【TechTarget中国原创】为了在不妨碍教育机构自由交换信息的前提下保证开放网络的安全，Wayne州立大学开始使用Q1 Labs生产的一款网络安全信息管理（SIEM）平台QRadar。

“作为一所高校，为了科研和合作我们保证了开放的网络，为此我们感到自豪。”
Wayne州立大学信息安全管理部主任Morris Reynolds说道。“但我们同时需要尽量保证网络的安全性，这样才不会影响工作效率。”

研究机构Security Incite总裁兼首席分析师Mike Rothman说得更加坦率：“你不能去告诉你的学生要去做什么，因为他们是你的客户。”

多年以来，Reynolds和他的团队一直依靠手动操作来监控网络活动，保证不会发生什么网络安全隐患。但很遗憾的是Reynolds的安全团队只有两名全职员工。采用手动操作的方法对大学网络中五万多用户产生的防火墙日志和其他数据流进行监控显然不是很现实。

“我们没有充足的资源来进行有效的管理。” Reynolds说道，“我们没有有效的工具对我们进行提醒，让我们知道网络的运行状况或将问题消灭在萌芽之中。”

Wayne州立大学高级系统安全专家Graydon Huffman说他正尝试使用TCP dump来监控网络中的流量。他通过对网络的整体性的扫描来缩小网络中漏洞的范围，可以看到哪一个端口正开着，他也可以看到这些网端是否反复撞到主机上，如FTP服务器。从那里也可以看出这台主机属于谁。

“即使是那样，在很长时间之后，你可能会发现这是个‘善意’的流量。” Huffman说，“网络对我们来说就是个黑洞，我们只能看到表面的东西，永远也不知道里面发生了什么。”

 最近，Wayne州立大学采用了QRadar这样一个安全信息管理（SIEM）平台，它可以多角度监控网络安全，并将网络运行信息显示到同一控制台上。

“我们需要将不同装置上产生的情况联系起来的设备，” Huffman说，“从网络中产生的流量看，它能提醒我们需要着重看些什么而不是让我们象大海捞针一样不知道看些什么。”

Security Incite的Rothman说安全信息管理（SIEM）平台技术正在促进信息安全内部的组织演化，使安全成为网络团队内部的组织机能。他说，应用安全信息管理（SIEM）平台技术使得组织能够收集大量的信息。然后，个人安全和网络团队能够使用专门的应用程序或软件建立平台实现各种功能，如依从报告、网络行为分析和取证分析等。

“安全管理平台随着时间的推移将会更加有用，能帮助安全专家和其他的网络安全工作人员提高工作效率。” Rothman说。

在Wayne州立大学，安全在操作上与网络组织上仍然是分开的。然而，IT组织中许多成员都在使用QRadar。

“我们的网络工作人员使用这个工具来监控网络状态，” Huffman说，“用它来验证网络中所发生的情况。”

Huffman 说QRadar可以用来监控防火墙的运行、各种验证体系、学生门户网站和无线LAN流量，几乎网络中发生的所有状况都可以监控。更重要的是，QRadar将信息与第七层流量联系起来，这样网络专家就可以看到是什么类型的应用正在产生QRadar所监测到的流量。

“QRadar发现了网络中我们从来不知道存在的东西，” Huffman说，“它使我们能够‘进入’网络中的第七层看到那里发生的事情。当你驱逐端口80上的一些恶意流量时，其他的看起来也象网络流量。QRadar能够清楚地告诉你在数据包里究竟存在着什么。”

这个产品能很快的检测出被僵尸网络所控制的主机，并且也会很快检测到哪些人正在浏览校园蜜网，也就是故意设置漏洞的网站来吸引那些恶意的流量以便于很快抓到这些流量。Huffman 说QRadar能够检测出类似的攻击网络的漏洞扫描，这些可能是过去没有被发现的。

“他们也会扫描我们的生产网络，事实上是全面理解。”他说，“有时，一定的网络会被允许连接到特定的主机上，这些主机应用交换服务器或者文档服务器。但是一旦它撞到蜜网上同时也撞到生产网络上，我们就会进行记录，并视此流量为恶意流量。否则的话，如果我们仅仅看防火墙的话，我们就看不到它，它就会被看成是一个正常的连接。”

“这使我们能够做出更多的反应，并采取果断的行动整治一些我们所看到的问题。” Reynolds说，“事实上，我们希望发现百分之百的问题和网络中的漏洞，但这在一般的条件下不会有这样的结果。但这使得我们随时保持警惕，发现网络中的恶意行为的端倪。”