安全統(tǒng)一管理解決方案(v2.0)

平安統(tǒng)一管理解決方案前言隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展和信息化進程的日漸深化，計算機網(wǎng)絡(luò)已成為企業(yè)高效運營的重要支撐。工作效率的提高、企業(yè)信譽的提升、利潤來源的拓展都依靠于穩(wěn)定、高效、平安的網(wǎng)絡(luò)環(huán)境。但是，各種網(wǎng)絡(luò)攻擊技術(shù)也變得越來越先進、越來越普及化，企業(yè)的網(wǎng)絡(luò)系統(tǒng)面臨著隨時被攻擊的危急，常常遭遇不同程度的入侵和破壞，嚴峻干擾了企業(yè)網(wǎng)絡(luò)的正常運行。日益嚴峻的平安威逼迫使企業(yè)不得不加強對網(wǎng)絡(luò)系統(tǒng)的平安防護，不斷追求多層次、立體化的平安防衛(wèi)體系，逐步引入了防病毒、防火墻、IDS、VPN、AAA等大量異構(gòu)的單點平安防衛(wèi)技術(shù)。然而，現(xiàn)有網(wǎng)絡(luò)平安防衛(wèi)體系還是以孤立的單點防衛(wèi)為主，彼此間缺乏有效的協(xié)作，從而形成了一個個的平安“孤島”，使得網(wǎng)絡(luò)平安不得不面對新的挑戰(zhàn)。企業(yè)對平安統(tǒng)一管理需求分析策略部署的挑戰(zhàn)立體化的平安防衛(wèi)體系缺乏統(tǒng)一的平安策略管理平臺，使得網(wǎng)絡(luò)管理人員無法全面駕馭和限制網(wǎng)絡(luò)的整體平安策略和平安狀態(tài)，造成策略部署和管理上的困難，難以在全網(wǎng)統(tǒng)一實施企業(yè)平安策略，簡潔產(chǎn)生平安“縫隙”和“三不管”的灰色地帶。事務(wù)分析的挑戰(zhàn)多層次的平安防衛(wèi)體系產(chǎn)生的海量平安事務(wù)無法人為管理，各平安部件(如IDS、防火墻)本身的局限性造成的誤報和漏報，簡潔導(dǎo)致重要的信息被沉沒、真正的攻擊被忽視。由于缺乏對整網(wǎng)平安狀態(tài)和被愛護對象的了解，現(xiàn)有的平安防衛(wèi)體系沒有將資產(chǎn)或業(yè)務(wù)的價值體現(xiàn)到平安策略中，難以對平安事務(wù)的緣由做深化的關(guān)聯(lián)分析，無法從海量的平安事務(wù)中推斷攻擊有效性、區(qū)分防衛(wèi)重點。風(fēng)險響應(yīng)的挑戰(zhàn)孤立的平安防衛(wèi)體系中，平安防護、平安檢測、平安響應(yīng)沒有形成高效的閉環(huán)，各平安子系統(tǒng)的響應(yīng)手段單一，平安部件、網(wǎng)絡(luò)設(shè)備、用戶終端和管理員之間缺乏協(xié)同與聯(lián)動，導(dǎo)致企業(yè)網(wǎng)絡(luò)對平安事務(wù)的響應(yīng)實力低下，難以做到剛好、精確的整體防衛(wèi)。現(xiàn)有平安防衛(wèi)體系面臨的問題已不是單一的平安部件能夠獨立解決的。網(wǎng)絡(luò)信息平安的“木桶原則”表明：一個木桶能裝多少水不僅取決于短木板的長度，也取決于木板間的緊密程度；一個網(wǎng)絡(luò)的平安不僅依靠于單個平安部件的實力，也依靠于各網(wǎng)絡(luò)/平安部件之間的緊密協(xié)作。因此，通過全面、集中的平安管理，智能、綜合的事務(wù)分析，動態(tài)、廣泛的協(xié)同響應(yīng)，將不同領(lǐng)域的網(wǎng)絡(luò)/平安部件融合成一個無縫的平安體系，成為下一代整網(wǎng)平安解決方案的發(fā)展趨勢。H3C統(tǒng)一平安管理解決方案從以上需求分析可以發(fā)覺，企業(yè)遇到的問題歸納起來就是：（1）對實時平安信息不了解，無法剛好發(fā)出預(yù)警信息，并且處理。（2）各種平安設(shè)備是孤立的，無法相互關(guān)聯(lián)，信息共享。（3）平安事務(wù)發(fā)生以后，無法剛好診斷網(wǎng)絡(luò)故障的緣由，復(fù)原困難。（4）網(wǎng)絡(luò)平安專家匱乏，沒有足夠的人員去監(jiān)控、分析、解決問題，成本高。在此背景下，H3C提出通過性價比高、簡潔實施的平安統(tǒng)一管理方案，來滿意企業(yè)實現(xiàn)網(wǎng)絡(luò)平安的需求。作為H3CiSPN（智能平安滲透網(wǎng)絡(luò)）理念的重要部分，H3C平安統(tǒng)一管理解決方案以開放的平安管理平臺為框架，將平安體系中各層次的平安產(chǎn)品、網(wǎng)絡(luò)設(shè)備、用戶終端、網(wǎng)絡(luò)服務(wù)等納入一個緊密的統(tǒng)一管理平臺中，通過平安策略的集中部署、平安事務(wù)的深度感知與關(guān)聯(lián)分析以及平安部件的協(xié)同響應(yīng)，在現(xiàn)有平安設(shè)施的基礎(chǔ)上構(gòu)建一個智能平安防衛(wèi)體系，大幅度提高企業(yè)網(wǎng)絡(luò)的整體平安防衛(wèi)實力。H3C平安管理中心由策略管理、事務(wù)采集、分析決策、協(xié)同響應(yīng)四個組件構(gòu)成，與網(wǎng)絡(luò)中的平安產(chǎn)品、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)服務(wù)、用戶終端等獨立功能部件通過各種信息交互接口形成一個完整的協(xié)同防衛(wèi)體系（見下圖）。圖1H3C基于平安管理中心的智能防衛(wèi)體系H3C平安管理中心旨在集中部署網(wǎng)絡(luò)平安愛護策略，簡化對平安部件的管理，確保網(wǎng)絡(luò)平安策略的統(tǒng)一；廣泛采集與分析來自于計算機、網(wǎng)絡(luò)、存儲、平安等設(shè)施的告警事務(wù)，通過關(guān)聯(lián)來自于不同地點、不同層次、不同類型的平安事務(wù)，發(fā)覺真正的平安風(fēng)險，提高平安報警的信噪比；精確的、實時的評估當前的網(wǎng)絡(luò)平安態(tài)勢和風(fēng)險，并依據(jù)預(yù)先制定的策略做出快速響應(yīng)。其基本功能包括：平安策略的集中部署網(wǎng)絡(luò)中的平安部件涉及身份平安、終端平安、設(shè)備平安、連接平安、網(wǎng)絡(luò)平安等各個層面，對應(yīng)的平安防護技術(shù)包括AAA、防病毒、漏洞檢測、防火墻、VPN、IDS等不同層次的防衛(wèi)部件。集中部署各部件的平安防護策略，可以簡化對平安部件的管理，確保網(wǎng)絡(luò)平安策略的統(tǒng)一，提高平安管理工作的效率。H3C平安管理中心的平安策略集中部署供應(yīng)了集成、統(tǒng)一、完整的平安防護策略配置平臺，可以通過直觀的網(wǎng)絡(luò)、服務(wù)器、終端及用戶拓撲圖，查看和配置平安策略、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)服務(wù)與用戶終端，有效屏蔽平安產(chǎn)品和網(wǎng)絡(luò)設(shè)備的差異性，實現(xiàn)對平安產(chǎn)品或設(shè)備的配置一樣性。平安事務(wù)的深度感知網(wǎng)絡(luò)的不同層次、不同節(jié)點往往都部署了相應(yīng)的平安部件，分別起到不同層面的平安防衛(wèi)作用。為了實時、全面地獲得網(wǎng)絡(luò)平安信息，必需解決網(wǎng)絡(luò)平安管理中的事務(wù)透亮性問題，讓管理員可以監(jiān)控到網(wǎng)絡(luò)中每個平安產(chǎn)品的運行狀態(tài)，為網(wǎng)絡(luò)平安分析與決策供應(yīng)支持。H3C平安管理中心可以通過開放協(xié)議或平安代理的方式采集來自不同部件的平安事務(wù)數(shù)據(jù)，如病毒事務(wù)、異樣登錄事務(wù)、異樣操作事務(wù)、漏洞檢測事務(wù)、系統(tǒng)資源異樣占用事務(wù)、流量異樣事務(wù)等，幫助管理員剛好駕馭網(wǎng)絡(luò)中的設(shè)備、服務(wù)和終端的平安狀態(tài)，為進一步的深化分析和決策奠定精確的數(shù)據(jù)基礎(chǔ)。平安事務(wù)的關(guān)聯(lián)分析網(wǎng)絡(luò)中的各種平安部件產(chǎn)生的眾多平安事務(wù)，往往使管理員沉沒于信息的海洋中；各平安部件本身的局限性造成的誤報和漏報，簡潔導(dǎo)致真正的攻擊被忽視。H3C平安管理中心在全面采集平安事務(wù)的基礎(chǔ)上，通過各種基于統(tǒng)計和規(guī)則的關(guān)聯(lián)分析算法，結(jié)合平安事務(wù)產(chǎn)生的網(wǎng)絡(luò)環(huán)境、資產(chǎn)重要程度、系統(tǒng)漏洞級別，對平安事務(wù)進行深度分析，可以有效提高平安事務(wù)的信噪比，削減告警日志數(shù)量而不丟失重要信息，為平安事務(wù)審計和風(fēng)險響應(yīng)供應(yīng)更精確的決策支持。平安威逼的協(xié)同響應(yīng)對平安事務(wù)進行全面采集和關(guān)聯(lián)分析的目的是精確的阻斷和防止攻擊。H3C平安管理中心在全面了解網(wǎng)絡(luò)資源部署的條件下，可以依據(jù)攻擊源的不同，智能選擇限制點以更有效的防止攻擊，比如，對于外部攻擊選擇在防火墻ACL阻斷、對內(nèi)部攻擊選擇用戶接入交換機端口關(guān)閉、對于內(nèi)部蠕蟲爆發(fā)選擇隔離攻擊源。也可以針對不同的被攻擊對象，區(qū)分響應(yīng)方式，以提高整個網(wǎng)絡(luò)的自防衛(wèi)實力，比如，對于用戶終端可以強制進行補丁修復(fù)和病毒庫升級，對于服務(wù)器資源可以動態(tài)更新平安配置。高效的平安解決方案不僅僅在于當平安事務(wù)發(fā)生時，我們能夠快速察覺、精確定位，更重要的是我們能夠剛好制定合理的、一樣的、完備的平安策略，并最大限度的利用現(xiàn)有網(wǎng)絡(luò)平安資源，通過智能分析和協(xié)同響應(yīng)剛好應(yīng)對各種真正的網(wǎng)絡(luò)攻擊。H3C平安管理中心為實現(xiàn)這一目標而構(gòu)建了開放的、可持續(xù)演進的網(wǎng)絡(luò)平安管理平臺，通過對防護、檢測和響應(yīng)等不同生命周期的各個平安環(huán)節(jié)進行基于策略的管理，將各種異構(gòu)的平安產(chǎn)品、網(wǎng)絡(luò)設(shè)備、用戶終端和管理員有機的連接起來，構(gòu)成了一個智能的、聯(lián)動的閉環(huán)響應(yīng)體系，可在愛護現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施投資的基礎(chǔ)上有效應(yīng)對新的平安威逼、大幅提升對企業(yè)基礎(chǔ)業(yè)務(wù)的平安保障。三、H3C平安統(tǒng)一解決方案的突出特點1、組件的模塊化架構(gòu)統(tǒng)一平安管理由策略管理、事務(wù)采集、分析決策、協(xié)同響應(yīng)四個組件組成，各功能部件以模塊化方式組成，架構(gòu)簡潔明晰，易于擴展，企業(yè)可依據(jù)實際狀況進行組件的選配。2、管理、分析、響應(yīng)一體化當平安事務(wù)發(fā)生時，H3C平安管理中心能夠快速察覺、精確定位，更重要的是能夠剛好制定合理的、一樣的、完備的平安策略，在現(xiàn)有平安設(shè)施的基礎(chǔ)上形成了一個智能的平安防衛(wèi)體系，大幅度提高了企業(yè)網(wǎng)絡(luò)的整體平安防衛(wèi)實力。3、管理覆蓋全面設(shè)備種類多、型號困難是平安管理中心面臨的一大難題—。H3C平安管理中心采納業(yè)界領(lǐng)先的集成技術(shù)，有效解決了異構(gòu)環(huán)境的可擴展性問題。以平安事務(wù)深度感知模塊Se