一家企业不仅要从物理上关注网络安全,还需要进行良好的网络安全管理,即使安全防范再严密的网络,也有可能会有安全性漏洞出现,现在由于攻击所造成的经济损失已经大大高于过去。另外,为了满足政府法规要求,企业需要执行安全审计流程,如果不能满足政府的法规要求,除了有可能被高额的罚款以外,还有可能触犯法律,面临刑事诉讼。这些风险是真实存在的,并且会影响到公司的日常业务,根据专业机构提供的行业报告,在安全领域,每个企业都面临如下领域的挑战:
(1)对实时安全信息不了解,无法及时发出预警信息,并且处理;
(2)各种安全设备是孤立的,无法相互关联,信息共享;
(3)安全事件发生以后,无法及时诊断网络故障的原因,恢复困难;
(4)网络安全专家匮乏,没有足够的人员去监控、分析、解决问题,成本高;
(5)不能通过直观的图表和报告了解网络安全情况;
为了解决这些问题,我们需要在网络上及时发现问题、跟踪定位问题并解决问题。但是现实情况是,网络安全设备众多,包括防火墙、IPS、IDS、VPN网关、邮件过滤系统、漏洞扫描系统等。这些网络安全设备可能产生大量的安全事件信息,但是这些设备的报告机制不同,报文格式不同,不能进行集中分析,网络管理员很难快速有效的处理这些数据,无法及时了解网络安全信息。
目前网络中的主要设备(防火墙、VPN网关、IPS、IDS、交换机、路由器、反垃圾邮件系统、病毒防护系统)都可以产生日志(syslog),日志中包含了很多重要的网络运行信息,包括网络的安全、性能、资源使用情况等。传统的日志服务器可以接收这些日志信息,但只能简单的保存和按原始格式显示,主要是用于事后分析使用。由于网络中会包含很多不同厂商和不同类型的设备,这些设备的日志格式都不统一,所以显示的结果通常杂乱无章,再加上日志产生的速度很快,在没有过滤和统计的情况下,用户看日志的速度有可能还跟不上系统接收日志的速度,所以简单的日志接收和未经解析的原始日志显示对用户没有太多的实际意义。同时对历史数据的检索也只能使用简单的按字符串、时间、发送日志设备IP地址等查询方式,不能进行复杂的查询。
针对传统日志服务器的这些问题,出现了SIM(安全信息管理)和SEM(安全事件管理)系统。SIM系统可完成原始安全信息的存档和检索、生成内部审计、法规遵从报告等功能,解决了传统日志服务器的存档、检索、报告生成等问题,但是通常没有实时分析和显示部分,不能及时反映网络当前的情况,只能作事后分析。SEM系统可实现实时安全状况监视信息、安全事件关联分析、实时告警等实时信息显示等功能,解决了传统日志服务器不能实时过滤、深入分析日志的问题,但是通常的SEM又没有SIM系统的原始数据保存能力。
SecCenter A1000产品的推出就是为了解决安全管理中的上述问题。SCA1000综合了SIM和SEM系统的功能,提供全面的安全信息与事件管理能力。这种产品是一种基于硬件的盒式设备,能够提供对全网海量的安全事件进行集中收集与统一分析,兼容网络中多厂商的各种设备,对收集到的事件进行高度聚合存储及分析,实时监控全网安全状况。可根据不同用户需求提供各种具有说服力的网络安全状况与法规遵从审计报告。SecCenter A1000能使IT及安全管理员脱离繁琐的手工管理工作,提高工作效率,集中精力用于更有价值的活动,保障网络的安全。SecCenter A1000除了支持业界主流安全设备厂商的设备外,还提供了对H3C SecPath防火墙产品、Comware V3、V5平台下路由器、交换机的全面支持。
2 SecCenter A1000 产品整体介绍
图1 SecCenter A1000整体数据处理流程及模块功能分布
Syslog采集器(Built in Syslog Collector)模块
Syslog采集器负责采集和解析所有SCA1000支持的设备、主机的日志信息,并将这些日志转换为SCA1000内部统一的日志格式供其它模块使用。Syslog采集器可以压缩保存原始的日志信息,供以后查询使用。
事件分析(Event Analysis)模块
事件分析模块对所有采集到的事件根据用户定义的需求进行过滤和统计,生成实时的统计图表、TopN列表、事件监视窗口。
实时事件监视(Real Time Event Monitoring)模块
让用户可根据实际需要自定义实时监视器(Monitor)、视图(View,View是将若干Monitor和Report组合起来的实时监视画面)、混合显示界面(Dashboard,Dashboard是系统登陆后的缺省画面)。
可视化安全视图(Threat Visualization)模块
以网络拓朴图的形式显示网络设备的安全状况。可直接根据拓朴中上设备的颜色判断设备的安全情况,通过直接点击设备对设备进行数据挖掘(Drill down)和深度分析(Forensic)操作并输出报告。
深度分析(Forensic Analysis)模块
在SCA1000上可指定使用外部网络存储设备(NAS)或自身的硬盘保存原始数据。这些原始数据供数据挖掘(drill down)和深度分析(Forensic analysis)使用,通过指定时间范围、设备列表、设定过滤条件输出经过统计后的TopN安全报告,并可以直接查询所有原始日志记录。
告警关联(Correlated Alerting)模块
告警关联模块提供对重复事件的精细过滤并提供匹配后的动作机制。可以通过定义灵活的过滤匹配找出真正有意义的告警,然后选择通过SNMP Trap或Email方式通知用户。
报告引擎和Web管理界面(Reports Engine & Reporting Portal)模块
l 报告引擎(Reports Engine)提供了近千种安全相关的内置报告,可输出PDF、HTML、WORD、TXT多种格式。报告引擎采用内置数据库对所有报告需要的数据进行统计和保存,可长期保存报告需要的数据。
l 报告通过Web界面(Reporting Portal)进行定制管理,将用户的定制信息通知给报告引擎产生用户定制的报告。
管理模块(Management)模块
管理模块负责处理系统配置管理,设备管理,用户管理。
属性 | 说明 | |
数据来源 | 设备日志解析 | 支持主流厂商设备日志解析 |
Netflow/cFlow网流数据解析 | Cisco为NetFlow Juniper为cFlow | |
H3C NetStream解析 | H3C 格式的网流报文 | |
H3C 防火墙 | H3C 防火墙网流报文、包含NAT信息 | |
主机支持功能 | 可支持Windows主机(通过WMI接口获取),和Unix主机(通过SSH接口和syslog) | |
通过ODBC获取数据库审计信息 | 可支持Oracle 数据库审计信息导入 可支持Microsoft SQL Server 数据库审计信息导入 | |
人机界面(Web GUI) | 基于Web的用户使用界面 | 需要下载Java运行环境(JRE) |
基于Web的管理员界面 | 通过Web界面完成管理员工作 | |
数据源管理(Groups,Devices,Hosts) | 设备分组功能 | 可自定义设备分组 |
网络类型设备增加删除 | 可增加(只能增加已知类型的网络设备)、删除设备 | |
主机类型设备增加删除 | 可增加Windows类型主机和Unix类型主机 | |
日志分析(Policies) | 常用日志分析策略模板 | 包含最常用的日志分析策略,可以通过对日志的分析识别出典型的安全问题。 |
日志分析策略模板管理 | 可自定义日志分析策略模板。 | |
日志分析告警关联 | 日志分析结果可触发关联告警,通过屏幕显示、发送Email、发送SNMP Trap方式提醒用户。 | |
告警(Alerts) | 关联告警触发 | 日志经过分析过滤出的结果可触发告警 |
屏幕告警显示 | 在用户Web界面上显示告警信息 | |
通过Email通知告警 | 通过指定的SMTP服务器向任意Email地址发送告警通知信息 | |
通过SNMP Trap通知告警 | 通过SNMP Trap向其它网管系统发送告警通知信息 | |
监视画面功能 | 设备日志监视 | 设备相关的监视画面 |
主机日志监视 | 主机相关的监视画面 | |
性能日志监视 | 性能相关的监视画面 | |
报告功能 | 基于设备的报告 | 通过从安全设备采集到的事件信息生成的报告 |
基于主机的报告 | 通过从网络中Windows和Unix主机中采集到的事件信息生成的报告 | |
基于应用的报告 | 主要针对主机中关键应用程序生成的报告 | |
攻击报告 | 通过网络中攻击事件信息生成的报告 | |
主机资源报告 | 反映Windows、Unix主机的内存、进程、CPU负荷、硬盘使用状况的报告 | |
Compliance Report(法规遵从性报告 | 符合相关法规要求格式的报告 | |
报告定制(Profiles) | 自定义报告生成功能 | 根据数据来源(文件或采集数据库)、时间范围、设备列表、过滤条件、预定义报告模板等信息生成报告; |
定时自动报告生成 | 按指定的时间周期生成报告 | |
报告模板自定义 | 可自定义报告模板,只输出感兴趣的报告; | |
以多种格式输出报告内容 | 支持Html、Word、Excel、Txt、Pdf、MHtml格式报告文件输出; | |
日志信息深度分析(Forensic Analysis) | 通过细致的过滤条件搜索特点日志信息 | 根据数据来源(文件或采集数据库)、设备类型、时间范围、具体设备列表、源目的IP、源目的端口、协议类型、日志类型、日志信息中的字符串匹配等信息作为过滤条件搜索日志信息并生成报告; |
定时自动报告生成 | 按指定的时间周期生成报告 | |
以多种格式输出结果 | 可以以屏幕显示、输出Txt文件、Html文件或发送Email的方式输出结果,输出的字段可选择; | |
拓扑功能(Topology) | 拓扑自动生成 | 在增加了有效的设备和主机后根据从设备获得的信息自动描绘出网络设备的实际拓扑 |
拓扑自动排列 | 可自动排列拓扑图中的设备和主机图标 | |
手动调整拓扑 | 可手动调整拓扑图中的设备和主机图标位置 | |
拓扑图可显示设备事件状态信息 | 拓扑图中显示的设备和主机能够显示日志状态信息 | |
通过拓扑显示节点可以直接跳转到设备事件浏览界面 | 点击拓扑图上的设备和主机图标可直接打开该节点的事件浏览界面 | |
拓扑节点显示过滤功能 | 可通过过滤条件控制拓扑节点显示 | |
视图功能(Dashboard,SecurityCenter) | 自定义监视画面(Dashboard) | 可自定义主显示画面(Dashboard),以不同名称保存;自定义画面可在所有支持的监视画面和报告列表中选择组合; |
预定义常用安全视图 | 提供最常用的安全视图,就是针对各种不同的监视需求,预先将一些监视画面和报告组合起来形成一个集中显示的画面,类似Dashboard(目前有13种,见附录III‘预定义视图列表’); | |
自定义安全视图 | 可根据需要自定义视图 | |
自定义安全报告视图 | 可根据需要自定义报告视图,就是可以在所有预定义报告中自由组合需要的报告到一个视图中; | |
license管理 | 设备数量license管理 | 可显示支持的各种类型的license数量 |
| 设备有效使用时间license管理 | 可显示各类型节点的license有效时间 |
| license标识文件导出及license文件导入功能 | 可导出license标识文件通过license生成器生成license文件再导入系统 |
用户管理(User) | 用户管理 | 可为不同的应用定义不同属性的用户 |
| 群组管理 | 可通过群组管理用户权限,支持系统管理员 |
| 用户群组权限/策略管理 | 可定义群组操作权限 |
分布式 | Syslog服务器分布式结构支持 | 支持Syslog服务器分布式部署,SecCenter通过网络集中采集; |
| SecCenter支持分布式结构 | SecCenter支持分布式部署 |
软件升级及补丁 | 文件方式的补丁 | 可通过文件方式的补丁修补系统Bug |
| 基于安装文件的软件升级 | 可通过文件方式的升级软件包升级系统软件 |
联机帮助 | 所有功能都有对应的联机帮助 |
|
日志备份 | 将接收日志备份,避免硬盘损坏后的数据丢失 | 可直接利用windows系统的备份功能 利用Syslog server备份功能,转发到备份设备上 |
表1 SecCenter A1000 V200R003功能特性列表
SecCenter A1000使用双CPU 2.8GHz Xeon处理器,内存2个DDRII-400 DIMM,一个1个10/100Mbps以太网接口作为管理接口,4个10/100/1000Mbps以太网接口作为业务接口,一块400GB,7200转企业级SATA磁盘。机箱高度1U(43.6mm),外形尺寸(高×宽×深)43.6mm×430mm×685mm(不带挂耳或机柜滑轨)。整机功耗400W,电源模块电压0V~127V/200V~240V AC,电流 8.2A/4.1A,频率50Hz/60Hz,电源功率500W。重量14.0kg。
(1) 挂耳 | (2) 面板 | (3) 键锁 |
(4) 电源指示灯 | (5) 告警指示灯 | (6) 定位指示灯 |
图2 整机外观图
(1) 交流电源输入 | (2) 电源模块 | (3) 鼠标、键盘接口 |
(4) 串口1 | (5) 串口2 | (6) USB接口(2个) |
(7) 千兆网口1、2 | (8) 千兆网口3、4 | (9) 百兆网口 |
(10) 显示器接口 | (11) PCI-X扩展槽 |
|
图3 背视图
名称 | 指标 |
事件处理能力 | 每秒种能处理的事件数量(Events/Sec) 10000 |
NetFlow处理能力 | 每秒可以处理的NetFlow(Cisco)数据(条/Sec) 15000 |
NetStream处理能力 | 每秒可以处理的NetStream(H3C)数据(条/Sec) 15000 |
NAT二进制流日志处理能力 | 每秒可以处理的二进制NAT流日志(H3C)数据(条/Sec) 15000 |
硬盘容量 | 400G |
|
|
表2 SecCenter A1000 V200R003整机性能技术指标
3 SecCenter A1000 技术特色
SCA1000支持多厂商、多协议数据采集,对于每种不同的设备,SCA1000都有单独的解析程序将这些日志信息解析为SCA1000内部统一的开放日志格式,可将网络中所有关键的安全信息汇聚到SCA1000的数据库中集中分析。经过开放日志格式统一的日志可以使用相同的统计、检索、记录和显示格式,解决了不同类型设备日志统一处理的问题。比如可以将几个不同厂商的防火墙设备发来的同类型日志信息进行统计,找出网络中的问题,这在没有开放日志格式之前是无法作到的。用SCA1000可构建整个网络的安全信息监视中心,汇聚网络中所有安全信息,通过SCA1000对这些信息的统计、过滤和分析了解网络中当前的整体安全状况。
图4 多厂商设备支持、统一的日志格式
(SCA1000可支持的设备类型和厂商:设备类型包括防火墙、VPN网关、IPS、IDS、交换机、路由器、反垃圾邮件系统、病毒防护系统。厂商包括Cisco、Juniper、Nortel、Fortinet、McAfee、Symantec、H3C、TippingPoint等)
图5 多协议支持能力
SCA1000产品是一种盒式设备,用户通过浏览器访问SCA1000的图形用户界面,可以同时支持多个Web客户端访问。SCA1000提供了丰富的图形化界面,包括:各种统计图表(支持多种形式输出,2D/3D直方图、饼图、趋势图、列表)、可灵活自定义的显示面板(Dashboard)、用颜色标识的各种事件级别的事件显示窗口。这些图形化功能可直观反映网络中的安全问题,在视觉上提示用户应该注意的网络安全信息。
图6 Dashboard可自由组合所需监视画面
用户可自由组合实时监视画面,可在系统予定义的实时监视画面(Monitors几十种)和报告(Reports几百种)中选择。
图7 组合监视画面的内容可在所有系统支持的实时监视画面和报告画面中任意选择
SCA1000中的过滤功能非常强大,包括以下五种过滤器:
数据采集过滤器:
过滤掉不需要的日志信息,节省SCA1000磁盘空间,降低系统负荷。从数据采集的源头过滤无用信息。
实时显示过滤器:
可通过选择设备、级别、目标地址、目标端口、协议类型等条件控制显示输出,滤除不需要关注的信息,突出重要信息的显示。
告警过滤器:
可将日志中包含的重要事件信息过滤出来,立即通知网络管理员,避免问题被延迟发现。因为如果没有过滤功能,这些重要信息很可能会被淹没在其它日志信息中无法引起注意。SCA1000提供常用的过滤规则模板,通过模板可方便的定义日志过滤策略。并通过屏幕显示、Email或SNMP Trap的方式实时提示网络管理员网络中出现的问题。
报告过滤器:
可通过选择时间范围、设备、级别、目标地址、目标端口、协议类型等条件控制生成报告的输入信息,滤除不需要关注的信息,在报告中输出需要关注的信息。
原始数据过滤器:
可通过选择时间范围、设备、级别、目标地址、目标端口、协议类型等条件精确控制需要查询的原始数据输出,由于原始数据记录数量非常大,所以通过过滤器查询是必须具备的功能
图8 ScaCenter A1000中的过滤功能
系统中有一些日志信息,单独的看并没有异常,但是如果这种日志的数量很大,则可能是受到了攻击产生的。SCA1000的统计功能可以按网络中各种应用场景将这些信息分类统计并排序输出,找出通过统计才能让管理员注意的网络安全问题。
图9 通过统计生成的TopN被攻击目标地址动作报告
SCA1000可使用压缩技术保存所有的原始数据,支持数据挖掘功能。可对过去任意一段时间范围内的原始数据进行统计生成TopN分析报告,帮助用户分析网络安全问题。也可以查询任意时间范围内的设备的原始日志记录,作为事后追查的依据。
网络安全信息原始数据的保存对事后调查有重要意义。由于原始数据的数据量很大,系统的存储可扩展能力和数据压缩能力是实现原始数据保存能力的重要因素。在SCA1000上可指定使用外部网络存储设备(NAS)或自身的硬盘(400G容量,可扩展到400Gx2)保存原始数据。SCA1000采用压缩技术保存原始数据,可最大程度利用存储空间。
图10 SecCenter A1000存储空间的扩容能力
SCA1000可提供设备、主机、应用程序、漏洞、网流(NetStream)、设备资产、法规遵从(包括萨班斯法案)7大类报告,共计1000种左右,基本覆盖了所有安全相关的信息,使用非常方便。用户可通过定制需要输出的报告让系统定期自动生成,帮助企业实现安全信息的规范管理。
SCA1000报告引擎(Reports Engine)提供了近千种安全相关的内置报告,可输出PDF、HTML、WORD、TXT多种格式。报告引擎采用内置数据库(MySQL)对所有报告需要的数据进行统计和保存,可长期保存报告需要的数据。
报告通过Web界面(Reporting Portal)进行定制管理,将用户的定制信息通知给报告引擎产生用户定制的报告。可以选择报告数据的时间范围、报告数据的来源设备、报告生成周期、输出报告的类型。
图11 SCA1000的报告定制界面,可选择近千种报告
SCA1000支持的予定义报告数量近千种,分为7大类:
1.Device-Based Reports(基于设备的报告)
报告数据直接来自网络及安全设备(防火墙、VPN网关、IPS、IDS、路由器、交换机),所以这类报告是系统中最重要的报告。可通过TopN统计发现被攻击最多的设备、主机的IP地址、端口号,发起攻击最多的的设备及主机IP地址信息、防火墙设备中的邮件过滤、攻击防范产生的日志信息、IPS设备中的实时阻断日志信息等。这些重要信息会通过报告引擎生成直观的报告,会对安全管理起到至关重要的作用。
2.Host-Based Reports(基于主机的报告)
基于主机的报告是通过从Windows主机、Unix/Linux主机中获取的安全日志信息统计分析形成的报告。由于主机中可能安装不同的应用软件,所以主机报告中也包括这些运行在主机上的应用的安全事件信息,如防病毒软件、数据库软件、DNS服务软件等。例如一台Windows主机中安装了Norton AntiVirus防病毒软件,防病毒软件在
