如何解決安全管理中信息超載問題

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

對(duì)于做網(wǎng)絡(luò)安全技術(shù)的人來說，有一個(gè)很頭疼的問題，就是每天要查看設(shè)備所產(chǎn)生的日志信息?，F(xiàn)在每個(gè)設(shè)備都會(huì)產(chǎn)生大量的數(shù)據(jù)信息，如操作系統(tǒng)的日志，防火墻的事件信息，數(shù)據(jù)庫的訪問信息等等。出于安全的考慮，安全技術(shù)人員需要定時(shí)的對(duì)這些信息進(jìn)行查看、整理。這些信息對(duì)于網(wǎng)絡(luò)安全來說，是非常重要的，因?yàn)槠淇梢苑从吵?，是否有人在未?jīng)授權(quán)的情況下試圖登陸其沒有權(quán)利登陸的設(shè)備。但是，現(xiàn)在的問題就是，這么多設(shè)備所反映出來的信息，若在沒有其他手段的幫助下，靠技術(shù)人員手工處理的話，那工作量是非常龐大的，信息超載問題是網(wǎng)絡(luò)安全技術(shù)人員所面臨的一個(gè)新的挑戰(zhàn)。

下面我結(jié)合自己的信息管理經(jīng)驗(yàn)，談?wù)勎以谶@方面的處理方式。

一、 根據(jù)信息所反映內(nèi)容的重要級(jí)別不同，有區(qū)別的對(duì)待

一般來說，無論是硬件設(shè)備，如防火墻或者路由器，還是軟件設(shè)備，如操作系統(tǒng)，其所記錄的信息，并不是沒有任何規(guī)律的。為了網(wǎng)絡(luò)管理人員在遇到問題時(shí)，能夠在系設(shè)備的日志信息中查到有用的資料，系統(tǒng)一般都對(duì)自身所記錄的信息，做了歸類。一般來手，可以分為三類。

第一類是事件，他以流水帳的形式記錄了設(shè)備在一定時(shí)期內(nèi)進(jìn)行了哪些操作。如有哪個(gè)用戶在什么時(shí)間登陸上了數(shù)據(jù)庫，進(jìn)行了什么操作等等。除了這些信息外，還可以反映出設(shè)備運(yùn)行的一些基本信息。這些事件信息，可以讓我們安全管理人員了解系統(tǒng)運(yùn)行的狀況，了解有哪些授權(quán)用戶訪問了設(shè)備。在遇到問題時(shí)，我們也可以迅速的找到問題的創(chuàng)作者。如有一次，我公司的一個(gè)文件服務(wù)器突然中斷了，全部員工都不能訪問文件服務(wù)器，但是，網(wǎng)絡(luò)是通的。一開始我以為是病毒原因，我查看了文件服務(wù)器的事件日志，發(fā)現(xiàn)是在這中間有人以管理員的身份登陸過這個(gè)文件服務(wù)器，修改了相關(guān)的配置所造成的。我把相關(guān)的配置修改回來，又一切正常了。所以，這些事件信息的時(shí)候，平時(shí)可能對(duì)于我們的使用價(jià)值不大，但是，當(dāng)出現(xiàn)了什么問題時(shí)，如服務(wù)器受到攻擊或者其他原因?qū)е虏荒茉L問的，我們可以從這個(gè)事件信息中看出一點(diǎn)端倪來。故設(shè)備記錄每天的時(shí)間是非常必要的，但是，定期、不定期的對(duì)這些信息進(jìn)行查看、整理卻是一件很頭痛的事情。

第二類是警報(bào)數(shù)據(jù)，這些數(shù)據(jù)是當(dāng)設(shè)備出現(xiàn)一些可疑的攻擊時(shí)，系統(tǒng)所產(chǎn)生的一些信息。這些警報(bào)信息我們可以自己設(shè)置，也可以由系統(tǒng)產(chǎn)生。如我們?cè)谝怨芾韱T身份登陸文件服務(wù)器的過程中，若成功登陸的話，在文件服務(wù)器上只會(huì)記錄事件信息，而不會(huì)有這個(gè)行為的警報(bào)信息。若我們?cè)趪L試登陸的過程中，密碼輸入錯(cuò)誤，若只是第一次輸入錯(cuò)誤的話，我們可以認(rèn)為是正常的，那么也可以不用在警報(bào)數(shù)據(jù)中顯示這個(gè)信息，而只在事件信息中進(jìn)行記錄;但是，若有人連續(xù)輸入三次及三次以上密碼都錯(cuò)誤的話，那么我們就有理由相信這是一次惡意的攻擊行為，有非法訪問者想通過猜密碼的方式非法登陸到文件服務(wù)器上，進(jìn)行一些不可告人的目的，這個(gè)就是警報(bào)信息。根據(jù)密碼策略，密碼錯(cuò)誤超過三次，該用戶名無效。同時(shí)，也會(huì)把這條信息記錄下來，其系統(tǒng)會(huì)自動(dòng)歸類為警報(bào)信息。而用戶連續(xù)輸入兩次錯(cuò)誤密碼，但是第三次密碼正確的話，則系統(tǒng)認(rèn)為這是正常的，則只會(huì)在記錄事件中進(jìn)行反映，而不會(huì)在警報(bào)信息中反映出來。所以，作為企業(yè)網(wǎng)絡(luò)的安全管理人員，要能夠追蹤所有的警報(bào)信息，因?yàn)檫@些信息可以反映出是否有人在惡意的攻擊網(wǎng)絡(luò)。

第三類是事故信息。這類信息是比較嚴(yán)重的信息，如文件服務(wù)器遭受到RPC等欺騙攻擊導(dǎo)致文件服務(wù)器癱瘓等等。這類信息記錄著企業(yè)的網(wǎng)絡(luò)設(shè)備的一些重大變故，如網(wǎng)絡(luò)設(shè)備遇到問題重啟或者網(wǎng)絡(luò)流量突然增大所導(dǎo)致的數(shù)據(jù)訪問癱瘓等等。

這三類信息對(duì)于我們網(wǎng)絡(luò)安全管理人員來說，其價(jià)值是不同的。事故信息，就好象是“110”指令一樣，收到這個(gè)信息之后，我們要馬上出發(fā)解決問題。而對(duì)于警報(bào)數(shù)據(jù)，在手頭上有其他重要事情要處理的話，我們雖然可以暫時(shí)放放，但是，時(shí)間不能拖的太長(zhǎng)，要盡快處理。對(duì)于事件信息的話，我們一般可以通過系統(tǒng)配置讓其記錄這些信息，在遇到事故信息或者報(bào)警信息的時(shí)候，再回過頭去查看具體的事件信息，看看在警報(bào)信息或者事故信息發(fā)生的前后，設(shè)備在干什么。

也就是說，我們平時(shí)的時(shí)候只需要關(guān)注警報(bào)信息與事故信息，通過一定的技術(shù)手段，如郵件，讓這些信息發(fā)生的時(shí)候，再第一時(shí)間內(nèi)發(fā)到我們指定的郵箱。而對(duì)于事件信息，只需要保存，不需要轉(zhuǎn)發(fā)。如此的話，就可以大大的減少信息的閱讀量，提高信息的利用效率。

二、 做好信息與解決方案的關(guān)聯(lián)動(dòng)作

其實(shí)，很多警報(bào)信息或者事故信息都是類似的，如因?yàn)榫W(wǎng)絡(luò)流量過大導(dǎo)致文件服務(wù)器癱瘓或者里利用字典工具攻擊文件服務(wù)器以取得用戶名與密碼的警報(bào)信息。這些信息我們?cè)诰W(wǎng)絡(luò)安全管理中，特別是把一些應(yīng)用放在公網(wǎng)上的時(shí)候，經(jīng)常會(huì)遇到。收到這些信息我們?cè)撊绾翁幚砟?

若每次這些信息發(fā)生時(shí)，我們都要去想該如何處理的話，那么顯然效率太低了;而且，有時(shí)候我們不止一個(gè)人在處理這些信息，可能有多個(gè)人在共同維護(hù)網(wǎng)絡(luò)應(yīng)用的時(shí)候。最常見的就像我們公司，在不同的子公司都有文件服務(wù)器的情況。當(dāng)出現(xiàn)相同警報(bào)信息或者事故信息，我們?cè)撊绾翁岣咝畔⒌奶幚硇誓?或者說，該如何減少重復(fù)性的研究工作?這是一個(gè)我們值得思考的問題。

所以，最好的方式就是把每一個(gè)事故信息或者警報(bào)信息的處理流程都能夠一一對(duì)應(yīng)起來。如當(dāng)發(fā)生一個(gè)用戶密碼多次輸入錯(cuò)誤、導(dǎo)致用戶帳戶名失效這種警報(bào)信息，我們?cè)撊绾翁幚?，要形成一個(gè)統(tǒng)一的流程。如先核實(shí)是外部登陸還是內(nèi)部登陸;若是內(nèi)部登陸核實(shí)登陸的IP地址;然后根據(jù)這個(gè)地址合適登陸者的身份，再確認(rèn)是惡意的登陸還確實(shí)是密碼忘記所造成的。把這個(gè)流程規(guī)劃化、標(biāo)準(zhǔn)化，并根對(duì)應(yīng)的警報(bào)信息或者事故信息對(duì)應(yīng)起來，如此的話，就可以提高這些信息的處理效率。在我們安全技術(shù)人員收到這些信息時(shí)，能夠在第一時(shí)間內(nèi)把問題解決了，減少可能帶來的損失。