一、安全管理技术，百花争放，百家争鸣

“三分技术，七分管理”在安全界谈了多年。当用户面临更多的安全风险时，当用户深刻认识到仅靠一、二个安全产品仍然无法抵御来自内外部的安全威胁时，安全管理才被重视。然而，不同的用户对安全管理有不同的认识或者说有不同的需求，同时不同厂商开发的安全管理产品也不尽相同。一个“大而全”的安全管理系统是不现实的，我主要论述一下，在国内被用户比较注重的几类产品或技术。

第一类是偏重于IT资产管理和网络监控的软件，也称网管类软件。它专注对局域网、广域网和互联网上的应用系统、服务器和网络设备的故障监测和性能管理，是集中式、跨平台的系统管理软件，可以对应用系统、网络设备、服务器、中间件、数据库、电子邮件、WEB系统、DNS系统、FTP系统、电子商务等进行全面深入的监测管理。这类综合网管软件不仅方便系统管理人员随时了解整个IT系统的运行状况，而且能从应用层面对企业IT系统的关键应用进行实时监测。但是该类软件其部署条件一般都比较苛刻，应用部署非常困难而且费时，无法针对以文件为单位的进行安全控制。

第二类是偏重于对信息安全设备和信息安全软件集中管理的软件。 它是为了解决各种安全产品之间的协作问题而建立起来的一个信息交换、信息存储、信息处理的安全管理平台。基于这样的平台能够充分发挥现有安全产品的潜力，为用户建立一个具有全局性的网络安全处理政策制定与处理机制。 具体讲，它支持多种类型安全产品的集成管理；支持多种类型安全产品的安全状态管理和安全配置管理；能够监视安全产品运行状态及性能指标等；能够统一整合各类安全产品的报警信息和日志信息等。这类产品的特点是：统一的安全管理平台，将安全机制变孤立为整体，变分散为集中。具体实现上，将第三方信息安全产品对象化，并列入网管平台的管理范畴，所有对象化安全产品的工作状态、事件报警、日志浏览、性能分析等均通过网管工作站进行集中管理与监控，改变以往安全产品单打独斗、孤立无援的局面。另外，它结合先进联动技术，能够实现对安全产品和网络产品的统一的、有效的管理，能够实现安全产品之间的联动，使安全管理更加有成效。

第三类是是侧重于安全威胁管理、监控和防御的产品。 它将传统安全事件监控与网络智能、上下文关联、因素分析、异常流量检测、热点识别和自动防御功能相结合，可帮助客户更为高效地使用网络和安全设备。通过结合这些功能，可帮助企业准确识别和消除网络攻击，且保持网络的安全策略符合性。一般来讲，这类软件都有一个集中事件库，收集并存储安全设备，如防火墙、认证服务器、网络入侵检测和防御系统及代理服务器等所生成的所有事件。

此外，它也收集网络设备事件和工作站及服务器记录，并对所有收集的事件实时相互关联。结合攻击状态机模型等来抽象和描述攻击行为，与多种攻击关联场景进行模式匹配，能有效地从大量安全事件中准确识别出真实的入侵行为，从而实现报警信息的精炼化、提高报警信息的可用信息量，减少报警信息中的无用信息，降低安全设备的虚警和误警。另外，还可以使用图形化界面实时监视收集事件情况，可以查看一定时间段内实时统计信息，使用事件拓扑的方式浏览各个事件之间的关联关系。这类软件的最大特点是：它通过对网络中各种设备（包括路由设备、安全设备等）、安全机制、安全信息的综合管理和分析，对现有安全资源进行有效管理和整合，从全局角度对网络安全状况进行分析、评估与管理，获得全局网络安全视图；通过制定安全策略指导或自动完成安全设施的重新部署或响应；从而全面提高网络整体的安全防护能力。

第四类内网安全管理软件或是桌面安全综合管理软件。其实这类软件主要实现如下功能：对补丁进行自动分发部署和补丁控制；进行外来笔记本电脑以及其它移动设备的接入控制；实现客户端安装软件自动识别控制，尤其是对未安装防病毒软件的终端进行统计、远程安装；有效的定位网络中病毒的引入点，快速、安全的切断安全事件发生点和相关网络；对网络客户端进行有效工作状态监控，监督使用人员规范操作电脑；构架功能强大的网络客户端综合安全报警平台；对网络运行模式及工作流程的控制管理，对数据库等具体应用进行监控；提供对内部网络用户Internet访问操作的实时监管、记录，规范网络有效合法使用，如防止重要资料等的泄密，监督、审查、限定网络使用行为，报警违规联网事件；监控涉密网络用户通过调制解调器、ADSL拨号设备、双网卡、无线网卡等网络设备进行Internet非授权外联行为等。

第五类是侧重于防止内部信息泄漏类的安全管理软件。它实质上是构建了一个内部网的敏感信息泄漏防护体系。通过网络层、传输层、网络层和传输层组合控制、应用层控制实现网络化失泄密防护；过对SCSI、USB、SERIAL、PARALLEL、 IrDA、 Floppy 、PCMCIA 、DVD/CD-ROM等的管理实现外设与接口失泄密防护；通过对软驱、USB存储、CD-ROM的管理实现媒体与介质失泄密防护；通过对本地打印机、网络打印机的管理实现打印机失泄密防护等。

另外采用加密机制实现“文件”级的安全服务体系。如本地文件存储加密和解密支持、文件交换/传输加密和解密支持、数据共享管理、文件操作服务，并支持用户创建加密文件柜、用户访问控制、自动加解密等。这类产品特点是综合利用密码、访问控制和审计跟踪等技术手段，对涉密信息、重要业务数据和技术专利等敏感信息的存储、传播和处理过程实施安全保护，能最大限度地防止敏感信息的泄漏、被破坏和违规外传，并完整记录涉及敏感信息的操作日志以便事后审计和追究泄密责任。

第六类是侧重于网络访问行为与通信内容审计的管理软件。 它对用户的网络行为进行实时的监控、网络传输内容审计 （如员工是否在工作时间上网冲浪、聊天，是否访问不健康网站，是否通过网络泄漏了公司的机密信息，是否通过网络传播了反动言论等），实现网络传输信息的实时采集、海量存储；实现网络传输信息的统计分析，实现网络行为后期取证等。

这类产品更侧重于对上网行为与传输内容的监控、审计，达到对员工合规的管理以及对非法行为和潜在威胁的威慑。审计技术必须要解决三个相互关联的技术难点：数据采集技术、数据清理技术、数据分析技术。审计技术决不仅仅是简单的数据记录和查询，只有广泛采集网络信息，对数据进行剪裁、过滤、聚合、统计与分析，并以直观的形态展示，才能使用户行为审计技术真正成为网络管理者的决策助手。

第七类主要针对防止内容非法泄密而进行权限控制的DRM（数字版权管理）技术。得到了广泛的应用，最具代表性的就是微软最先发布的Office2003，有效控制了Word、Excel、Powerpoint文件的使用权限，国内也有一些优秀的厂商推出了比较完善的DRM技术应用解决方案，从各个方面对比国外的产品及解决方案，已经具有了强大的竞争力。

上述各类安全管理产品从不同方面、不同层次解决了安全管理面临的问题，各有着重点，如何选择各类产品并能够使每一种产品都发挥出最大的优势，还是需要根据用户实际需求从资源整合做起。安全管理是系统信息安全建设的核心，它需要从内网到外网、从网络到应用、从流程到人员、从产品到服务，有主次的有顺序的实施，才能够更好地发挥作用，最终保障系统整体安全。