随着网络技术的快速发展和信息化进程的日渐深入,计算机网络已成为企业高效运营的重要支撑。工作效率的提高、企业信誉的提升、利润来源的拓展都依赖于稳定、高效、安全的网络环境。与此同时,各种网络攻击技术也变得越来越先进、越来越普及化,企业的网络系统面临着随时被攻击的危险,经常遭受不同程度的入侵和破坏,严重干扰了企业网络的正常运行。日益严峻的安全威胁迫使企业不得不加强对网络系统的安全防护,不断追求多层次、立体化的安全防御体系,逐步引入了防病毒、防火墙、IDS、VPN、AAA等大量异构的单点安全防御技术。然而,现有网络安全防御体系还是以孤立的单点防御为主,彼此间缺乏有效的协作,从而形成了一个个的安全“孤岛”,使得网络安全不得不面对新的挑战。
策略部署的挑战
立体化的安全防御体系缺乏统一的安全策略管理平台,使得网络管理人员无法全面掌握和控制网络的整体安全策略和安全状态,造成策略部署和管理上的困难,难以在全网统一实施企业安全策略,容易产生安全“缝隙”和“三不管”的灰色地带。
事件分析的挑战
多层次的安全防御体系产生的海量安全事件无法人为管理,各安全部件(如IDS、FW)本身的局限性造成的误报和漏报,容易导致重要的信息被淹没、真正的攻击被忽视。由于缺乏对整网安全状态和被保护对象的了解,现有的安全防御体系没有将资产或业务的价值体现到安全策略中,难以对安全事件的原因做深入的关联分析,无法从海量的安全事件中判断攻击有效性、区分防御重点。
风险响应的挑战
孤立的安全防御体系中,安全防护、安全检测、安全响应没有形成高效的闭环,各安全子系统的响应手段单一,安全部件、网络设备、用户终端和管理员之间缺乏协同与联动,导致企业网络对安全事件的响应能力低下,难以做到及时、准确的整体防御。
现有安全防御体系面临的问题不是单一的安全部件能够独立解决的。网络信息安全的“木桶原则”表明:一个木桶能装多少水不仅取决于短木板的长度,也取决于木板间的紧密程度;一个网络的安全不仅依赖于单个安全部件的能力,也依赖于各安全部件之间的紧密协作。因此,通过全面、集中的安全管理,智能、综合的事件分析,动态、广泛的协同响应,将不同领域的安全部件融合成一个无缝的安全体系,成为下一代整网安全解决方案的发展趋势。
在此背景下,华为3Com计划推出安全管理中心解决方案,以开放的安全管理平台为框架,将安全体系中各层次的安全产品、网络设备、网络服务、用户终端等纳入一个紧密的统一管理平台中,通过安全策略的集中部署、安全事件的深度感知与关联分析以及安全部件的协同响应,在现有安全设施的基础上构建一个协同安全防御体系,大幅度提高企业网络的整体安全防御能力。华为3Com安全管理中心由策略管理、事件采集、分析决策、协同响应四个组件构成,与网络中的安全产品、网络设备、网络服务、用户终端等独立功能部件通过各种信息交互接口形成一个完整的协同防御体系(见下图)。
基于安全管理中心的协同防御体系
华为3Com安全管理中心旨在集中部署网络安全保护策略,简化对安全部件的管理,确保网络安全策略的统一;广泛采集与分析来自于计算机、网络、存储、安全等设施的告警事件,通过关联来自于不同地点、不同层次、不同类型的安全事件,发现真正的安全风险,提高安全报警的信噪比;准确的、实时的评估当前的网络安全态势和风险,并根据预先制定的策略做出快速响应。其基本功能包括:
安全策略的集中部署
网络中的安全部件涉及身份安全、终端安全、设备安全、连接安全、网络安全等各个层面,对应的安全防护技术包括AAA、防病毒、漏洞检测、防火墙、VPN、IDS等不同层次的防御部件。集中部署各部件的安全防护策略,可以简化对安全部件的管理,确保网络安全策略的统一,提高安全管理工作的效率。华为3Com安全管理中心的安全策略集中部署提供了集成、统一、完整的安全防护策略配置平台,可以通过直观的网络、服务器、终端及用户拓扑图,查看和配置安全策略、网络设备、网络服务与用户终端,有效屏蔽安全产品和网络设备的差异性,实现对安全产品或设备的配置一致性。
安全事件的深度感知
网络的不同层次、不同节点往往都部署了相应的安全部件,分别起到不同层面的安全防御作用。为了实时、全面地获取网络安全信息,必须解决网络安全管理中的事件透明性问题,让管理员可以监控到网络中每个安全产品的运行状态,为网络安全分析与决策提供支持。华为3Com安全管理中心可以通过开放协议或安全代理的方式采集来自不同部件的安全事件数据,如病毒事件、异常登录事件、异常操作事件、漏洞检测事件、系统资源异常占用事件、流量异常事件等,帮助管理员及时掌握网络中的设备、服务和终端的安全状态,为进一步的深入分析和决策奠定准确的数据基础。
安全事件的关联分析
网络中的各种安全部件产生的众多安全事件,往往使管理员淹没于信息的海洋中;各安全部件本身的局限性造成的误报和漏报,容易导致真正的攻击被忽视。华为3Com安全管理中心在全面采集安全事件的基础上,通过各种基于统计和规则的关联分析算法,结合安全事件产生的网络环境、资产重要程度、系统漏洞级别,对安全事件进行深度分析,可以有效提高安全事件的信噪比,减少告警日志数量而不丢失重要信息,为安全事件审计和风险响应提供更准确的决策支持。
安全威胁的协同响应
对安全事件进行全面采集和关联分析的目的是准确的阻断和防止攻击。华为3Com安全管理中心在全面了解网络资源部署的条件下,可以根据攻击源的不同,智能选择控制点以更有效的防止攻击,比如,对于外部攻击选择在防火墙ACL阻断、对内部攻击选择用户接入交换机端口关闭、对于内部蠕虫爆发选择隔离攻击源。也可以针对不同的被攻击对象,区分响应方式,以提高整个网络的自防御能力,比如,对于用户终端可以强制进行补丁修复和病毒库升级,对于服务器资源可以动态更新安全配置。
高效的安全解决方案不仅仅在于当安全事件发生时,我们能够迅速察觉、准确定位,更重要的是我们能够及时制定合理的、一致的、完备的安全策略,并最大限度的利用现有网络安全资源,通过智能分析和协同响应及时应对各种真正的网络攻击。华为3Com安全管理中心为实现这一目标而构建了开放的、可持续演进的网络安全管理平台,通过对防护、检测和响应等不同生命周期的各个安全环节进行基于策略的管理,将各种异构的安全产品、网络设备、用户终端和管理员有机的连接起来,构成了一个智能的、联动的闭环响应体系,可在保护现有网络基础设施投资的基础上有效应对新的安全威胁、大幅提升对企业基础业务的安全保障。