Quin表示"經(jīng)常對(duì)所有數(shù)據(jù)進(jìn)行解析，關(guān)聯(lián)和交叉引用的企業(yè)每天要面對(duì)大量的工作負(fù)荷"。他推薦使用日志分析器，也就是大家眾所周知的安全信息管理器和安全信息事務(wù)管理器，這些工具能從各種系統(tǒng)中對(duì)數(shù)據(jù)進(jìn)行匯總。此類工具還能和報(bào)告和分析工具一起配合，進(jìn)行集中關(guān)聯(lián)和日志管理。

      ArcSight就是這種工具的代表，它能跟蹤大量的日志數(shù)據(jù)更好的為企業(yè)服務(wù)。

      位于美國舊金山的富國銀行資深信息安全工程師丹尼斯.何因用了一個(gè)形象的比喻，他說ArcSight就好比日志管理的瑞士軍刀。丹尼斯使用這款工具對(duì)銀行系統(tǒng)內(nèi)部的日志進(jìn)行集中管理。這種做法使他免受意外侵?jǐn)_。丹尼斯表示"這款工具能引出日志報(bào)告，這樣以前需要花費(fèi)時(shí)間調(diào)查的事情現(xiàn)在只需幾分鐘或者幾小時(shí)就可以搞定"。

      對(duì)于那些小型企業(yè)或者沒有太多自定義需求的公司來說，來自TriGeo網(wǎng)絡(luò)安全公司的TriGeo工具和賽門鐵克公司的安全信息管理器功能雖然不像ArcSight那么強(qiáng)大，但是他們方便易用，尤其適用于那些缺乏安全經(jīng)驗(yàn)的公司。

      另一個(gè)使用日志聚集的實(shí)際原因是：他們能阻止小型攻擊。位于美國馬薩諸塞州的Akibia Inc.主要從事數(shù)據(jù)中心的信息咨詢，公司的技術(shù)副總裁Mike Halperin介紹說"當(dāng)有攻擊產(chǎn)生時(shí)，就有一連串黃色小旗升起，但不是紅色的"。

      暴露你的弱點(diǎn)
      計(jì)算機(jī)服務(wù)機(jī)構(gòu)需要自查的就是在數(shù)據(jù)中心中搜索去發(fā)現(xiàn)弱點(diǎn)。對(duì)于這個(gè)流程，可以考慮使用攻擊評(píng)估和管理工具。eEye Digital Security公司的視網(wǎng)膜攻擊掃描儀，GFI LANguard公司可以實(shí)現(xiàn)路徑管理和安全審核的攻擊掃描儀或者Qualys，都是可以實(shí)現(xiàn)攻擊評(píng)估和管理的安全工具。對(duì)于很多企業(yè)來說，相對(duì)簡(jiǎn)單的做法是使用網(wǎng)絡(luò)版本的工具就無需再雇傭具備相關(guān)經(jīng)驗(yàn)的安全人員了。

      位于美國加利福尼亞州的County Bank擁有40家分支機(jī)構(gòu)，他們使用AS/400來管理將近40臺(tái)臺(tái)式機(jī)服務(wù)器，使用Qualys來執(zhí)行服務(wù)器的日常掃描工作。

      County Bank的信息安全官查理.麥考倫認(rèn)為"類似這樣的安全公司對(duì)我們非常重要。Windows應(yīng)用環(huán)境中日常的攻擊隨時(shí)都在發(fā)生變化"。他很喜歡Qualys，因?yàn)镼ualys能阻斷這些攻擊。

      除了對(duì)Windows服務(wù)器進(jìn)行日常的掃描外，County Bank每個(gè)月對(duì)AS/400掃描一次。

      目前市場(chǎng)上常用的安全工具還有Nessus，這款開源攻擊掃描儀由于內(nèi)核兼容性的問題，不再包括在BackTrack CD之內(nèi)。

      經(jīng)常進(jìn)行掃描是非常重要的。安全咨詢公司KRvW Associates LLC的首席咨詢師兼創(chuàng)始人Ken van Wyk表示"每隔24小時(shí)進(jìn)行一次掃描來尋找人們可能會(huì)犯的人為錯(cuò)誤。應(yīng)用程序，配置，服務(wù)器和網(wǎng)絡(luò)的改變都會(huì)導(dǎo)致攻擊有機(jī)可乘，我們必須及時(shí)發(fā)現(xiàn)它"。

      掃描你的數(shù)據(jù)中心
      攻擊掃描儀可能是大家最熟悉的計(jì)算機(jī)取證工具。取證工具涵蓋了從基礎(chǔ)日志掃描儀到能執(zhí)行深度系統(tǒng)檢測(cè)的高級(jí)程序。使用這些工具需要具備相關(guān)的專業(yè)技術(shù)和科技知識(shí)。嚴(yán)肅的取證分析是專家從事的工作，但是任何人都可以使用其他相對(duì)簡(jiǎn)單的分析工具，雖然詳細(xì)說明可能需要專門的只是，不過每家計(jì)算機(jī)服務(wù)機(jī)構(gòu)都應(yīng)該至少有數(shù)據(jù)中心中使用的基礎(chǔ)取證工具。

      或者最好的范例就是BackTrack 3 CD。BackTrack 3 CD是包含了開源取證工具的實(shí)況光盤。Forrester研究公司的分析師John Kindervag表示"掌控?cái)?shù)據(jù)中心安全的人員應(yīng)該做的事情就是下載BackTrack 3 CD，去了解如何使用，了解如何在他們的網(wǎng)絡(luò)環(huán)境中因地制宜"。

      預(yù)防數(shù)據(jù)外泄
      能監(jiān)控?cái)?shù)據(jù)從數(shù)據(jù)中心外泄和阻止敏感數(shù)據(jù)流出的軟件被稱為數(shù)據(jù)泄露保護(hù)軟件。這個(gè)非常新興的領(lǐng)域的其他稱謂是數(shù)據(jù)防損（DLP），信息泄露偵測(cè)和預(yù)防，信息泄露保護(hù)，文本監(jiān)控和過濾或者是數(shù)據(jù)外泄預(yù)防系統(tǒng)。

      數(shù)據(jù)泄露保護(hù)使用的軟件能監(jiān)控從數(shù)據(jù)中心輸出的數(shù)據(jù)，阻止敏感數(shù)據(jù)的不當(dāng)外泄。數(shù)據(jù)泄露保護(hù)軟件吸引了很多公司從對(duì)網(wǎng)絡(luò)詐騙的關(guān)注中轉(zhuǎn)移到企業(yè)數(shù)據(jù)泄露的問題上來。Quin表示"通過對(duì)公司里不存在的錯(cuò)誤信息予以確認(rèn)來保護(hù)數(shù)據(jù)是關(guān)鍵所在"他還補(bǔ)充說"數(shù)據(jù)泄露保護(hù)還沒有正規(guī)的立法規(guī)范，因?yàn)樗€是一個(gè)新興的領(lǐng)域，不過它已經(jīng)得到了每家企業(yè)的肯定和認(rèn)可"。

      在數(shù)據(jù)防損市場(chǎng)上活躍的多數(shù)公司都是新興企業(yè)，但是在過去的6到9個(gè)月里，大型安全廠商已經(jīng)收購了很多這個(gè)領(lǐng)域的獨(dú)立開發(fā)商。比如賽門鐵克公司目前收購了Vontu，RSA收購了Tablus（目前已經(jīng)成為RSA數(shù)據(jù)防損套裝產(chǎn)品的組成部分），McAfee收購了Reconnex。Quin強(qiáng)調(diào)說"這些工具生產(chǎn)廠商的合并都得到了規(guī)模更大，實(shí)力更加雄厚的企業(yè)的支持，這使得這些工具和這些公司都在行業(yè)內(nèi)取得了領(lǐng)先優(yōu)勢(shì)"。

      其他需要考慮的因素還有企業(yè)的規(guī)模和你必須用于安全防范的資源。Quin表示"對(duì)于某些領(lǐng)域十分適用的產(chǎn)品未必就適合中小型企業(yè)；對(duì)于每一個(gè)案例，計(jì)算機(jī)服務(wù)機(jī)構(gòu)都必須對(duì)功能，產(chǎn)品局限，價(jià)格和人力成本進(jìn)行評(píng)估和權(quán)衡"。

      需要遵循的規(guī)則
      控制訪問是數(shù)據(jù)中心安全管理的核心部分。能夠進(jìn)行控制設(shè)置和只允許合法用戶進(jìn)行訪問的身份管理系統(tǒng)目前已經(jīng)十分成熟，像IBM公司的Tivoli ID Manager和Access Manager，同類的競(jìng)爭(zhēng)產(chǎn)品還有來自甲骨文,BMC,CA和NOVELL的系統(tǒng)工具。

      不過訪問管理的一個(gè)突出問題是法規(guī)遵從管理，它是要采用安全協(xié)議來控制資源的訪問而并非依靠個(gè)體驗(yàn)證。賽門鐵克公司的BindView和Elemental Security公司的Elemental Security Platform就是代表。

      要謹(jǐn)記數(shù)據(jù)中心安全產(chǎn)品選擇的一個(gè)要點(diǎn)，許多工具的功能和特性設(shè)置都有所重疊。舉例來說，一家公司的日志分析工具可能就是另外一家公司的安全信息管理器。隨著安全廠商不斷補(bǔ)充他們的產(chǎn)品線，這種情況可能還將繼續(xù)。

yajing