信息安全正在不断地从“单一防护”转向“整体防护”。当安全系统的复杂程度不断提高的时候，客户需要更加集成的管理技术，利用单一控制中心和代理平台来整合和集中管理安全系统的所有组件。

为了让用户能够更好地了解安全管理技术的脉络，本报邀请到了McAfee、联想网御、神州数码网络、深信服、天融信、卫士通、网御神州的安全专家。同时还邀请了国家发改委、新华人寿集团、大众汽车、河南省税务局的IT负责人，一起分享部署与应用安全管理技术的经验。

用户的期待

从2005年至今，随着越来越多企业用户对于安全的关注，特别是以UTM技术为突破的整合安全网关得到了用户的接受，客观上促进了各种安全管理技术的崛起。就像记者反复谈了两年多的安全管理和当初的网络管理，其思路与手段是比较类似的，这决定了其市场发展的特点：渐进而非速成。

天融信安全产品经理王彦平向记者透露，他很早就注意到，随着UTM的出现，造就了大量中小企业对于统一管理、集中管理的认识，他们理解了管理与安全的联系，而这在无意中推动了安全管理技术的发展。

不过，记者并不认同所谓的将网络管理中的NOC依葫芦画瓢的去勾勒出安全管理中的SOC。虽然有厂商提出了SOC的理念，但这个观点在国际上也是没有成型。道理很简单，正如McAfee安全产品经理陈纲所讲的，网络有标准的SNMP协议，为统一管理打下了基础，可安全什么也没有。记者很难想象，在缺乏统一接口、规范、甚至是协议的情况下，统一的管理标准可以建立。

当然，这并不意味着安全管理技术无法实现。恰恰相反，大量用户的期待已经为技术指明了方向。卫士通公司副总经理谭兴烈在接受记者采访时表示，大量用户都需要能够对信息系统中所有设备—终端、主机、网络设备、安全设备，以及各种系统—操作系统、数据库、系统软件、应用系统的运行情况进行实时监视和控制。在此基础上，用户还需要统一定制、部署及实施信息系统的安全策略，包括及时预警并处理信息系统发生的各种安全事件。这意味着，通过安全管理技术，用户可以将整个系统中的所有安全设备组合成统一的防护系统。

不难看出，安全管理技术将不再是一个技术点或者单一产品，它将成为一个严格而细致的技术体系。神州数码网络安全产品经理王景辉透露说，在目前阶段，一个标准的安全管理技术至少要包含四部分内容：对信息系统的网络监控管理；对信息系统中安全设备的监控管理；对信息系统中桌面系统的监控管理；对信息系统的安全事件管理。

可以确定的是，在这个复杂的技术体系中，传统的安全基础设施基本上“一个都不能少”。国家发改委的IT负责人在接受记者采访时表示，他们近期刚刚开始了基于全网、全系统的安全管理系统建设，从实际的经验看，防火墙、IDS、反病毒、甚至是UTM这些产品都可以为正在构建的管理平台提供基础信息源，而这也是安全管理技术不可缺少的条件。

建设导向型技术

前面讲了，安全管理是一个复杂的结合体，这就决定了其技术脉络的多种形式。

对此，谭兴烈介绍说，当前的安全管理技术呈现平台化趋势，因为每个企业的信息系统都有自己的特点，网络拓扑不同，部署的设备不同，安全要求也不相同，所以提供一个适合于各种信息系统的安全管理系统是不现实的。因此需要提供一个统一的基础平台，再根据各信息系统的需要进行适应性的开发和策略部署。

目前，主流的安全管理技术体系分成国内、国外两大派别。其中国内派以联想网御、神州数码网络、天融信、网御神州为代表。对此王景辉向记者透露，一般国内派别都以用户的建设部署为导向，习惯于将安全管　理技术分成三个层次。

第一层，安全监控SNI。在这个层次中，主要是对整个网络的运行状态进行监控，确保网络的可靠性与可用性。

第二层，安全信息管理SIM。在这个层次中，安全管理系统会把所有企业的IT信息，包括超越业务运行的一些管理信息全部收集，进行规划、关联分析、整合，最后出示可视化报告，或者进行一些应急响应处理。

第三层，安全决策管理SDM，这是三个技术层次中最高端的。王景辉认为，SNI和SIM是偏重底层基础信息收集，强调技术手段，找到信息，发现内外部威胁。而SDM则是加入企业级别信息，比如对重要的信息系统进行分级，区分哪些重要，哪些不是很重要。即使是两个面临同样威胁的机器，受控于不同的重要性评级，处理的方式也会不同。换句话说，这个层次要求SDM要与企业的业务相结合，比如进行资产的管理、风险评估，把弱点信息、SIM中发现的威胁信息结合起来，逐步形成一个评估报告，同时还要进行应急响应、企业的安全政策管理，甚至是发布安全策略、安全演练等工作。

需要指出的是，这三个层次并非孤立存在。网御神州安全管理产品经理叶鹏表示，所有安全管理的对象都是企业的IT计算环境。这个IT计算环境涵盖了网络设备主机、应用系统、数据库、安全设备。而在此基础上的安全管理才更加有效。

事实上，以上三个技术层次并非单一的安全产品。谭兴烈介绍说，目前业内通行的做法是，将三种技术打包成一个统一的基础架构，称之为安全管理平台。这个平台类似于企业常用的中间件，它把所有的监控、采集、分析全部都融入进去，并提供标准的安全服务接口，提供给用户具体的软件使用。

据悉，像神州数码网络、网御神州、卫士通等企业已经根据平台架构开发了三种功能产品。而新华人寿集团的IT负责人指出，作为大型企业，他们对于安全管理情有独钟。而灵活的功能配置，可以让企业用户根据需要进行采购。对此，王景辉也表示，即使用户将三个模块全部用到，整个安装和使用过程也都是在一个技术平台上，因此不会带来额外开销。

风险导向型技术

细心的读者会发现，三个技术层次看上去更像建设安全管理平台的三个步骤。事实上，这种思路确实具有容易实施的特点，但在逻辑缜密性上，似乎有进一步突破的余地。对此，陈刚的看法是，他们从用户最根本的需求入手—量化风险、降低风险—以此为出发点，设计了基于风险管控的安全风险管理SRM模型。

同样，SRM也是一个庞大的整体，而且其复杂性似乎更高。目前，基于SRM的安全管理技术同样包括了三个层次。

第一层，完善的安全基础设施。这一点和国产厂商提出的SNI比较类似，都强调企业用户必须要有基础的防御手段。

第二层，在法律法规符合性方面进行风险评估，并将遵从性意见报告与评估结果呈现给企业用户。事实上，这一层是很多国际上从事安全管理技术研发的厂家比较关注的。特别是随着萨班斯法案公布以来，越来越多规范上市公司行为的法律法规都将对企业的管理、财务提出要求，其中势必涉及到对IT系统的安全要求。

第三层，利用统一的技术，实现将前两层从上到下串联在一起。对于这一点，陈刚解释说，传统上单独的安全技术，或者单一的法律法规之间，都是空洞且没有联系的。根据经验，很多用户需要一种手段，把防御手段与法律法规或者企业要求的东西结合在一起，统一进行管理。换句话说，这种技术产生的结果，就不是简单地生成决策意见，而是需要直接调动具体的防御设备，帮助用户作出防御动作。

据悉，采用基于风险架构的安全管理技术，突出的优势是可以获得强大的内部审计效果。记者了解到，大众汽车目前是在全球范围内实现基于SRM安全管理的企业。而大众汽车北京总部的IT人员透露，他们在上安全管理技术之初，恰恰考虑的就是风险管控。他们多年来都是从两个方面考虑问题，一个是安全的检测能力，包括涵盖上海大众和一汽大众的内部数据收集；另一个就是在此基础上，对企业策略进行控制。即在业务不出问题的情况下，符合中国和国际的法律要求、审计要求，并通过多种安全产品整合实现统一管理。

关注技术控制

目前主流的安全管理技术分为旁路与在线两种。对此，叶鹏介绍说，一般安全管理平台都具备实时监控、定期轮训、周期扫描等分析模式，其中涉及到一些行为监控部分，可以采用旁路技术，通常都是利用专门的硬件在交换机边上进行行为采集，送到管理平台进行分析。如果分析出威胁，可以支持采取行动。

王彦平认为，在具体行动的时候，可以通过平台自己实现，也可以与其他厂商的产品进行协同。而王景辉也表示，采用在线模式的时候，可以通过SIM或者SNI实现，发现问题就可以通知防火墙或类似产品去实现阻断，基于802.1x实现总的协同调动。