网络准入控制和网络入侵防护系统的整合也非常必要。某种意义上,前者保障的是安全的系统准入,后者保障的是安全的数据包准入,二者的结合方可保证在系统层面和网络层面的安全。对于较小规模的组织,可以选择二合一的产品[7]。对于较大规模的组织,选择单独的产品,最好可通过统一管理平台查看相关信息。
融合
和管理软件协作
网络安全产品作为一种网络设备,需要与网管软件协同工作。向网管软件报告自身的重要系统事件,如系统错误、资源耗尽告警等等。两者的协作多通过标准的SNMP协议实现,网络安全产品应设计为提供必要的系统状态信息用于通知网管软件其状态。
有的组织也需要网络安全产品和流程软件协同工作,在安全产品的管理平台上可定义工单和对象,并可配置事件触发工单指派给某一对象,实现工单管理的全过程。
信息融合
对于组织而言,各种安全产品会产生大量的安全日志,组织的真实安全状况就存在这些日志中。目前常见的方式是通过安全事件管理系统集中各不同安全产品的日志,采用数据挖掘技术分析这些事件的相关性,从中找出应关心的安全事件。日志集中相对而言容易实现,而日志的相关性分析仍没有突破性的技术[8]。
近年来,很多安全厂商在产品中集成了更为强大的分析系统,通过已建立的遍布全球的各式各样的传感器和多年的信息安全知识积累。可为用户提供更为准确更具参考意义的安全事件信息。防毒软件的云安全技术是这种趋势的成功示例,迈克菲公司更进一步在其网络安全产品中集成了全球智能威胁感知系统,可反映攻击源的地理位置,安全声誉信息等,使得安全管理员能够更容易判定和处理安全事件。
总结
内网网络安全需要管理者对其网络进行全面准确的风险评估,并根据评估结果选择合适的安全产品以降低风险。在选择产品时,除主要功能外,也需要注意该产品与其它产品的整合能力以及信息融合能力。
