安全信息与事件管理技术白皮书

1、SecCenter 安全信息与事件管理技术白皮书关键词：安全、信息、事件、管理、日志、搜索 、报告摘要：本文档介绍了安全信息与事件管理相关技术。介绍了企业安全的需求分析，为了解决 这些需求所提出的解决方案和相关技术。最后还介绍了 H3C 的解决方案。缩略语清单：缩略语英文全名中文解释SIMSecurity Information Management安全信息管理SEMSecurity Event Management安全事件管理SIEMSecurity Information and Event Management安全信息和事件管理目 录 HYPERLINK l _bookmark0 商业用

2、户网络对于安全管理的需求3 HYPERLINK l _bookmark1 安全管理技术方案比较4 HYPERLINK l _bookmark2 安全信息与事件管理主要技术特性分析5 HYPERLINK l _bookmark2 异构设备 HYPERLINK l _bookmark2 / HYPERLINK l _bookmark2 主机管理5 HYPERLINK l _bookmark3 安全信息和事件分析6 HYPERLINK l _bookmark3 网络架构6 HYPERLINK l _bookmark4 安全拓扑和可视化威胁7 HYPERLINK l _bookmark5 监控 HYP

3、ERLINK l _bookmark5 & HYPERLINK l _bookmark5 事件关联8 HYPERLINK l _bookmark6 安全管理报告9 HYPERLINK l _bookmark7 搜索分析10 HYPERLINK l _bookmark8 H3C HYPERLINK l _bookmark8 解决方案11商业用户网络对于安全管理的需求一个公司只注重在物理上对网络安全的投资是远远不够的，即使安全防范再严密的网络，也会有可能有破坏性漏洞的产生。据估计在世界范围内由攻击造成的经济损失，已经从二十世纪末的几十亿美元上升到目前的几百亿美元。这个数字还在快速上升。为了满足政府

4、规范要求，还需要执行安全审计流程。如果不能满足政府的规范性要求，有可能被高额罚款，还有可能触犯法律，面临刑事诉讼。这些风险到处存在，并且会影响到公司的日常业务。根据专业机构提供的行业报告，每个企业都会面临如下挑战：网络入侵。包括病毒、黑客攻击、间谍软件、垃圾邮件等。网络规划和配置的调整。为了满足企业需要，网络需要不断添加新的网络设备，并且对这些设备进行调整和配置。由于网络威胁在不断的变化，所以会出现不断更新的安全技术。IT 机构人力不足。他们未经过正式培训，并且把大部分精力放在了安全防御方面。为了解决当前紧迫的网络安全问题，我们需要在网络上确保安全，及时发现问题、跟踪定位问题。现在很多公司采用

5、了防火墙、虚拟专用网（VPN 网关）、身份验证机制、入侵检测系统（IDS）和其他技术来保障网络安全。但由于蠕虫或者病毒传播的速度很快，能在很短的时间内感染整个企业网络，所以企业要求能采取快速的措施来阻挡病毒和黑客攻击，保证网络正常工作。但由于现实环境的限制，存在兼容性的问题。网络安全设备很多，包括防火墙、IDS、VPN 网关等。他们的报告机制不同，报文格式不同。各种安全设备不提供足够的网络拓扑信息，网络管理员无法及时了解网络攻击信息。网络安全设备可能产生大量的数据信息，网络管理员很难快速有效的处理这些数据。总结起来，企业遇到的问题是：对实时安全信息不了解，无法及时发出预警信息，并处理。各种安全

6、设备孤立，无法相互关联，实现信息共享。安全事件发生以后，无法及时诊断网络故障的原因，恢复困难。网络安全专家匮乏，没有足够的人员去监控、分析、解决问题。针对这些用户的需求，现在提出了性价比高、容易实施的安全信息和事件管理解决方案，可以满足企业网络安全的需求。安全管理技术方案比较当网络安全需求比较单纯的时候，企业常常只会部署防火墙、VPN、IDS、防毒墙、UTM、IPS 等产品的其中一种。网络安全设备常常会自带日志分析功能，可以实现一些简单功能。网络安全设备在设计日志功能的时候，一般不会考虑与其他设备的日志共享，也不会提供强大的分析功能。随着企业网络的发展，需要综合部署各种安全设备。为了管理这些设

7、备，我们传统的手段都是通过网络安全设备发送日志到服务器上，进行事后审计。一个大型的网络，包含若干个网络产品。这些网络设备随时发送系统日志信息，每天产生的日志信息多达数万条。任何一个网络管理员很难通过系统日志来准确定位网络发生的安全故障；熟练的网络管理员，可通过系统日志分析，得到有用的网络信息，但响应速度很慢。这个时候，采用网络设备自带的日志功能，已经不能满足用户需求了。为了解决传统安全设备日志的问题，出现了一些新的解决方案。有很多的安全管理产品可部署创建一个位于 IT 物理安全之上的智能层。这些安全管理产品可作为网络安全设备的一个补充，也可作为第三方的解决方案提供。这些安全管理方案大致可以分为

8、这样两类：安全信息管理（SIM），安全事件管理（SEM）。但是如果仅仅利用这些单一的方案去搭建一个全面的安全流程是非常有限的。一个典型的 SIM 解决方案：以系统日志的形式收集网络设备的相关安全信息，并且根据收集的信息产生行为报告。大部分的 SIM 解决方案缺乏全面的实时监控和事件关联特性。另外，他们对较长时间日志文件的归档和搜索审计做的也不够。一个典型的 SEM 解决方案：收集来自网络设备的实时事件信息。该事件信息一般是通过 SNMP、远程命令、日志数据方式获得。大部分 SEM 解决方案缺少全面的性能报告，没有对日志文件压缩、加密。日志文件的压缩加密主要用于历史文件的归类和审计。通过比较，不

9、管是网络安全设备自带日志管理方式，还是 SIM 方式、SEM 方式， 都不能很好的满足用户安全管理的需求。在这些方式的基础上，如果能够将 SIM、SEM 等管理工具的优点集中起来，收集处理网络安全设备的日志，这样就能提供一个综合完善的解决方案。现在人们提出了安全信息和事件管理解决方案（SIEM）。这种方案能够结合 SIM 和 SIEM 安全管理的所有关键要素，可以实现基于拓扑和可视化威胁的网络安全、实时监控和事件关联，提供综合报告，全面管理日志，提供审计功能。拓扑图可以让用户对于网络结构一目了然；可视化的威胁管理，将枯燥的数字转化为图表；实时监控，避免管理的滞后；事件关联，将各种离散的事情关联

10、起来，实现智能管理；综合报告，提供关于所有被管理设备的报告，实现决策支持功能。安全信息与事件管理主要技术特性分析异构设备/主机管理大多数 IT 安全管理解决方案不能支持大量的设备。每个供应商很可能仅支持他们自己的设备。在很多案例里，供应商提供的方案只提供基本配置、监控功能或者报告性能。很多安全管理中心解决方案只能支持非常有限的安全设备类型。例如，它可能只提供防火墙报告，却不支持防病毒设备等重要的安全产品。安全管理负责从所有设备和主机中接收全部的安全事件。这些设备包括交换机、VPN 网关、路由器、防火墙、IDS/IPS、内容过滤系统、防病毒系统、防间谍软件系统、防垃圾邮件系统和 Windows、

11、Unix、Linux 主机。安全管理是网络管理和应用管理的一个补充。如图所示：图3-1 安全管理添加到网络和应用管理用一个 SIEM 的解决方案可以记录并报告发生在整个 IT 架构下的所有相关的安全信息，组成整个 IT 架构不同系统的事件进行关联。例如：一个 IT 管理员希望去关联一台防火墙与一个入侵防护系统，或者统计防火墙与主机在网络中的重复告警数量。网络设备兼容性问题，是 SIEM 解决方案的一个重点。网络设备类型很多，厂商也很多。一个完整的的 SIEM 解决方案，应该能够兼容主流厂商的各种设备，还要能从各种主机设备中收集 Windows, UNIX 和 Linux 等 OS 的事件信息。

12、对于异种网络的兼容性，是衡量 SIEM 产品的重要指标。安全信息和事件分析为了从下面的不同安全架构下收集信息，需要提供一个可以升级的多层和无需代理的架构。事件收集包括安全事件、网络事件、系统事件和应用事件。收集到这些事件以后，所有信息都要按照统一规格，压缩和存档到一个加密的日志文件中。如果信息按照不同的格式存储，会浪费存储空间，并且导致处理困难。所以在存储的时候，需要按照自定义的统一格式进行。为了节省空间和保密，还需要进行压缩和加密存储。实时事件数据被发送到信息和事件管理设备以后，需要关联告警。例如：防火墙和IDS 的告警有可能是相关的。不同的网络安全设备，对于同样一个攻击事件的日志和告警是不

13、同的。将这些告警关联起来，可以准确定位告警原因。单一的设备告警，有可能信息模糊不清。多种设备告警的相互印证，多角度的分析，才有可能准确及时的发现告警原因。各种网络设备的日志很复杂，常常是不容易识别的数字和字符，管理员手工处理很困难。信息和事件管理设备通过设置告警关联，才能将管理员从繁重的手工劳动中解脱出来。拓扑威胁可视化，也是安全分析的重要需求。文字难以快速、简洁地传递信息。用户常常需要直观、简便的图表来实时管理威胁，这样才能及时响应安全事件。数据库技术的成熟，使得存储和管理数据成为一种简单的事情。使用文件方式存储数据，常常导致管理困难，数据丢失的问题。安全信息和事件管理解决方案，可以提供一个

14、内嵌的数据库，也可以提供一个企业级的外置数据库，同时提供行业标准ODBC。数据库存储安全信息，通过数据库强大的查询、触发等功能，实现安全分析功能。在安全分析中要用到事件关联、拓扑和威胁可视，在后面还会详细介绍这些技术。网络架构企业网络架构各种各样，有小型的网络，也有分布式的大型网络。小型网络需要管理的设备少；大型网络需要支持上千台的网络设备和主机。安全信息和事件管理方案，要具有网络的伸缩性。既可以独立配置，满足小型网络需要，也可以分布式配置，满足大型网络需要。下图展示了安全信息和事件管理架构。图3-2 独立部署和分布式部署这种架构考虑到了安全信息和事件管理系统的弹性，独立部署和分布式部署可以适

15、应任何环境。它允许使用控件报告监控端口，可以提供安全服务或者详细描述远端的监控状况，可以提供全面的监测报告，进行日志审计管理。它可以使用内置的XML 等技术，用第三方接口，把监测报告和告警数据结合起来。这种架构能够建立有效和分级的中央日志管理方式。如上图所示，在独立部署方式中，日志发送给管理模块，管理模块将日志存储到数据库。用户通过管理模块查询日志。在分布式部署方式中，安全设备和主机设备， 可以分别管理，互不干扰。安全设备区域和主机设备区域分别部署一套系统，它们将相关信息发送到中心节点，存储在主数据库中。用户在中心节点查询相关信息， 也可以在安全设备区域和主机设备区域独立查询本区域信息。安全拓

16、扑和可视化威胁安全管理员常常遇到这样的困难：不能查看所有网络系统的安全相关事件。安全信息和事件管理能够提供一个网络拓扑视图，管理员可以通过图形界面查看整个网络的安全状态。这种拓扑与系统管理工具中的拓扑类似。网络拓扑通过颜色直观的查看当前设备/主机状态的威胁，而不是泛泛的概览。全面的安全浏览能够快速洞察整个网络架构安全状态。拓扑图上映射的安全信息可以帮助我们以最快的时间面对重要的安全事件。拓扑图还允许安全管理员快速掌握问题节点，以便查看特殊的安全事件。这样就可以消灭处于萌芽状态的威胁。下图是一个安全信息和事件管理设备安全拓扑和可视化威胁的界面。图3-3 基于拓扑的实时威胁可视化下拉菜单监控&事件

17、关联安全信息和事件管理提供对安全事件的实时监控。它可以提供相关联的警告模板， 可以定义和添加告警阀值。通过关联不同的设备和主机，减少假阳性告警，识别混合攻击或者任何非正常的安全事件。实时的事件管理者可以从上百种不同网络设备中可以查看关联事件。这些事件可以按照事件的优先次序进行区分，允许对最严重的安全事件进行干预。监控和事件关联架构要求及时对网络重大威胁做重点处理。实现监控安全事件在网络上有效管理，重点在于制定事件的表示方法。例如：最紧急的信息非常关键。安全信息和事件管理要能够将紧急安全事件实时提供给 IT 和安全管理员。下图是监控仪表盘的例子：图3-4 监控仪表盘展示了一个实时的全部安全状态的

18、一部分管理员可以建立许多独立的监控浏览和监控器，来建立有效的安全管理环境。用户分级，可以让不同等级的用户（本地管理员，应用管理员，终端客户）管理不同的设备和主机，满足不同用户的独立监控需求。通过一个用户监控窗口，多种管理员权限的用户都可以访问设备和主机。安全管理报告目前，大多数网络安全管理员每天都处于一种防御安全风险的紧张状态。同时，他们还要完成各种安全报告。安全报告是评估网络安全事件的有用手段。报告的内容包括：当前安全结构效率、总体管理、员工 Internet 使用情况等。安全信息和事件管理系统能够提高大量清晰明了的报告，让网络安全管理员及时发现各种安全风险。系统可以提供跨越整个 IT 范围

19、的关联报告，帮助我们评定各种安全威胁：网络入侵、协议使用、web 使用、病毒、垃圾邮件、间谍软件、失败登录尝试、基于主机的活动以及资产管理等。安全信息和事件管理系统允许管理员维护系统和主机的特定信息，包括：登录失败、未授权访问、CPU、内存、硬盘利用率等。系统提供客户所要求的各种报告， 满足用户管理目的，帮助管理员进行安全网络预测。作为一个有效的安全管理中心，关键是能够满足所有用户的安全报告需求。小到桌面帮助，大到高级应用。在系统里，报告模块提供基于角色的访问报告功能，它能满足个人、部门管理的需求。用户可以配置设备，通过主机公告栏方便地快速了解网络安全的整体情况。下图是一个安全报告的例子。图3

20、-5 安全管理报告样本搜索分析任何最先进的安全技术都不能保证绝对的网络安全。还有少数企业员工利用内部网络资源，进行有危害的活动。安全信息和事件管理系统能够监控企业网络事件，它提供强大的搜索功能，从大量的主机和设备中查找相关信息。这种搜索能够调查异常网络安全活动和员工违纪行为。用户能够使用关联审计操作，来满足各种政府审计标准。安全管理员能够定义一个攻击的参数，记录入侵者访问网络设备和主机的事件，并且能够按照时间进行排序。这样就能最直接地了解入侵者的行为和活动，严格界定网络非法入侵。下图是一个搜索分析的例子。图3-6 搜索分析功能界面H3C 解决方案为了解决安全管理的问题， H3C 推出了 SecCenter 解决方案。H3C 研发了SecCenter A 系列产品。这种产品是基于硬件的安全智能、高效实施的安全信息及事件管理（SIEM）系统。它能够提供对全网海量的安全事件、日志集中收集和统一分析，兼容异构网络中多厂商的各种设备，对收集数据高度聚合存储及归一化处理，实时监控全网安全状况，同时能够根据不同用户需求提供丰富的自动报告，提供具有说服力的网络安全状况与政策符合性审计报告，系统自动执行以上收集、监控、告警、报告、