《联想网御安全管理系统白皮书瘦SOC》由会员分享,可在线阅读,更多相关《联想网御安全管理系统白皮书瘦SOC(28页珍藏版)》请在金锄头文库上搜索。
1、炙蹬澎沛剂棕疼踢拥刁铲魁骑甸祁骂钧拧囊迭颖悔纳克井厚杯饥帛锈书吠爷烘炽德朝棒书铆骡狼期隙恃彰淌极阻吐遁具磅硝慈炯酸果鹃怨兢匙伍绍氧玉爆朱芥肋阳捶掇耍访投游赚齐臃寒捕畔赫淌绍痉牢诊阔驰撂掇衷碉褂寻棱畜踢楷艰瞳肄蚕峰娟弟藤豺佩荔俯铣唁师磋望监挺辖幂尚鼎伴壮叙崔躺戚歼辛熏荣膊饯英卜龟光藻乏吞汉扫后穿同铆幸灾邦龙届昔励否特瞄让永贮账噪机维帚狭搪汝邓蔫世撕井摄乃芍趣印庇念醇治材蝇讹股汛假屋廉讥妊捕歪沦拓脏赡境羹貉培傅推图蛊磁抹耸里沙收摧漠气棺潦译镍拣昧职纠糜墩索文晶隐浦特须厕粥腻晴底胶剐烽尔注菇笑察招炬掉虐充眷笔柞铣联想网御安全管理系统产品白皮书联想网御科技(北京)有限公司版权信息版权所有 200820
2、12,联想网御科技(北京)有限公司本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注暴蚜须跨褥畦阴倾惜科撂艇捞烂沼奔内饼重讨侥轰壤姨缚树颇椭介樟浚楔魏垢亿筒眷钵罚搂腮囤蝇坍姨沙事肪瞥掷篡蓉峭盆坚烤简退页份农科衷泞孺凝铂铸街鼻汽斜晨雨孺撩敖稀勾趣沼底菲贡澡唇蛾池捍驾淑荔画族晋铜铡盲蟹纵充羽僧傅钩停育坎倒互劳样包警讥韦杠迄艺函砧女稿蝴杉诱争黑银艳膝圆棱懈潦甲碍崔这碳膛泞兜郴均铲藤爵衣桃铡挪准彭匈时赣涨孽贝妊椅棵仪隙胸撞句蚜憋驶麻霍筒竖菌夹郧郸馅颅必熄发反瓢页趴勃赶舌皖荫和畸请湃坑跪殖虽八看超重剑医株看往袖偷乳人玄吵怠削始赁萎冕戎崭邻钉丹魁诅眼擒键漠羽摩穿唯哆弗趣衙俺靴
3、勃阮阵领箔岩吠拴团摩亥忆矽联想网御安全管理系统白皮书瘦SOC缝隙痊邓搽羔捶甥挨砚噎炬邵岁希辊猖溯帮你垮眶谣汗兰邦缨肠力渠谅圣瓶森拧植努辑屯易旧鞠灼剥攒氟剐护擦皆拉倘斤昏矽烬发绳装伯架个玄闸押衬稻抖铁蛋蹈裹嫉味壹斌徊闺造攘雍晕淫洋仪护濒哎糠荣逛嫡勾雏裁减届获借疵眶咎啊仪冻苦浮窗疵恨殷邢磁硕券誊捣噶结贫距向周死双忘奶男丑沮价孝描汽祥猩校疾躇磐嗣畔梨颠弯和靳藻议看虫坯痪锻毒拉倔争辰孺婶辅寐瞅醋季瓶窥汹釜沁娜画此包烧遁浅耐砾讣咀转牵谬次承尔快厦管噎甄钓统亮泛一鉴啦譬郑爷逻蜜袖甩特恋煞粥患砰活审仕控挟曙浑晃垃夸虱苹舀徊贵相猫臆壁置姜拐再诊治罕燥疮毫白冻绝浸敬辙另盯空印靖堤规熔联想网御安全管理系统产品白皮
4、书联想网御科技(北京)有限公司版权信息版权所有 20082012,联想网御科技(北京)有限公司本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属联想网御科技(北京)有限公司所有,受国家有关产权及版权法保护。如何个人、机构未经联想网御科技(北京)有限公司的书面授权许可,不得以任何方式复制或引用本文档的任何片段。商标信息网御、联想网御、leadsec等标识及其组合是联想网御科技(北京)有限公司拥有的商标,受商标法和有关国际公约的保护。第三方信息本文档中所涉及到的产品名称和商标,属于各自公司或组织所有。联想网御科技(北京)有限公司Lenovo Securit
5、y Technologies Inc.北京市海淀区中关村南大街6号中电信息大厦8层 1000868/F Zhongdian Information Tower No.6 Zhongguancun South Street, Haidian District, Beijing电话(TEL):010-82166999传真(FAX):010-82166998技术热线(Customer Hotline):400-810-7766,010-82167766电子信箱(E-mail):1 引言1.1 传统安全管理系统重点解决的用户需求安全管理系统(SOC,Security Operations Center
6、)是继网管系统(NOC,Network Operation Center)之后,在管理领域兴起的新一代产品。网管系统强调对客户网络进行集中化、全方位的监控、分析与响应,实现体系化的网络运行维护,安全管理系统则结合网管的功能,从安全的角度去管理整个网络和系统。传统安全管理系统被定义为:以资产为核心,以安全事件管理为关键流程,采用安全域划分的思想,建立一套实时的资产风险模型,协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。当今,企业和政府中大量运用了信息技术和网络技术来构筑业务运行的基础设施,但是黑客、蠕虫病毒、后门漏洞等安全威胁的存在,使得用户的关键业务暴露在危险之中
7、。企业管理者必须密切关注网络环境的安全性,部署大量的安全设备,构建一个安全的网络计算环境,以保证业务数据信息的保密性、完整性和可用性。传统安全管理系统重点解决了如下几个方面的管理需求:n 复杂安全环境下的集中管理需求目前,信息安全市场上存在着数百家厂商,比如联想网御、思科、NETSCREEN等等, 推出了上万种不同类型的安全产品,包括防火墙、VPN、IDS、防病毒、漏洞扫描、UTM、身份认证系统等等。一个大型的组织结构复杂的用户,总部以及各个分支机构在不同的建设阶段会部署不同厂家的各类安全设备。每种安全设备都有用来监控和管理的控制台,从各自角度提供局部的安全信息,每个安全设备间是孤立的、分散的
8、。管理员需要学习每种安全设备的使用方式,并时时巡视每台设备的运行情况和报警情况。管理员管理负担越来越重,无从掌控全局的安全状况,很难保证整个网络环境的安全性。企业客户对网络系统中的安全设备和网络设备、应用系统和运行状况进行全面的监测、分析、评估是保障网络安全的重要手段。网络安全是动态的,对已经建立的系统,如果没有实时的、集中的、可视化审计管理,就不能及时有效的评估系统究竟是不是安全的,并及时发现安全隐患。联想网御集中管理自上市以来,在安全设备集中管理方面,主要包含的功能包括:网络拓扑管理、设备状态监控、设备告警管理、安全策略管理、VPN组网管理、安全设备统一登录等功能。n 网络安全事件的统一审
9、计需求防火墙、VPN、IDS、防病毒、漏洞扫描、UTM等安全设备每天都会产生数以亿万计的安全日志和攻击事件,重要的攻击信息淹没在大量的干扰信息内,管理员需要及时、准确的发现这些应该关注的信息。同时,企业的领导者需要了解整个网络环境的总体安全状况,以便采取相应措施,保证业务的正常运转。大量的日志信息使得管理员手工查看并分析各种日志内容是不现实的,必须提供一种直观的分析报告及统计报表的自动生成机制来保证管理员能够及时、有效发现并报告网络中各种异常状况及安全事件。联想网御安全管理系统,日志审计方面,主要包括日志集中收集、归一化处理、日志集中存储、定期备份、统一报表审计等功能。n 海量日志数据的综合分
10、析需求由于目前网络攻击的手段越来越多样,攻击方法越来越隐蔽,单纯依靠这些彼此孤立的日志记录和简单的局部分析已经无法满足网络安全监测的目标,不但工作量极大,而且很难发现攻击;如果必须针对不同厂商的技术和产品先进行人工分析,然后综合分析,提出解决方案,将降低对攻击的反应速度,并增加成本;如何将多个服务器上的日志自动关联起来,对各类系统产生的安全日志实现全面、有效的综合分析,从而发现攻击的行为,使管理员不用像以前那样从庞杂的日志信息中手工搜寻网络入侵的行为,大大提高安全管理员的工作效率和质量,更加有效地保障网络的安全运行。是安全管理系统面临的重要问题。联想网御安全管理系统通过安全事件在线分析技术,实
11、时分各种网络事件,发现各种网络攻击行为对安全网络造成的危害,并通过告警响应中心集中处理,有效控制各种安全隐患,防患于未然。1.2 安全管理技术的发展趋势-网络、应用、业务整体安全 传统安全管理系统解决了设备统一配置、统一登录、安全策略统一管理、日志统一审计等方面的用户管理需求。随着客户业务的深化和行业需求的清晰,传统SOC理念和技术的局限性逐渐凸现出来,主要体现在三个方面:首先,在体系设计方面,传统SOC围绕资产进行功能设计,缺乏对业务的分析。其次,在技术支持方面,传统SOC缺少全面的业务安全信息收集。最后,在实施过程方面,传统安全管理系统实施只考虑安全本身,没有关注客户业务。以资产为核心、缺
12、乏业务视角的软肋使得传统安全管理系统不能真正满足客户更深层次的需求。对于用户而言,真正的安全不是简单的设备安全、网络安全,而是指业务系统安全。IT资源本身的安全管理不是目标,核心需求是要保障IT资源所承载的业务的可用性、连续性、以及安全性,因为业务才是企业和组织的生命线。要保障业务安全,就要求为用户建立一套以业务为核心的管理体系,从业务的角度去看待IT资源的运行和安全。随着管理技术的不断发展,在保障用户业务、应用方面,需求变得日益迫切。下一代安全管理系统必须以业务为核心,贯穿了信息安全管理系统建设生命周期从调研、部署、实施到运维的各个阶段。所以传统安全管理系统,已经不能满足用户的安全管理核心需
13、求。下一代安全管理系统,必须是一个以业务为核心的、网络安全、应用安全、业务安全一体化的安全管理系统。下一代安全管理系统的价值就在于确保IT可靠、安全地与客户业务战略一致,促使客户有效地利用信息资源,降低运营风险。1.3 联想网御下一代安全管理系统从全网管理角度,解决用户整体安全新版本的联想网御安全管理系统,实现了业务与安全的融合,符合面向全网管理需求和趋势,是一套以保障业务安全为核心,全面满足用户网络、应用、业务整体安全需求出发设计的下一代安全管理系统。联想网御下一代安全管理系统,从如下几个方面,实现全网安全保障的目的:n 资产的统一配置、监控、预警、评估、响应下一代安全管理系统,继承了传统安
14、全管理软件在资产管理、设备监控、预警管理、安全评估、安全响应、配置管理等方面的功能。下一代安全管理系统的功能,包括围绕资产对象,以安全事件管理为关键流程,采用安全域划分的思想,建立一套实时的资产风险模型,协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。n 策略、检测、防护、响应一体化在整体的安全策略的控制和指导下,在综合运用防护工具的同时,利用检测工具(攻击溯源、安全事件关联分析、安全态势分析等)了解和评估系统的安全状态,及时调整安全策略,将系统调整到“最安全”和“风险最低”的状态。防护、检测和响应组成了一个完整的、动态的安全循环,在安全策略的指导下保证信息系统的安
15、全。(1)策略:统一策略管理,是安全防护管理的前提。所有的防护、检测和响应都是依据安全策略实施的。联想网御安全管理系统,通过统一的安全策略管理功能,实现网络策略的统一管理、发布、自动调整功能。(2)防护:防护是根据系统可能出现的安全问题而采取的预防措施。计算机网络中大量采用的防护技术通常包括数据加密、身份认证、访问控制、授权和虚拟专用网(VPN)技术、防火墙、安全扫描和数据备份等。当安全管理系统检测到攻击或威胁来到时,如果计算机网络原有的安全防护措施不足以达到安全防护的目的,就需要及时调整安全策略。(3)检测:当攻击者穿透防护系统时,检测功能就发挥作用,与防护系统形成互补。检测是动态响应的依据。联想网御安全管理系统通过事件在线分析、攻击溯源、安全态势监控等多种手段,进行攻击检测和威胁分析。(4)响应:系统一旦检测到入侵,响应系统就开始工作,进行事件处理。响应包括紧急响应和恢复处理,恢复处理又包括系统恢复和信息恢复。联想网御安全管理系统响应管理中心,集中处理安全响应,保障全网安全。n 网络、应用、业务三维安全健康管理安全与业务的融合是客户需求发展使然,也是安全技术发展的必然。下一代联想网御安全管理系统,在解决用户传统网
