一个公司只是注重在物理上对网络安全的投资是远远不够的,即使安全防范再严密的网络, 也会有可能有破坏性漏洞的产生。据估计在世界范围内由攻击造成的经济损失已经由 1997 年的 33 亿美元上升到 2003 年的120亿美元。这个数字还在快速上升。另外,为了满足政府规范要求,需要执行安全审计流程。如果不能满足政府的规范要求,除了有可能被高额的罚款以外,还有可能触犯法律,面临刑事诉讼。这些风险是真实存在的,并且会影响到公司的日常业务。
根据专业机构提供的行业报告,每个企业都面临如下领域的挑战:
(1)网络入侵,包括病毒、黑客攻击、间谍软件、垃圾邮件等。
(2)网络规划和配置的调整。为了满足企业需要,网络需要不断添加新的网络设备,并且对这些设备进行调整和配置。
(3)由于网络威胁在不断的变化,与此相对应的会出现不断更新的安全技术。
(4)IT 机构人员配置不足、未经过正式培训、 把大部分精力放在了安全防御的位置。
为了解决当前紧迫的网络安全问题,我们需要在网络上确保安全,及时发现问题、跟踪定位问题。现在很多公司采用了防火墙、虚拟专用网(VPN)、身份验证机制、入侵检测系统(IDS)和其他技术来保障网络安全,由于蠕虫或者病毒攻击的速度非常快,能够在很短的时间内感染整个企业网络,所以企业要求能够采取足够快的措施制止病毒和攻击,保证网络正常工作。
但是由于现实环境的限制,存在这样的问题。网络安全设备众多,包括防火墙、IDS、VPN等,他们的报告机制不同,报文格式不同。各种安全设备没有足够的网络拓扑信息,网络管理员无法及时了解网络攻击信息。网络安全设备可能产生大量的数据信息,网络管理员很难快速有效的处理这些数据。
所以企业遇到的问题归纳起来就是:
(1)对实时安全信息不了解,无法及时发出预警信息,并且处理。
(2)各种安全设备是孤立的,无法相互关联,信息共享。
(3)安全事件发生以后,无法及时诊断网络故障的原因,恢复困难。
(4)网络安全专家匮乏,没有足够的人员去监控、分析、解决问题,成本高。
针对这些用户的需求,现在已经有了性价比高、容易实施的系统信息和事件管理解决方案,来可以用来帮助企业实现网络安全的需求。
企业会在企业网的出口部署各种安全设备,包括防火墙、防毒墙、IDS、VPN等设备。为了管理这些设备,我们传统的手段都是通过网络设备/安全设备发送Syslog到服务器上,作安全的事后审计。一个大型的网络,包含若干的网络产品,这些网络设备随时随地都在发送SysLog信息,每天产生的Log信息达到数万之多,任何一个网络管理员很难通过Syslog来准确定位网络发生的安全故障;即使有丰富知识的网络管理员,能通过Syslog分析得到有用的网络信息,但是响应速度也是很慢的。
为了解决传统安全设备日志的问题,出现了一些新的解决方案。有很多的安全管理产品可部署创建一个位于IT物理安全之上的智能层。这些安全管理产品可以网络安全设备的一个补充,也可以作为第三方的解决方案提供。这些安全管理方案大致可以分为这样三类:安全信息管理(SIM),安全事件管理(SEM)和设备配置。但是如果仅仅利用这些单一的方案去搭建一个全面的安全流程是非常有限的。
一个典型的SIM的解决方案:以系统日志的形式收集网络设备的相关安全信息,并且从收集来的信息里产生行为报告。大部分的SIM解决方案缺乏全面的实时监控和事件关联特性。除此以外,他们在对较长时间日志文件的归档和搜索审计做的也不够。
一个典型的SEM解决方案:收集来自网络设备的实时事件信息。该事件信息一般是通 过SNMP、远程命令、日志数据方式获得。大部分SEM解决方案缺少全面的性能报告,没有对日志文件压缩、加密。日志文件的压缩加密主要用于对较长时间的文件进行归类和审计。
除了SIM和SEM解决方案之外,硬件提供商还可以提供一个配置工具,但这个工具一般不能进行事件监控和提供报告。一个设备配置工具还是可以作为一个完整 SIEM 解决方案的补充。
通过以上方案的比较,不管是网络安全设备单纯日志管理方式,还是SIM方式、SEM方式,或者配置工具方式,都不能很好的解决用户进行安全管理的需求。在这些方式的基础上,如果能够将SIM、SEM、配置管理工具的优点集中起来,收集处理网络安全设备的日志,这样就能提供一个综合完善的解决方案。
H3C公司的SecCenter提供了结合 SIM 和 SIEM 用于安全管理的所有关键要素,可以实现基于拓扑和可视化威胁的网络安全,实时监控和事件关联,提供综合报告,全面管理日志,提供审计功能。
为了解决安全管理的问题,H3C公司推出了SecCenter解决方案。H3C公司研发了SecCenter系列产品。这种产品是基于硬件的安全智能、高效实施的安全信息及事件管理(SIEM)系统。它能够提供对全网海量的安全事件和日志的集中收集与统一分析,兼容异构网络中多厂商的各种设备,对收集数据高度聚合存储及归一化处理,实时监控全网安全状况,同时能够根据不同用户需求提供丰富的自动报告,提供具有说服力的网络安全状况与政策符合性审计报告,系统自动执行以上收集、监控、告警、报告、归档等所有任务,使IT及安全管理员脱离繁琐的手工管理工作,极大提高效率,能够集中精力用于更有价值的活动,保障网络安全。
SecCenter系列产品支持以最小资金成本进行网络安全管理,以最好的投入产出比来减少企业支出。 它可以每秒分析高达上万条事件,能够满足大型的网络环境需要,通过使用SecCenter,用户可以减少防范网络安全威胁的工作和时间,可以预先满足政府要求的安全规范,并以多种实时安全智能显著减少网络故障响应时间,能够发现、了解并预先防范黑客和病毒的活动与安全威胁。SecCenter系列产品的高性能、多功能和合理的价格使其成为强有力的IT架构安全智能系统平台。
使用SecCenter系列产品能够解决用户如下实际问题:
l 异构网络中孤立的安全事件,集中关联分析不同设备产生的日志非常困难,缺乏“整网”意识;
l 网络设备所产生的海量信息,导致忽略甚至无法发现重要的内容;
l 不断变化的安全漏洞,大量的攻击,响应及修复总是严重滞后;
l 定期从海量数据中汇总整理统计报告,繁琐的手工操作耗费了管理员主要精力;
l 缺乏统筹的安全策略,数不胜数的单一网络安全解决方案,管理员无法统一处理;
l 不断增加的网络安全管理人员,以及预算投入
l 管理者希望通过简洁直观的报告来判断网络安全状况,确定投资重点;
l 海量日志数据无法长期保存,无法追踪用户行为的后果,审计活动难以开展;
l 满足政府制定的安全条例,政府要求企业提供有利证据表明法规遵从性;
(1)稳定可靠的硬件平台。H3C公司有丰富的硬件设计、制造、检测经验,利用雄厚的技术积累,可以提供优秀的硬件平台。SecCenter系列产品采用双核双CPU技术,提供高速处理能力;使用磁盘整列,提供海量存储功能;使用先进以太网技术,提供多个GE/FE接口,满足用户的组网需求。
(2)不仅能够支持H3C各种设备类型,同时可以支持业界主流安全产品,支持产品类型高达上百种,其中包括防火墙、IPS、IDS、路由器、交换机、交换机,VPN,路由器,防火墙,IDS/IPS,内容过滤系统,防病毒系统,防间谍软件系统,防垃圾邮件系统和Windows,Unix和Linux 主机等。管理设备数量高达近千台。
(3)提供了对安全事件的集中监控,能够实时非常丰富的信息。通过实时事件显示窗口,能够轻松了解突发事件。
通过监控台用户可实时地监控正在发生的紧急安全事件,SecCenter提供了上百种监控器,用户可根据关注重点定制监控台浏览内容帮助有效的管理安全环境。
SecCenter提供了几十种预定义的关联告警模板――智能的“专家系统”,同时能够允许用户自定义安全策略,设定关联模板,过滤重复信息,帮助用户快速发现真正的安全隐患,并做重点处理,防止问题发生。自定义关联警告设置灵活。关联告警可通过SNMP、Email等方式通知非现场用户及时处理。通过关联告警,一个实时的事件管理者可以从上百种不同网络设备中查看关联事件。 这些事件可以按照优先级被区分,及时对影响最大的行为进行纠正。
(4)提供综合完善的报告。SecCenter提供了基于角色的访问报告功能,能够满足个人,部门以及高级管理等各层次的需求。
(5)强大的日志管理。SecCenter兼容主流厂商日志格式,并通过多种方式获取设备日志信息,包括主动收集、被动接收等。能提供有价值的集中化日志管理,接收性能高达每秒近万条事件。不同格式的日志信息能够归一化存储,能够实现日志的海量存储,自动压缩和加密。
(6)深度查询与审计分析。SecCenter为用户提供了强有力的搜索查询及分析能力,可以快速查询几个月甚至几年前的数据。通过深入的数据查询,对具体的安全事件深入分析,能够一步一步追踪,剥茧抽丝,最终发现安全事件攻击来源及根本原因。由于数据查询的广度和深度,可以实现很好的审计功能。
(7)安全拓扑和可视化威胁。SecCenter综合所有网络信息,产生整网安全拓扑视图,安全管理员能够通过一个界面直观的查看整个网络安全状态,查看与安全相关的事件,使网络威胁可视化。
(8)容易部署。SecCenter中已经集成了日志采集器、数据库、大容量存储、日志分析、报表服务器等一系列核心功能,无需增加其他软硬件设备,减少了用户安装及部署过程,接入网络后只需配置网络设备日志源指向SecCenter即可。用户可以通过一个安全、基于Web的界面实现远程管理,同时可支持多用户角色。
为满足不同网络规模的需求,SecCenter系列产品能够采用独立安装以及分布式部署两种方式,并允许从独立部署方式到分布式部署平滑升级。
SecCenter系列产品与防火墙及其他网络设备、主机系统配合使用,可以最大限度地保障用户网络的安全性。典型组网为独立部署方式,如下图所示:
这种情况下,SecCenter可直接接入网络,有四个千兆口用于连接用户不同网段接收安全事件信息,一个百兆口作为Web控制台管理接口链接远端控制台,用户可通过远端控制台进行操作及管理,不同用户可以使用不同的客户端同时接入并管理系统。
一般情况下,独立部署方式能够满足绝大多数规模的网络需求;特殊情况下可能需要分布式组网(比如网络规模巨大――500以上节点,日志流量大――每秒超过5000条,分支网点的设备与中心网点隔离),分布式部署又分为两种,一种仅syslog服务分布式部署,另一种SCA服务器分布式部署。同时可以考虑Syslog备份服务器以及转发服务的部署,这部分比较复杂,只针对用户特殊需求,不对普通用户开放。
大所数 IT 安全管理解决方案在设备支持数量方面不够。举个例子来说,每个供应商 很可能仅支持他们自己的设备。 在很多案例里,供应商提供的方案将只提供基本配置和监控或者报告性能。 明确地说,越是全面的安全管理中心解决方案却只能支持非常有限类型的安全设备。 例如,它可能仅仅支持防火墙报告,但不支持其他重要的安全设备,如防病毒设备。
IT 安全一般由多种级别的硬件和软件组成。这些系统能提供很多的事件信息,通过这些信 息 IT 结构的安全状况可以被评测出来。这些事件能通过网络的各种途径从各种系统里导出 到桌面。另外,网络设备的安全对于评估主机和应用系统的安全状况也是非常重要。
知道在 IT 环境的哪部分去安装安全管理是非常重要的。安全管理负责从要管理的所有设备 和主机中接收全部的安全相关事件。这其中包括交换机,VPN,路由器,防火墙,IDS/IPS, 内容过滤系统,防病毒系统,防间谍软件系统,防垃圾邮件系统和 Windows,Unix 和 Linux 主机。
安全管理是网络管理和应用管理的一个补充。
如下图所示:
用一个 SecCenter的解决方案可以记录并报告发生在整个IT架构下的所有相关的安全信息,关联发生在组成整个IT架构的不同系统的事件。例如:一个IT管理员希望去关联一台防火墙与一个入侵防护系统或者一个防火墙与一个主机去最小化发生在网络里的假阳性的数量。
SecCenter能从大多数的安全设备提供商的设备中收集安全相关信息,包括:
Astaro、Baraccuda、Blue Coat、Checkpoint、Cisco、CyberGuard、Fortinet、iPolicy、 Juniper、McAfee、Microsoft、NetContinuum、Secure Computing、SonicWall、Symantec、Tipping Point、Top Layer、and Trend Micro。
另外,SecCenter还能从 Microsoft、IBM、Sun、Red Hat、and SuSE 提供的主机设备中收集 Windows, UNIX 和 Linux 等 OS 的事件信息。
SecCenter为了企业范围的安全智能提供了所有的必要工具。SecCenter为了从下面的不同安全架构下收集信息所以提供了一个可以升级的多层和无需代理的架 构。事件收集包括安全事件,网络事件,系统事件和应用事件。一旦收集的这些事件通过所有设备被规格化,都被收集,压缩和存档到一个加密的日志文件中.实时事件数据被发送到监控,关联告警和拓扑威胁可视化模块,为实时威胁管理使用。同时,全部的日志数据被分析和储存在一个数据库中,为了报告和安全审计目的. ESA提供了一个内嵌的数据库或者可以使用一个企业级外置数据库,象MS-SQL,使用行业标准ODBC。多个特征存在于ESA以便更好的去了解IT安全状态包括拓扑图。提供对安全事件、监控、事件关联、报告、辨析的形象化的能力。
当今的环境下,一个主要的特征要求一个安全管理解决方案可以量化大型的网络环境。SecCenter提供一个分布式的企业级的架构可以支持上千的网络设备和主机。这个架构既支持对于小型网络独立配置也支持对大型企业级网络的分布式配置。下面的图表展示了SecCenter的架构。
图3 SecCenter支持单独配置和分布式配置
对于安全管理员的一个主要挑战是没有一个企业级的安全通过所有网络系统查看与安全相 关的事件发生。大多数的安全管理应用软件这个信息隐藏在用户界面的多层下。SecCenter使用这个能力来获得一个网络拓扑视图.这就允许安全管理员可以查看整个网络安全状态。SecCenter中的拓扑类似于系统管理工具中的拓扑,尽管有很大的不同。SecCenter拓扑帮助我们直观的通过颜 色查看当前设备/主机状态的威胁,而非泛泛概览。这个全面的安全浏览提供了快速洞察整 个网络架构安全状态的能力。拓扑图上映射的安全信息帮助我们以最小的响应时间面对重 要的安全事件。另外,拓扑图允许安全管理员快速掌握问题节点以便查看特殊的安全事件因此一个威胁可以被消灭在萌芽状态。
下面的图表展示了SecCenter拓扑图架构SecCenter:
SecCenter提供了对安全事件的事实监控. 模板受到相关联的警告允许添加和定义任何告警的数值, 跨过不同的设备和主机以减少假阳性告警,识别混合攻击或者任何非正常的安全事件。一个实时的事件管理者可以从上百种不同网络设备中可以查看关联事件. 这些事件可以按照事 件的优先次序被区分,允许对员工的生产和工作上影响最大的行为进行纠正。SecCenter提供了监控 和事件关联架构要求及时对网络重大威胁做重点处理.为使监控安全事件在网络上有效用户化,重要在于制定事件表示方法。
例如最紧急的信息相当关键。在SecCenter中,监控公告牌实时地将正在发生的紧急安全事件提供给IT和安全管理员。
监控仪表盘参见图5:
管理员可以建立许多独立的监控浏览和监控器以帮助有效的管理安全环境。基于用户等级的用户监控访问允许不同用户(本地管理员,应用管理员,终端客户)使用有 管理职责的设备和主机。适合独立的监控需求进行监控浏览和这MSSP或客户。管理员能够产生足够多独立的监控界面和窗口,以此来满足有效率的网络安全管理.基于不。通用户级别访问一个用户监控窗口,允许多种管理员权限的用户 (远端管理员, 应用管理 员, 终端用户) 访问设备和主机。在一个MSSP或一个客户中,一个监控窗口可以按照不同的要求而进行客户化转变。
当前,大多数网络安全管理员每天都处于一种防御安全风险的紧张状态.同时,他们还要传送报告。报告使用来帮助评估网络相关事件的有用手段,包括:当前安全结构效力,总体管理,员 工internet使用量等。SecCenter提供了超过800种清晰明了的报告,允许网络安全管理员发现各种 安全风险情况。SecCenter提供了跨越真个IT范围的关联报告,由此来帮助我们评定:网络入侵,协 议使用,web使用,病毒,垃圾邮件,间谍软件,失败登录尝试,基于主机的活动以及资产管理等 等。SecCenter允许管理员来维持系统和主机的特定信息,包括:失败的登录、未授权访问、CPU、内存、使用率、以及硬盘利用率。SecCenter提供了客户所要求的各种报告,满足用户管理目的并且帮助安全管理员在整个安全网络中更有预见力。
作为一个有效的安全管理中心, 重要在于能够满足所有用户的安全报告需求。小到桌面帮助到大到高级应用。在SecCenter里,报告模块提供了基于角色的访问报告功能,它能恰当符合个人的,部门 的以及执行管理的需求。用户可配置设备和主机公告栏可以方便的快速得到网络安全的整体情况。
作为高效的网络安全和关联管理工具,必须要做到把各地的事件日志信息集中化收集,统一整理,集合并且关联.这样才能在濒临危险的宝贵资产上发现安全漏洞、黑客、入侵和病毒活动。SecCenter企业安全分析器是一款业界领先的解决方案产品。它能提供多种有价值的集中化日志管理,在整个网络区域内收集,管理和分析安全事件。包括网络安全设备和主机。它能自动压缩,加密和保存日志文件到DAS、NAS或SAN系统来满足相关需求。
即使是在最严格的安全策略并使用业界领先的安全技术,网络风险仍会时而出现在您的系统中.总是有一些恶意企图领先于软硬件厂商。更让人烦恼的是,少数不良雇员利用企业资源进行个人目的或有危害的活动。SecCenter为企业提供了执行具体的安全相关的网络事件监测。SecCenter具有了强有力的搜索能力,能够从很久以前的多台主机和设备中的查找到相关信息。
这种搜索能够用在调查异常安全活动或员工违纪行为。使用SecCenter的搜索功能,用户能够用一种关联的审计操作来满足最严格的政府标准。安全管理员能够定义一个攻击的参数,由此得到以时间顺序排列的入侵者访问网络设备和主机的事件记录。这样能最直接的了解入侵者的行为和活动,为未来网络非法入侵进行严格界定。
H3C的安全管理产品——SecCenter,能够带给您综合的、清晰的网络安全操作和相关调整反馈。可在企业中进行紧密结合的基于拓扑的可视化威胁、日志管理,同时报告、监控以及告警安全事件。再加上分析和安全搜索,构成了完整、领先、全面的SIEM管理体系。 SecCenter允许用户把政府安全规范作为检测的执行标准,支持以最小资金成本进行网络安全管理,以最好的投入产出比(ROI)来减少企业的总体拥有成本(TCO)。SecCenter可以每秒分析高达10万条事件,满足大型的网络环境。使用SecCenter,用户可以大大减少和防范网络安全威胁的工作和事件,而且可以预先满足政府提出的安全规范。SecCenter以多种实时安全智能显著减少“反应时间”, 能够发现、了解并预先防范黑客和病毒的活动与安全威胁。
