企业在建设初期一般迫于预算或规模,大多数企业在建设初期会选择防火墙、IPS、IDS等设备的一种做为安全防御设备,管理较为简单,但随着网络环境日趋复杂,网络攻击日益猖獗,近年来企业网络安全建设意识逐步提高,通常会部署多种安全设备,甚至会选择终端安全、内网控制等综合性的安全方案进行网络安全建设,以期望保持网络的正常运行,同时,为了满足政府规范要求,需要执行安全审计流程,以避免高额罚款及刑事诉讼。因此企业所面临的安全的挑战不再只是安全设备和技术的选择,而是如何有效的进行安全管理、安全审计,全面掌控企业网络安全状态,并规划企业可持续性的安全建设方案。
为什么需要网络安全管理:
随着网络建设的发展,安全产品不断增加,由于缺乏统一、专业的安全管理,安全设备和安全方案间相互缺乏信息交互,无法对安全资源有效整合,各个安全设备只能是安全孤岛,无法最大化发挥应有价值,另外,各安全设备每天会发送大量且缺少关联的日志信息,网络管理员很容易被海量信息淹没而无法及时、清晰的看到全局,因此企业的安全建设可能进入产品功能重叠、对安全事故响应速度越来越慢、购买的产品和方案并不能解决当前最紧要的问题等恶性循环中,由于企业安全建设的重要性和特殊性,隐藏的安全漏洞和威胁很可能发展放大为风险,给企业IT系统的持续建设和运转埋下隐患。面对网络安全防御体系的投入和复杂度都在不断增加,越来越多的企业已经感受到安全管理的压力和困难:
・安全资源无法整合:安全设备众多,缺少集中管理,设备间形成信息孤岛,安全建设投资回报率低。
・海量信息:安全事件不断涌现,很难抓住重点,巨大的工作量也不能带来决策依据。
・安全威胁无法可视化:缺少技术平台提供全网安全状态,对攻击事件快速定位排查,无法快速的解决安全问题。
・企业网络缺乏安全专家来解决、分析问题:难以应对越来越多的安全要求规范,企业安全管理、安全建设缺少科学、有效的分析数据。
如何建设企业网络安全管理:
企业网络安全管理纷繁复杂,头绪众多,因此必须借助技术平台来解决问题,安全管理平台及工作流程不仅能帮助企业快速掌握全网安全状况,发现并解决重要安全问题,还能无需扩充企业安全管理人员,节省安全维护资金投入。
网络安全管理�D�D工作流程:
H3C安全管理中心解决方案遵循配置、监控、分析、响应的四部奏工作流程,每个部奏都需要根据企业自身的网络情况、安全制度、安全流程、安全保护目标进行严密的设计和规划,相互协作,全面、高效的解决网络安全问题:
图1 信息安全管理四部奏
・配置管理阶段:配置管理阶段除了对网络中的安全设备进行配置外,还需要根据企业的安全制作、安全流程对安全响应策略进行预定义,配置管理是后续管理阶段的基础部奏,管理员通过此阶段完成对网络安全策略的规划、设计和部署,明确响应策略,可有效提高安全事件的响应速度。
・监控管理阶段:监控管理阶段主要是实现对各安全设备、安全方案产生的安全事件进行实时采集、查看,监控管理阶段需要生成丰富的安全报表、法规遵从性报告,将安全事件转化为直观的可视化安全威胁信息,帮助网络管理员快速、有效的监控网络安全状况。
・分析管理阶段:分析管理阶段主要是对海量的安全事件进行降噪处理,将离散的数据整合成规则的安全事件信息,对安全事件进行深度查询、审计分析及安全威胁风险评估。
・响应管理阶段:响应管理阶段在获取海量信息事件,分析掌握全网安全状态的基础上,将危害严重的安全事件与网管资源、用户资源相结合,对攻击源进行拓扑定位,描绘攻击拓扑,协助管理员对已发生的安全事件进行定位排查,并可通过响应联动功能对攻击源进行控制、阻断、提醒。
网络安全管理-事件分析关联,降低风险:
快速的获取并分析网络安全信息及事件是企业进行安全管理最有效的办法,但面对网络中的海量事件,关键事件很容易被淹没,聘请更多安全管理人员也不是解决办法, 需要安全管理平台提供智能的信息降噪能力,H3C事件管理中心(SecCenter)通过对全网日志集中采集监控,将离散的数据进行整合、排序,并可根据预定义或用户自定义的关联告警模板,过滤掉重复信息及非关注信息,大大精简数据量。通过关联告警,管理者可以从上百种不同网络设备中查看关联事件,快速发现真正的安全风险,才能采取适当的措施来进行风险消除。
由于业界没有关于安全事件格式的统一标准,因此不同厂商、不同设备提供安全事件的方式及信息格式差异很大。安全管理平台需要具备全网安全事件统一管理的能力,H3C事件管理中心(SecCenter)可兼容主流厂商日志格式,不仅能够支持H3C各种类型设备,同时可以支持上百种业界主流安全产品。
网络安全管理-资源有效整合,安全系统协同作业:
越来越多的企业管理者已经意识到网络安全不能再头痛医头,希望安全技术和设备与基础网络、用户管理更紧密结合,如何能将众多的资源有效整合,实现安全系统协同作业?安全管理平台将起到关键作用。
H3C安全管理中心解决方案将安全事件管理与网管平台(iMC)、终端准入控制解决方案(EAD)相结合,实现安全事件资源与网络拓扑资源、用户信息资源充分结合,对安全事件日志进行拓扑定位到接入交换机端口、接入用户,用户可以在安全拓扑上获取到与安全事件相关联的设备和用户的详细信息,并通过与终端控制解决方案联动实现用户下线、加入黑名单、在线提醒等功能,真正实现企业IT统一管理和运作!
网络安全管理-图形化界面,威胁可视化:
图形化界面可更直观反映网络中的安全问题,帮助管理员减少繁重的数据整理工作,H3C安全管理中心解决方案可提供丰富的图形化界面,可针对攻击源、攻击目的、响应联动等提供丰富的报表,并支持直方图、饼图、趋势图、列表等多种形式的报表输出。报告方面可提供基于设备、主机、应用程序、漏洞、网流(NetStream)、设备资产、法规遵从(包括萨班斯法案)等7大类报告,共计1000种左右,基本覆盖了所有安全相关的信息,使用非常方便。用户可通过定制需要输出的报告让系统定期自动生成,帮助企业实现安全信息的规范管理。
图2 报表展示
H3C公司安全管理中心解决方案突破了单一的安全资源管理,实现了将安全资源、网络资源、用户资源相结合的综合安全管理,可生成宏观安全拓扑视图及单个攻击事件的攻击路径,通过专利算法可将安全事件定位到具体的交换机端口及攻击源用户,管理员在安全拓扑上可查看安全事件详细信息,安全拓扑旨在提供丰富直观的安全及网络信息供管理员定位排差问题。
图3 攻击拓扑
网络安全管理-智能定位,及时响应控制:
面对一个突发的攻击,由于缺乏有效数据,面对零散的资源,管理员每次发现安全事故的同时都需要逐个对交换机端口进行手工插拔或抓包测试定位安全事故发生的原因及位置,从事件发生到分析定位问题再到解决问题将投入大量的时间,无法满足应对安全威胁的紧迫性,由于定位及解决问题的时间较长,造成的业务影响、用户投诉等损失难以计算,因此需要借助安全管理平台来进行智能定位,及时响应。
H3C安全管理中心解决方案实现了安全事件管理系统与响应管理系统的紧密集成,事件管理中心完成了海量事件采集、关联、汇聚后,筛选出危害严重的安全事件,管理者可结合安全拓扑功能中的详细攻击信息、定位信息、用户信息等综合信息进行定位排差,在响应管理中心对执行动作、手动执行、自动执行等联动策略进行配置,通过响应管理功能方便及时完成交换机端口关闭、用户阻断、黑名单管理、用户在线提醒等响应操作,并可对响应操作进行日志记录,便于日后查证。安全事件管理系统与事故响应管理系统的结合为管理者提供了一个强大的解决方案,用户不必在每次发现安全事故的同时都需要逐个对交换机端口进行手工插拔或抓包测试定位安全事故发生的原因及位置,通过H3C安全管理中心解决方案可轻松监控、查询重要事件进而对已发生的事件进行响应和跟踪。
安全管理中心助力企业可持续安全建设。
图4 安全管理中心在安全建设中起到的作用
H3C安全管理中心解决方案可对网络中多种设备产生的安全事件进行感知、分析并提供及时响应,实现对安全产品、安全解决方案的资源整合。可根据用户定义的规则对安全事件进行关联、汇聚、预警,通过安全管理中心解决方案的响应联动功能可实现快速响应,有效定位并阻止攻击等安全事件的发生。安全管理中心解决方案输出的审计数据可帮助企业对安全状态全面了解,为企业安全制度、安全流程的优化及定期的安全服务咨询提供有效的数据支撑,是企业可持续安全建设的优秀信息管理分析工具。