国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　安然信息治理(SIM)是用于從日記文件和其他來歷匯集安然信息以檢測和響應(yīng)安然事務(wù)的手藝，SIM的利用正變得愈來愈遍及。此刻的辦事器、收集設(shè)備和利用產(chǎn)生海量日記數(shù)據(jù)和各類類型的信息，這些海量數(shù)據(jù)可以被闡發(fā)、聯(lián)系關(guān)系和過濾，從而鞭策與安然、合規(guī)和利用機(jī)能相干的各類決定計(jì)劃。當(dāng)然有良多可能的用處，但SIM解決方案必需專注，不然會被信息過載、機(jī)能標(biāo)題問題“沉沒”，變得一無可取。

　　為SIM設(shè)定有限方針

　　SIM的功能是在大年夜量安然事務(wù)中尋覓特定安然事務(wù)的“蛛絲馬跡”。簡單地說，SIM是在針堆里找針。這是一項(xiàng)艱巨的任務(wù)，但是，良多公司試牟利用SIM做太多工作，使“針堆”愈來愈大年夜，“找針”的工作也愈來愈堅(jiān)苦。

　　擺設(shè)SIM第一項(xiàng)也是最首要的部門是專注于一個方針或一組有限的方針。SIM是用來檢測進(jìn)侵?用來尋覓背規(guī)行動?仍是專注于內(nèi)部或外部報復(fù)打擊?對這么多可能的用處，企業(yè)很等閑掉往核心，并試圖完成上述所有任務(wù)。你試圖經(jīng)由過程SIM解決的標(biāo)題問題越多，SIM解決這些標(biāo)題問題中的任何一個標(biāo)題問題標(biāo)效力就越低。

　　你應(yīng)當(dāng)匯集哪些日記?假定你為SIM設(shè)定了特定的方針，你便可以很等閑肯定需要匯集的數(shù)據(jù)。例如，假定你決定存眷付出卡行業(yè)數(shù)據(jù)安然尺度(PCI-DSS)的合規(guī)性，那么，防火墻日記將是你必需匯集和闡發(fā)的首要數(shù)據(jù)。PCI是為數(shù)不多的規(guī)范性律例之一，是以，有良多關(guān)于日記匯集的具體指導(dǎo)。但其他律例并沒有那么等閑：例如，HIPAA要求你呵護(hù)小我健康信息(PHI)，但對此你應(yīng)當(dāng)匯集甚么日記呢?

　　日記匯集的常見弊端是，安然專家在這個過程中過早地利用過濾。例如，在醫(yī)療機(jī)構(gòu)，SIM被建設(shè)為僅匯集掉敗登錄測驗(yàn)測驗(yàn)的日記信息。其來由是，這類日記信息可能表白有人試圖進(jìn)侵系統(tǒng)。但是，當(dāng)產(chǎn)生數(shù)據(jù)泄漏變亂時，該公司發(fā)現(xiàn)報復(fù)打擊者已成功盜用了用戶暗碼。報復(fù)打擊者并沒有產(chǎn)生掉敗登錄日記信息，他們利用合法用戶賬戶成功登錄了系統(tǒng)。但這些成功登錄信息并沒有被匯集，負(fù)責(zé)闡發(fā)該泄漏變亂的安然專家將沒法看到報復(fù)打擊者做了甚么。

　　這是一個艱巨的衡量：假定你不匯集一些具體的細(xì)節(jié)數(shù)據(jù)，當(dāng)你在數(shù)據(jù)泄漏變亂后需要查看汗青數(shù)據(jù)時，你將沒法看到這些數(shù)據(jù)。但假定你匯集所稀有據(jù)，你將接見會面對機(jī)能和存儲增加標(biāo)題問題?？此撇皇滓男〖?xì)節(jié)多是變亂后需要的關(guān)頭數(shù)據(jù)。

　　在數(shù)據(jù)泄漏變亂后，SIM不但可用于對汗青數(shù)據(jù)進(jìn)行取證闡發(fā)。良多企業(yè)還將SIM解決方案作為安然運(yùn)營中間(SOC)及時局件響應(yīng)的根本。及時局件響應(yīng)和事務(wù)后汗青闡發(fā)的辨別很關(guān)頭，因?yàn)檫@二者的方針常常不一致--假定說不是直接矛盾的話。針對及時闡發(fā)的SIM解決方案被調(diào)劑為高機(jī)能相干性和過濾，盡可能削減匯集的信息。但是，為了進(jìn)步SIM用于變亂后汗青闡發(fā)的可把持性，你必需以完全相反的編制對它進(jìn)行調(diào)劑，以最大年夜化匯集和存儲的信息。

　　可把持的成果是指可用于營業(yè)流程的成果。假定你的方針是合規(guī)性，那么，流程應(yīng)當(dāng)產(chǎn)生年度審計(jì)陳述。假定你的方針是數(shù)據(jù)泄漏檢測，那么，這類成果應(yīng)當(dāng)可以或許承諾闡發(fā)師經(jīng)由過程事務(wù)響應(yīng)流程對安然警報進(jìn)行查詢拜訪。假定你試圖進(jìn)步安然把持，那么，SIM成果應(yīng)當(dāng)撐持變動和建設(shè)治理流程。假定沒有明白的方針和你想實(shí)現(xiàn)的流程，SIM沒法產(chǎn)生可把持的成果。

　　讓SIM成為安然監(jiān)管打算的一部門

　　當(dāng)你讓SIM專注于單個方針，并成功地將它整合到你的尺度安然把持中，那么，你便可以開端逐步轉(zhuǎn)移寄望力往解決其他營業(yè)挑戰(zhàn)。這其實(shí)不料味著匯集更大都據(jù)，因?yàn)檫@只會讓SIM速度變慢和掉往核心。相反地，這意味著尋覓新編制來從頭利用SIM成果作為你的整體安然監(jiān)管打算的一部門。

　　良多公司正在逐步將其寄望力從合規(guī)轉(zhuǎn)移到風(fēng)險治理。風(fēng)險治理意味著查看企業(yè)面對的風(fēng)險，并按照對企業(yè)的風(fēng)險優(yōu)先放置安然節(jié)制和事務(wù)響應(yīng)來治理風(fēng)險。對SIM解決方案，這意味著聯(lián)系關(guān)系安然事務(wù)信息和風(fēng)險信息，例如：

　　用戶身份/角色：觸及或影響哪些用戶/角色

　　系統(tǒng)風(fēng)險：受影響系統(tǒng)是不是是關(guān)頭營業(yè)系統(tǒng)

　　利用風(fēng)險：受影響利用是不是是營業(yè)關(guān)頭利用

　　為了將風(fēng)險治理添加到SIM產(chǎn)品中，你不必然要匯集更多日記。在大年夜大都環(huán)境下，你可以向現(xiàn)有日記數(shù)據(jù)彌補(bǔ)關(guān)于利用、系統(tǒng)、用戶和角色的風(fēng)險/關(guān)頭程度的信息。例如，良多SIM產(chǎn)品讓安然闡發(fā)師可以按照關(guān)頭程度將辦事器分為不合級別，可利用數(shù)字分?jǐn)?shù)(例如1至5分，此中1為最關(guān)頭，5為最不關(guān)頭)或標(biāo)簽(例如高級、中級或初級)。這些額外的屬性給你的成果添加了另外一個視角，讓安然專業(yè)人員可以優(yōu)先營業(yè)關(guān)頭安然事務(wù)，而推后非關(guān)頭事務(wù)。這里關(guān)頭的辨別在于，關(guān)頭程度是營業(yè)屬性，而不是安然屬性。

　　一樣地，為了讓SIM適應(yīng)律例合規(guī)性，你不必然需要更多日記。在良多環(huán)境下，你必需聯(lián)系關(guān)系現(xiàn)有SIM成果到特定審計(jì)陳述要求或法則。大年夜大都律例代表著行業(yè)需要擺設(shè)的最小安然節(jié)制。假定你的SIM被設(shè)計(jì)為撐持強(qiáng)大年夜的安然法度，你可能已匯集了合規(guī)所需的所有日記。

　　一些企業(yè)可能想要擺設(shè)及時響應(yīng)到安然事務(wù)。毫無疑問，這是所有公司的雄偉方針。及時響應(yīng)要求近乎完美的手藝、流程和人員，這方面很少有公司是成功的。假定你試圖實(shí)現(xiàn)這個大志勃勃的方針，請確保這是完美的成功的SIM擺設(shè)的最終方針，而不是第一個方針。為了讓SIM合用于及時聯(lián)系關(guān)系和闡發(fā)，你必需選出日記數(shù)據(jù)的一個子集來進(jìn)行聯(lián)系關(guān)系。對太多日記數(shù)據(jù)進(jìn)行及時闡發(fā)會降落機(jī)能，而匯集太少日記則會讓變亂后闡發(fā)沒法實(shí)現(xiàn)，因?yàn)橛泴?shí)中會有良多空白。成功的擺設(shè)會將日記數(shù)據(jù)劃分到持久回檔中，這能包管盡可能周全的日記數(shù)據(jù)，和更少的日記數(shù)據(jù)用于聯(lián)系關(guān)系和警報。

　　成功的關(guān)頭是漸進(jìn)化：從有限的專注的方針開端，然后逐步增加功能，同時確保SIM系統(tǒng)不會被數(shù)據(jù)沉沒。假定你將SIM解決方案作為遍及的把持過程的一部門，你會發(fā)現(xiàn)最虧弱的環(huán)節(jié)其實(shí)不是手藝，而是把持者。假定你為SIM設(shè)定了過于雄偉的方針，你會看到，這個系統(tǒng)被日記數(shù)據(jù)籠蓋，并且，你的工作人員也會被日記成果沉沒。面對產(chǎn)生太多成果和警報的SIM的把持人員，他們只有兩個選擇：遏制產(chǎn)生成果，這可能錯過安然事務(wù);或忽視警報。良多SIM擺設(shè)項(xiàng)目會呈現(xiàn)此中一種環(huán)境或兩種環(huán)境，在一段時候后，SIM最終不克不及不被燒毀或打消。

　　安然kaizen：SIM用于延續(xù)質(zhì)量改進(jìn)

　　對待SIM的一個有趣編制是將它作為安然打算的反饋環(huán)節(jié)。所有政策、建設(shè)和安然設(shè)備最終會以安然事務(wù)的情勢來表達(dá)本身。SIM是風(fēng)險治理法度的很好的良性輪回機(jī)制，還可以用它來肯定政策是不是在合理運(yùn)作。

　　為了將SIM變成強(qiáng)大年夜的反饋機(jī)制，安然運(yùn)營經(jīng)理必需將其作為延續(xù)改進(jìn)打算的一部門。SIM生成的每個事務(wù)都預(yù)示著企業(yè)安然的成功或掉敗。當(dāng)安然專業(yè)人員查看安然事務(wù)時，他們有可能超出這個事務(wù)，并發(fā)現(xiàn)政策、流程或節(jié)制存在的底子標(biāo)題問題。在日本制造業(yè)，延續(xù)質(zhì)量改進(jìn)的過程被稱為“kaizen”，對改良安然法度產(chǎn)生巨大年夜影響的概念。

　　在查抄的第一級，安然事務(wù)可能突顯出日記匯集過程中的漏掉或弊端。在審查事務(wù)時，安然闡發(fā)師會發(fā)現(xiàn)日記信息的關(guān)頭部門沒有被匯集。在良多環(huán)境下，企業(yè)對這類發(fā)現(xiàn)并沒有頓時采納步履，沒有帶來任何改變。而在延續(xù)改進(jìn)過程中，安然闡發(fā)師將可以或許提交變動申請表以添加日記到匯集中。

　　在審查安然事務(wù)的過程中，安然闡發(fā)師會發(fā)現(xiàn)一個較初期的首要事務(wù)但沒有生成警報。這里，企業(yè)可以或許經(jīng)由過程添加警報模式到SIM來改進(jìn)過程。例如，闡發(fā)師會收到關(guān)于不得當(dāng)數(shù)據(jù)庫拜候模式的警報，如不服常的SQL查詢。在查詢拜訪該事務(wù)時，闡發(fā)師發(fā)現(xiàn)不但這個具體查詢不服常，并且它是來自不合IP地址和數(shù)據(jù)庫用戶，而不是既定的地址和用戶。但SIM只針對這個希罕查詢發(fā)出警報，而實(shí)際上，它可以針對希罕的連接來歷和登錄憑證發(fā)出警報。經(jīng)由過程添加這個模式，闡發(fā)師可以或許確保在將來SIM會對這類事務(wù)發(fā)出警報，讓安然團(tuán)隊(duì)更快響應(yīng)。

　　大年夜大都企業(yè)在營業(yè)流程和配套根本舉措措施方面延續(xù)進(jìn)行著改變。我們都知道，改變是安然的頭號仇敵，因?yàn)楦淖儠肀锥?，而弊端帶來安然風(fēng)險。SIM凡是是建設(shè)弊端起首呈現(xiàn)的位置，它們可能觸發(fā)安然警報或只是不相干的看似子虛的日記信息。是以，安然人員應(yīng)當(dāng)緊密密切存眷SIM中與變動相干的事務(wù)，不但因?yàn)樽儎涌赡軒戆挡氐陌踩恍孤?，并且因?yàn)樽儎涌赡芤逊鬯榱薙IM的聯(lián)系關(guān)系和過濾模式。例如，利用中的常規(guī)進(jìn)級可能將日記信息從“登錄掉?。何粗脩簟备某伞暗魯〉卿洠簾o此用戶”。對我們來講，這兩個動靜沒甚么辨別，但對SIM的字符串模式匹配引擎來講，這二者完全不合。假定你在進(jìn)級前收到警報，你將不會再收到警報。

　　但是，在最根基的層面，SIM讓你可以或許改良政策和流程，而不只是手藝。假定你匯集不合的日記、更改模式或引進(jìn)新模式，你將會改進(jìn)SIM。但假定你利用SIM來發(fā)現(xiàn)破壞或無效的過程，或誤用的安然政策，你會進(jìn)步企業(yè)的整體安然性，而不只是SIM。

　　想要修復(fù)政策和流程，安然闡發(fā)師需要的不但僅是變動申請單。為了不斷改進(jìn)，你必需履行事務(wù)后審查，并對流程改進(jìn)有著明白方針。你需要查看安然事務(wù)，包含從員工無意的簡單政策背規(guī)行動到災(zāi)害性粉碎，以此審查你現(xiàn)有的政策和流程以尋求改進(jìn)。

　　安然信息治理東西是安然企業(yè)兵器庫的首要構(gòu)成部門。這些東西具有良多功能，乃至于良多公司都過于延長，試圖快速做太多工作。其成果是，良多SIM擺設(shè)掉敗--因?yàn)闄C(jī)能標(biāo)題問題、把持員過度勞頓或破鈔太多成本而沒有成效。為了不這類成果，企業(yè)應(yīng)當(dāng)從小事做起，專注于單個方針，并慢慢擴(kuò)大年夜范圍，直到成功。