应用场景
随着网络与安全的日益融合,企业对网络安全的重视程度和投入都在不断增加,专业的安全设备、具有安全特性的网络设备应用得越来越多,安全管理平台的建设也如火如荼,随之而来的是大量的新问题:
u 防御体系无法建立。过于强调对安全设备的信息收集,轻视对网络设备的信息收集,缺少网络设备提供的关键信息,防外可以防内难。
u 威胁根源难以跟踪。过于强调对安全信息的监控,轻视对事件根源的跟踪和路径分析,对攻击事件快速定位能力差,属于被动式而不是主动式的管理。
u 安全策略难以实现。过于强调安全问题的专业分析,忽视发现问题后的安全响应策略,不能与网络设备联动,自动处理安全问题。
综上所述,企业需要主动式的安全联动解决方案,来建立完善的网络安全管理平台,通过全面的安全信息收集,端到端的事件分析和路径跟踪,智能、及时的联动响应,将不同领域的网络部件和安全部件融合成一个无缝的网络安全防御体系。
H3C的安全联动解决方案(SCC)集配置管理、监控管理、响应管理于一体,与网络设备、安全设备、用户终端、审计等独立功能部件通过各种信息交互接口形成一个完整的协同防御体系。
图1 安全联动解决方案(SCC)逻辑组成
H3C安全联动解决方案主要由安全控制中心软件(H3C iMC)和事件管理中心设备(H3C SecCenter)组成。安全控制中心iMC可以接收网络设备和终端用户的安全信息,也可以与安全事件中心设备SecCenter配合,接收安全设备的信息,从而完成对全网安全事件的采集、分析。iMC还可以对异常事件进行路径跟踪,查找事件根源,对需要响应的重要事件可灵活进行短信通知、Email通知、交换机端口关闭、用户下线、加入黑名单、在线提醒等响应操作,并指定操作的执行顺序,从而实现主动式、体系化的安全管理。
安全联动解决方案(SCC)融合了网络设备、安全设备、终端软件、安全管理软件、智能管理平台,通过监控管理、分析管理、配置管理、响应管理,构成闭环的管理系统,实现了全网统一的安全管理。
u 配置管理。出现安全事件时,按照事先规定的安全策略进行主动式的响应和防御,通过对安全设备和网络设备的管理和配置,防止安全问题的扩散,并直接对源头进行控制。
u 分析管理。对海量的安全事件进行降噪处理,将离散的数据整合成规则的安全事件信息,对安全事件进行深度查询、审计分析及安全威胁风险评估。
u 监控管理。实现对多厂家的各类安全设备、网络设备产生的安全事件进行实时采集、查看,生成丰富的安全报表,将安全事件转化为直观的可视化安全威胁信息,帮助网络管理员快速、有效的掌握全网安全状况。
u 响应管理。在获取海量信息事件,分析掌握全网安全状态的基础上,将危害严重的安全事件与设备资源、用户资源相结合,对攻击源进行拓扑定位,描绘攻击拓扑,协助管理员对已发生的安全事件进行定位排查,并可通过响应联动功能对攻击源进行控制、下线、提醒。
u 整网安全事件统一管理。安全联动解决方案可提供全网安全事件统一管理,兼容主流厂商日志格式,不仅能够支持H3C各种网络设备和安全设备,也能够支持业界主流安全产品,支持产品类型高达上百种,实现整网安全事件的统一管理。
u 预定义的安全策略和动作。安全联动解决方案可预定义各种灵活的安全策略,管理者可以针对不同事件设定相应的相应动作,如交换机端口关闭、发送短信、发送邮件、在线提醒、强制用户下线、加入黑名单、调用ACL规则等响应控制操作。这些动作可按一定的顺序自动执行,针对单个事件还可同时采用多个动作,实现了直接针对源头的主动式管理。
图2 预定义的策略及动作
u 直观的攻击拓扑展示。安全联动解决方案突破了单一的安全资源管理,实现了将安全资源、网络资源、用户资源相结合的综合安全管理,可生成宏观安全拓扑视图及单个攻击事件的攻击路径,管理员还可在安全拓扑上可查看安全事件详细信息,安全拓扑旨在提供丰富直观的安全及网络信息,供管理员定位排查问题。
图3 攻击路径的拓扑展示
u 安全威胁及时响应。安全联动解决方案实现了安全事件管理系统与响应管理系统的紧密结合,管理者可结合攻击拓扑功能中的详细攻击信息、定位信息、用户信息等综合信息进行定位排障,在响应管理中心对执行动作、手动执行、自动执行等联动策略进行配置,通过响应管理功能完成交换机端口关闭等各种响应控制操作,并且直观的展示执行结果。
图4 安全事件自动响应
u 方便灵活的部署。H3C安全联动解决方案主要组成为安全控制中心软件(H3C iMC)和事件管理中心设备(H3C SecCenter),iMC安装简单管理方便,SecCenter作为硬件设备无兼容性要求,中文界面的操作简单易用。模块化的设计理念使得方案可扩展,部署灵活,可根据企业需求进行扩展。
