CiscoWorks安全信息治理解決方案

問：什么是CiscoWorks安全信息治理解決方案？

答：CiscoWorks安全信息治理解決方案（CiscoWorks SIMS）是一個可以從整個企業搜集和分析安全事件信息的解決方案，它讓您可以及時地檢測到安全事件，并采取相應的措施。利用CiscoWorks SIMS，您可以在不增加您現有的安全人員的人數的情況下，治理您的不斷擴充的安全設備基礎設施。

CiscoWorks SIMS可以提供：

• 對SAFE和多廠商環境的全面事件治理
  
• 能發現已知和未知威脅的實時事件關聯
  
• 用于快速、直觀的安全監控的高級虛擬化功能
  
• 有助于了解企業中任何特定資產的總體危險性的集成化風險評估功能
  
• 針對所有級別的安全運營和治理的全面報告和猜測功能

CiscoWorks SIMS可以利用曾獲大獎的netForensics v3.1軟件提供這些功能。netForensics v3.1可以自動執行今天的很多安全分析和報告任務。利用實時的深入分析功能、先進的搜索功能、虛擬化和報告功能，netForensics v.31讓您可以從任何一個Web瀏覽器訪問要害的安全信息。netForensics v.31的高度可擴展的分布式架構使得CiscoWorks SIMS成為了一個高性能的安全解決方案，適用于各種規模的企業。

問：什么是安全信息治理？

答：安全信息治理（SIM）技術可以通過四個不同的階段，搜集、分析和關聯來自于整個企業的安全事件信息：規范化、匯總、關聯和虛擬化。在規范化和匯總階段，CiscoWorks SIMS會從幾乎所有的入侵檢測系統（IDS）、防火墻、操作系統、應用和防病毒系統搜集安全事件，并將其轉換成通用的、便于理解的可擴展標記語言（xml）格式。經過格式化的記錄將通過兩個功能強大的關聯引擎進行關聯。這些要害引擎采用了基于統計和可選規則的關聯技術。最后，netForensics v3.1將利用一個圖形化、功能強大、直觀友好、基于java的界面，在一個集中的實時控制臺上顯示關聯結果。

問：思科和netForensics之間是什么關系？

答：長期以來，思科和netForensics之間一直保持著密切的合作關系，其中包括思科對netForensics的投資，以及聯合進行工程設計、技術支持、銷售、市場開發和培訓。

問：CiscoWorks SIMS是如何銷售的？

答：客戶可以選擇下列方式，訂購CiscoWorks SIMS（包括netForensics v3.1）：

1. 基于Solaris的起步工具包（包括對于監控30個設備的使用許可，1個主引擎，1個分布式引擎，1個Oracle數據庫，以及代理軟件）
2. 基于linux的起步工具包（包括對于監控30個設備的使用許可，1個主引擎，1個分布式引擎，1個Oracle數據庫，以及代理軟件）
3. 對于監控20個附加設備的使用許可
4. 對于監控1個附加引擎的使用許可
5. 對于監控1個附加的、基于Solaris的Oracle數據庫的使用許可
6. 對于監控1個附加的、基于Linux的Oracle數據庫的使用許可

它們的產品編號都列在CiscoWorks SIMS產品簡介中。思科將來還將提供一個預裝在使用Linux的硬件服務器上的CiscoWorks SIMS裝置。請保持對Cisco.com上的CiscoWorks SIMS產品簡介的關注，以便在這種訂購方式將來推出時及時獲知。

問：什么是規范化、匯總、關聯和虛擬化？

答：規范化：今天的周邊安全設備可以生成超過20000種不同類型的事件。通過netForensics v3.1代理技術，這些事件類型可以被對應到100種基于XML的netForensics警報ID——從而大幅度減輕安全數據分析的負擔。

匯總：事件匯總是一個消除重復事件的過程，它可以將大量的事件數據減少到可以治理的范圍之內。這對于ping sweep或者端口掃描等事件尤為有用，因為防火墻設備會重復報告類似的事件。事件匯總還可用于消除來自于多個IDS設備的重復警報。

關聯：經過格式化的記錄將利用兩種不同、但是互相補充的事件關聯方式進行關聯——第一個是一種統計關聯機制，它依靠事件類別和威脅等級來確定異常情況的潛在威脅。第二個是一種基于可選規則的關聯功能。它可以通過為接收到的每個事件調用“時間感知型”安全策略規則，將“誤報”安全警報和潛在的重要安全事件區分開。

利用統計關聯，異常的安全事件將被按照資產或者資產群組歸入不同的類別。對于每個資產，CiscoWorks SIMS將通過把事件的嚴重程度和資產的價值結合到一起，不停地計算威脅指數，以確定安全事件的總體潛在威脅。CiscoWorks SIMS 的主要優點在于能夠發現那些被一個基于規則的關聯系統所忽視的異常情況。

這兩種關聯技術都非常準確，而且部署方法非常簡單明了。每種技術從一個不同的角度處理事件關聯，因而可以更加全面地防止企業受到多種潛在的安全事件的影響。netForensics v3.1提供了一個全面的關聯解決方案，它是整個SIM功能套件的一個不可或缺的組成部分。

虛擬化：利用netForensics v3.1，安全人員可以利用一個實時的、基于Java的控制臺集中檢測整個企業的安全事件，并及時地采取對策——在安全威脅造成損失之前消除它們。

問：netForensics v3.1架構具體包括哪些組件？

答：netForensics v3.1為全面的SIM提供了一種創新的架構。該架構的組件包括：

• netForensics v3.1代理——從不同的、由多個廠商提供的安全技術和應用搜集數據；將廠商特有的格式轉換為標準的XML數據，進而將這些信息轉發到netForensics v3.1引擎。
  
• netForensics v3.1引擎——搜集、過濾、分析和分類由代理提供的標準化數據；利用多種并行引擎功能，netForensics v3.1可以為任何規模的網絡或者增長要求確保無限的可擴展運營，并通過這種分布式架構添加本身可以支持增長的運營方式。
  
• Forensics數據倉庫——經過整合的、規范化的歷史數據將自動地在netForensics v3.1數據倉庫中進行維護；除了缺省的netForensics v3.1報告和分析功能以外，客戶還可以利用現有的、業界標準的報告、查詢和業務智能工具，分析和報告這些保存在一個Oracle數據庫中的數據。這些搜集來的數據對于研究過去發生的問題，發現和跟蹤趨勢，以及通過探索性運營不斷改進安全效率具有非常重要的意義。

問：netForensics v3.1是否可以取代我們目前采用的安全技術？

答：不。netForensics v3.1需要與您現有的安全基礎設施合作，搜集、分析和關聯由今天的安全設備生成的大量安全事件信息。在出現安全漏洞時，netForensics可以幫助運營商和分析師迅速地確定幾乎所有安全威脅的來源。

更加重要的是，netForensics 讓企業可以通過提高他們現有安全團隊的能力和效率，加強對企業安全治理的控制。在netForensics的幫助下，您可以在不增加您的安全人員的人數的情況下，治理您的不斷擴充的安全設備基礎設施。

問：一些現有的安全技術不是已經能夠實時地檢測和解決安全問題了嗎？

答：今天的很多安全攻擊都是針對整個企業的（例如拒絕服務攻擊）。客戶需要利用其他一些技術來搜集在企業終端發生的安全事件的信息，并對它們進行關聯，以確定是否在整個網絡基礎設施中發生了攻擊。netForensics可以檢測那些沒有被隔離到某個IDS或者防火墻、而是分散到基礎設施中的多個系統上的事件。

問：你們真的能夠實時地檢測和防范所有安全事件嗎？

答：因為攻擊技術多種多樣，潛在的攻擊者不計其數，而且安全威脅技術的發展日新月異，所以沒有任何一種技術可以檢測和防范所有的安全問題。但是，netForensics v3.1可以為您提供檢測為數眾多的安全事件所需要的技術優勢——遠遠超過一些獨立設備所能檢測到的事件。

netForensics讓安全團隊可以立即檢測到可疑的活動，并進行深入的調查。在大多數情況下，netForensics將會及時地檢測到特定的攻擊，從而讓操作人員可以采取適當的措施消除威脅，或者最大限度地減少損失。

問：請介紹一下netForensics v3.1的界面。

答：利用netForensics v3.1，一個實時的、基于Web的控制臺將幫助您集中地檢測和響應您的整個企業中發生的安全事件——從而讓您可以在安全威脅造成損失之前消除威脅。您的安全團隊無需添加人手，就可以更加有效地發現和響應更多的威脅。實時控制臺從主引擎接收信息。主引擎可以為多引擎安裝提供高級匯總和關聯功能，并將實時數據流發送到實時控制臺（RTC）。

RTC完全是用Java語言編寫的，因而可以在客戶端提供非常強大的功能。然而，盡管RTC的功能非常豐富，但是它必須與一個專用的Web服務器進行互操作，才能執行很多任務。這讓RTC可以兼具強大性和輕便性。

利用netForensics v3.1的虛擬化功能，操作人員、分析師和治理人員可以搜集必要的信息，確定總體安全狀況，并在各種攻擊對您的企業造成破壞性影響之前消除隱患。netForensics v3.1提供了一系列直觀的實時界面和深入的報告、歷史分析功能，有助于了解威脅情況和響應安全攻擊，其中包括：

• 面板視圖可以提供一個實時的企業級安全趨勢視圖
  
• netForensics v3.1 RTC可以利用實時的關聯和深入分析功能，迅速地隔離安全攻擊
  
• SIM報告可以提供全面的風險和威脅趨勢分析

問：思科依靠什么成為這個市場的領導者？

答：盡管在今天的市場中有很多信息安全廠商，但是CiscoWorks SIMS是建立在曾獲大獎的技術的基礎上的。《Network Computing》雜志在去年的NetWorld+Interop展會上，向netForensics授予了編輯選擇獎和完美連接獎。

問：netForensics v3.1怎樣與企業治理解決方案（例如HP Openview和Micromuse）共用？

答：netForensics v3.1可以將關于安全事件的信息發送到企業治理控制臺，其中包括MicroMuse Netcool和HP Openview。netForensics v3.1可以在設置企業治理安全支持時提供多種選項，并可以自動地在基于治理員定義的規則的幫助臺系統中建立故障記錄。

netForensics v3.1完全關注于全面的SIM。netForensics v3.1的優勢在于它能夠理解它所獲得的安全信息的意義，并能夠提供關于所有安全事件的信息。這些功能讓netForensics v3.1成為了企業治理解決方案的一個出色的補充產品。通過將netForensics v3.1與MicroMuse Netcool或HP OpenView集成到一起，企業治理人員可以集中精力解決安全問題。

問：netForensics v3.1支持哪些安全設備？

答：netForensics v3.1采用了一種完全可擴展的三層架構，可以通過有限的設備支持部署于單個地點，或者全面地部署于某個不斷擴展的分布式環境。

它可以提供兩種設備支持：

1. 固有集成——固有代理正在被統一地添加到netForensics v3.1架構中，其中包括思科設備、Check Point設備、ISS IDS、Entercept HIDS、思科訪問控制列表（ACL）和虛擬專用網（VPN），Windows NT和UNIX日志，以及Snort和Dragon傳感器。
   
2. 通用代理集成——netForensics v3.1的一個要害功能是能夠將越來越復雜和多樣化的設備、應用和定制數據集成到它的實時智能引擎和倉庫中。netForensics v3.1可以提供一組業界標準的XML工具，整合通用代理，以及在它的架構中集成幾乎無限的安全信息。

netForensics v3.1的底層架構是安全、可靠、基于TCP的XML。它還附帶了一組自助治理工具，從而進一步降低了對于額外的系統和數據庫治理的需要。

問：什么是風險評估？

答：風險評估是威脅、危險性和價值的結合體。因為危險性是指讓威脅得以發生的安全漏洞，一個資產的危險性可以通過評估它的公開性和曝光性估計得出。資產的公開性可以衡量它成為攻擊目標的可能性（對于一個Web服務器的訪問個數），而它的曝光性可以衡量它的功能（監聽網絡服務的開放端口個數和特性）。盡管資產的價值是一個主觀的概念，但是企業治理人員仍然可以對他們所治理的所有資產的價值進行一個相對的估計。在netForensics v3.1中，資產的價值、公開性和曝光性都由治理員明確定義，可以用于定量的安全評估。

問：什么是風險治理？

答：風險治理是評估整個企業面臨的威脅和確保這些威脅所帶來的挑戰處于可以接受的范圍內的連續流程。根據SANS機構的說法，風險由威脅、價值和危險性構成。威脅是指一些代表了對網絡資產的潛在危險的活動。網絡資產和它們所包含的信息的價值是一個主觀的概念，可能會隨時間發生變化。價值通常是由系統在企業中扮演的角色和系統所存儲、處理的數據決定。危險性是指讓威脅可以造成損失的系統和軟件漏洞。

netForensics v3.1可利用專用的公式為企業提供威脅和風險治理功能。這種公式可以根據事件的netForensics嚴重性系數、資產價值、公開性、曝光性，以及入侵者威脅的系數和頻率，計算威脅和風險指數。