随着计算机与网络的兴起，“地球村”的概念改变了企业管理模式，当企业的“活动”全部跑在IT基础设施上时，整个网络系统是否能安全、持续地服务就成了CIO不可回避的问题。美国萨班斯法案要求企业的商务信息要达到网络安全审计，我国的等级保护要求信息系统要建设全面的安全保障，英国的BS7799与国际的ISO也给出了IT管理的最佳实践……标准有了，产品技术有了，但网络安全保障建设的整体思路还很模糊。

尤其是信息安全领域具有一些特殊性：防护手段要落后于攻击技术，单纯的防护等同于亡羊补牢。怎样把众多的网络安全技术有效地结合在一起？面对众多技术的选择，企业的CIO应该先选择哪些，再选择哪些呢？花瓶模型把安全保障看成网络安全防护、网络监控与网络行为审计三个维度的安全平台，给了我们清晰的企业信息安全建设思路。

1、揭开花瓶模型面纱

网络安全管理体现的是对一个安全事件发生与处理的过程，它是动态的，具有自己的生命周期。花瓶模型把网络安全保障看作是一个时间函数，分为三个维度：网络安全防护、网络监控与网络行为审计，分别对应安全事件发生的前、中、后进行安全保障。从形态上看，下边是信息收集网络，中间是三个安全维度形成的功能平台，上端是每个维度的客户操作与管理界面，整体构架好象是一个漂亮的花瓶，因此称作花瓶模型。花瓶模型的管理平台是网络安全管理与控制中心，称为SOC(安全运营中心)。

2、花瓶中的水

水就是模型中的信息流，为管理平台提供分析所需的数据，同时又把修改的策略与配置送给设备。数据采集平台就比如是花瓶中花的根系，为花朵提供足够的养分。水多而清，水多才能保持营养的新鲜，花才能开得娇艳。

所谓流动的水才新鲜，失去了水的花就会凋谢。这种水的来源有多种方式：网络设备的日志(以部分处理的信息)、安全设备的安全事件(预警信息)、链路的原始信息(数据报文)等。对这些水的吸收方式也是多种多样，可以通过SNMP、NetFlow等协议从网络设备取得，也可以通过镜像交换机端口(或物理分光)从物理链路中获得。获取的信息可以先到信息收集设备中进行预处理，去粗取精，再送给功能模块，进行展示与分析。

3、花瓶中的花枝

 安全管理功能的三个维度网络安全防护、网络监控与网络行为审计，既分离又相互依赖，建立在一个信息收集平台上。它们也是花瓶中的三束花，同时也形成了信息安全体系的事前防护、事中监控及应急调度、事后审计三个阶段的全方位网络安全管理。其中防护是提高自身的抵抗能力，重点处理网络中初级的、易识别的病毒与攻击，常用于网络的边界或不同安全域的隔离。

局域网监控是分析系统中的异常行为，包括行为、状态、流量、协议等，以及处理当前的安全事件，尤其是新出现的、防护手段还不健全的新型攻击。审计是针对内部人的，把你的行为记录在案，从管理角度给以震慑，出手必被抓，提高犯罪的成本。审计不是亡羊补牢，而是重现过程，提取证据，并分析攻击的轨迹，为新的防护手段提供依据。花瓶中三束花枝通常对应的安全技术如下：

 (1).网络安全防护管理。包括边界上的防护(防火墙、IPS、防水墙、UTM、防DOS攻击、流量整形系统、防垃圾系统)、统一身份认证系统、数字签名、通信加密、主机(服务器与终端)安全系统、防病毒系统、补丁管理系统、系统(主机、存储、链路)备份与容灾；

(2).局域网监控与应急平台。包括IDS、漏洞扫描系统、病毒扫描系统、异常流量分析系统、网络状态监控系统、业务持续性服务监控系统、机房监控系统；

(3).局域网网络安全审计。包括网络行为审计、运维管理审计、数据库安全审计、业务合规性审计。

4、花瓶中的花朵

花瓶中赏心悦目的自然是花瓶中绽开的花朵，也就是模型中功能平台的用户界面。其中防护部分是安全设备的管理与安全策略的下发，比如防火墙的访问控制、补丁的自动升级。

局域网监控部分是安全事件的分析与预警，并对事件能快速定位，显示其威胁级别，同时也是紧急事件处理的调度平台。审计部分是事件重现，报表生成的地方，也是新安全策略分析与研究的地方。三个平台可以一体，也可以分开，有各自的用户管理权限。从客户的角度看到的是SOC的工作平台，与网络安全管理中心(NOC)共同成为企业业务管理的支撑基础。

花瓶模型的一个理念是把各种安全体系有机地结合起来，提高系统整体的安全保障能力；另一个理念是统一建设安全体系的信息收集与控制网络，这样不仅可以消除以前的网络监控安全系统孤岛，而且为未来的安全技术加入提供了接口，让企业的网络安全管理走向可管理、持续性建设的阶段。