功能3：集中日志审计

　　为了优化资源和服务的可用性并保护客户信息，现在的信息安全团队必须能够：

　　· 快速识别并解决安全问题。

　　· 执行安全策略。

　　· 支持审计和制度遵从计划。

　　问题是，上述每个活动都涉及到保存在整个机构中的大量安全数据。企业和服务供应商必须能够快速访问并高效分析这些分散数据。IBM Tivoli Security Operations Manager 可帮助迎接这些挑战。该产品是安全信息和事件管理平台，设计用于提高安全工作和信息风险管理工作的效率、效力和可视性。Tivoli Security Operations Manager 可集中保存整个技术基础设施上的安全数据，以便用户能够：

　　· 自动开展日志汇聚、关联和分析工作。

　　· 自动识别、调查并响应安全事故。

　　· 简化事故跟踪和处理。

　　· 监控并执行策略。

　　· 提供全面的报告以确保制度遵从。

图6  集中日志审计

　　在多厂商环境中将日志集中汇聚在一个位置

　　为了检测攻击、恶意软件以及存在潜在危险的错误配置和内部滥用，安全团队必须分析分布在整个安全基础设施上的大量事件数据：

　　· 入侵检测系统

　　· 防火墙

　　· 虚拟专网

　　· 防病毒应用

　　遗憾的是，在典型网络中，大量的数据和单独设备使手动分析安全数据成为不可能实现的任务。因此，企业必须自动将不同设备和系统提供的事件信息汇聚到一个中央位置，通过关联数据来促进响应和报告事故。

　　自动将数据汇聚到中央位置对于确保制度遵从也很重要。企业常把日志数据保存很长一段时间，以便根据需要对日志数据进行历史分析。Tivoli Security Operations Manager 为用户提供平台，允许自动汇聚主机日志、安全事件、资产数据和安全漏洞数据。可选择希望软件从哪些来源提取多少数据，Tivoli Security Operations Manager将使用标准和本机协议来收集这些数据，如可扩展的标记语言(XML)、系统日志、简单网络管理协议(SNMP)、简单邮件传输协议(SMTP)、CheckPoint OPSEC 及Sourcefire eStreamer 等。Tivoli Security Operations Manager 还能使用自己的低影响通用代理来收集信息。Tivoli Security Operations Manager 能够从现有的几百个不同设备中收集事件和日志数据。此外，还允许用户添加对定制设备和内部应用的支持。

　　跨设备关联可帮助提高事故检测能力

　　Tivoli Security Operations Manager 能够从整个基础设施中提取信息，从而帮助用户检测到攻击、滥用和异常活动。这个软件可使用四项互补的关联技术来分析事件数据并分配优先级：

　　· 基于规则的关联 - 检测已知攻击和策略违规。

　　· 安全漏洞关联 - 将已知攻击与已知的系统安全漏洞相挂钩。

　　· 统计数据关联 - 通过对事件和主机进行高级分析来识别异常行为。

　　· 敏感度关联 - 帮助决定任何系统可能遭遇攻击的几率。

　　此外，Tivoli Security Operations Manager 还能在关联处理期间根据业务优先级分配来加权资产的重要性，以便为安全活动分配优先级。当安全分析师使用控制台时，不会看到漫无止境的安全事故清单，而是已经根据业务目标和策略分配了优先级的有意义的信息。

　　集成事故调查和响应可帮助缩短安全风险的牵制时间

　　为了帮助客户大幅度缩短攻击、错误配置和滥用的处理时间，Tivoli Security Operations Manager 紧密集成了调查和响应工具。此外，软件还能促进上报和跟踪流程。产品提供以下调查特性：

　　· 一步点击操作即可使用的集成的调查工具。

　　· 自动响应功能，用于阻断威胁并关闭环路。

　　· 对可疑行为进行地理跟踪。

　　· 面向安全性的故障票系统。

　　运行集成可帮助提高效率

　　Tivoli Security Operations Manager 可促进事故管理数据在安全性、网络和系统管理运行部门之间的流动，从而解决因 IT 孤岛导致的运行低效问题。例如，Tivoli Security Operations Manager 与企业网络和系统管理产品，包括事件管理器和显示板以及 IBM Tivoli Enterprise Console，以及 Remedy 等 IT 帮助台故障票系统紧密集成。

　　Tivoli Security Operations Manager 还能集成 IBM Tivoli Identity Manager 和 IBM Tivoli Access Manager，以便监控并监管客户身份和访问策略 - 执行策略、快速检测出并解决潜在的滥用问题。

　　全面的报告可帮助深入了解安全趋势

　　Tivoli Security Operations Manager 提供使用中的数据挖掘、历史报告以及自我审计和跟踪功能，对用户了解安全趋势至关重要。此外，这些报告还能帮助 IT 部门向管理和审计部门等其它用户宣传相关安全信息。

　　特性包括：

　　· 标准的和可定制的报告模板。

　　· 自动报告调度器。

　　· 所有图形和图表的 HTML、PDF 和 XML 输出。

　　· 自我审计并跟踪所有的安全活动。

　　Tivoli Security Operations Manager 可利用保存在安全事故数据库中的信息来根据需要提供历史报告和趋势报告。

　　总结

　　本文阐述了4A安全管理平台在企业安全中的重要性，并介绍了IBM Tivoli软件如何实现全面的企业数据安全管理。

　　其中，IBM Tivoli Access Manager为企业提供了端对端的安全解决方案，为企业提供强健的、基于策略的安全系统，并实现身份验证，访问控制权限，用户行为审计，单点登陆等功能；IBM Tivoli Identity Manager为用户提供了创建、管理、挂起和移除所有用户的帐户的平台，实现了企业帐号的集中管理，从而降低各种用户帐号管理的成本，提供安全性；Tivoli Security Operations Manager 针对安全状态提供全面视图，并允许用户快速深入到视图内部以调查攻击，是帮助用户防止入侵并最大限度地提高业务安全性的有力工具。