Jason从自己的电脑中熟练地调出防火墙界面，查看防火墙日志，由于日志量太大，没有办法查找出自己需要的日志信息；只好又转向了入侵检测产品，因为入侵检测产品是可以发现内部攻击的安全设备。先关掉防火墙控制界面，由于两个产品控制界面不一样，并且由于防火墙的控制是由Java界面编写的，速度有些慢；等了半天才打开了入侵检测界面，查找日志，发现日志量比防火墙的日志量还要大，真称得上是海量日志，一时之间很难发现到底出了什么问题。

30分钟过去了，Jason还是找不到到底发生了什么安全事件导致网站被黑；黑客是怎么进来的？以前是我黑别人(游戏)，今天怎么被别人黑了？Jason心里想。

原来Jason在进入到马来西亚AAA银行之前，曾经是一个黑客，Jason对黑客攻击和防守技术十分熟悉，并且能够进行入侵，占领主机，获得控制权，远程指挥作战。

CESM安全管理系统平台

“Jason！快看一下我们的银行电子商务网站，出什么问题了！”，听到马来西亚AAA银行IT部总经理Tom的电话，Jason马上登陆银行的电子商务网站，发现一个狞笑的骷髅正对着自己，心里感觉到不妙：网站真的被黑了！

虽然在黑客界很有名气，但是大学毕业1年，靠写一些文章和安全工具小软件给一些安全杂志与报纸，Jason很难维持生活。

正好马来西亚AAA银行招聘银行网络安全管理员，考虑自己的兴趣和爱好，Jason选择了银行的网络安全管理员职位。

当时马来西亚各家媒体、网站都在宣传电子商务，那时就听说了中国的Alibaba、易趣、某宝网、当当书店等电子商务网站，Jason对电子商务网站十分着迷，梦想着有一天自己也可以象中国的马云、邵亦波一样通过网站把马来西亚很多质量好价格低的产品远销国际。

Jason凭借自己的实力很顺利进入到了马来西亚AAA银行，到了银行工作之后，Jason很快就进入了角色，经过对银行内部的考察发现了很多网络信息安全问题。

Jason发现好多问题需要求助于专业的安全公司，于是就打电话给e-COP公司，e-COP公司派来专业安全顾问Brian，对内部网络进行安全评估，发现银行电子商务网络有很多安全问题：

·数据分散，并且量极大

由于马来西亚AAA银行购买“最佳品牌”产品，这些安全产品(防火墙、入侵检测、防病毒等)通常从不同厂家购得，每个产品都有自己的信息日志和控制台，目前各种安全设备缺乏统一管理平台，只能通过这些安全产品各自的控制台去查看事件，窗口繁多，而且所有的事件都是孤立的，不同设备之间的事件缺乏关联，分析起来极为麻烦；无法弄清楚真实的状况。

·安全管理人员必须具备很高的技巧，了解各厂商的各种安全设备

不同厂家的设备对同一个事件的描述可能是不同的，这意味着马来西亚AAA银行安全管理人员必须分析各种不同格式的信息，才有可能进行管理，这导致安全管理人员的工作非常繁重，大量的时间用于一些价值不大的任务上。

·无法做到快速识别和响应

对于网络安全人员来说，海量信息不但无法帮助找出真正的问题，反而因为太多而造成无法管理，并且不同厂商所制造的软硬件可能送出不同的信息格式，使得在网络安全威胁的锁定上，变得难上加难，原本的安全系统反而成为管理上的负担。

·运维关键

以往的安全管理运维工作都是基于资产的运维，但是安全却是基于安全事件的运维。企业每出现一个安全问题就需要进行一次大范围的维护，比如出现病毒问题。这使得安全的运维工作不同于以往的运维工作习惯，造成运维工作效率低下，并且难以规划。

Brian还提出了安全建议：在马来西亚AAA银行部署的Cyclops企业安全管理系统(CESM)能够对银行所有不同IT安全产品和相关设备发出的事件进行采集、格式化和智能关联，具有严密的处理层次和流程。CESM能够为安全专业人员提供可管理的安全信息，如事件趋势分析，攻击处理对策和日志分析取证。

在马来西亚AAA银行的实际应用中，CESM提供如下的管理过程和事件处理过程:

·原始告警的数据归并

CESM首先归并来自安全设备的所有安全数据，这些安全设备包括防火墙、网络IDS,主机IDS，安全应用程序和服务器的日志等。

·数据正规化

为分析安全事件，“技术规范解码器”将原始数据处理成有意义的有用信息。通过这个过程，将原始数据转化为TIF(Transportable-Incident-Format)格式。

·数据挖掘和关联

CESM 以其独特的数据挖掘和关联技术能力，实现三级推理的逻辑信息处理流程。这种能力可以减少虚假告警，增加对攻击的实时检测能力。通过自动事件关联和基于经验的自学习，从大量安全设备产生的入侵模式将被立即比较和观测。

·经过专家建议和分析的统一处理

提供易用的界面，同时处理CESM安全控制台产生的多个安全事件。通过这种统一的处理方法有效地分析所有的安全事件。

·实时的防范措施

一旦发现来自外部或内部的攻击企图发生，立即采取防范措施，在信息损失前抵御入侵。

Jason马上向IT部总经理Tom汇报Brian对网络安全的分析，并且请Brian进行现场演示，Tom感觉非常不错，但是Tom还是认为，马来西亚AAA银行已经有了最好品牌的防火墙、入侵检测、防病毒等安全产品，安全管理平台应该没有必要上了，于是此项目就此搁浅。

Jason从回忆中回到了现实：现在需要解决网站被黑问题，怎么办啊？

Jason马上打电话给Tom，汇报现在一时之间看不出到底发生了什么事情，需要e-COP公司协助完成，Tom马上答应。

30分钟后，Brian到达现场，在银行内部部署了一套安全管理平台，然后对各种产品的日志进行分析。

Brian通过一个统一平台看到了防火墙、入侵检测、防病毒等事件信息，通过设备的关联，很快确定了黑客攻击路径，原来黑客通过了两层防火墙，然后到内部一台刚买回来的主机上，利用这台主机作为跳板，攻击了网站服务器。

Brian马上建议对刚买回来的主机进行加固，然后修改里外两层防火墙策略，重新换上了网站的页面，解决安全问题。

这时，Tom也出现在了Jason和Brian面前，连声称谢，表示：

“说得对，现在已不是单兵作战的年代，而是团队作战，整体作战，需要整体协调才能够减少经济损失，希望你们的产品能够在此使用。”

过了一个月后，Jason又发现银行电子商务网络的一些安全问题，于是银行又购买了一套CESM产品。

采用CESM安全事件管理系统做为安全管理平台，参考e-COP多年的安全事件处理流程经验SOP，银行建立起了标准的内部安全事件处理体系，如图所示。

马来西亚AAA银行通过安全事件处理体系，相关安全管理人员从海量事件中解脱出来，只关心少量的最为紧迫、最为关键的事件信息。并且，安全事件处理体系的成果为后续整体安全策略的规划和调优提供了有力的依据。

通过对CESM产品和服务的使用，使得安全管理更有效化、简单化、条理化、专业化，节约了安全管理的成本，缩短了对安全事件响应时间。

从此，马来西亚AAA银行实现了安全事件的可知、可控、可预测，建立起了可管理的安全体系，同时Jason的工作也变得轻松很多。