如何解決安全管理中信息超載問題

申請免費試用、咨詢電話：400-8352-114

對于做網(wǎng)絡安全技術的人來說，有一個很頭疼的問題，就是每天要查看設備所產(chǎn)生的日志信息?，F(xiàn)在每個設備都會產(chǎn)生大量的數(shù)據(jù)信息，如操作系統(tǒng)的日志，防火墻的事件信息，數(shù)據(jù)庫的訪問信息等等。出于安全的考慮，安全技術人員需要定時的對這些信息進行查看、整理。這些信息對于網(wǎng)絡安全來說，是非常重要的，因為其可以反映出，是否有人在未經(jīng)授權的情況下試圖登陸其沒有權利登陸的設備。但是，現(xiàn)在的問題就是，這么多設備所反映出來的信息，若在沒有其他手段的幫助下，靠技術人員手工處理的話，那工作量是非常龐大的，信息超載問題是網(wǎng)絡安全技術人員所面臨的一個新的挑戰(zhàn)。

下面我結合自己的信息管理經(jīng)驗，談談我在這方面的處理方式。

一、 根據(jù)信息所反映內容的重要級別不同，有區(qū)別的對待

一般來說，無論是硬件設備，如防火墻或者路由器，還是軟件設備，如操作系統(tǒng)，其所記錄的信息，并不是沒有任何規(guī)律的。為了網(wǎng)絡管理人員在遇到問題時，能夠在系設備的日志信息中查到有用的資料，系統(tǒng)一般都對自身所記錄的信息，做了歸類。一般來手，可以分為三類。

第一類是事件，他以流水帳的形式記錄了設備在一定時期內進行了哪些操作。如有哪個用戶在什么時間登陸上了數(shù)據(jù)庫，進行了什么操作等等。除了這些信息外，還可以反映出設備運行的一些基本信息。這些事件信息，可以讓我們安全管理人員了解系統(tǒng)運行的狀況，了解有哪些授權用戶訪問了設備。在遇到問題時，我們也可以迅速的找到問題的創(chuàng)作者。如有一次，我公司的一個文件服務器突然中斷了，全部員工都不能訪問文件服務器，但是，網(wǎng)絡是通的。一開始我以為是病毒原因，我查看了文件服務器的事件日志，發(fā)現(xiàn)是在這中間有人以管理員的身份登陸過這個文件服務器，修改了相關的配置所造成的。我把相關的配置修改回來，又一切正常了。所以，這些事件信息的時候，平時可能對于我們的使用價值不大，但是，當出現(xiàn)了什么問題時，如服務器受到攻擊或者其他原因導致不能訪問的，我們可以從這個事件信息中看出一點端倪來。故設備記錄每天的時間是非常必要的，但是，定期、不定期的對這些信息進行查看、整理卻是一件很頭痛的事情。

第二類是警報數(shù)據(jù)，這些數(shù)據(jù)是當設備出現(xiàn)一些可疑的攻擊時，系統(tǒng)所產(chǎn)生的一些信息。這些警報信息我們可以自己設置，也可以由系統(tǒng)產(chǎn)生。如我們在以管理員身份登陸文件服務器的過程中，若成功登陸的話，在文件服務器上只會記錄事件信息，而不會有這個行為的警報信息。若我們在嘗試登陸的過程中，密碼輸入錯誤，若只是第一次輸入錯誤的話，我們可以認為是正常的，那么也可以不用在警報數(shù)據(jù)中顯示這個信息，而只在事件信息中進行記錄;但是，若有人連續(xù)輸入三次及三次以上密碼都錯誤的話，那么我們就有理由相信這是一次惡意的攻擊行為，有非法訪問者想通過猜密碼的方式非法登陸到文件服務器上，進行一些不可告人的目的，這個就是警報信息。根據(jù)密碼策略，密碼錯誤超過三次，該用戶名無效。同時，也會把這條信息記錄下來，其系統(tǒng)會自動歸類為警報信息。而用戶連續(xù)輸入兩次錯誤密碼，但是第三次密碼正確的話，則系統(tǒng)認為這是正常的，則只會在記錄事件中進行反映，而不會在警報信息中反映出來。所以，作為企業(yè)網(wǎng)絡的安全管理人員，要能夠追蹤所有的警報信息，因為這些信息可以反映出是否有人在惡意的攻擊網(wǎng)絡。

第三類是事故信息。這類信息是比較嚴重的信息，如文件服務器遭受到RPC等欺騙攻擊導致文件服務器癱瘓等等。這類信息記錄著企業(yè)的網(wǎng)絡設備的一些重大變故，如網(wǎng)絡設備遇到問題重啟或者網(wǎng)絡流量突然增大所導致的數(shù)據(jù)訪問癱瘓等等。

這三類信息對于我們網(wǎng)絡安全管理人員來說，其價值是不同的。事故信息，就好象是“110”指令一樣，收到這個信息之后，我們要馬上出發(fā)解決問題。而對于警報數(shù)據(jù)，在手頭上有其他重要事情要處理的話，我們雖然可以暫時放放，但是，時間不能拖的太長，要盡快處理。對于事件信息的話，我們一般可以通過系統(tǒng)配置讓其記錄這些信息，在遇到事故信息或者報警信息的時候，再回過頭去查看具體的事件信息，看看在警報信息或者事故信息發(fā)生的前后，設備在干什么。

也就是說，我們平時的時候只需要關注警報信息與事故信息，通過一定的技術手段，如郵件，讓這些信息發(fā)生的時候，再第一時間內發(fā)到我們指定的郵箱。而對于事件信息，只需要保存，不需要轉發(fā)。如此的話，就可以大大的減少信息的閱讀量，提高信息的利用效率。

二、 做好信息與解決方案的關聯(lián)動作

其實，很多警報信息或者事故信息都是類似的，如因為網(wǎng)絡流量過大導致文件服務器癱瘓或者里利用字典工具攻擊文件服務器以取得用戶名與密碼的警報信息。這些信息我們在網(wǎng)絡安全管理中，特別是把一些應用放在公網(wǎng)上的時候，經(jīng)常會遇到。收到這些信息我們該如何處理呢?

若每次這些信息發(fā)生時，我們都要去想該如何處理的話，那么顯然效率太低了;而且，有時候我們不止一個人在處理這些信息，可能有多個人在共同維護網(wǎng)絡應用的時候。最常見的就像我們公司，在不同的子公司都有文件服務器的情況。當出現(xiàn)相同警報信息或者事故信息，我們該如何提高信息的處理效率呢?或者說，該如何減少重復性的研究工作?這是一個我們值得思考的問題。

所以，最好的方式就是把每一個事故信息或者警報信息的處理流程都能夠一一對應起來。如當發(fā)生一個用戶密碼多次輸入錯誤、導致用戶帳戶名失效這種警報信息，我們該如何處理，要形成一個統(tǒng)一的流程。如先核實是外部登陸還是內部登陸;若是內部登陸核實登陸的IP地址;然后根據(jù)這個地址合適登陸者的身份，再確認是惡意的登陸還確實是密碼忘記所造成的。把這個流程規(guī)劃化、標準化，并根對應的警報信息或者事故信息對應起來，如此的話，就可以提高這些信息的處理效率。在我們安全技術人員收到這些信息時，能夠在第一時間內把問題解決了，減少可能帶來的損失。