第5问，为什么需要GEM？

　　正如城墙和吊桥只能挡住敌人的大部队一样，防火墙/杀毒软件也对有高超伪装能力的黑客束手无策。这也是为什么思科CSO大骂“安漏洞补丁杀毒软件浪费金钱”的原因。
　　除了应用网闸/白名单外，每个CSO都应该加强网络安全监测，由此才能真正做到知己知彼，变被动为主动，让敌人从暗处走到明处，扭转不利的局面。
　　在这个背景下，SIM/SEM/SIEM/SOC等应运而生。我们可以将它们看作一个安全总控台，可以收集所有安全设备发出的信息，从而为中心的安全监测提供帮助。只不过，SIM是提供所有的信息，偏重历史信息归纳，SEM提供特定安全事件的信息，实时性能有所加强，SIEM是两者的融合，SOC（Security Operation Center安全运营中心）则有些外包化的倾向。
　　GEM（Global event management全局事件管理）可以看作是SIEM中最先进的技术，是赛诺朗基TM提供一个可以最大化加强既有资源利用率的平台。SIM和SEM的分野，其实从某种意义上来说，依然是信息加工能力不足的结果，使得只能令SIM侧重历史信息归纳，而SEM侧重实时事件的监测。
　　“凡走过，必留痕迹”，“再狡猾的狐狸，也会露出尾巴”，事实上，只要信息加工能力足够强大，SIM和SEM便可以自然融合，这也是GEM对CSO们有价值的地方之一，既可以分析过往历史信息，也可以对全局事件进行实时监控，并可以在极短的时间内完成关联分析。从而令守护者不是每批都是新人，而是新老结合，想像一下重案组在海关抓捕的镜头吧，“伙计，怎么又是你？假发也太老套了吧，还不换一个？”
　　而GEM解决的另外一个大问题，就是对异构信息数据库的依赖，不同的设备提供的报告形式有很大差异，多数通过数据库连接的尝试都以效率低下而告终，而GEM通过独有的“无需数据库”技术，可以令分析摆脱了对设备的依赖。简化了应用，降低了成本，缩短的时间，即便是成G的日志信息，也可以在合理的时间完成整合与分析，从而不必给CSO增加麻烦。
　　最后，GEM可以让既有设备的利用率最大化。防火墙、网闸、AV这些工具有很多功能开关。但遗憾的是，复杂到让人都不会用，正如老爸老妈多半不会用电视机的TV/AV切换功能一样，而GEM通过事件特征，可以在某种条件下开启这些设备的开关，从而可以让既有的设备将全部的威力发挥出来，这其实就是做好一个帮CEO省钱CSO的终极秘密。
　　第6问，如何分步实施？
　　其实，这个问题我们在第3问中已经探讨过。
　　多数企业构建安全平台遵循着下面3个阶段，
　　第一阶段，筑墙，也就是部署硬件防火墙、多重防护网关，这个大多数中国企业都已经做到。
　　第二阶段，设闸，也就是部署网闸、白名单等。部分中国企业已经做到。
　　第三阶段，监测与审计，也就是部署SIEM、GEM等。一部分先进企业已经开始实施，由于中国版萨班尼斯－奥克斯利法案（下称“萨班斯法案”）”———《企业内部控制基本规范》萨班斯法案的推进（2009年7月1日执行），越来越多的中国上市公司也开始重视信息安全和监测审计。
　　需要注意的是，CSO们往往冲动式的希望一步到位，然而，在资源配备不充足的情况下，这往往还是浮躁心态的体现，“牢骚太盛防肠断，风物长宜放眼量。”，CSO们需要这样的意境。
　　第7问，网络安全的量化标准是什么？
　　若用被黑率、被穿墙率等指标来考核，那基本上CSO是肯定要挂的。你只能控制自己，控制不了黑客啊。所以硬要CSO为结果负责，那是不可能的，但一个比较人性的做法，是为流程负责，比如补丁及时率、漏洞修复率、ID符合率、当机时间等，这些通过一些监测或者审计的工具都能够完成。
　　但需要注意的是，CSO们不要陷入到数字的旋窝中去，比如三鹿的蛋白质含量这一单一考核指标，虽然显得很数字化，但最终结果还是吃死了人。
　　在这里，除了我们可以用GEM获得一些报告外，我们也不妨采取一些安全问卷来获得人们的主观认知，调查下员工和CEO，他们觉得自己的安全知识增加了吗？他们觉得公司的安全环境有改善吗？

(责任编辑：)