安全管理系统方案

安全管理系统方案 4

安全管理系统方案

即使安全防范再严密的网络，也会有可能有破坏性漏洞的存在。根据专业机构提供的报告，大部分网络都面临如下领域的挑战：（1）网络入侵，包括病毒、黑客攻击、间谍软件、垃圾邮件等。

（2）网络规划和配置的调整。为了满足发展需要，网络需要不断添加新的网络设备，并且对这些设备进行调整和配置。

（3）由于网络威胁在不断的变化，与此相对应的会出现不断更新的安全技术。

（4）IT 机构人员配置不足、未经过正式培训、把大部分精力放在了安全防御的位置。

为了解决当前紧迫的网络安全问题，我们需要在网络上确保安全，及时发现问题、跟踪定位问题。现在很多公司采用了防火墙、虚拟专用网（VPN ）、身份验证机制、入侵检测系统（IDS）、入侵防御系统（IPS）和其他技术来保障网络安全，由于蠕虫或者病毒攻击的速度非常快，能够在很短的时间内感染整个网络，所以必须采取足够快的措施制止病毒和攻击，保证网络正常工作。

但是由于现实环境的限制，存在这样的问题。网络安全设备众多，包括防火墙、IPS、VPN 等，他们的报告机制不同，报文

格式不同。各种安全设备没有足够的网络拓扑信息，网络管理员无法及时了解网络攻击信息。网络安全设备可能产生大量的数据信息，网络管理员很难快速有效的处理这些数据。

所以将遇到的问题归纳起来就是：

（1）对实时安全信息不了解，无法及时发出预警信息，并且处理。

（2）各种安全设备是孤立的，无法相互关联，信息共享。

（3）安全事件发生以后，无法及时诊断网络故障的原因，恢复困难。

（4）网络安全专家匮乏，没有足够的人员去监控、分析、解决问题，成本高。

所以方案需要具备以下几个特点：

（1）高性能的安全事件管理

由于业界没有关于安全事件格式的统一标准，因此不同厂商、不同设备提供安全事件的方式及信息格式差异很大。安全管理中心需要兼容主流厂商多种设备的日志格式，其中包括防火墙、IPS、IDS 、路由器、交换机、VPN 设备、内容过滤系统、防病毒系统、防间谍软件系统、防垃圾邮件系统和Windows/Unix 和Linux 主机等。

而且，由于网络中一系列的设备的海量事件，安全管理中心必须具有高速处理能力和海量数据存储功能；在大数据量情况下（如每天几十GB ）仍能够存储几个月甚至几年的日志信息。同时还能自动压缩、加密和保存日志文件到DAS 、NAS 或SAN 等外部存储系统，避免了重要安全事件的丢失。

（2）深入的事件分析关联能力

面对网络中的海量事件，关键事件很容易被淹没。安全管理中心

必须具有如下功能：对全网日志集中采集监控，将离散的数据进行整合、排序，并可根据预定义或用户自定义的关联告警模板，过滤掉重复信息及非关注信息，实现信息降噪，以精简数据量。通过关联告警，管理者可以从上百种不同网络设备中查看关联事件，快速发现真正的安全隐患，做出重点处理。

（3）信息丰富直观的安全拓扑

安全管理中心需要实现将安全资源、网络资源、用户资源相结合的综合安全管理，可生成宏观安全拓扑视图及单个攻击事件的攻击路径，并可将安全事件定位到具体的交换机端口及攻击源用户，管理员还可在安全拓扑上可查看交换机的ARP 表、MAC

表信息、安全事件详细信息，安全拓扑旨在提供丰富直观的安全及网络信息供管理员定位排差问题。（4）集中响应控制管理

安全管理中心需要实现安全事件管理系统与事故响应管理系统的紧密集成，事件管理中心完成了海量事件采集、关联、汇聚后，筛选出危害严重的安全事件，管理者可结合安全拓扑功能中的详细攻击信息、定位信息、设备ARP 表信息、用户信息等综合信息进行定位排差，在响应管理中心对保护网段、执行动作、手动执行、自动执行等联动策略进行配置，通过响应管理功能方

便及时完成交换机端口关闭、用户阻断、黑

名单管理、用户在线提醒等响应操作，并可对响应操作进行日志记录，便于日后查证。安全事件管理系统与事故响应管理系统的结合为管理者提供了一个强大的解决方案，用户不必在每次发现安全事故的同时都需要逐个对交换机端口进行手工插拔或抓包测试定位安全事故发生的原因及位置，通过安全管理中心可轻松监控、查询重要事件进而对已发

生的事件进行响应和跟踪。

（5）丰富的报表报告功能

安全管理中心需要提供丰富的图形化界面，可针对攻击源、攻击目的、响应联动等提供丰富的报表，并支持直方图、饼图、趋势图、列表等多种形式的报表输出。报告方面可提供基于设备、主机、应用程序、漏洞、网流（NetStream）、设备资产、法规遵从（包括萨班斯法案）等报告。用户可通过定制需要输出的报告让系统定期自动生成，帮助实现安全信息的规范管理。这些图形化功能可直观反映网络中的安全问题，在视觉上提示用户应该注意的网络安全信息。

（6）安全管理中心与网络管理、用户管理的结合

安全管理不能独立于网络管理、用户管理独立存在，只有将安全管理资源平台与网络管理资源平台、用户管理资源平台充分结合，才能实现整个网络的统一管理和运作。安全管理中心解决方案通过对安全事件日志进行拓扑定位到交换机端口、用户，用户可以在安全拓扑上获取到与安全事件相关联的设备和用户的详细信息，以真正实现安全＋网络＋用户的全面管理。

所以，综上所述，安全管理方案需要解决如下实际问题：

•异构网络中孤立的安全事件，集中关联分析不同设备产生的日志非常困

难，缺乏“整网”意识；

•网络设备所产生的海量信息，导致忽略甚至无法发现重要的内容；

•不断变化的安全漏洞，大量的攻击，响应及修复总是严重滞后；

•定期从海量数据中汇总整理统计报告，繁琐的手工操作耗费了管理员主

要精力；

•缺乏统筹的安全策略，数不胜数的单一网络安全解决方案，管理员无法

统一处理；

• 不断增加的网络安全管理人员，以及预算投入

• 管理者希望通过简洁直观的报告来判断网络安全状况，确定投资重点；• 海量日志数据无法长期保存，无法追踪用户行为的后果，审计活动难以

开展；

而安全管理系统方案依据PDRR 模型，具有如下几个步骤，

并且形成一个闭环，根据安全需求的发展不断完善：

• 立体预防：统一部署整个网络的安全设备、网络设备以

及终端软件的防

御策略；

• 实时监控：及时收集安全、网络设备等的安全日志，并

输出报告；• 快速响应：对收集到的安全策略进行分析，得出整网联动响应方案，协

同防范攻击，将威胁抑制在源头；