如何掌控企业网络安全管理

企业在建设初期一般迫于预算或规模，大多数企业在建设初期会选择防火墙、IPS、IDS等设备的一种做为安全防御设备，管理较为简单，但随着网络环境日趋复杂，网络攻击日益猖獗，近年来企业网络安全建设意识逐步提高，通常会部署多种安全设备，甚至会选择终端安全、内网控制等综合性的安全方案进行网络安全建设，以期望保持网络的正常运行，同时，为了满足政府规范要求，需要执行安全审计流程，以避免高额罚款及刑事诉讼。因此企业所面临的安全的挑战不再只是安全设备和技术的选择，而是如何有效的进行安全管理、安全审计，全面掌控企业网络安全状态，并规划企业可持续性的安全建设方案。为什么需要网络安全管理：随着网络建设的发展，安全产品不断增加，由于缺乏统一、专业的安全管理，安全设备和安全方案间相互缺乏信息交互，无法对安全资源有效整合，各个安全设备只能是安全孤岛，无法最大化发挥应有价值，另外，各安全设备每天会发送大量且缺少关联的日志信息，网络管理员很容易被海量信息淹没而无法及时、清晰的看到全局，因此企业的安全建设可能进入产品功能重叠、对安全事故响应速度越来越慢、购买的产品和方案并不能解决当前最紧要的问题等恶性循环中，由于企业安全建设的重要性和特殊性，隐藏的安全漏洞和威胁很可能发展放大为风险，给企业IT系统的持续建设和运转埋下隐患。面对网络安全防御体系的投入和复杂度都在不断增加，越来越多的企业已经感受到安全管理的压力和困难：安全资源无法整合：安全设备众多，缺少集中管理，设备间形成信息孤岛，安全建设投资回报率低。海量信息：安全事件不断涌现，很难抓住重点，巨大的工作量也不能带来决策依据。安全威胁无法可视化：缺少技术平台提供全网安全状态，对攻击事件快速定位排查，无法快速的解决安全问题。企业网络缺乏安全专家来解决、分析问题：难以应对越来越多的安全要求规范，企业安全管理、安全建设缺少科学、有效的分析数据。如何建设企业网络安全管理：

企业网络安全管理纷繁复杂，头绪众多，因此必须借助技术平台来解决问题，安全管理平台及工作流程不仅能帮助企业快速掌握全网安全状况，发现并解决重要安全问题，还能无需扩充企业安全管理人员，节省安全维护资金投入。

网络安全管理――工作流程：H3C安全管理中心解决方案遵循配置、监控、分析、响应的四部奏工作流程，每个部奏都需要根据企业自身的网络情况、安全制度、安全流程、安全保护目标进行严密的设计和规划，相互协作，全面、高效的解决网络安全问题：

图1信息安全管理四部奏

配置管理阶段：配置管理阶段除了对网络中的安全设备进行配置外，还需要根据企业的安全制作、安全流程对安全响应策略进行预定义，配置管理是后续管理阶段的基础部奏，管理员通过此阶段完成对网络安全策略的规划、设计和部署，明确响应策略，可有效提高安全事件的响应速度。

监控管理阶段：监控管理阶段主要是实现对各安全设备、安全方案产生的安全事件进行实时采集、查看，监控管理阶段需要生成丰富的安全报表、法规遵从性报告，将安全事件转化为直观的可视化安全威胁信息，帮助网络管理员快速、有效的监控网络安全状况。

分析管理阶段：分析管理阶段主要是对海量的安全事件进行降噪处理，将离散的数据整合成规则的安全事件信息，对安全事件进行深度查询、审计分析及安全威胁风险评估。

响应管理阶段：响应管理阶段在获取海量信息事件，分析掌握全网安全状态的基础上，将危害严重的安全事件与网管资源、用户资源相结合，对攻击源进行拓扑定位，描绘攻击拓扑，协助管理员对已发生的安全事件进行定位排查，并可通过响应联动功能对攻击源进行控制、阻断、提醒。

网络安全管理－事件分析关联，降低风险：

快速的获取并分析网络安全信息及事件是企业进行安全管理最有效的办法，但面对网络中的海量事件，关键事件很容易被淹没，聘请更多安全管理人员也不是解决办法，需要安全管理平台提供智能的信息降噪能力，H3C事件管理中心（SecCenter）通过对全网日志集中采集监控，将离散的数据进行整合、排序，并可根据预定义或用户自定义的关联告警模板，过滤掉重复信息及非关注信息，大大精简数据量。通过关联告警，管理者可以从上百种不同网络设备中查看关联事件，快速发现真正的安全风险，才能采取适当的措施来进行风险消除。

由于业界没有关于安全事件格式的统一标准，因此不同厂商、不同设备提供安全事件的方式及信息格式差异很大。安全管理平台需要具备全网安全事件统一管理的能力，