保护企业数据安全的非常好的模型

　　近些年来，随着企业与供应商、客户和业务合作伙伴的联系日益紧密，网络边界逐渐消失，外部威胁和内部威胁的区别日渐模糊。与此同时，企业开始关注由内部系统以及防火墙之外的IT设备所产生的网络活动。僵尸网络、病毒、键盘记录器和其它恶意软件给企业运营带来越来越大的威胁。

　　王禄耀谈到，企业需要可以主动识别并管理风险的解决方案，无论数据和流程位于何处。跨技术层的安全信息需要被有效关联、分析和汇总，以提供一个基于风险的视图来协助决策制定。

　　随着时间的推移，大多数企业将实施各种安全单点解决方案，例如应对网络攻击的防火墙、防止结构化数据丢失的数据库加密和审计。尽管这些安全点解决方案可以极大地帮助企业保护其数据和IT环境的机密性、完整性和可用性，但是在这些不同的、非集成的单点解决方案之间依然存在许多安全漏洞。此外，这些传统的安全解决方案大多数与IT运营结合并不紧密，因此不支持IT环境中安全攻击和IT中断的无缝感知。

　　“企业需要考虑如何将这些非集成层结合起来，同时把其安全保护与IT运营连接起来以实现企业范围内的‘态势感知’。”王禄耀在描述企业数据安全的非常好的模型时这样说。

　　这正是采用强大SIEM技术的SIRM (安全智能与风险管理)平台独特的用武之处，它能够实现跨层间安全集成并将安全性融入IT运营中。这是通过跨越各安全点解决方案层所覆盖的领域以及IT运营而做到的——通过监控和分析来自安全和非安全设备断面(cross section)的活动日志。

　　例如，当分析来自各种安全和运营工具的事件日志时，一项有效的SIEM工具应该能够检测以下内容：

　　a) 通过分析网络流量：检测异常繁忙的网络流量;

　　b) 通过分析电子邮件流量：检测单台计算机外发数百个异常不相关的电子邮件域的情况

　　c) 通过分析防火墙日志：检测外部连接至列入黑名单的IP地址的计算机

　　接着，SIEM工具应能够将这些不同事件作为一次可能的木马侵袭关联起来，并即刻做出防御反应以阻止计算机进一步连接至网络上其它节点，同时提醒网络或安全管理员立即展开调查。以层为中心的安全管理方法很难(如果仍可能做到的话)实现这种级别的态势感知并进行及时补救。