SCS全智能安全中枢系统技术白皮书

全智能安全中枢系统

SCS8300系列

技术白皮书

上海纽盾科技发展公司

2014年4月

目录

一、中央网络安全和信息化领导小组的成立 (2)

二、新网络时代和新的管理挑战 (2)

三、SCS系统透明化网络黑箱，重构IT运维管理工作流程 (3)

四、收集，分析，响应，稽核！ (4)

五、SCS系统概要说明 (6)

1、产品设计理念 (6)

2、SCS异常流量检测原理 (7)

3、SCS产品功能及部署方式 (9)

3、SCS实施效益说明 (10)

六、SCS功能菜单列表 (11)

1、网络监视 (11)

(1) 网络流量拓朴图 (11)

(2) 个人拓朴图(位置追踪) (12)

(3) 交换机运行状态监视 (12)

(4) 服务器效能监视 (14)

(5) 主干流量监视 (14)

(6) 组织流量监视 (15)

(7) IP即时流量监视 (15)

(8) TCP即时流量监视 (16)

2、IP/MAC管理 (18)

(1) IP/MAC自动收集与终端管理 (18)

(2) 网络准入与IP/MAC绑定管理 (18)

(3) IP使用历史 (19)

(4) 用户上下线记录 (20)

3、流量分析 (20)

(1) IP流量收集 (20)

(2) IP流量长期记录 (21)

4、异常行为分析 (21)

(1) 异常行为触发条件 (22)

(2) 用户隔离手段 (22)

(2) 事件通知方式 (23)

5、事件管理 (24)

(1)事件通知 (24)

(2)通知清除与历史查询 (24)

一、中央网络安全和信息化领导小组的成立

2014年2月27日，中央网络安全和信息化领导小组成立。该领导小组将着眼国家安全和长远发展，统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题，研究制定网络安全和信息化发展战略、宏观规划和重大政策，推动国家网络安全和信息化法治建设，不断增强安全保障能力。

中央网络安全和信息化领导小组的成立，中央网络安全和信息化建设领导小组的成立是以规格高、力度大、立意远来统筹指导中国迈向网络强国的发展战略，在中央层面设立一个更强有力、更有权威性的机构。体现了中国最高层全面深化改革、加强顶层设计的意志，显示出在保障网络安全、维护国家利益、推动信息化发展的决心。这是中共落实十八届三中全会精神的又一重大举措，是中国网络安全和信息化国家战略迈出的重要一步，标志着这个拥有6亿网民的网络大国加速向网络强国挺进。

二、新网络时代和新的管理挑战

在IT信息安全中，专业的防毒系统（anti-Virus）、入侵检测系统（NIDS/IPS）等安全技术已有多年之久。在这些产品技术与安全理念指导下，几乎所有的网络中都广泛部署有防火墙、防毒墙、IPS、漏扫、PC 杀毒软件等防护装置。这些装置就像自然界的病毒疫苗一样，是网络信息安全的必要措施，它可以根据信息文件或是传送的数据封包内特定的特征将这些病毒比对过滤。然而，根据知名全球防毒研发暨技术支持中心分析归纳指出，IT部门目前面临的信息与网络安全管理难题，主要有以下六点：

(1) 越来越多基于行为攻击手法的黑客破坏或恶意程序，传统特征比对基础的安全设备，已无法检测对抗这些新型的网络威胁

(2) 因中毒或内部黑客攻击的网络威胁，如ARP欺骗攻击，部署的网关安全设备无法有效侦测阻止

(3) 网络就像黑箱一样，无法在异常发生的时候，确切了解与分析这些数据封包、会话流量和端口位置

(4) 当网络异常发生的时候，网管员无法主动的掌握状况，常是被动的知会，抱怨或网络灾难接踵而至

(5) 没有人能够24小时全年无休工作（除了间谍软件等恶意程序）

(6) 商机与信誉，在网络恢复运作之前，只能眼睁睁地流失

许多企业将所有的问题归咎于信息部门人员，不但不公平，同时也无法真正解决问题。信息部门多样而繁杂的工作，以及有限的人力资源，使得信息安全管理工作成为沉重而无法独力承担的责任。有时问题出在

哪里，不容易察觉且因为种种资源上的限制，如人力不足、工作繁重等，使得问题无法及时被解决。

「信息与网络安全」不应仅是购置某特定的信息或网络防护产品，过去这些产品往往也只是利用既有的「特征侦测」针对那些已知的病毒、蠕虫过滤，但越来越多的攻击模式已趋向于通讯底层行为攻击；而且这些产品只是部署单点位置(通常在网关)，广大的内网侦测则付诸阙如。SCS全智能安全中枢系统，他不是「特征侦测」而是网络资源与异常行为的管理，网络的资源–内网流量分布、瓶颈、行为分析，网络设备、服务实时的监视；网络的威胁–内网网络存取异常、ARP攻击异常分析、ICMP、TCP/UDP Layer ¾ 层异常分析、端点防卫与联合防御。

现今，IT管理员面临的安全环境又有所变化：随着因特网应用的蓬勃发展和网络技术的不断进步，网络安全设备越来越普及，大多数网络中都建置有Firewall防火墙、IPS入侵防御系统等安全网络设备。但因为涉及通信协议和业界标准问题，各设备厂商并没有统一标准接口，这就使得各安全产品各自为战，无法形成一个统一的安全管理体系。因此，如何整合网络资源和安全设备，使之成为一套高效的管理体系，已成为当前信息安全和网络管理最严肃的课题。

三、SCS系统透明化网络黑箱，重构IT运维管理工作流程

网络架构设计者往往将内部骨干网络列入可信任区域，忽视内网通讯流量的即时监控，这使得内网就像一个黑箱子，IT管理部门并不了解发生什么问题原因是什么，往往是业务或服务中断后才被动获知，且要花大量时间去排查原因解决问题。

在日常的管理工作中，网络工程师需要应对各种各样的网络问题和电脑单机问题，这些繁琐的工作占据了大部分他们有效的时间，致使网络运营得不到有效的分析、调整与优化。并且每个单元都有自己独立的工具来收集与分析数据，将结果以不同的表现形式提交给网络工程师，或用于调整策略，或用于排错参考。网络工程师在在排错或检查原因时，需要使用不同的工具、参考不同系统的数据记录，最终凭借经验与专业知识来缩小故障范围，查找原因并解决。因此，当IT运维人员的经验不足或专业知识缺乏时，这种问题尤其突出，造成网络事故长时间悬而不决。

SCS系统打破了这种管理单元孤岛，将独立的管理单元使用标准通讯协议串联起来，自动整合各单元数据结果，利用系统内置知识库并结合威胁危害程度，使用简易易懂的呈现方式，提供给IT部门风险评估、快速定位、自动响应、事件稽核的网络危机处理机制。准确的说，SCS是重构企业IT运维管理流程的决策