理技術之初，恰恰考慮的就是風險管控。他們多年來都是從兩個方面考慮問題，一個是安全的檢測能力，包括涵蓋上海大眾和一汽大眾的內部數據收集；另一個就是在此基礎上，對企業策略進行控制。即在業務不出問題的情況下，符合中國和國際的法律要求、審計要求，并通過多種安全產品整合實現統一管理。

關注技術控制

目前主流的安全管理技術分為旁路與在線兩種。對此，葉鵬介紹說，一般安全管理平臺都具備實時監控、定期輪訓、周期掃描等分析模式，其中涉及到一些行為監控部分，可以采用旁路技術，通常都是利用專門的硬件在交換機邊上進行行為采集，送到管理平臺進行分析。如果分析出威脅，可以支持采取行動。

王彥平認為，在具體行動的時候，可以通過平臺自己實現，也可以與其他廠商的產品進行協同。而王景輝也表示，采用在線模式的時候，可以通過SIM或者SNI實現，發現問題就可以通知防火墻或類似產品去實現阻斷，基于802.1x實現總的協同調動。

另外，譚興烈也表示，在IDS提出報警之后，安全管理系統首先會對這些事件進行存儲；然后對這些報告事件進行綜合分析，找到信息系統的主要事件源；同時安全管理系統會將整個系統的事件進行優先排隊；最后啟動事件處理機制對事件進行處理。

同時，他也進一步提出，安全管理技術可以對企業用戶的網絡行為進行監控。一般情況下，安全管理系統具有網絡管理的模塊，如果信息系統中沒有安裝網絡管理系統，可以利用安全管理系統的網絡管理功能對企業用戶的網絡行為進行監管和控制；對于已經安裝了網絡管理的信息系統，安全管理系統可以通過對網管系統進行管理和控制，從而對企業用戶的網絡行為進行監管與控制。安全管理系統可以與各種網絡準入與全網安全系統進行整合。

在安全管理是否要對企業上網行為進行監控的問題上，深信服的安全產品經理鄔迪堅定地表示，安全管理必須包括從內到外的安全審計與外發信息監控。他認為，當網絡基礎設施建立完畢以后，用戶會不可避免地面對從內到外的問題，比如一些內部用戶使用一些內部應用，或者BT、QQ、MSN等P2P應用，都容易把外部的安全隱患帶入內網，最常見的就是下載文件導致內網病毒泛濫。

不過由于用戶的安全產品大部分五花八門，因此在信息收集與控制上仍舊存在諸多不便。陳剛認為，衡量安全管理技術的條件之一，就是看廠商對于主流安全設備的信息匯總能力。

舉例來看，某天微軟發布了新的漏洞，或者安全設備掃描出來機器上存在一個新的漏洞，那么系統就可以自動要求IPS對這個漏洞進行防御，對這個漏洞進行阻擋。

記者在采訪過程中越發覺得，今后安全管理的發展趨勢，特別是對內的行為監控部分，很可能是向著旁路方向發展。在這一點上，王景輝和鄔迪的看法也是驚人的一致。畢竟以前很多安全管理設備都是作串接的，但是對很多大型企業來說，其網絡出口上已經有不少設備了，因此很多用戶擔心性能與單點故障。雖然在旁路的情況下，控制方面的效果不如在線模式，但是審計功能可以很好地實現。比如ＵＲＬ訪問、郵件審計、ＩＭ管理等，發現信息后都可以采取記錄形式，個別可以通過控制列表阻攔。王景輝認為，在安全管理技術上，采用軟件的企業越來越多，畢竟實現方式比較完整，但軟件大都是采用旁路技術。

風險導向型技術

細心的讀者會發現，三個技術層次看上去更像建設安全管理平臺的三個步驟。事實上，這種思路確實具有容易實施的特點，但在邏輯縝密性上，似乎有進一步突破的余地。對此，陳剛的看法是，他們從用戶最根本的需求入手—量化風險、降低風險—以此為出發點，設計了基于風險管控的安全風險管理SRM模型。

同樣，SRM也是一個龐大的整體，而且其復雜性似乎更高。目前，基于SRM的安全管理技術同樣包括了三個層次。

第一層，完善的安全基礎設施。這一點和國產廠商提出的SNI比較類似，都強調企業用戶必須要有基礎的防御手段。

第二層，在法律法規符合性方面進行風險評估，并將遵從性意見報告與評估結果呈現給企業用戶。事實上，這一層是很多國際上從事安全管理技術研發的廠家比較關注的。特別是隨著薩班斯法案公布以來，越來越多規范上市公司行為的法律法規都將對企業的管理、財務提出要求，其中勢必涉及到對IT系統的安全要求。

第三層，利用統一的技術，實現將前兩層從上到下串聯在一起。對于這一點，陳剛解釋說，傳統上單獨的安全技術，或者單一的法律法規之間，都是空洞且沒有聯系的。根據經驗，很多用戶需要一種手段，把防御手段與法律法規或者企業要求的東西結合在一起，統一進行管理。換句話說，這種技術產生的結果，就不是簡單地生成決策意見，而是需要直接調動具體的防御設備，幫助用戶作出防御動作。

據悉，采用基于風險架構的安全管理技術，突出的優勢是可以獲得強大的內部審計效果。記者了解到，大眾汽車目前是在全球范圍內實現基于SRM安全管理的企業。而大眾汽車北京總部的IT人員透露，他們在上安全管理技術之初，恰恰考慮的就是風險管控。他們多年來都是從兩個方面考慮問題，一個是安全的檢測能力，包括涵蓋上海大眾和一汽大眾的內部數據收集；另一個就是在此基礎上，對企業策略進行控制。即在業務不出問題的情況下，符合中國和國際的法律要求、審計要求，并通過多種安全產品整合實現統一管理。

關注技術控制

目前主流的安全管理技術分為旁路與在線兩種。對此，葉鵬介紹說，一般安全管理平臺都具備實時監控、定期輪訓、周期掃描等分析模式，其中涉及到一些行為監控部分，可以采用旁路技術，通常都是利用專門的硬件在交換機邊上進行行為采集，送到管理平臺進行分析。如果分析出威脅，可以支持采取行動。

王彥平認為，在具體行動的時候，可以通過平臺自己實現，也可以與其他廠商的產品進行協同。而王景輝也表示，采用在線模式的時候，可以通過SIM或者SNI實現，發現問題就可以通知防火墻或類似產品去實現阻斷，基于802.1x實現總的協同調動。

另外，譚興烈也表示，在IDS提出報警之后，安全管理系統首先會對這些事件進行存儲；然后對這些報告事件進行綜合分析，找到信息系統的主要事件源；同時安全管理系統會將整個系統的事件進行優先排隊；最后啟動事件處理機制對事件進行處理。

同時，他也進一步提出，安全管理技術可以對企業用戶的網絡行為進行監控。一般情況下，安全管理系統具有網絡管理的模塊，如果信息系統中沒有安裝網絡管理系統，可以利用安全管理系統的網絡管理功能對企業用戶的網絡行為進行監管和控制；對于已經安裝了網絡管理的信息系統，安全管理系統可以通過對網管系統進行管理和控制，從而對企業用戶的網絡行為進行監管與控制。安全管理系統可以與各種網絡準入與全網安全系統進行整合。

在安全管理是否要對企業上網行為進行監控的問題上，深信服的安全產品經理鄔迪堅定地表示，安全管理必須包括從內到外的安全審計與外發信息監控。他認為，當網絡基礎設施建立完畢以后，用戶會不可避免地面對從內到外的問題，比如一些內部用戶使用一些內部應用，或者BT、QQ、MSN等P2P應用，都容易把外部的安全隱患帶入內網，最常見的就是下載文件導致內網病毒泛濫。

不過由于用戶的安全產品大部分五花八門，因此在信息收集與控制上仍舊存在諸多不便。陳剛認為，衡量安全管理技術的條件之一，就是看廠商對于主流安全設備的信息匯總能力。

舉例來看，某天微軟發布了新的漏洞，或者安全設備掃描出來機器上存在一個新的漏洞，那么系統就可以自動要求IPS對這個漏洞進行防御，對這個漏洞進行阻擋。

記者在采訪過程中越發覺得，今后安全管理的發展趨勢，特別是對內的行為監控部分，很可能是向著旁路方向發展。在這一點上，王景輝和鄔迪的看法也是驚人的一致。畢竟以前很多安全管理設備都是作串接的，但是對很多大型企業來說，其網絡出口上已經有不少設備了，因此很多用戶擔心性能與單點故障。雖然在旁路的情況下，控制方面的效果不如在線模式，但是審計功能可以很好地實現。比如ＵＲＬ訪問、郵件審計、ＩＭ管理等，發現信息后都可以采取記錄形式，個別可以通過控制列表阻攔。王景輝認為，在安全管理技術上，采用軟件的企業越來越多，畢竟實現方式比較完整，但軟件大都是采用旁路技術。

對用戶的建議

事實上，安全管理技術的復雜性之高，令記者也心有余悸。記得王彥平曾指出，“成也管理，敗也管理。”的確，上安全管理猶如一套企業的安全ERP，絕非即買即用的產品。

對此，河南省稅務局的IT負責人向記者透露，在部署了全省的安全管理系統之后，他們覺得無論是政府機構還是企業除了基礎的安全設施，同樣要關注具體應用的問題。因為領導不愿意每天看到有多少漏洞報告，而是希望清楚地知道哪個部門的安全風險最高，哪個部門最低，這涉及到政策、法律法規的要求。

越來越多的企業都把安全管理的核心落實到了應用。王景輝認為這是一個好現象，因為安全管理是一個需要不斷擴展的技術，它從建立之日起就充滿了變化。對用戶來說，各種結果或者評分，都將關系到安全威脅防御的產品，關系到用戶安全審計的產品，關系到用戶想要什么。事實上，安全管理不僅是阻擋攻擊，不能只停留在技術層面，它需要得到宏觀的結果?？吹皆u分高，風險大，能夠調動相應方案來解決。