随着企业信息化建设步伐的加快,如何有效化解安全风险,对企业IT资源进行统一的管理,实现
安全形势全局分析和动态监控已成为各级信息系统维护部门面临的主要问题。SOC(Security
Operation Center)安全运营中心应运而生。Forefront正是一款基于策略的统一安全管理,在
forefront的协助下我们可以通过集中收集、过滤、关联分析安全事件,提供安全趋势报告,及时作
出反应,实现对风险的有效控制。
与以往单一的安全系统相比,SOC最大的优势是为统一安全管理提供了完整平台,提高了对于安全威
胁的精确检测能力和一体化响应能力。而在这里 ,只有将所有IT资源尽可能纳入SOC管理范围才能让
SOC发挥其功效,在微软的FOREFRONT中,我们可以通过管理控制台对所有的FOREFRONT系列的产品进
行管理,借助forefront我们可以将从客户端到服务器端的所有的windows系列的终端和基于微软的
产品运行的系统都纳入到SOC的管理之下。
与信息的产生、传输、存储、分析、处理五个环节相对应,SOC系统包括下列五大功能模块:事件发
生器(E)、收集模块(C)、存储模块(D)、分析模块(A+K)、响应模块(R)。
事件发生器(E):事件发生器负责生成安全事件,在forefront中具体表现为各种安全策略和事件
响应策略。
收集模块(C):收集模块负责从不同传感器收集信息并转换为标准格式,从而形成统一信息方便后
续处理。
存储模块(D):可以简单理解为数据库,惟一特殊的是需要进行相关性处理,识别来自同一源或不
同源的重复事件。
分析模块(A+K):该模块负责分析存储在数据库中的事件,为响应模块提供响应的充分依据(告警
信息)。分析过程又离不开知识库(K模块)的支持,知识库存储入侵路径、系统安全模型、安全策
略等知识。分析模块是SOC系统最复杂的部分,包括相关性分析、结构化分析、入侵路径分析、行为
分析。
响应模块(R):响应模块负责对安全事件做出及时有效响应,涵盖反击正在发生安全事件的所有响
应(Reaction)和报告工具。响应模块不仅需要对外提供自动化的控制台接口、事件快速响应接口
、实时监控接口、统计分析接口;还需向用户提供永久性风险评估报告、中长期安全行为报告、系
统状态报告。
在forefront中,主要由Forefront控制台结合SQL Server 2005以及SQL Server 2005的Reporting
Services和MOM 2005进行报表生成和事件收集来实现的,在进行分析的时候我们还可以借助第三方
的插件采用第三方的知识库来进行分析,从而使得forefront分析出来的数据更加符合您所在的企业
的行业特色。
在这里,管理控制台通过详尽的并优先排序的安全报告和摘要仪表盘,能够为企业管理人员和IT技
术人员提供直观的报告,让企业掌握并控制恶意代码的威胁。状态评估扫描能够实现安全相关软件/
补丁安装情况的管理功能,协助企业判断哪些受管理的程序需要打上安全补丁或者需要更新安全防
护策略,哪些系统有不安全的配置,并提供相关分发功能。同时,借助forefront生成的安全报告,
企业IT部门只需要把重点放在这些重要的信息上,从而让企业实现对威胁事态发展趋势的准确及时
的评估。
Forefront能够使得整个安全体系的检测能力更加准确,筛选过滤大量无用或低价值报警事件,更加
集中于影响重大的焦点问题。此外Forefront可以为全网用户提供统一的安全策略,有利于在全网形
成安全防范的合力,提高全网的整体安全防御能力,同时通过策略和配置管理平台的建设可以进一
步完善整个网络的安全策略和管理体系建设,有效的减少各种安全风险问题。
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.1; .NET CLR 1.1.4322)
