安全统一管理解决方案(v2.0)

平安统一管理解决方案前言随着网络技术的快速发展和信息化进程的日渐深化，计算机网络已成为企业高效运营的重要支撑。工作效率的提高、企业信誉的提升、利润来源的拓展都依靠于稳定、高效、平安的网络环境。但是，各种网络攻击技术也变得越来越先进、越来越普及化，企业的网络系统面临着随时被攻击的危急，常常遭遇不同程度的入侵和破坏，严峻干扰了企业网络的正常运行。日益严峻的平安威逼迫使企业不得不加强对网络系统的平安防护，不断追求多层次、立体化的平安防卫体系，逐步引入了防病毒、防火墙、IDS、VPN、AAA等大量异构的单点平安防卫技术。然而，现有网络平安防卫体系还是以孤立的单点防卫为主，彼此间缺乏有效的协作，从而形成了一个个的平安“孤岛”，使得网络平安不得不面对新的挑战。企业对平安统一管理需求分析策略部署的挑战立体化的平安防卫体系缺乏统一的平安策略管理平台，使得网络管理人员无法全面驾驭和限制网络的整体平安策略和平安状态，造成策略部署和管理上的困难，难以在全网统一实施企业平安策略，简洁产生平安“缝隙”和“三不管”的灰色地带。事务分析的挑战多层次的平安防卫体系产生的海量平安事务无法人为管理，各平安部件(如IDS、防火墙)本身的局限性造成的误报和漏报，简洁导致重要的信息被沉没、真正的攻击被忽视。由于缺乏对整网平安状态和被爱护对象的了解，现有的平安防卫体系没有将资产或业务的价值体现到平安策略中，难以对平安事务的缘由做深化的关联分析，无法从海量的平安事务中推断攻击有效性、区分防卫重点。风险响应的挑战孤立的平安防卫体系中，平安防护、平安检测、平安响应没有形成高效的闭环，各平安子系统的响应手段单一，平安部件、网络设备、用户终端和管理员之间缺乏协同与联动，导致企业网络对平安事务的响应实力低下，难以做到刚好、精确的整体防卫。现有平安防卫体系面临的问题已不是单一的平安部件能够独立解决的。网络信息平安的“木桶原则”表明：一个木桶能装多少水不仅取决于短木板的长度，也取决于木板间的紧密程度；一个网络的平安不仅依靠于单个平安部件的实力，也依靠于各网络/平安部件之间的紧密协作。因此，通过全面、集中的平安管理，智能、综合的事务分析，动态、广泛的协同响应，将不同领域的网络/平安部件融合成一个无缝的平安体系，成为下一代整网平安解决方案的发展趋势。H3C统一平安管理解决方案从以上需求分析可以发觉，企业遇到的问题归纳起来就是：（1）对实时平安信息不了解，无法刚好发出预警信息，并且处理。（2）各种平安设备是孤立的，无法相互关联，信息共享。（3）平安事务发生以后，无法刚好诊断网络故障的缘由，复原困难。（4）网络平安专家匮乏，没有足够的人员去监控、分析、解决问题，成本高。在此背景下，H3C提出通过性价比高、简洁实施的平安统一管理方案，来满意企业实现网络平安的需求。作为H3CiSPN（智能平安渗透网络）理念的重要部分，H3C平安统一管理解决方案以开放的平安管理平台为框架，将平安体系中各层次的平安产品、网络设备、用户终端、网络服务等纳入一个紧密的统一管理平台中，通过平安策略的集中部署、平安事务的深度感知与关联分析以及平安部件的协同响应，在现有平安设施的基础上构建一个智能平安防卫体系，大幅度提高企业网络的整体平安防卫实力。H3C平安管理中心由策略管理、事务采集、分析决策、协同响应四个组件构成，与网络中的平安产品、网络设备、网络服务、用户终端等独立功能部件通过各种信息交互接口形成一个完整的协同防卫体系（见下图）。图1H3C基于平安管理中心的智能防卫体系H3C平安管理中心旨在集中部署网络平安爱护策略，简化对平安部件的管理，确保网络平安策略的统一；广泛采集与分析来自于计算机、网络、存储、平安等设施的告警事务，通过关联来自于不同地点、不同层次、不同类型的平安事务，发觉真正的平安风险，提高平安报警的信噪比；精确的、实时的评估当前的网络平安态势和风险，并依据预先制定的策略做出快速响应。其基本功能包括：平安策略的集中部署网络中的平安部件涉及身份平安、终端平安、设备平安、连接平安、网络平安等各个层面，对应的平安防护技术包括AAA、防病毒、漏洞检测、防火墙、VPN、IDS等不同层次的防卫部件。集中部署各部件的平安防护策略，可以简化对平安部件的管理，确保网络平安策略的统一，提高平安管理工作的效率。H3C平安管理中心的平安策略集中部署供应了集成、统一、完整的平安防护策略配置平台，可以通过直观的网络、服务器、终端及用户拓扑图，查看和配置平安策略、网络设备、网络服务与用户终端，有效屏蔽平安产品和网络设备的差异性，实现对平安产品或设备的配置一样性。平安事务的深度感知网络的不同层次、不同节点往往都部署了相应的平安部件，分别起到不同层面的平安防卫作用。为了实时、全面地获得网络平安信息，必需解决网络平安管理中的事务透亮性问题，让管理员可以监控到网络中每个平安产品的运行状态，为网络平安分析与决策供应支持。H3C平安管理中心可以通过开放协议或平安代理的方式采集来自不同部件的平安事务数据，如病毒事务、异样登录事务、异样操作事务、漏洞检测事务、系统资源异样占用事务、流量异样事务等，帮助管理员刚好驾驭网络中的设备、服务和终端的平安状态，为进一步的深化分析和决策奠定精确的数据基础。平安事务的关联分析网络中的各种平安部件产生的众多平安事务，往往使管理员沉没于信息的海洋中；各平安部件本身的局限性造成的误报和漏报，简洁导致真正的攻击被忽视。H3C平安管理中心在全面采集平安事务的基础上，通过各种基于统计和规则的关联分析算法，结合平安事务产生的网络环境、资产重要程度、系统漏洞级别，对平安事务进行深度分析，可以有效提高平安事务的信噪比，削减告警日志数量而不丢失重要信息，为平安事务审计和风险响应供应更精确的决策支持。平安威逼的协同响应对平安事务进行全面采集和关联分析的目的是精确的阻断和防止攻击。H3C平安管理中心在全面了解网络资源部署的条件下，可以依据攻击源的不同，智能选择限制点以更有效的防止攻击，比如，对于外部攻击选择在防火墙ACL阻断、对内部攻击选择用户接入交换机端口关闭、对于内部蠕虫爆发选择隔离攻击源。也可以针对不同的被攻击对象，区分响应方式，以提高整个网络的自防卫实力，比如，对于用户终端可以强制进行补丁修复和病毒库升级，对于服务器资源可以动态更新平安配置。高效的平安解决方案不仅仅在于当平安事务发生时，我们能够快速察觉、精确定位，更重要的是我们能够刚好制定合理的、一样的、完备的平安策略，并最大限度的利用现有网络平安资源，通过智能分析和协同响应刚好应对各种真正的网络攻击。H3C平安管理中心为实现这一目标而构建了开放的、可持续演进的网络平安管理平台，通过对防护、检测和响应等不同生命周期的各个平安环节进行基于策略的管理，将各种异构的平安产品、网络设备、用户终端和管理员有机的连接起来，构成了一个智能的、联动的闭环响应体系，可在爱护现有网络基础设施投资的基础上有效应对新的平安威逼、大幅提升对企业基础业务的平安保障。三、H3C平安统一解决方案的突出特点1、组件的模块化架构统一平安管理由策略管理、事务采集、分析决策、协同响应四个组件组成，各功能部件以模块化方式组成，架构简洁明晰，易于扩展，企业可依据实际状况进行组件的选配。2、管理、分析、响应一体化当平安事务发生时，H3C平安管理中心能够快速察觉、精确定位，更重要的是能够刚好制定合理的、一样的、完备的平安策略，在现有平安设施的基础上形成了一个智能的平安防卫体系，大幅度提高了企业网络的整体平安防卫实力。3、管理覆盖全面设备种类多、型号困难是平安管理中心面临的一大难题—。H3C平安管理中心采纳业界领先的集成技术，有效解决了异构环境的可扩展性问题。以平安事务深度感知模块Se