1、前言
随着安全威胁日益严重,企业对网络安全防御体系的投入和复杂度都在不断增加,随之而来的是大量针对安全管理的新战:
·安全资源无法整合:安全设备众多,缺少集中管理,设备间形成信息孤岛,安全建设投资回报率低。
·海量信息:安全事件不断涌现,很难抓住重点,巨大的工作量也不能带来决策依据。
·安全威胁无法可视化:缺少技术平台提供全网安全状态,对攻击事件快速定位排差,及时响应。
·企业网络缺乏安全专家来解决、分析问题:难以应对越来越多的安全要求规范,企业安全管理、安全建设缺少科学、有效的分析数据。
综上所述,企业需要专业化的安全管理技术平台来支撑网络安全建设的可持续发展,通过全面、集中的安全事件管理,智能、综合的事件分析,智能、及时的协同响应,将不同领域的网络安全部件融合成一个无缝的安全体系,成为下一代整网安全解决方案的发展趋势。
H3C的安全管理中心解决方案集监控管理、分析管理、响应管理于一体,将网络中的安全产品、安全方案、网络设备、用户终端等独立功能部件通过资源整合形成一个完整的协同防御体系,实现统一安全管理,如图1所示。
H3C安全管理中心解决方案主要组成设备为事件管理中心(SecCenter)和响应管理控制中心(iMC SCC),事件管理中心主要完成对全网安全事件的采集、分析、关联、汇聚、报表报告展示,响应控制中心实现了安全事件与网管系统(iMC 平台)、端点准入管理系统(EAD/UAM)的结合,对需要响应的重要事件可灵活进行Email通知、交换机端口关闭、用户下线、加入黑名单、在线提醒等响应操作。
2、方案概述
H3C 安全管理中心解决方案融合了安全事件资源、设备资源、用户资源,通过监控管理、分析管理、响应管理,构成闭环的管理系统,实现了全网统一安全管理。
·监控管理
实现对多厂家的各类安全设备、安全方案产生的安全事件进行实时采集、查看,生成丰富的安全报表、法规遵从性报告,将安全事件转化为直观的可视化安全威胁信息,帮助网络管理员快速、有效的掌握全网安全状况。
·分析管理
对海量的安全事件进行降噪处理,将离散的数据整合成规则的安全事件信息,对安全事件进行深度查询、审计分析及安全威胁风险评估。
·响应管理
在获取海量信息事件,分析掌握全网安全状态的基础上,将危害严重的安全事件与设备资源、用户资源相结合,对攻击源进行拓扑定位,描绘攻击拓扑,协助管理员对已发生的安全事件进行定位排查,并可对攻击源进行交换机端口控制、用户下线、在线提醒等策略控制。
3、功能特点
·整网统一安全管理
H3C的安全管理中心解决方案可提供全网安全事件统一管理,兼容主流厂商日志格式,不仅能够支持H3C各种类型设备,同时可以支持业界主流安全产品,支持产品类型高达上百种,实现整网安全设备的管理。
·深入的事件分析关联
H3C的安全管理中心解决方案可对海量的安全事件进行分析汇聚,将离散的数据进行整合、排序,并可根据预定义或用户自定义的关联告警模板,过滤掉重复信息及非关注信息,实现信息降噪。通过关联告警,管理者可以从上百种不同网络设备中查看关联事件,快速发现真正的安全隐患。
·丰富的报表报告
H3C安全管理中心可提供丰富的图形化界面,可针对攻击源、攻击目的、响应联动等提供丰富的报表,并支持直方图、饼图、趋势图、列表等多种形式的报表输出,供管理员定位和管理。
·直观的攻击拓扑展示
H3C公司安全管理中心解决方案突破了单一的安全资源管理,实现了将安全资源、网络资源、用户资源相结合的综合安全管理,可生成宏观安全拓扑视图及单个攻击事件的攻击路径,管理员还可在安全拓扑上可查看安全事件详细信息,安全拓扑旨在提供丰富直观的安全及网络信息供管理员定位排差问题。
·安全威胁及时响应管理
H3C安全管理中心解决方案实现了安全事件管理系统与响应管理系统的紧密结合,管理者可结合安全拓扑功能中的详细攻击信息、定位信息、用户信息等综合信息进行定位排差,并对执行动作、手动执行、自动执行等联动策略进行配置,通过将安全事件与网管系统(iMC 平台)、端点准入管理系统(EAD/UAM)的结合,对需要响应的重要事件可灵活进行Email通知、交换机端口关闭、用户下线、加入黑名单、在线提醒等响应操作。
·方便灵活的部署
H3C安全管理中心解决方案主要组成设备为事件管理中心(SecCenter)和响应管理控制中心(iMC SCC),iMC软件平台安装简单方便,SecCenter作为硬件设备无兼容性要求,中文界面的操作简单易用。模块化的设计理念使得方案可扩展,部署灵活,可根据企业需求选择可视级、可控级、扩展级部署。
4、典型应用
[url="]H3C[/url]安全管理中心解决方案一般部署于企业网内部,作为企业整网安全管理的枢纽。方案部署方便、灵活。事件管理中心(SecCenter)为硬件设备,响应管理控制中心(iMC SCC)为软件产品,可与H3C iMC 网管平台安装在一起,通常建议部署在管理区域。另针对仿冒IP地址、MAC地址行为,建议在接入交换机上配置IP check、ARP detection等功能, 以便安全管理中心更准确定位攻击源并进行联动。
用场景说明: 当防火墙、IPS等识别到内网发生的攻击(如扫描攻击、蠕虫攻击等)时会阻断攻击并上报日志,但此时安全隐患仍然存在,攻击者仍然在试图寻找网络漏洞发起新的攻击,并不断增加IPS、防火墙的系统负担。管理者可通过安全管理中心解决方案及时了解这些安全预警并对日志内容进行定位,并通过与网管平台、EAD端点准入管理系统联动实现交换机关闭端口、用户下线、加入黑名单、在线提醒等响应策略,也可以通过企业行政手段对攻击者进行处罚,真正发现并解除安全隐患。
组网详细描述:
1、企业边界部署IPS、防火墙等基础安全设备。
2、安全设备检测到安全异常, 上报syslog日志给SecCenter。
3、SecCenter将syslog日志信息根据预定策略汇聚分析,将需要联动的信息通过TRAP上报给iMC SCC集中告警展示。
4、iMC SCC可根据日志中的IP信息进行攻击源定位,帮助管理员确认网络中的攻击来源,并可与IMC平台/EAD/UAM配合对这些安全威胁进行用户下线、端口关闭、在线提醒、Email通知等联动策略。
转自:http://www.yishang-h3c.com/wmkeyword_redirect.asp?kvid=700278&source=1&show=ignore