联想网御安全管理系统白皮书(瘦SOC)

联想网御安全管理系统

产品白皮书

联想网御科技（北京）有限公司

版权信息

版权所有 2008－2012，联想网御科技(北京)有限公司

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属联想网御科技(北京)有限公司所有，受国家有关产权及版权法保护。如何个人、机构未经联想网御科技(北京)有限公司的书面授权许可，不得以任何方式复制或引用本文档的任何片段。

商标信息

网御、联想网御、leadsec等标识及其组合是联想网御科技(北京)有限公司拥有的商标，受商标法和有关国际公约的保护。

第三方信息

本文档中所涉及到的产品名称和商标，属于各自公司或组织所有。

联想网御科技（北京）有限公司

Lenovo Security Technologies Inc.

北京市海淀区中关村南大街6号中电信息大厦8层100086

8/F Zhongdian Information Tower No.6 Zhongguancun South Street,

Haidian District, Beijing

电话(TEL)：

传真(FAX)：010-

技术热线(Customer Hotline)：400-810-7766，

电子信箱(E-mail)：

1引言

1.1传统安全管理系统重点解决的用户需求

安全管理系统（SOC，Security Operations Center）是继网管系统（NOC,Network Operation Center）之后，在管理领域兴起的新一代产品。网管系统强调对客户网络进行集中化、全方位的监控、分析与响应，实现体系化的网络运行维护，安全管理系统则结合网管的功能，从安全的角度去管理整个网络和系统。

传统安全管理系统被定义为：以资产为核心，以安全事件管理为关键流程，采用安全域划分的思想，建立一套实时的资产风险模型，协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。

当今，企业和政府中大量运用了信息技术和网络技术来构筑业务运行的基础设施，但是黑客、蠕虫病毒、后门漏洞等安全威胁的存在，使得用户的关键业务暴露在危险之中。企业管理者必须密切关注网络环境的安全性，部署大量的安全设备，构建一个安全的网络计算环境，以保证业务数据信息的保密性、完整性和可用性。传统安全管理系统重点解决了如下几个方面的管理需求：

复杂安全环境下的集中管理需求

目前，信息安全市场上存在着数百家厂商，比如联想网御、思科、NETSCREEN等等，推出了上万种不同类型的安全产品，包括防火墙、VPN、IDS、防病毒、漏洞扫描、UTM、身份认证系统等等。一个大型的组织结构复杂的用户，总部以及各个分支机构在不同的建设阶段会部署不同厂家的各类安全设备。每种安全设备都有用来监控和管理的控制台，从各自角度提供局部的安全信息，每个安全设备间是孤立的、分散的。管理员需要学习每种安全设备的使用方式，并时时巡视每台设备的运行情况和报警情况。管理员管理负担越来越重，无从掌控全局的安全状况，很难保证整个网络环境的安全性。

企业客户对网络系统中的安全设备和网络设备、应用系统和运行状况进行全面的监测、分析、评估是保障网络安全的重要手段。网络安全是动态的，对已经建立的系统，如果没有实时的、集中的、可视化审计管理，就不能及时有效的评估系统究竟是不是安全的，并及时发现安全隐患。

联想网御集中管理自上市以来，在安全设备集中管理方面，主要包含的功能包括：网络拓扑管理、设备状态监控、设备告警管理、安全策略管理、VPN组网管理、安全设备统一登录等功能。

⏹网络安全事件的统一审计需求

防火墙、VPN、IDS、防病毒、漏洞扫描、UTM等安全设备每天都会产生数以亿万计的安全日志和攻击事件，重要的攻击信息淹没在大量的干扰信息内，管理员需要及时、准确的发现这些应该关注的信息。同时，企业的领导者需要了解整个网络环境的总体安全状况，以便采取相应措施，保证业务的正常运转。大量的日志信息使得管理员手工查看并分析各种日志内容是不现实的，必须提供一种直观的分析报告及统计报表的自动生成机制来保证管理员能够及时、有效发现并报告网络中各种异常状况及安全事件。

联想网御安全管理系统，日志审计方面，主要包括日志集中收集、归一化处理、日志集中存储、定期备份、统一报表审计等功能。

⏹海量日志数据的综合分析需求

由于目前网络攻击的手段越来越多样，攻击方法越来越隐蔽，单纯依靠这些彼此孤立的日志记录和简单的局部分析已经无法满足网络安全监测的目标，不但工作量极大，而且很难发现攻击；如果必须针对不同厂商的技术和产品先进行人工分析，然后综合分析，提出解决方案，将降低对攻击的反应速度，并增加成本；如何将多个服务器上的日志自动关联起来，对各类系统产生的安全日志实现全面、有效的综合分析，从而发现攻击的行为，使管理员不用像以前那样从庞杂的日志信息中手工搜寻网络入侵的行为，大大提高安全管理员的工作效率和质量，更加有效地保障网络的安全运行。是安全管理系统面临的重要问题。

联想网御安全管理系统通过安全事件在线分析技术，实时分各种网络事件，发现各种网络攻击行为对安全网络造成的危害，并通过告警响应中心集中处理，有效控制各种安全隐患，

防患于未然。

1.2安全管理技术的发展趋势-网络、应用、业务整体安全

传统安全管理系统解决了设备统一配置、统一登录、安全策略统一管理、日志统一审计等方面的用户管理需求。

随着客户业务的深化和行业需求的清晰，传统SOC理念和技术的局限性逐渐凸现出来，主要体现在三个方面：首先，在体系设计方面，传统SOC围绕资产进行功能设计，缺乏对业务的分析。其次，在技术支持方面，传统SOC缺少全面的业务安全信息收集。最后，在实施过程方面，传统安全管理系统实施只考虑安全本身，没有关注客户业务。以资产为核心、缺乏业务视角的软肋使得传统安全管理系统不能真正满足客户更深层次的需求。

对于用户而言，真正的安全不是简单的设备安全、网络安全，而是指业务系统安全。IT 资源本身的安全管理不是目标，核心需求是要保障IT资源所承载的业务的可用性、连续性、以及安全性，因为业务才是企业和组织的生命线。要保障业务安全，就要求为用户建立一套以业务为核心的管理体系，从业务的角度去看待IT资源的运行和安全。

随着管理技术的不断发展，在保障用户业务、应用方面，需求变得日益迫切。下一代安全管理系统必须以业务为核心，贯穿了信息安全管理系统建设生命周期从调研、部署、实施到运维的各个阶段。

所以传统安全管理系统，已经不能满足用户的安全管理核心需求。下一代安全管理系统，必须是一个以业务为核心的、网络安全、应用安全、业务安全一体化的安全管理系统。下一代安全管理系统的价值就在于确保IT可靠、安全地与客户业务战略一致，促使客户有效地利用信息资源，降低运营风险。

1.3联想网御下一代安全管理系统从全网管理角度，解决用

户整体安全

新版本的联想网御安全管理系统，实现了业务与安全的融合，符合面向全网管理需求和趋势，是一套以保障业务安全为核心，全面满足用户网络、应用、业务整体安全需求出发设计的下一代安全管理系统。

联想网御下一代安全管理系统，从如下几个方面，实现全网安全保障的目的：