安全信息与事件管理技术白皮书

SecCenter 安全信息与事件管理技术白皮书

关键词：安全、信息、事件、管理、日志、搜索、报告

摘要：本文档介绍了安全信息与事件管理相关技术。介绍了企业安全的需求分析，为了解决这些需求所提出的解决方案和相关技术。最后还介绍了H3C 的解决方案。

缩略语清单：

目录

1 商业用户网络对于安全管理的需求 (3)

2 安全管理技术方案比较 (4)

3 安全信息与事件管理主要技术特性分析 (5)

3.1 异构设备/主机管理 (5)

3.2 安全信息和事件分析 (6)

3.3 网络架构 (6)

3.4 安全拓扑和可视化威胁 (7)

3.5 监控&事件关联 (8)

3.6 安全管理报告 (9)

3.7 搜索分析 (10)

4 H3C解决方案 (11)

1 商业用户网络对于安全管理的需求

一个公司只注重在物理上对网络安全的投资是远远不够的，即使安全防范再严密的

网络，也会有可能有破坏性漏洞的产生。据估计在世界范围内由攻击造成的经济损

失，已经从二十世纪末的几十亿美元上升到目前的几百亿美元。这个数字还在快速

上升。为了满足政府规范要求，还需要执行安全审计流程。如果不能满足政府的规

范性要求，有可能被高额罚款，还有可能触犯法律，面临刑事诉讼。这些风险到处

存在，并且会影响到公司的日常业务。

根据专业机构提供的行业报告，每个企业都会面临如下挑战：

(1) 网络入侵。包括病毒、黑客攻击、间谍软件、垃圾邮件等。

(2) 网络规划和配置的调整。为了满足企业需要，网络需要不断添加新的网络设

备，并且对这些设备进行调整和配置。

(3) 由于网络威胁在不断的变化，所以会出现不断更新的安全技术。

(4) IT 机构人力不足。他们未经过正式培训，并且把大部分精力放在了安全防御

方面。

为了解决当前紧迫的网络安全问题，我们需要在网络上确保安全，及时发现问题、

跟踪定位问题。现在很多公司采用了防火墙、虚拟专用网（VPN 网关）、身份验

证机制、入侵检测系统（IDS）和其他技术来保障网络安全。但由于蠕虫或者病毒

传播的速度很快，能在很短的时间内感染整个企业网络，所以企业要求能采取快速

的措施来阻挡病毒和黑客攻击，保证网络正常工作。

但由于现实环境的限制，存在兼容性的问题。网络安全设备很多，包括防火墙、

IDS、VPN 网关等。他们的报告机制不同，报文格式不同。各种安全设备不提供足

够的网络拓扑信息，网络管理员无法及时了解网络攻击信息。网络安全设备可能产

生大量的数据信息，网络管理员很难快速有效的处理这些数据。

总结起来，企业遇到的问题是：

(1) 对实时安全信息不了解，无法及时发出预警信息，并处理。

(2) 各种安全设备孤立，无法相互关联，实现信息共享。

(3) 安全事件发生以后，无法及时诊断网络故障的原因，恢复困难。

(4) 网络安全专家匮乏，没有足够的人员去监控、分析、解决问题。

针对这些用户的需求，现在提出了性价比高、容易实施的安全信息和事件管理解决

方案，可以满足企业网络安全的需求。

2 安全管理技术方案比较

当网络安全需求比较单纯的时候，企业常常只会部署防火墙、VPN、IDS、防毒墙、

UTM、IPS 等产品的其中一种。网络安全设备常常会自带日志分析功能，可以实现

一些简单功能。网络安全设备在设计日志功能的时候，一般不会考虑与其他设备的

日志共享，也不会提供强大的分析功能。

随着企业网络的发展，需要综合部署各种安全设备。为了管理这些设备，我们传统

的手段都是通过网络安全设备发送日志到服务器上，进行事后审计。一个大型的网

络，包含若干个网络产品。这些网络设备随时发送系统日志信息，每天产生的日志

信息多达数万条。任何一个网络管理员很难通过系统日志来准确定位网络发生的安

全故障；熟练的网络管理员，可通过系统日志分析，得到有用的网络信息，但响应

速度很慢。这个时候，采用网络设备自带的日志功能，已经不能满足用户需求了。

为了解决传统安全设备日志的问题，出现了一些新的解决方案。有很多的安全管理

产品可部署创建一个位于IT 物理安全之上的智能层。这些安全管理产品可作为网

络安全设备的一个补充，也可作为第三方的解决方案提供。这些安全管理方案大致

可以分为这样两类：安全信息管理（SIM），安全事件管理（SEM）。但是如果仅

仅利用这些单一的方案去搭建一个全面的安全流程是非常有限的。

一个典型的SIM 解决方案：以系统日志的形式收集网络设备的相关安全信息，并

且根据收集的信息产生行为报告。大部分的SIM 解决方案缺乏全面的实时监控和

事件关联特性。另外，他们对较长时间日志文件的归档和搜索审计做的也不够。

一个典型的SEM 解决方案：收集来自网络设备的实时事件信息。该事件信息一般

是通过SNMP、远程命令、日志数据方式获得。大部分SEM 解决方案缺少全面的

性能报告，没有对日志文件压缩、加密。日志文件的压缩加密主要用于历史文件的

归类和审计。

通过比较，不管是网络安全设备自带日志管理方式，还是SIM 方式、SEM 方式，

都不能很好的满足用户安全管理的需求。在这些方式的基础上，如果能够将SIM、

SEM 等管理工具的优点集中起来，收集处理网络安全设备的日志，这样就能提供

一个综合完善的解决方案。

现在人们提出了安全信息和事件管理解决方案（SIEM）。这种方案能够结合SIM

和SIEM 安全管理的所有关键要素，可以实现基于拓扑和可视化威胁的网络安全、

实时监控和事件关联，提供综合报告，全面管理日志，提供审计功能。拓扑图可以

让用户对于网络结构一目了然；可视化的威胁管理，将枯燥的数字转化为图表；实

时监控，避免管理的滞后；事件关联，将各种离散的事情关联起来，实现智能管

理；综合报告，提供关于所有被管理设备的报告，实现决策支持功能。