《安全统一管理解决方案(v2.0)》由会员分享,可在线阅读,更多相关《安全统一管理解决方案(v2.0)(5页珍藏版)》请在金锄头文库上搜索。
1、安全统一管理解决方案、f、前言随着网络技术的快速发展和信息化进程的日渐深入, 计算机网络已成为企业高效运 营的重要支撑。工作效率的提高、企业信誉的提升、利润来源的拓展都依赖于稳定、高 效、安全的网络环境。但是,各种网络攻击技术也变得越来越先进、越来越普和化,企 业的网络系统面临着随时被攻击的危险,经常遭受不同程度的入侵和破坏, 严重干扰了 企业网络的正常运行。日益严峻的安全威胁迫使企业不得不加强对网络系统的安全防 护, 不断追求多层次、 立体化的安全防御体系,逐步引入了防病毒、防火墙、 IDS、VPN、AAA等大量异构的单点安全防御技术。然而,现有网络安全防御体系还是以孤立的单点 防御为主,彼
2、此间缺乏有效的协作,从而形成了一个个的安全“孤岛”,使得网络安全 不得不面对新的挑战。一、企业对安全统一管理需求分析策略部署的挑战立体化的安全防御体系缺乏统一的安全策略管理平台, 使得网络管理人员无法全面 掌握和控制网络的整体安全策略和安全状态, 造成策略部署和管理上的困难,难以在全 网统一实施企业安全策略,容易产生安全“缝隙”和“三不管”的灰色地带。事件分析的挑战多层次的安全防御体系产生的海量安全事件无法人为管理,各安全部件(如IDS、防火墙 )本身的局限性造成的误报和漏报,容易导致重要的信息被淹没、真正的攻击被忽 视。 由于缺乏对整网安全状态和被保护对象的了解,现有的安全防御体系没有将资产
3、或 业务的价值体现到安全策略中, 难以对安全事件的原因做深入的关联分析, 无法从海量 的安全事件中判断攻击有效性、区分防御重点。风险响应的挑战孤立的安全防御体系中,安全防护、安全检测、安全响应没有形成高效的闭环,各 安全子系统的响应手段单一,安全部件、网络设备、用户终端和管理员之间缺乏协同与 联动,导致企业网络对安全事件的响应能力低下,难以做到和时、准确的整体防御。现有安全防御体系面临的问题已不是单一的安全部件能够独立解决的。网络信息安全的“木桶原则”表明:一个木桶能装多少水不仅取决于短木板的长度,也取决于木板间的紧密程度;一个网络的安全不仅依赖于单个安全部件的能力,也依赖于各网络 / 安 全
4、部件之间的紧密协作。因此,通过全面、集中的安全管理,智能、综合的事件分析, 动态、广泛的协同响应,将不同领域的网络 / 安全部件融合成一个无缝的安全体系,成 为下一代整网安全解决方案的发展趋势。二、H3C统一安全管理解决方案从以上需求分析可以发现,企业遇到的问题归纳起来就是:(1)对实时安全信息不了解,无法和时发出预警信息,并且处理。(2)各种安全设备是孤立的,无法相互关联,信息共享。(3)安全事件发生以后,无法和时诊断网络故障的原因,恢复困难。( 4)网络安全专家匮乏,没有足够的人员去监控、分析、解决问题,成本高。在此背景下,H3(提出通过性价比高、容易实施的安全统一管理方案,来满足企业 实
5、现网络安全的需求。作为 H3C iSPN (智能安全渗透网络)理念的重要部分,H3C安全统一管理解决方案以开放的安全管理平台为框架, 将安全体系中各层次的安全产品、网 络设备、用户终端、网络服务等纳入一个紧密的统一管理平台中,通过安全策略的集中 部署、 安全事件的深度感知与关联分析以和安全部件的协同响应,在现有安全设施的基 础上构建一个智能安全防御体系,大幅度提高企业网络的整体安全防御能力。H3(安全管理中心由策略管理、事件采集、分析决策、协同响应四个组件构成,与网络中的安全 产品、网络设备、网络服务、用户终端等独立功能部件通过各种信息交互接口形成一个 完整的协同防御体系(见下图)。分析决策事
6、件采集Jsjl策喀営H3C IJMS事啤浣:决黄斟安全爭件b网路诜产和土昜 信息憐去麒启析,综售评怙安全事件 矗饥陆 井故出啊座决崇响应制 事麻知尸刊、|門、 宦人设岳.畧Q端 、臬色为妄主 事件的慝知业全 面収集平同召曲的 安全事件陆苦凭中 営理合裁件 的安士景略响应.网堀哽凿、 客白端脏各罷均 可氐为关至爭I牛的 响盖点-挂行匝断 -重定问、修宜或 告警等响匠撫作看户遍交換机个人防次培; 响扫描HIJ5图1 H3C基于安全管理中心的智能防御体系H3(安全管理中心旨在集中部署网络安全保护策略,简化对安全部件的管理,确保 网络安全策略的统一;广泛采集与分析来自于计算机、网络、存储、安全等设施的
7、告警 事件,通过关联来自于不同地点、不同层次、不同类型的安全事件,发现真正的安全风 险,提高安全报警的信噪比;准确的、实时的评估当前的网络安全态势和风险,并根据 预先制定的策略做出快速响应。其基本功能包括:安全策略的集中部署网络中的安全部件涉和身份安全、终端安全、设备安全、连接安全、网络安全等各 个层面,对应的安全防护技术包括 AAA防病毒、漏洞检测、防火墙、VPN IDS等不同层次的防御部件。集中部署各部件的安全防护策略,可以简化对安全部件的管理,确保 网络安全策略的统一,提高安全管理工作的效率。H3C安全管理中心的安全策略集中部署提供了集成、统一、完整的安全防护策略配置平台,可以通过直观的
8、网络、服务器、 终端和用户拓扑图,查看和配置安全策略、网络设备、网络服务与用户终端,有效屏蔽 安全产品和网络设备的差异性,实现对安全产品或设备的配置一致性。安全事件的深度感知网络的不同层次、不同节点往往都部署了相应的安全部件,分别起到不同层面的安 全防御作用。为了实时、全面地获取网络安全信息,必须解决网络安全管理中的事件透 明性问题,让管理员可以监控到网络中每个安全产品的运行状态,为网络安全分析与决策提供支持。H3(安全管理中心可以通过开放协议或安全代理的方式采集来自不同部件 的安全事件数据,如病毒事件、异常登录事件、异常操作事件、漏洞检测事件、系统资 源异常占用事件、流量异常事件等,帮助管理
9、员和时掌握网络中的设备、服务和终端的 安全状态,为进一步的深入分析和决策奠定准确的数据基础。安全事件的关联分析 网络中的各种安全部件产生的众多安全事件,往往使管理员淹没于信息的海洋中; 各安全部件本身的局限性造成的误报和漏报,容易导致真正的攻击被忽视。H3C安全管理中心在全面采集安全事件的基础上, 通过各种基于统计和规则的关联分析算法, 结合 安全事件产生的网络环境、资产重要程度、系统漏洞级别,对安全事件进行深度分析, 可以有效提高安全事件的信噪比,减少告警日志数量而不丢失重要信息,为安全事件审 计和风险响应提供更准确的决策支持。安全威胁的协同响应对安全事件进行全面采集和关联分析的目的是准确的
10、阻断和防止攻击。H3C安全管理中心在全面了解网络资源部署的条件下,可以根据攻击源的不同,智能选择控制点以 更有效的防止攻击,比如,对于外部攻击选择在防火墙AC阻断、对内部攻击选择用户接入交换机端口关闭、 对于内部蠕虫爆发选择隔离攻击源。也可以针对不同的被攻击对 象,区分响应方式,以提高整个网络的自防御能力,比如,对于用户终端可以强制进行 补丁修复和病毒库升级,对于服务器资源可以动态更新安全配置。高效的安全解决方案不仅仅在于当安全事件发生时, 我们能够迅速察觉、 准确定位, 更重要的是我们能够和时制定合理的、一致的、完备的安全策略,并最大限度的利用现 有网络安全资源,通过智能分析和协同响应和时应
11、对各种真正的网络攻击。H3C安全管理中心为实现这一目标而构建了开放的、 可持续演进的网络安全管理平台, 通过对防护、 检测和响应等不同生命周期的各个安全环节进行基于策略的管理,将各种异构的安全产品、网络设备、用户终端和管理员有机的连接起来,构成了一个智能的、联动的闭环响 应体系, 可在保护现有网络基础设施投资的基础上有效应对新的安全威胁、大幅提升对企业基础业务的安全保障。三、H3C安全统一解决方案的突出特点1、组件的模块化架构统一安全管理由策略管理、事件采集、分析决策、协同响应四个组件组成,各功能部件以模块化方式组成,架构简单明晰,易于扩展,企业可根据实际情况进行组件的选 配。2、管理、分析、
12、响应一体化当安全事件发生时,H3C安全管理中心能够迅速察觉、准确定位,更重要的是能够 和时制定合理的、一致的、完备的安全策略,在现有安全设施的基础上形成了一个智能 的安全防御体系,大幅度提高了企业网络的整体安全防御能力。3、管理覆盖全面设备种类多、型号复杂是安全管理中心面临的一大难题一。H3C安全管理中心采用业界领先的集成技术, 有效解决了异构环境的可扩展性问题。以安全事件深度感知模块 SecCenter为例,SecCenter不仅能够管理H3C各种类型的设备,而且可以支持业界主流 网络和安全产品,支持产品类型高达上百种,其中包括防火墙、IPS、IDS、路由器、交换机、交换机、VPN路由器、防火墙、IDS/IPS、内容过滤系统、防病毒系统、防间谍 软件系统、防垃圾邮件系统和 Windows Unix和Linux主机、数据库等。
