1 前言－信息安全管理的挑战

1.1 当前信息安全管理存在的问题

如何应对现在新的网络安全环境？如何在我们的网络上确保安全，及时地发现问题、跟踪定位和阻止泛滥，是每个网络管理人员所思考的问题。现在尽管采用了防火墙、虚拟专用网（VPN）、身份验证机制、入侵检测系统（IDS）和其他技术来保障网络安全，但是网络攻击的传播速度可能会大大提高网络的脆弱性。一个蠕虫或者病毒通常只需要借助一台没有正确使用或者更新的计算机，就可以在几分钟之内感染整个企业的网络。即使这种攻击不是破坏或者盗窃数据，它们也可能会产生大量的网络流量，严重影响企业开展业务的能力，从而导致网络中断和收入损失。

因此，企业在网络上部署安全设备和应用的目的不再只是控制访问权限和发现可能的问题。其首要目标已经变成以最佳的方式保持网络的正常运行。而现实是现有的安全产品通常不能够采取足够快的措施制止攻击和保持网络的稳定性。这使得企业的安全管理人员很难确定为了购买更多的安全技术而增加预算的必要性。

有很多相关的因素共同导致了这种僵局，例如：

• 用于保护和监控网络的各种安全设备――防火墙、IDS、VPN、身份验证设备等――具有不同的、不一致的报告机制。
• 各个安全设备没有足够的网络拓扑信息，因而无法及时地提供关于网络攻击的信息。
• 一个典型企业中的各种安全设备可能会产生大量关于网络中流经的数据的信息，以至于操作人员无法有效地处理这些信息。

综合起来看，我们企业遇到的安全管理问题主要归结为一下五个方面：

• 对实时安全信息不了解，无法及时发出预警信息
• 安全设备的管理往往是孤立的安全设备，缺乏整个“网络”的意识
• 事件发生后，无法确诊网络故障的原因或感染源/攻击源，网络业务恢复时间长
• 缺乏“经验丰富”的网络安全专家去监控，分析，解决问题；成本比较高
• 对某些特定安全事件没有适合的方法，如DDoS攻击，蠕虫病毒等

1.2 保障信息安全对管理的需求

近年来，企业的网络安全意识逐步提高，很多企业根据核心数据库和系统运营的需要，逐步部署了防火墙、防病毒和IDS等安全产品，并配备了相应的安全策略。有了这些措施，看起来好象一切问题都解决了，但是为什么在面对网络攻击时依然损失惨重呢？

如今，随着计算机和通讯技术的高速发展，网络的开放性、互连性、共享性程度的扩大，企业越来越依赖信息和网络技术来支持他们在全球市场中的 迅速成长和扩大。但随之而来的威胁也越来越多——黑客攻击、恶意代码、蠕虫病毒……可以说，网络从没有象今天这样脆弱不堪、危机四伏，不知道什么时候灾难 就会降临。

在黑客技术发展层面，以及越来越频繁爆发的网络危机来看，黑客们已熟悉了防火墙、IDS等安全部件执行的传统访问控制策略。他们的攻击方式己不只是针对防火墙等产品的开放端口进行扫描，而是直指应用程序层面，寻找一切可以利用的漏洞。攻击手段越发复杂隐蔽和立体，如冲击波、震荡波等混合了蠕虫和黑客攻击等多重特性，对网络安全提出了新的挑战。

从另一个角度来看，企业在网络建设初期网络安全并没有很好地规划。随着网络建设的深入，安全产品不断增加，整体缺乏统一管理，相互间没有沟通交互，信息无法有效整合，是一些信息安全的孤岛，各个应用系统之间缺乏有效联系，信息得不到整合，发挥不出其应有的价值。同样的问题放在网络安全上，这一效应就有可能放大成为风险，给企业IT系统的持续运转埋下隐患。

现在的防病毒软件有自己的管理系统，防火墙有自身管理系统，不同的系统有不同的网络管理软件，所以网络管理人员要保持对不同产品管理系统信息的检查。

其实这些来自不同安全产品的信息之间存在很大的相关性，如果分开独立地看待这些来自单一设备的信息，很有可能会忽略到一些重要的细节或关键因素，致使网络遭受重大打击。

设想，当一个攻击发生时，防病毒、防火墙、IDS产品都发出了自身的报警信息，由于缺乏事件的关联性，一个事件会引起多个或大量的安全信息。这使网络管理人员无法进行及时处理，往往顾此失彼，手足无措，无法针对事件做出及时响应，迅速地给出一个良好、有效的解决办法。

不同安全产品的管理人员处理问题往往只针对自己产品本身，而没有统一调整整个网络的防御策略，这样往往会错过处理的最佳时机，而无法使企业网络在遭受病毒或攻击的时候，最大限度地减少所遭受的损失。

如果这种状况持续下去，网络安全管理员所看到的永远只是一个相对独立的安全信息，就像是那个盲人摸象的故事。看问题只是看到了一个角，而没有看到问题的全部，那些细节和隐藏在外表下的真相可能恰恰被忽略，而它们往往是问题的关键所在。像电信运营商这样拥有庞大的全国性网络、网络中安全产品数量众 多的大型企业，这种问题尤为突出。

我们传统的手段都是通过网络设备/安全设备发送Syslog到服务器上，作安全的事后审计。一个大型的网络，包含若干的网络产品，这些网络设备随时随地都在发送SysLog信息，每天产生的Log信息达到数万之多，任何一个网络管理员很难通过Syslog来准确定位网络发生的安全故障；即使有丰富知识的网络管理员，能通过Syslog分析得到有用的网络信息，但是响应速度也是很慢的。

不断叠加的网络设备，成几何级增长的数据，往往降低了企业对事故的响应速度。如果再加上一些莫名其妙的虚假警报，公司的网络运维人员数量将急剧增长，但这依然无法保证网络的安全，有的时候企业不得不因为某一两个人的一个微小错误或疏忽而付出高昂的代价。

这就是为什么企业在部署了众多安全设备后，依然无法有效地进行安全防范的原因。IT管理者们更希望在问题发生的时候，得到一个综合全面的安全报 告，以了解企业网络到底处于什么样的状态，遭受过什么样的攻击，正面临着什么样的危险？而不是每一个产品信息的简单罗列，企业需要一个能集中管理所有产品 信息、智能化的安全管理中心。

“安全是三分技术，七分管理。”已为大家所广泛熟知，但是怎么管理、怎么进行有效地利用，却始终困绕着众多CIO。诚然，一个良好的安全机制和策 略能给企业提供一定的安全保障，但面对网络中数目日益庞大的不同品牌和功能的安全产品，网络管理人员愈发捉襟见肘，单纯依靠人力的管理和维护不但效率低下，而且还面临很多不确定的因素和风险。

综上所述，不难看出，近年来，安全管理中心、集中安全管理平台的理念和整体解决方案越来越得到用户认可的一个深层次原因。

1.3 信息安全管理的体系结构

信息安全管理最开始是基于每一台安全设备的管理，到每一类安全设备（FW/IDS/VPN）的网元级的管理（比如Cisco的VMS），因为单独的安全设备不能解决安全的网络问题，独立的基于网元的管理更不能解决日益复杂的安全的问题，必须寻求新的方法。随着信息技术的发展，面对新一代的黑客攻击，蠕虫，病毒等安全威胁，建设安全的网络是业界目前所追求的理想目标。

那么什么是安全的网络？安全的网络是指能够提供安全连接、安全保证、安全认证、安全抵御以及安全服务，安全感知和管理，具有自我防御能力的网络系统。

单纯从技术的角度而言，目前业界比较认可的安全网络的主要环节包括入侵防护、入侵检测、事件响应和系统灾难恢复。入侵防护主要是在安全风险评估和对安全威胁充分了解的基础上，根据对安全的期望值和目标，制定相应的解决方案。入侵检测主要是通过对网络和主机中各种有关安全信息的采集和及时分析，来发现网络中的入侵行为或异常行为，及时提醒管理员采取响应动作阻止入侵行为的继续。事件响应是当发生安全事件的时候所采取的处理手段，与入侵防护和入侵检测不同，事件响应主要体现为专业人员的服务和安全管理。系统恢复是指如何在数据、系统或者网络由于各种原因受到损害后，尽快恢复损失前的状态。除此之外，风险评估、安全策略和管理规定等，经常也被作为安全保障的重要部分。

但是不论有多少环节，要想实现安全的网络，风险评估、策略制定、入侵防护和入侵检测等都是应急响应的准备工作，有了这些准备工作，事件响应才可以及时得到各种必要的审计数据，进行准确的分析，采取措施降低损失或者追踪入侵者的来源等。因此，应急响应实际上将各个环节贯穿起来，使得不同的环节互相配合，共同实现安全网络的最终目标。而应急响应能否在攻击者成功达到目标之前有效地阻止攻击和快速响应，不但取决于安全产品本身采取了什么技术，更取决于使用和管理产品的人以及网络安全信息管理平台。优秀的信息管理分析工具，可以让安全管理人员对网络的安全状态了如指掌，快速行动，真正实现安全网络。下图为安全网络系统模型，可见安全响应管理具有非常重要的作用。

安全信息管理涵盖的范围非常全面，包括风险管理，策略中心，配置管理，事件管理，响应管理、控制系统，知识和情报中心，专家系统等，每个部分都需要严密的设计，相互协作，真正实现一个高效率的，实用的，完整的安全信息集中管理平台。安全管理在安全网络建设的循环中，起到一个承前启后的作用，是实现安全网络的关键。

根据信息安全管理的功能和特性，可将其工作流程分成以下4个阶段，如下图所示，每个阶段侧重解决不同的信息安全问题、实现不同的安全目标：

• 配置管理Provisioning
• 监控管理Monitoring
• 分析管理Analysis
• 响应管理Response

1.3.1 配置管理

配置阶段的管理目标主要是实现对安全产品的：

• 安全策略的定义
• 部署安全配置
• 检查配置是否遵循安全策略

网络安全的设备种类和型号十分繁多，网络管理员经常会深陷于复杂的设备配置之中，尤其是采用命令行界面进行配置的时候，要熟计记繁多的命令，给网络管理人员增添了过多的工作负担。往往造成效率不高的问题。所以对于日常的网络运作，非常需要有相关的网络安全管理配置软件，将网络管理人员的工作减到最少。

网络安全管理配置软件根据其处理对象的不同，分成网元管理配置软件和网络管理配置软件。网元管理软件只管理单独的网元(网络设备)，而通用网络管理软件的管理目标为一个网络。网元管理软件的特点是，专注于网络设备本身的底层的功能，进行网络监控，配置的工具。各种复杂的高层的网络管理，离不开基本的底层的设备本身的管理。

1.3.2 监控管理

监控阶段的管理目标主要是实现对安全产品的：

• 查看，校对，产生安全状况报告
• 提供可视化的安全威胁信息
• 保存记录，日后审计

网络管理员日常工作中，除了对经常增加的业务进行配置之外，另外一个主要的工作就是监控网络的正常语法。伴随着网络的正常应用流量，网络上形形色色的异常流量也随之而来，影响到网络的正常运行，威胁用户主机的安全和正常使用。这就非常需要有合适的网络安全管理监控软件，帮助网络管理员快速，有效地监控网络流量。

1.3.3 分析管理

分析阶段的管理目标主要是实现：

• 智能地翻译离散的数据成可检测的信息
• 显示推荐的排除安全威胁的配置信息
• 安全审计

谈到信息安全，用户首先想到的是要知道当前自己企业的信息安全状况如何。这就需要进行信息安全评估，但是用户都很担心安全评估是否专业，是否系统，是否会流于形式，为评估而评估，只是检查了目前的情况，却提不出针对评估发现的问题地完整的解决方案。

安全评估审计分成2类：一类是对网络设备本身的配置进行检查审计。将设备本身安全加固的配置和预定的最佳配置相比较，看是否有不足；另一类是对整个网络系统，包括对主机系统的安全漏洞进行评估审计。

1.3.4 响应管理

信息安全管理的最高形式即是实现对安全风险的实时响应管理，即基于获取的海量安全事件，分析整个系统的安全状态和安全趋势，对危害严重的安全事件及时做出响应。这一阶段的主要目标是：

• 关联各种事件准确定位安全事件
• 网络感知确定攻击源头、描绘攻击路径、
• 自动产生排除安全维修的操作
• 和其他部署系统一起协同作业

2 安全管理中心SMC的规划与建设

2.1 SMC(security management center)概述

当前信息系统发展的一个显著特点是：资源平台化、数据集中化。信息安全保障系统作为信息系统的重要组成部分，其发展也必须符合信息系统发展趋势，目前信息安全建设对SMC安全管理中心的需求越来越强烈。安全管理中心是描述“对安全事件(Security Incident)提供检测和响应服务的所有平台”通用术语。SMC包括配置，监控，分析，响应等四个相关联的部分，分析整个系统的安全状态和安全趋势，对危害严重的安全事件及时做出反应。

2.2 SMC的规划与建设

SMC是安全风险管理的最高级形式－实时风险管理，SMC的建设不是部署一个能实现统一集中管理的产品，而是一个系统的规划与建设过程。企业的SMC的建立可分为四个阶段：设计阶段、基础实施阶段、SMC管理阶段和改进与提升阶段。

2.2.1 规划设计阶段

设计阶段的任务是要制定符合企业组织管理模式、适应企业网络环境和特点的安全管理政策，然后设计与安全管理政策相适应的防御体系，并制定制定安全防御体系失效之后的应急预案。

根据政策和企业发展战略制定企业IT资产的安全保护目标, 把整个网络系统划分为相对独立的安全域，通过对安全域的边界防护和安全域内的统一安全管理来实现安全域内的网络安全。根据企业保护原则制定安全策略，把安全策略具体实现到人和物两方面，实现策略的软硬紧密结合，协助企业进行安全策略的下发和执行，并协助企业修订和完善安全策略。

• 网络安全域规划：
  • 必须把整个网络系统划分为相对独立的安全域，通过对安全域的边界防护和安全域内的统一安全管理来实现安全域内的网络安全。
  • 层次化安全区域划分：借鉴B/S结构应用系统对外提供服务的层次关系，采用层次分析的方法，将数据网络划分成核心数据层、应用表述层、网络控制层、用户接入层4个不同的安全等级，从核心数据层到用户接入层安全等级递减。不同安全层次等级之间由于存在较大安全级差，需要通过防火墙实施物理隔离和高级别防护；同一安全等级层次内的资源，根据对企业的重要性不同，以及面临的外来攻击威胁、内在运维风险不同，进一步划分成多个安全区域，每个区域之间利用防火墙、IOS ACL、VLAN实施逻辑、物理的隔离，形成一个垂直分层，水平分区的网络安全区域模型。

• 网络系统安全设计
  • 网络系统的设计必须符合安全域的规划，明确安全防护边界。
    
  • 网络系统设计时，必须遵循应用系统安全需求和网络安全设计原则以保证网络系统设计的安全。
    
  • 网络系统中应该采取适当的措施，尽可能减少网络崩溃和拥塞发生的机率，提高出现崩溃和拥塞后的系统恢复能力。
    
  • 网络系统必须拥有完善的网管系统，要求网管系统必须能够提供网络系统状态的实时监控和故障报警功能。
    
  • 通过对安全域边界的风险分析得到安全域的边界防护要求，在边界安全防护要求的基础上完成网络边界安全防护设计。
• 网络安全管理
  • 必须通过规范化的网络安全管理，确保网络系统安全。
    
  • 网络设备的配置必须符合相关的设备安全标准、指引。
• 网络访问控制
  • 对于每一个网络安全域要制定和维护一个访问控制策略，作为网络系统访问控制管理依据。
    
  • 安全域划分后，域间的互相访问要进行严格的访问权限控制。
    
  • 来自安全域外部的访问必须对发起者进行身份认证，保证只有可信的和合法的实体才能访问网络系统。
    
  • 必须控制远程访问，并且保证远程访问的安全。
    
  • 必须严格管理内部网络与因特网的连接。
    
  • 严格规定使用调制解调器的范围、时间和方式，并对调制解调器的使用情况进行详细记录。
    
  • 无线网络接入区域必须进行隔离以防止信号溢出，其接入必须通过授权，传输的数据必须加密。
    
  • 必须严格管理和控制数据流路径，尤其是在动态路由环境下，保证网络内数据始终处于安全控制之下；必须严格控制对安全域内设备的远程诊断管理端口的访问。
• 网络监控系统的使用
  • 必须使用网络监控系统实时监控网络系统内的主要节点设备和主要链路的状态，建立自动报警机制和紧急事件响应流程。
    
  • 检测未授权的行为，检测网络配置和管理中存在的漏洞。
    
  • 对异常事件和安全事件的日志必须保存及审计

2.2.2 基础实施阶段

这是安全的基础建设阶段。此阶段是在企业既定的安全政策和方针指导下，选择适当的威胁防御系统技术和产品，部署在信息系统中，并恰当的配置好安全策略，以使安全措施能够发挥应有的保护和防御功能。 但前常用的安全产品有：

端点安全：端点保护使用基于行为的防御，还可防止异常行为的发生。举例来说，Web服务器一般都会响应Web HTTP的请求，但它一般不会发起这种类型的请求。如果后面这种类型的行为－发起Web 请求发生，端点安全代理就能及时阻止。

防火墙技术：集成安全网关隔离安全区域，抑制威胁扩散。

网络入侵防御系统(IPS)：网络IPS在网络中充当监视和告警机制，它可监测那些已知的威胁活动，实时对这些活动做出响应。

网络异常监测：网络异常监控可以用来监测DDoS攻击和其它未知攻击行为，并阻止它们造成目标服务器和网络接入链路瘫痪。它可以保护服务器区域，并检测服务器区域内的业务流量何时超出了正常的流量模式。然后，它对流量进行过滤，在通过网络不断发送合法流量的同时，拒绝DDoS攻击流量，从而使服务器区域能够成功地持续运行。

3到7层的网络智能：威胁防御系统使用网络智能业务，以增强安全性。基于路由器的安全技术，如基于网络的访问识别（NBAR）、承诺接入速率（CAR）、服务质量（QoS）和NetFlow等，都在网络中运行，以实现流量优化和威胁检测。一些嵌入式功能，如控制平面策略、CPU/存储器阈值、AutoSecure，都增强了路由器的安全性，使之成为一个安全设备，以最好地防止非法访问。

第2层网络智能：与网络智能类似，交换机集成安全功能，可以提高交换机和整个网络的安全性。端口安全、动态主机控制协议（DHCP）监听、IP源防卫以及动态地址解析协议（ARP）检测，都可防止那些未经授权的访问或者对网络的无意更改。

内容安全：可以防止内部网络的滥用，以端口80过滤（Web流量）和互联网代理功能的形式，提供特定的Web保护。

2.2.3 SMC响应管理阶段

这是CMS建设阶段中非常关键的一个环节，企业的安全政策和方针是否能够得到贯彻，部署的各种安全防护设施是否能够充分利用，是否能够降低风险，并在发生安全事件时能及时响应，真正实现有效的风险控制，依赖于我们在这个环节采取的安全技术、功能设计和实现。

2.2.3.1 安全威胁管理技术（STM）

在安全集中信息管理平台中，我们目前所面临的最大挑战之一是，帮助我们做出正确判断的依据被不断增加的、多个厂商的安全设备和多个系统所产生的大量安全信息所淹没。比如一次简单的Smurf攻击，网络入侵监测系统会报警，防火墙会报警，遭受攻击的主机会报警，相关的路由器甚至交换机都会报警，汇聚到安全管理平台就是多次报警，而其实攻击就只有一次。只有能够提供有效管理、隔离和优先处理代表着实际安全威胁的消息自动化处理系统，才可以保证安全响应的时实性，从而才可以在重大的安全灾难来临之前有准确的的应急响应措施。

目前的SMC建设中很多安全厂商采用地称为安全信息管理（SIM）的软件技术，此技术可以搜集和分析网络所面临的各种安全事件数据，提供强大的智能分析和处理能力。SIM系统可以从多个设备接收日志数据，存储和管理所创建的大量文件，以及实现至少部分的数据证据分析。但是，SIM仍然不能解决最其中关键的几个问题：

1. 需要大量训练有素的安全分析人员解读数据和报告。
2. 现有的分析深度不够，不足以及时地阻止正在进行的网络攻击。SIM技术提供的工具可以判断网络是否遭受了攻击，某些网络组件是否受到了威胁，甚至某些网络组件是否参与了攻击，SIM并没有显示网络攻击的完整路径所需要的网络感知能力，因而无法在攻击发生时能快速制止攻击。
3. SIM并不能提高其他安全设备的投资回报。

SIM在面对安全攻击和安全事件时是一种较为被动的防御，而我们需要的是能主动地、能够减轻风险、降低损失的安全响应管理。

因此在SMC的实现上，我们需要提高网络感知能力和加快分析速度，以发现实际的网络攻击并近乎实时地制止这些攻击。这种主动地响应管理，也被称为安全威胁管理（STM）的能力必须能够自动执行大部分目前由安全分析人员完成的工作，降低对于训练有素的分析人员的需求，让安全人员可以集中精力处理实际的威胁和制定未来的策略及战略。

STM技术监控网络中的各种安全和网络产品产生的日志和报告流量，采用多种创新技术以精简庞杂的网络事件信息，为网络操作人员提供监控和阻止网络攻击所必需的信息：

1. 端到端的网络拓扑感知能力和攻击发现能力
2. 高效能进程化和基于进程的主动关联
3. 集成化的动态主机脆弱性分析和精确跟踪

STM从全面感知网络拓扑开始。随着动态主机配置协议（DHCP）和网络地址解析（NAT）的广泛采用，必须知道这些协议在哪里创建了网络地址，以便当某个攻击的源和目的地地址发生变化时继续加以跟踪。而且，简单网络管理协议（SNMP）的使用在设备的IP地址和它的固定硬件MAC地址之间提供了映射，让用户可以准确地识别网络路径上的某个设备。MARS设备可以使用来自于路由器、交换机和其他计算机的完整配置信息，以及来自于安全设备的信息建立网络的完整视图。

STM设备首先从安全设备和网络组件接收网络事件。它可以将事件信息与它的网络感知能力结合到一起，发现网络攻击活动集中的“热点”，并且可以显示攻击终端之间的网络路径。它随后可以指出操作人员可以用来制止攻击的网络或者安全设备，为阻止危险流量提供适当的设备配置信息。

图1（从上往下读图）显示了STM设备用于减少原始网络事件数据量和制止网络攻击的创新流程：

1. 网络上的多个设备――不仅包括安全设备（防火墙和IDS），还包括网络设备（路由器和交换机）和终端系统（服务器）――发送日志和网络信息。在一个典型的网络中，在流量高峰时段可能会在一秒钟内产生数千个事件，或者每天产生数百万个事件。STM设备可以从路由器和交换机采集Cisco IOS NetFlow数据，从而获得网络性能和记账数据,并与取得的事件数据相关联。Net Flow数据可以识别异常网络流量，例如流量等级的突变。
   
2. 进程化TM可以利用网络拓扑感知功能将多个事件汇总成端到端的进程。图2显示了一个典型的进程，其中有三个网络设备（防火墙、网络IDS[NIDS]设备和一个交换机中的刀片式NIDS）报告事件。注意，网络地址在攻击路径中发生了变化，而NAT感知功能对于关联不同的事件具有重要的意义。
   

   
   图1 从网络事件到攻击制止

3. 基于进程的主动关联TM可以利用内置的和用户定义的规则，将关于多个进程的信息与获取的NetFlow数据关联到一起，以发现可能的完整网络攻击（简称攻击）。
4. 对于每个可能的攻击，该设备会进行自动的脆弱性扫描。这包括检查攻击是否成功到达目标（它可能会被某个防火墙或者服务器中的主机IDS阻截），以及目标是否的确可能遭受攻击（它的操作系统可能不会遭受这种攻击的影响）。自动脆弱性扫描会使用关于终端系统的信息发现误报，制定规则以减少将来对可能攻击的分析和处理。
5. STM设备会将实际的攻击通知操作人员，并告知上述制止方法。精确跟踪TM可以自动搜集主机信息（准确到MAC地址级别），获得关于实际事件的完整信息。实际上，每天数百万个事件可能会精简到数十个攻击――一个操作人员就足以对这些事件进行解读和处理。
6. STM可以为分析人员提供一定数量（可设置）的事件，由其确定它们是真正的攻击还是误报。只需做出一个决定，用户就可以识别误报，迅速减少他们在使用MARS设备时获得的事件的数量。通过将所有这些调节功能集中到设备，用户需要对每个设备进行调节，并且可以将所有事件细节保存到设备的数据库中。没有任何细节会丢失，用户稍后可能需要对它们进行分析。

作为上述流程的一个典型例子，请参考图2中的箭头所显示的攻击路径。各个网络事件会被记录在三个节点：交换机中的刀片式NIDS，防火墙，以及监控防火墙和目标之间的网络的NIDS设备。

STM设备可以接收这些事件，并利用它在不同节点的网络拓扑和NAT感知能力将这些事件汇总为单个进程。在图2中，注意攻击的目的地地址被防火墙的NAT更改。MARS设备可以将防火墙两侧的事件识别为同一个进程的不同部分――尽管存在不同的地址。

图2 进程化TM

STM设备可以根据它的内部规则比较进程的细节（进程内部关联）和其他进程的细节（进程间关联），以发现某个潜在的攻击。如果存在潜在的攻击，会根据对攻击目标的实际扫描，进行脆弱性分析，以确定潜在攻击是一个需要报告和制止的攻击，还是一个可以忽略的误报。

由于下列原因，应当在安全管理中心中部署STM技术, 在最低层次上，可以被用作一个有效的、高性能的SIM。在较高层次上，它可以用于分析以前采集的数据，以识别网络流量模式和对网络攻击进行证据分析。为安全威胁管理树立了新的标准：

• 大幅度精简数据：STM设备具有深入的网络拓扑和地址感知能力，可以将数百万个安全事件缩减为数百个实际报告的网络事件。
• 及时制止攻击：该设备具有足够的性能和内置智能，可以在攻击导致整个网络发生中断之前发现攻击并推荐制止措施。
• 端到端的网络感知功能：利用各种网络设备和终端系统的所有配置信息，MARS设备可以集成NAT和MAC地址信息，以图形化的方式指出攻击者、目标和网络热点，以便采取对策。
• 集成化的脆弱性评估：STM设备可以确定某个可能的网络攻击是真的攻击还是误报，从而进一步减少警报数量和加快响应速度。
• 事件关联引擎（已经申报专利）：STM设备的高性能进程间关联功能和非常灵活的规则框架有助于及时地分析和制止事件。
• One Click Tuning
• （单键调节）：STM设备的用户可以迅速有效地发现需要立即加以关注的实际问题，同时为提高运行效率而对系统进行必要的调整，并且不丢失任何稍后可能需要的事件数据。

因此SMC很重要的部分就是要实现对安全威胁的管理（STM），它可以用于分析以前采集的数据，以识别网络流量模式和对网络攻击进行证据分析，为安全威胁管理树立很多新的标准和方法，提高安全威胁的响应速度，从而真正实现综合统一的安全技术体系，使安全系统具有快速响应威胁的能力，实现安全网络的建设目标。

思科公司为实时STM开发了第一个专用设备MARS,该产品在STM领域，领导技术的方向和发展，能够监控网络中的各种不同厂商的安全和网络产品产生的多种日志和报告流量，为安全管理中心提供实时准确的安全报告和建议。

2.2.3.2 SMC与 NOC的互动

目前很多企业都已建立网管中心（NOC）。网管系统的主要功能是故障管理(Fault)、配置管理(Configuration)、性能管理(Performance)、安全管理(Security)等。表面上NOC有安全管理功能，似乎SMC与NOC功能重叠；实际上由于二者定位不同，功能、作用差别很大。概括起来，网管中心与安全运营中心主要区别如下：

• NOC的安全管理功能侧重访问控制，强调控制对计算机网络中信息的访问，保护系统、服务、数据免受非法入侵、破坏；SMC注重更全面，包括对安全攻击的检测和响应。
• NOC的安全功能着眼于“事前预防”，即先采取措施预防非法攻击；而SMC的安全功能属于“事后处理”，换句话说，出现安全事件怎样阻断攻击，怎么反击。
• 网管中心强调对网络的全面管理，在五大功能中安全管理只占很少一部分；而SMC完全面向安全管理，安全功能更专业、全面。
• SMC在收集安全事件时，有时采用轮询方式，利用某些网管系统的监控功能。

长期以来，人们在NOC的建设、管理、维护方面积累了丰富的经验，SMC的建设和运行可以合理借鉴这些经验。例如，在组织架构和管理模式方面SMC可以参照NOC的做法；但在工作流程设计上SMC最好采用与NOC平行的模式。