安全管理系统方案

1、安全管理系统方案 4安全管理系统方案即使安全防范再严密的网络， 也会有可能有破坏性漏洞的存 在。根据专业机构提供的报告， 大部分网络都面临如下领域的挑 战：（1）网络入侵，包括病毒、黑客攻击、间谍软件、垃圾邮 件等。（2）网络规划和配置的调整。为了满足发展需要，网络需 要不断添加新的网络设备，并且对这些设备进行调整和配置。（3）由于网络威胁在不断的变化，与此相对应的会出现不 断更新的安全技术。（4）IT 机构人员配置不足、未经过正式培训、把大部分精 力放在了安全防御的位置。为了解决当前紧迫的网络安全问题， 我们需要在网络上确保 安全，及时发现问题、跟踪定位问题。现在很多公司采用了防火 墙、虚拟

2、专用网（ VPN ）、身份验证机制、入侵检测系统（ IDS）、 入侵防御系统（IPS）和其他技术来保障网络安全，由于蠕虫或 者病毒攻击的速度非常快，能够在很短的时间内感染整个网络， 所以必须采取足够快的措施制止病毒和攻击，保证网络正常工 作。但是由于现实环境的限制， 存在这样的问题。 网络安全设备 众多，包括防火墙、 IPS、VPN 等，他们的报告机制不同，报文格式不同。 各种安全设备没有足够的网络拓扑信息， 网络管理员 无法及时了解网络攻击信息。 网络安全设备可能产生大量的数据 信息，网络管理员很难快速有效的处理这些数据。所以将遇到的问题归纳起来就是：（1）对实时安全信息不了解，无法及时发出

3、预警信息，并 且处理。（2）各种安全设备是孤立的，无法相互关联，信息共享。（3）安全事件发生以后，无法及时诊断网络故障的原因， 恢复困难。（4）网络安全专家匮乏，没有足够的人员去监控、分析、 解决问题，成本高。所以方案需要具备以下几个特点：（1）高性能的安全事件管理由于业界没有关于安全事件格式的统一标准，因此不同厂 商、不同设备提供安全事件的方式及信息格式差异很大。 安全管理中 心需要兼容主流厂商多种设备的日志格式，其中包括防火墙、 IPS、IDS 、路由器、交换机、 VPN 设备、内容过滤系统、防病 毒系统、防间谍软件系统、防垃圾邮件系统和 Windows/Unix 和 Linux 主机等。

4、而且，由于网络中一系列的设备的海量事件， 安全管理中心 必须具有高速处理能力和海量数据存储功能； 在大数据量情况下 （如每天几十 GB ）仍能够存储几个月甚至几年的日志信息。同 时还能自动压缩、 加密和保存日志文件到 DAS 、NAS 或 SAN 等 外部存储系统，避免了重要安全事件的丢失。（2）深入的事件分析关联能力面对网络中的海量事件， 关键事件很容易被淹没。 安全管理 中心必须具有如下功能： 对全网日志集中采集监控， 将离散的数 据进行整合、 排序， 并可根据预定义或用户自定义的关联告警模 板，过滤掉重复信息及非关注信息，实现信息降噪，以精简数据 量。通过关联告警， 管理者可以从上百种不

5、同网络设备中查看关 联事件，快速发现真正的安全隐患，做出重点处理。（3）信息丰富直观的安全拓扑安全管理中心需要实现将安全资源、 网络资源、 用户资源相 结合的综合安全管理， 可生成宏观安全拓扑视图及单个攻击事件 的攻击路径， 并可将安全事件定位到具体的交换机端口及攻击源 用户，管理员还可在安全拓扑上可查看交换机的ARP 表、 MAC表信息、 安全事件详细信息， 安全拓扑旨在提供丰富直观的安全 及网络信息供管理员定位排差问题。 （4）集中响应控制管理安全管理中心需要实现安全事件管理系统与事故响应管理 系统的紧密集成，事件管理中心完成了海量事件采集、关联、汇 聚后，筛选出危害严重的安全事件， 管理

6、者可结合安全拓扑功能 中的详细攻击信息、定位信息、设备 ARP 表信息、用户信息等 综合信息进行定位排差， 在响应管理中心对保护网段、 执行动作、 手动执行、 自动执行等联动策略进行配置， 通过响应管理功能方便及时完成交换机端口关闭、用户阻断、黑名单管理、 用户在线提醒等响应操作， 并可对响应操作进行 日志记录， 便于日后查证。 安全事件管理系统与事故响应管理系 统的结合为管理者提供了一个强大的解决方案， 用户不必在每次 发现安全事故的同时都需要逐个对交换机端口进行手工插拔或 抓包测试定位安全事故发生的原因及位置， 通过安全管理中心可 轻松监控、查询重要事件进而对已发生的事件进行响应和跟踪。（

7、5）丰富的报表报告功能安全管理中心需要提供丰富的图形化界面，可针对攻击源、 攻击目的、响应联动等提供丰富的报表，并支持直方图、饼图、 趋势图、列表等多种形式的报表输出。 报告方面可提供基于设备、 主机、应用程序、漏洞、网流（NetStream）、设备资产、法规遵 从（包括萨班斯法案）等报告。用户可通过定制需要输出的报告 让系统定期自动生成， 帮助实现安全信息的规范管理。 这些图形 化功能可直观反映网络中的安全问题， 在视觉上提示用户应该注 意的网络安全信息。（ 6）安全管理中心与网络管理、用户管理的结合安全管理不能独立于网络管理、 用户管理独立存在， 只有将 安全管理资源平台与网络管理资源平台

8、、 用户管理资源平台充分 结合，才能实现整个网络的统一管理和运作。 安全管理中心解决 方案通过对安全事件日志进行拓扑定位到交换机端口、 用户，用 户可以在安全拓扑上获取到与安全事件相关联的设备和用户的 详细信息，以真正实现安全网络用户的全面管理。所以，综上所述，安全管理方案需要解决如下实际问题：异构网络中孤立的安全事件， 集中关联分析不同设备产生 的日志非常困难，缺乏“整网”意识；网络设备所产生的海量信息， 导致忽略甚至无法发现重要 的内容；不断变化的安全漏洞， 大量的攻击， 响应及修复总是严重 滞后；定期从海量数据中汇总整理统计报告， 繁琐的手工操作耗 费了管理员主要精力；缺乏统筹的安全策略

9、，数不胜数的单一网络安全解决方 案，管理员无法统一处理； 不断增加的网络安全管理人员，以及预算投入 管理者希望通过简洁直观的报告来判断网络安全状况， 确定投资重点； 海量日志数据无法长期保存， 无法追踪用户 行为的后果，审计活动难以开展；而安全管理系统方案依据 PDRR 模型，具有如下几个步骤，并且形成一个闭环，根据安全需求的发展不断完善： 立体预防：统一部署整个网络的安全设备、网络设备以及终端软件的防御策略； 实时监控：及时收集安全、网络设备等的安全日志，并输出报告； 快速响应：对收集到的安全策略进行分析，得出 整网联动响应方案，协同防范攻击，将威胁抑制在源头； 全面分析：根据收集的安全事件，分析网络中的安全隐 患，并给出相应安全终端杀毒软件接入交换机 802.1X EAD 802.1X EAD 控制认证服务器补丁服务器DHCP 汇聚交换机安全管理中心