联想网御安全管理系统白皮书瘦SOC文档格式.doc
《联想网御安全管理系统白皮书瘦SOC文档格式.doc》由会员分享,可在线阅读,更多相关《联想网御安全管理系统白皮书瘦SOC文档格式.doc(26页珍藏版)》请在冰点文库上搜索。
以资产为核心,以安全事件管理为关键流程,采用安全域划分的思想,建立一套实时的资产风险模型,协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。
当今,企业和政府中大量运用了信息技术和网络技术来构筑业务运行的基础设施,但是黑客、蠕虫病毒、后门漏洞等安全威胁的存在,使得用户的关键业务暴露在危险之中。
企业管理者必须密切关注网络环境的安全性,部署大量的安全设备,构建一个安全的网络计算环境,以保证业务数据信息的保密性、完整性和可用性。
传统安全管理系统重点解决了如下几个方面的管理需求:
n复杂安全环境下的集中管理需求
目前,信息安全市场上存在着数百家厂商,比如联想网御、思科、NETSCREEN等等,推出了上万种不同类型的安全产品,包括防火墙、VPN、IDS、防病毒、漏洞扫描、UTM、身份认证系统等等。
一个大型的组织结构复杂的用户,总部以及各个分支机构在不同的建设阶段会部署不同厂家的各类安全设备。
每种安全设备都有用来监控和管理的控制台,从各自角度提供局部的安全信息,每个安全设备间是孤立的、分散的。
管理员需要学习每种安全设备的使用方式,并时时巡视每台设备的运行情况和报警情况。
管理员管理负担越来越重,无从掌控全局的安全状况,很难保证整个网络环境的安全性。
企业客户对网络系统中的安全设备和网络设备、应用系统和运行状况进行全面的监测、分析、评估是保障网络安全的重要手段。
网络安全是动态的,对已经建立的系统,如果没有实时的、集中的、可视化审计管理,就不能及时有效的评估系统究竟是不是安全的,并及时发现安全隐患。
联想网御集中管理自上市以来,在安全设备集中管理方面,主要包含的功能包括:
网络拓扑管理、设备状态监控、设备告警管理、安全策略管理、VPN组网管理、安全设备统一登录等功能。
n网络安全事件的统一审计需求
防火墙、VPN、IDS、防病毒、漏洞扫描、UTM等安全设备每天都会产生数以亿万计的安全日志和攻击事件,重要的攻击信息淹没在大量的干扰信息内,管理员需要及时、准确的发现这些应该关注的信息。
同时,企业的领导者需要了解整个网络环境的总体安全状况,以便采取相应措施,保证业务的正常运转。
大量的日志信息使得管理员手工查看并分析各种日志内容是不现实的,必须提供一种直观的分析报告及统计报表的自动生成机制来保证管理员能够及时、有效发现并报告网络中各种异常状况及安全事件。
联想网御安全管理系统,日志审计方面,主要包括日志集中收集、归一化处理、日志集中存储、定期备份、统一报表审计等功能。
n海量日志数据的综合分析需求
由于目前网络攻击的手段越来越多样,攻击方法越来越隐蔽,单纯依靠这些彼此孤立的日志记录和简单的局部分析已经无法满足网络安全监测的目标,不但工作量极大,而且很难发现攻击;
如果必须针对不同厂商的技术和产品先进行人工分析,然后综合分析,提出解决方案,将降低对攻击的反应速度,并增加成本;
如何将多个服务器上的日志自动关联起来,对各类系统产生的安全日志实现全面、有效的综合分析,从而发现攻击的行为,使管理员不用像以前那样从庞杂的日志信息中手工搜寻网络入侵的行为,大大提高安全管理员的工作效率和质量,更加有效地保障网络的安全运行。
是安全管理系统面临的重要问题。
联想网御安全管理系统通过安全事件在线分析技术,实时分各种网络事件,发现各种网络攻击行为对安全网络造成的危害,并通过告警响应中心集中处理,有效控制各种安全隐患,防患于未然。
1.2安全管理技术的发展趋势-网络、应用、业务整体安全
传统安全管理系统解决了设备统一配置、统一登录、安全策略统一管理、日志统一审计等方面的用户管理需求。
随着客户业务的深化和行业需求的清晰,传统SOC理念和技术的局限性逐渐凸现出来,主要体现在三个方面:
首先,在体系设计方面,传统SOC围绕资产进行功能设计,缺乏对业务的分析。
其次,在技术支持方面,传统SOC缺少全面的业务安全信息收集。
最后,在实施过程方面,传统安全管理系统实施只考虑安全本身,没有关注客户业务。
以资产为核心、缺乏业务视角的软肋使得传统安全管理系统不能真正满足客户更深层次的需求。
对于用户而言,真正的安全不是简单的设备安全、网络安全,而是指业务系统安全。
IT资源本身的安全管理不是目标,核心需求是要保障IT资源所承载的业务的可用性、连续性、以及安全性,因为业务才是企业和组织的生命线。
要保障业务安全,就要求为用户建立一套以业务为核心的管理体系,从业务的角度去看待IT资源的运行和安全。
随着管理技术的不断发展,在保障用户业务、应用方面,需求变得日益迫切。
下一代安全管理系统必须以业务为核心,贯穿了信息安全管理系统建设生命周期从调研、部署、实施到运维的各个阶段。
所以传统安全管理系统,已经不能满足用户的安全管理核心需求。
下一代安全管理系统,必须是一个以业务为核心的、网络安全、应用安全、业务安全一体化的安全管理系统。
下一代安全管理系统的价值就在于确保IT可靠、安全地与客户业务战略一致,促使客户有效地利用信息资源,降低运营风险。
1.3联想网御下一代安全管理系统从全网管理角度,解决用户整体安全
新版本的联想网御安全管理系统,实现了业务与安全的融合,符合面向全网管理需求和趋势,是一套以保障业务安全为核心,全面满足用户网络、应用、业务整体安全需求出发设计的下一代安全管理系统。
联想网御下一代安全管理系统,从如下几个方面,实现全网安全保障的目的:
n资产的统一配置、监控、预警、评估、响应
下一代安全管理系统,继承了传统安全管理软件在资产管理、设备监控、预警管理、安全评估、安全响应、配置管理等方面的功能。
下一代安全管理系统的功能,包括围绕资产对象,以安全事件管理为关键流程,采用安全域划分的思想,建立一套实时的资产风险模型,协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。
n策略、检测、防护、响应一体化
在整体的安全策略的控制和指导下,在综合运用防护工具的同时,利用检测工具(攻击溯源、安全事件关联分析、安全态势分析等)了解和评估系统的安全状态,及时调整安全策略,将系统调整到“最安全”和“风险最低”的状态。
防护、检测和响应组成了一个完整的、动态的安全循环,在安全策略的指导下保证信息系统的安全。
(1)策略:
统一策略管理,是安全防护管理的前提。
所有的防护、检测和响应都是依据安全策略实施的。
联想网御安全管理系统,通过统一的安全策略管理功能,实现网络策略的统一管理、发布、自动调整功能。
(2)防护:
防护是根据系统可能出现的安全问题而采取的预防措施。
计算机网络中大量采用的防护技术通常包括数据加密、身份认证、访问控制、授权和虚拟专用网(VPN)技术、防火墙、安全扫描和数据备份等。
当安全管理系统检测到攻击或威胁来到时,如果计算机网络原有的安全防护措施不足以达到安全防护的目的,就需要及时调整安全策略。
(3)检测:
当攻击者穿透防护系统时,检测功能就发挥作用,与防护系统形成互补。
检测是动态响应的依据。
联想网御安全管理系统通过事件在线分析、攻击溯源、安全态势监控等多种手段,进行攻击检测和威胁分析。
(4)响应:
系统一旦检测到入侵,响应系统就开始工作,进行事件处理。
响应包括紧急响应和恢复处理,恢复处理又包括系统恢复和信息恢复。
联想网御安全管理系统响应管理中心,集中处理安全响应,保障全网安全。
n网络、应用、业务三维安全健康管理
安全与业务的融合是客户需求发展使然,也是安全技术发展的必然。
下一代联想网御安全管理系统,在解决用户传统网路安全管理需求的技术上,其核心价值在于融合了网络安全管理、应用安全管理和业务安全管理的功能,从全网安全的角度,提供了一套网络、应用、业务三维健康管理方案。
我们可以将业务分为业务的载体和业务的使用者。
一个IT支撑系统一般是由一组IT资源(主机、网络、存储等)和一套业务流程构成的。
对于IT支撑系统而言,IT资源的种类往往相对是稳定的,而业务的复杂性就体现在业务流程上。
传统的网络安全管理,保障了业务支撑系统的安全。
在此基础上,联想网御下一代安全管理系统从业务出发,通过业务需求分析、业务建模、面向业务的安全域和资产管理、业务连续性监控、业务价值分析、业务风险和影响性分析、业务可视化等各个环节,采用主动、被动相结合的方法采集来自企业和组织中构成业务系统的各种IT资源的安全信息,从业务的角度进行归一化、监控、分析、审计、报警、响应、存储和报告。
下一代联想网御安全管理系统通过整合应用监控功能和内网安全管理功能,实现对业务载体和业务流程的全面监控管理,将边界安全、内网安全和业务安全统一到一起,从整体的角度,统一管理、统一预警、全局审计。
2联想网御安全管理系统产品简介
2.1产品定位
联想网御针对企业信息安全比较重视的中高端用户推出的安全设备管理系统。
定位从资产的统一配置、监控、预警、评估、响应,策略、检测、防护、响应一体化和网络、应用、业务三维安全健康管理的角度出发,通过业务需求分析、业务建模、面向业务的安全域和资产管理、业务连续性监控、业务价值分析、业务风险和影响性分析、业务可视化等各个环节,采用主动、被动相结合的方法采集来自企业和组织中构成业务系统的各种IT资源的安全信息,从业务的角度进行归一化、监控、分析、审计、报警、响应、存储和报告。
联想网御安全设备管理系统是一套综合性的设备管理软件,它通过集中管理和安全信息审计功能,协助用户掌握IT网络的安全状况,能够实时监测安全攻击,调整安全设备策略,及时应对安全威胁,从而实现用户网络的整体安全。
通过整合应用监控功能和内网安全管理功能,实现对业务载体和业务流程的全面监控管理,将边界安全、内网安全和业务安全统一到一起,从整体的角度,统一管理、统一预警、全局审计。
2.2产品体系结构
联想网御安全管理系统采用三层分布式体系结构,主要由被管设备层、管理中心层、控制台层组成。
Ø
被管设备
用户网络环境内的防火墙、VPN、IDS、UTM、路由器、交换机、服务器、PC机等安全设备和网络设备是安全管理系统的管理对象,它们的正常运行是用户最关心的。
设备代理
设备代理部署在安全设备或网络设备上,负责采集设备运行数据、下发设备控制信息.。
支持与安全管理中心通过SNMP协议、SYSLOG协议、文件或私有加密通道进行通信。
管理中心
部署在专用服务器上,负责分析、组织、处理网络环境内的安全事件、告警、日志、设备运行信息。
它是安全管理系统产品的核心,负责连接其它模块,传递运行数据,并完成所有管理功能的后台处理。
数据库服务器部署在专用服务器上或者与管理中心部署在一起,负责存储安全告警、事件、日志、信息、中间统计数据及系统运行控制数据,支持SQLSERVER/MSDE数据库。
事件服务器完成信息采集功能,在管理中心内包括了事件服务器模块,若用户网络环境复杂或者存在大量安全设备,仅仅依靠管理中心自带的事件服务器模块,可能会出现信息处理瓶颈,此时可以单独部署事件服务器,完成设备信息的分布式处理。
控制台
用户控制台通过IE浏览器登录,通过HTTP方式连接服务器,可以远程连接访问任意的一个管理中心。
用户可以通过管理程序客户端进行设备监控、报警管理,或进行事件的审计分析。
2.3产品功能架构
联想网御安全管理系统通过SNMP管理协议、ICMP、SYSLOG等协议与安全设备通信,以标准平台服务:
发现服务、轮询服务、内核服务、访问接口服务、数据管理服务、权限认证服务、级联服务、调度服务、日志服务、事件服务、告警服务、通知服务为基础,通过管理客户端、WEB客户端为用户提供了日志审计、告警管理、设备管理、设备监控、策略管理、权限管理、级联管理等服务。
同时支持上级管理中心级联和第三方集成管理的定制。
2.4典型部署方案
联想网御安全管理系统模块化的体系结构,使得系统具有非常灵活的部署模式,可以适应从简单到复杂的不同的用户环境。
简单应用模式
对于网络环境比较简单,设备数量较少的用户,可以采用简单应用模式。
部署一套安全管理系统,直接管理所有的安全设备。
复杂应用模式
对于网络环境复杂,或者存在大量安全设备的用户,需要采用复杂应用模式。
整个网络划分为多个区域,如生产网络区,销售网络区,WEB服务区。
每个分区内部署一套事件服务器组件,实现本分区内的信息收集和处理。
同时,在中心区部署一套联想网御安全管理系统,通过与各事件服务器组件或安全设备通信,实现整个网络的全局管理。
级联部署模式
对于结构复杂,层次化的组织,需要划分为多个管理级别,如总部网络,各分部网络,总部和分部的管理范围、管理需求不同,此时应采用级联部署模式。
在总部网络和各分部网络分别部署一套安全管理系统,实现本地网络的安全管理。
同时各分部网络会传递本地管理数据给总部网络,以便总部安全管理系统可以管理整个网络。
2.5产品运行环境
系统部件
操作系统
硬件环境
数据库
网络
安全管理系统管理中心
Windows2000Server
Windows2000AdvancedServer
Windows2000Professional
WindowsXPProfessional
Windows2003Server
CPU:
2GHz
内存:
1GB
硬盘:
30GB
MySQL
10M
100M
安全管理系统控制台
IE6.0以上
普通PC机
无
2.6支持设备列表
联想网御安全管理系统具备强大的设备管理功能,支持联想网御全系列产品。
对于第三方安全设备,联想网御安全管理系统提供了零代码扩展机制,通过编写配置文件,即可实现设备监控、安全报警、审计分析的管理支持。
系统提供标准化接口,可定制支持第三方设备。
支持设备列表:
类别
设备
防火墙
联想网御防火墙系列
天融信防火墙
启明星辰防火墙
支持SNMP协议的防火墙
VPN
联想网御VPN系列
支持SNMP协议的VPN
IDS
联想网御IDS系列
支持SNMP协议的IDS
IPS
联想网御IPS系列
支持SNMP协议的IPS
防病毒网关
联想网御防病毒网关系列
支持SNMP协议的防病毒网关
UTM
联想网御UTM系列
支持SNMP协议的UTM
网闸
联想网御安全隔离网闸系列
支持SNMP协议的网闸
网络设备
cisco路由器/交换机
华为交换机
支持SNMP协议的路由器/交换机
服务器/主机
Windows服务器/主机
其他设备
支持SNMP协议和Syslog日志格式的其他设备
3联想网御安全管理系统功能介绍
联想网御安全管理系统功能图
3.1安全监视
系统安全监视管理功能,包括安全管理主页、全网拓扑呈现、VPN隧道全局监控、设备状态全局监视、实时报表监视、安全态势监视等功能组成。
通过安全监视功能,用户从全局的角度,准确、直观获取当前安全总体形势和安全趋势。
3.2安全预警
1. 告警监控
网络资源和设备受到攻击,或运行异常时,会以告警等信息方式,通知管理员。
联想网御安全设备管理系统提供多种自动处理机制,协助用户监控最新告警,全方位掌控网络异常和攻击。
2. 告警管理
联想网御安全设备管理系统提供强大的告警管理功能。
用户可以查询、定位每一条详细告警,并进行确认、处理,系统记录告警处理时间、处理人等信息,使得每一个问题都可以进行事后审查。
同时,系统提供以自定义条件进行统计分析,掌握总体的告警态势,协助定位安全问题,保障网络整体安全。
3.3安全响应
安全响应管理,包括告警响应、策略调整、解决指导、攻击溯源、攻击拓扑呈现等功能组成。
安全响应功能,根据管理员的预先配置,及时处理网络告警、异常事件。
当攻击产生时,系统首先根据告警规则匹配,产生相关告警记录,并通过预先定义的告警方式通知管理人员,同时,根据防护需要,及时调整策略,并结合知识库内容,向管理员提供问题解决方案。
攻击溯源功能和攻击拓扑呈现,有效帮助管理人员分析攻击源头和被攻击对象。
3.4安全运维
安全运维管理功能,具体包括资产管理、策略管理、知识库管理、日志审计、权限管理、人员管理VPN组网、设备升级管理等功能组成。
其中知识库管理功能,具体实现:
ü
知识库管理维护
知识库为运维管理提供技术支撑
知识库为管理员提供问题解决指导
知识库关联告警事件、攻击事件
设备管理、VPN组网、日志审计等功能,分别在其他章节介绍。
3.5设备监控
1. 拓扑地图
拓扑地图以层次分明的地图页面,组织、呈现用户的网络部署情况。
用户可以划分不同子图进行管理,符合用户企业组织结构的管理习惯;
地图上安全设备的丰富属性及状态报警,可以让用户对安全设备的运行状况一目了然。
系统灵活的权限控制,可以对不同管理员设定对不同子图的不同权限,进行严格权限控制。
2. 设备监视
系统以直观清晰的方式显示设备关键属性和运行状态。
设备运行异常时,拓扑图上会以不同的颜色、不同的图标来呈现设备,醒目提示管理员当前发生的问题。
同时,以图形化方式允许管理员实时监控设备的详细信息。
3. 历史状态分析
系统根据用户需要可以记录一段时间内的设备关键信息,在设备出现问题时,可以回放这一时间段内的信息记录,系统以曲线图形式给出关键信息的变动情况,协助定位问题,同时根据状态变动曲线,可以为系统未来运行状态变化趋势提供参考。
4. 集中设备配置
联想网御安全设备管理系统提供切换灵活、操作简单的集中设备配置界面,方便用户从管理中心管理配置每一台安全设备,及时调整防火墙的安全策略和系统配置。
5. 统一设备升级
层出不穷的安全威胁、攻击以及设备新增强功能,需要安全设备以升级包的方式升级更新。
联想网御安全设备管理系统提供的设备统一升级功能,允许用户在管理中心管理所有已发布的升级包,并自动进行统一下发,瞬时完成分部在全国各地的安全设备的升级。
特征库
策略文件
…
升级包
3.6策略管理
1.安全设备策略管理
面对数量众多的防火墙设备,联想网御安全设备管理系统提供了统一的策略编辑、配置功能。
在安全设备管理系统上通过图形化界面配置网御防火墙的安全策略,系统会将策略批量下发到防火墙,既能保证安全策略的一致性,又可以大量减少管理员的工作强度。
2.VPN策略管理
VPN设备的策略配置包括IKE策略、IPSEC策略等,手动配置比较烦琐,且容易出错。
联想网御安全设备管理系统提供了VPN策略管理功能,可通过图形化界面编辑、下发VPN策略,建立VPN隧道。
同时,系统还提供了全网VPN的集中监控功能,系统管理员可以一目了然的看到网络中VPN隧道的运行状况及流量等相关信息。
3.7日志监视
系统可以实时监视接收到的事件的状况,如最近日志列表、系统风险状况等;
监控事件状况的同时也可以监控设备运行参数,以配合确定设备及网络的状态;
日志监视支持以图形化方式实时监控日志流量、系统风险等变化趋势。
3.8日志管理
日志管理模块对多种日志格式的统一管理。
自动将其收集到的各种日志格式转换为统一的日志格式,便于对各种复杂日志信息的统一管理与处理。
它支持对安全设备、网络设备、主机系统进行日志数据采集,通过SNMP、SYSLOG或者其它的日志接口从各种网络设备、服务器、用户电脑和网络安全设备中收集日志,用以进行统一管理、分析和报警;
自动完成日志数据的格式解析和分类;
为用户提供日志数据的存储、备份、恢复、删除、导入和导出操作等功能。
通过IE浏览器可以访问管理模块的事件查询功能,它支持灵活的日志信息查询,用户可以设定条件,快速查询浏览各种安全事件,协助分析、定位安全问题,同时提供结果导出和打印。
日志管理支持分布式日志级联管理,下级管理中心的日志数据可以发送到上级管理中心进行集中管理
3.9统计分析
联想网御安全管理系统综合各种安全设备的安全事件,以统一的审计结果向用户提供可定制的报表,全面反映网络安全总体状况,重点突出,简单易懂。
系统支持对包过滤日志、代理日志、入侵攻击事件、病毒入侵事件等十几种日志进行日志统计分析并生成分析报表;
支持按照设备运行状况、设备管理操作对安全设备管理信息统计分析;
支持对访问流量、入侵攻击、邮件过滤日志进行TOP10统计分析;
支持基于部门、源地址、用户对网络访问控制日志进行统计分析。
特别对于入侵攻击日志,支持按照入侵攻击事件、源地址、被攻击主机进行统计分析,发现攻击源和被攻击主机,可以生成入侵攻击事件趋势分析图、TOP10入侵攻击事件趋势分析图、入侵攻击源地址趋势分析图、TOP10入侵攻击源地址趋势分析图、被攻击主机趋势分析图、TOP10被攻击主机趋势分析图等图表。
系统可以生成30多种审计报表,报表支持表格和多种图形表现形式;
用户可以通过IE浏览器访问,导出审计结果。
可设定定时生成日志统计报表,并自动保存以备审阅或自动通过邮件发送给指定收件人,实现对安全审计的流程化处理。
3.10在线分析
在安全设备产生的大量日志里,隐藏着一些安全威胁信息。
联想网御安全管理系统通过定义在线分析规则,可完成对各种日志的实时分析,并根据匹配规则产生告警信息,匹配规则中可设定匹配关键字、匹配频率等;
同时可设定对不同事件的关联。
通过在线分析,可以发现频繁违规访问、频繁攻击探测、暴力登录失败(例如防火墙管理登录、FTP登录,SSH登录等)、端口扫描、分布式拒绝攻击、冲击波135端口攻击、CC连接耗尽攻击、蠕虫病毒等各种攻击行为。
通过在线分析所产生的告警信息,可以采用多种形式自动发送,例如通过SYSLOG协议发送给事件服务器或