CiscoWorks安全信息管理解决方案将推动业务基础设施保护领域的下一场变革
CiscoWorks安全信息管理解决方案将推动业务基础设施保护领域的下一场变革
企业在安全方面面临的最大挑战之一是如何管理由不断增加的、多个厂商的安全设备和系统所产生的大量警报信息。企业需要可以隔离和优先处理代表着实际安全威胁的消息的自动化系统。
更加有效的安全自动化的关键是一种被称为安全信息管理SIM)的软件技术。CiscoWorks安全信息管理解决方案SIMS)3.1建立在netForensics的技术的基础上,可以为搜集和分析企业所面临的、大量的安全事件数据提供非常强大的功能。
利用这种技术,企业可在不增加员工的基础上,管理他们不断扩大的安全基础设施和有效地监控数百万个事件消息。
利用CiscoWorks SIMS 3.1,用户将获得一个可以提供下列功能的解决方案:
- 对于SAFE和所有多厂商安全环境的、全面的事件监控
- 先进的虚拟化功能,可以实现迅速、直观的安全监控
- 集成化的风险评估功能可以揭示企业中的任何特定资产的总体风险
- 对于所有级别的安全操作的全面报告和预测
- 生产率增益和成本降低
CiscoWorks SIMS 3.1利用曾获大奖的netForensics软件提供这些功能。该软件是这个解决方案的核心。
CiscoWorks SIMS 3.1可以通过四个不同的阶段,搜集、分析和关联来自于整个企业的安全事件信息:规范化、汇总、关联和虚拟化。
规范化和汇总
在规范化和汇总阶段,CiscoWorks SIMS 3.1将从几乎所有的入侵检测系统、防火墙、操作系统、应用和防病毒系统搜集安全事件,并将其转换成一种通用的、便于理解的XML格式。事件随后将进行汇总,以清除重复的安全事件数据——安全管理员可以只看到1个关于一次针对PIX防火墙的端口扫描的消息,而不是6000个。
关联
利用统计关联,规范化的安全事件将按照资产或者资产群组归入不同的安全事件类别。事件类别可能包括刺探攻击、病毒攻击和拒绝服务攻击等。对于每个资产,CiscoWorks SIMS 3.1将通过将事件的严重程度和资产的价值结合到一起,不停地计算威胁指数,以确定安全事件的总体潜在威胁。CiscoWorks SIMS 3.1的主要优点在于能够发现那些被基于规则的关联系统所忽视的异常情况。
虚拟化
CiscoWorks SIMS 3.1可以在一个集中、实时的控制台中显示一个功能强大、直观、友好、基于Java的图形化界面。
管理面板提供了一个实时的企业级安全趋势视图,而实时控制台可以利用实时的关联和分析功能,迅速地隔离安全攻击。
风险评估
在安全方面,风险评估有助于了解企业中的任何一个特定资产的总体风险。风险通常被定义为威胁、危险性和价值的组合,其中:
- 威胁是指任何针对一个系统或资产的异常流量或活动。netForensics会记录每种威胁——无论它是端口扫描攻击还是登陆失败。这些记录将在计算总体风险时被考虑在内。
- 价值是指任何特定系统或资产的重要性等级可能是以美元表示)。价值是一个由客户针对企业中的每个资产定义的变量。
- 危险性是指一个针对系统或者资产的攻击获得成功的可能性。
该解决方案结合了上述所有因素,为企业中的每个资产计算了一个总体风险指数。这个指数越高,就意味着资产的危险性越高。该解决方案还将生成一份风险评估报告,提供每个资产的必要细节和它的相关风险。通过了解企业中某个特定资产的危险性,企业可以采取相应的安全策略。
综述
随着企业IT基础设施的安全保障任务变得越来越具有挑战性,企业必须依靠技术来过滤来自于不断增加的安全设备和系统的大量安全事件信息。此外,技术不仅可以帮助机构降低攻击风险,还有助于在发生攻击时加快响应速度。CiscoWorks SIMS 3.1可以提高现有的安全团队的工作效率,进而帮助他们获得实际、显著的ROI。
灵活的部署选项
CiscoWorks SIMS 3.1能够以下列方式订购:
1. 一个纯软件产品。这可以提供部署一个多层服务器架构的灵活性,适用于大型部署。
2. 一个装置产品。包括预装在Cisco 1160硬件平台上的CiscoWorks SIMS 3.1。它可以为客户提供更加方便的安装。
装置产品具有与纯软件启动包相同的功能。该装置包括一个用于监控最多30个设备的使用许可。
如果事件数量较少,用户可以购买附加的使用许可,以监控超过30个设备。装置所能支持的设备的实际数量将取决于多个因素,包括消息频率、保持规定和设备类型。装置具有多种工具,例如用以监控消息频率和软件性能的系统状况监视器。
 |
|
|
 |
| 纯软件产品 | 装置产品 |
| 分布式架构 | 单个服务器 |
| 全面可扩展性 | 部分可扩展性 |
| 1到4天安装服务 | 最短的安装时间 |
| 针对大中型部署 | 针对中小型部署 |
设备对于监控的支持
|
表1 所支持的事件来源和版本 | |
|
|
| 应用/设备 | 版本 | nF 组件 |
| Arbor Peakflow DoS | 2.1 | Arbor Peakflow代理 |
| Check Point FireWall-1 | NG, 4.1 | Check Point代理 |
| Cisco IOS ACL, FW, IDS | 12.2, 12.0 | Syslog文件代理 |
| Cisco Secure ACS | 3.1,3.0 | CSACS代理 |
| 思科防火墙交换模块 | 1.1.2 | Syslog文件代理 |
| Cisco Secure IDS | 4.1,4.0, 3.1, 2.5, 2.2 | CSIDS 代理 |
| Cisco Secure PIX | 6.3, 6.2, 6.1, 6.0, 5.3, 5.2, | Syslog 文件代理 |
| Cisco Secure PIX IDS | 6.3, 6.2, 6.1, 6.0, 5.3, 5.2 | Syslog 文件代理 |
| Cisco Security Agent | 4.0 | 需要管理中心来帮助思科安全代理转发事件) |
| Cisco VPN Concentrator | 3.1, 2.5.2 | Syslog文件代理 |
| CyberGuard Firewall | 5.1 | CyberGuard代理 |
| Dragon Sensor / Squire | 6.1 / 1.3.1 | Dragon代理 |
| Entercept HIDS | 4.0, 2.5, 2.0 | Entercept代理 |
| Intruvert | 1.2 | Intruvert代理 |
| ISS RealSecure HIDS / NIDS | 6.5, 6.0, 5.5 / 7.0, 6.5, 6.0 | ISS RealSecure代理 |
| ISS SiteProtector | 2.0 | ISS SiteProtector代理 |
| NetScreen | 4.0 | NetScreen代理 |
| Network Flight Recorder | 3.0 | NFR代理 |
| Secure Computing Sidewinder | 5.2 | Sidewinder代理 |
| Sourcefire | 2.0 | Sourcefire代理 |
| Snort NIDS | 1.8 | Snort代理 |
| Symantec Enterprise FW/VPN | 7.0, 6.5 | Symantec代理 |
| Symantec ManHunt NIDS | 2.2 | Enterprise Firewall/VPN |
| Symantec ITA | 3.6 | Symantec代理 |
| Tripwire NIDS | 3.0 | ManHunt代理 |
| UNIX OS 事件 | Solaris 8/7/6, Linux 7.2/7.1 | Tripwire代理 |
| Web服务器 | Apache, IIS, iPlanet | Web服务器代理 |
| Windows事件 | Win 2000 Server / Adv. Server | UNIX OS 文件代理 |
评论暂时关闭