下载文档原格式
天融信网络入侵防御TopIDP系列产品说明天融信TOPSEC®北京市海淀区上地东路1号华控大厦100085电话:(86)10-82776666传真:(86)10-82776677服务热线:400-610-5119800-810-5119Http: //天融信网络入侵防御系统TopIDP系列产品说明1前言 (2)2网络入侵防御系概况 (2)2.1入侵防御系统与防火墙 (3)2.2入侵防御系统与IDS (3)3天融信网络入侵防御系统TOPIDP (3)3.1产品概述 (3)3.2T OP IDP体系架构 (4)3.3T OP IDP主要功能 (5)3.4天融信网络入侵防御系统T OP IDP特点 (6)3.4.1领先的多核SmartAMP并行处理架构 (6)3.4.2强大的攻击检测能力 (6)3.4.3精准的应用协议识别能力 (7)3.4.4实用的网络病毒检测功能 (8)3.4.5智能的上网行为监控和管理 (8)3.4.6立体的Web安全防护 (8)3.4.7先进的无线攻击防御能力 (9)3.4.8精确的QOS流量控制能力 (9)3.4.9灵活的自定义规则能力 (9)3.4.10丰富的网络部署方式 (9)3.4.11高可靠的业务保障能力 (10)3.4.12可视化的实时报表功能 (10)4天融信网络入侵防御系统TOPIDP部署方案 (11)4.1.1典型部署 (11)4.1.2内网部署 (12)4.1.3IDP.VS.IDS混合部署 (13)4.1.4WIPS旁路部署 (14)5结论 (15)1前言随着计算机网络与信息化技术的高速发展,越来越多的企业、政府构建了自己的互联网络信息化系统,互联网络已成为人们生活中必不可缺的工具,在网络带来高效和快捷的同时,网络安全形势也从早期的随意性攻击,逐步走向了以政治或经济利益为主的攻击;攻击的手段从早期简单的扫描、暴力破解逐步过渡到通过缓冲区溢出、蠕虫病毒、木马后门、间谍软件、SQL注入、DOS/DDoS等各种混合手段攻击;攻击的层面也从网络层,传输层转换到高级别的网络应用层面;而很多黑客攻击行为也由单个个体转变到有组织的群体攻击行为上,其攻击行为有明显的政治或经济诉求目的,给政府、企业的网络信息业务系统安全造成极大隐患。
阿里巴巴钉钉安全白皮书V1.1钉钉安全白皮书V1.1目录前言 (1)术语定义 (1)一.组织安全 (2)1.1安全管理委员会 (2)1.2信息安全团队 (2)1.3安全审计团队 (3)1.4物理安全团队 (3)二.合规安全 (3)2.1安全体系 (3)2.2政策合规 (3)三.人员安全 (4)3.1尽职调查 (4)3.2安全生产 (4)四.数据安全 (4)4.1数据分级 (4)4.2数据安全与加密方案 (5)4.3密钥管理中心 (5)4.4数据访问及用户授权第三方应用访问其敏感信息 (5)4.5数据使用与防爬 (5)4.6数据安全审计 (5)4.7数据销毁管理 (6)五.应用安全 (6)5.1钉钉SDL (6)5.2业务安全 (7)5.2.1账号安全 (7)5.2.2暴力破解&撞库 (7)5.3钉钉基础与特色安全 (7)5.3.1协议安全 (7)5.3.2企业通讯录 (7)5.3.3企业云盘 (8)5.3.4企业云邮箱 (8)5.3.5特色安全功能 (10)六.系统&网络安全 (11)6.1系统安全 (11)6.1.1系统软件安全配置标准 (11)钉钉安全白皮书V1.16.1.2系统登录授权访问 (11)6.1.3系统安全检测防御产品 (11)6.2网络安全 (12)6.2.1安全域划分 (12)6.2.2网络访问控制 (12)6.2.3流量劫持 (12)6.2.4DDoS安全防御 (12)七.物理与环境安全 (13)7.1.物理安全 (13)7.2.环境控制 (14)八. 灾难恢复与业务连续性 (14)8.1应急与灾备技术 (15)8.2应急与灾难恢复管理 (15)钉钉安全白皮书V1.1前言钉钉是阿里巴巴集团自主创新,面向企业级的SAAS平台,基于阿里巴巴集团十多年安全技术研究积累的成果,打造了业界一流的安全保障体系、高可靠的系统实现机制,为企业信息安全提供全方位的安全保障!术语定义SDL:Security Development Lifecycle的简称,安全开发生命周期;撞库:撞库是黑客通过收集互联网已泄露的账户和密码信息,生成对应的字典表,尝试批量登陆网站后,得到一系列可以登录的账户;DDOS攻击:分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于C/S技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动流量攻击,造成目标的业务系统无法提供服务;钉钉安全白皮书V1.1一. 组织安全钉钉安全团队由安全管理委员会、信息安全、安全审计、物理安全团队组成,通过高效、协同的工作给广大用户提供稳定、健康、安全的工作环境。
信息系统安全测评业务白皮书中国信息安全测评中心2008年8月第 1 章信息系统安全测评信息系统安全是关乎国家稳定、企业生存与发展的重大课题,在信息技术日益发展的今天,如何通过信息系统安全测评工作,最大限度使组织结构预知存在的安全隐患,最大限度地保证国家重要基础设施和重点行业的安全稳定运营,已经成为当前我国信息安全工作的重点。
信息技术作为支撑企业业务服务的重要基础性设施,直接影响组织机构的对外服务。
是否可以通过主动地、定期地系统安全测评,做到事前规避?现实情况是很多组织机构在信息安全测评工作方面还存在巨大的误区和盲区。
信息系统安全测评工作成为组织机构信息系统建设、运营过程中的短板。
中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,职能是开展信息安全漏洞分析和风险评估工作。
开展信息系统安全测评工作,旨在引入信息系统安全测评方法,利用先进技术测试手段、风险度量方法和切实的测评角度,确保组织机构将安全风险降低到可接受的程度,从而保障其业务安全稳定运营。
第 2 章测评类型信息系统安全测评致力于为国家重要行业、部委提供科学、客观、规范、务实的安全评估套餐式服务,经过长期的标准研究、工具探索、项目实践以及众多信息安全专家的反复论证,现已形成系列服务产品,包括:1、信息安全风险评估2、信息系统安全等级保护测评3、信息系统安全评估4、远程渗透测试5、信息系统安全监控6、信息系统安全方案评审2.1 信息安全风险评估2.1.1 评估目标由我中心高级测评工程师和咨询专家共同组成的评估团队,采用众多漏洞测试工具和工作模版,从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施;为防范和化解信息安全风险,将风险控制在可接受的水平,从而最大限度地为保障信息安全提供科学依据。
2.1.2 适用对象具有风险管理意识,关注信息系统安全风险的国家重要行业、部委。
红科网安安全运维服务白皮书目录1.前言 (4)2.运维目标 (5)3.运维服务内容 (6)3.1日常检查维护 (6)3.2安全通告服务 (6)3.3安全评估服务 (8)3.4安全风险评估 (13)3.5渗透测试 (17)3.6补丁分发 (18)3.7安全配置与加固 (20)3.8安全保障 (21)3.9安全监控服务 (23)3.10安全产品实施服务 (24)3.11安全应急响应 (24)3.12安全培训服务 (29)4.运维体系组织架构 (33)5.运维服务流程 (35)5.1日常检查流程 (36)5.2安全评估服务流程 (38)5.3安全监控服务流程 (40)5.4安全事件处理流程 (45)5.5安全培训服务流程 (48)5.6渗透测试的流程 (50)6.安全事件处理与应急响应 (53)6.1安全事件分类 (53)6.2安全事件处理与上报流程 (54)6.3安全事件现场处理 (56)6.4安全事件的事后处理 (59)1.前言经过多年的信息化建设,大多数企业已经建立起了比较完整的信息系统。
但是,在安全运维及应急响应方面缺少一套完整的运维和应急体系来保证各类紧急事件的处理。
因此,客户通过引入专业的信息安全服务团队,来保障自身信息系统的稳定安全运行,同时通过专业的安全咨询和服务,逐步构建动态、完整、高效的客户信息安全整体,形成能持续完善、自我优化的安全运维体系和安全管理体系,提高客户信息系统的整体安全等级,为保证业务的健康发展和提升核心竞争力提供坚实的基础保障。
2.运维目标红科网安(简称:M-Sec)是国内专业的信息安全服务及咨询公司,同时,拥有国内一流的安全服务团队M-Sec Team。
我们可以为用户提供全面的、专业的、客户化的安全服务及其相关信息安全管理咨询,从而保障用户的安全系统的正常运行和持续优化。
我们以客户信息安全服务的总体框架为基础、以安全策略为指导,通过统一的安全综合管理平台,提供全面的安全服务内容,覆盖从物理通信到网络、系统平台直至数据和应用平台的各个层面的安全需求,保障信息平台的稳定持续运行。
2018年物联网安全白皮书在科技飞速发展的今天,物联网已经成为我们生活中不可或缺的一部分。
从智能家居到工业自动化,从智能交通到医疗健康,物联网的应用无处不在。
然而,随着物联网的广泛普及,其安全问题也日益凸显。
本白皮书旨在对 2018 年物联网安全状况进行全面的分析和阐述,为相关领域的从业者和广大用户提供有价值的参考。
一、物联网的发展现状物联网的概念已经存在多年,但在近几年才真正实现了大规模的应用。
据统计,截至2018 年,全球物联网设备数量已经超过了70 亿台,并且还在以惊人的速度增长。
这些设备涵盖了各种各样的领域,包括消费电子、工业制造、交通运输、能源管理等等。
在消费领域,智能家居设备如智能音箱、智能摄像头、智能门锁等越来越受欢迎。
人们可以通过手机应用远程控制家中的电器设备,实现智能化的生活体验。
在工业领域,物联网技术被广泛应用于生产流程的监控和优化,提高了生产效率和质量。
二、物联网安全面临的挑战然而,物联网的快速发展也带来了一系列的安全挑战。
首先,物联网设备的计算能力和存储资源通常有限,这使得传统的安全防护手段难以直接应用。
许多物联网设备缺乏强大的加密机制和身份验证功能,容易被黑客攻击和入侵。
其次,物联网设备的多样性和复杂性也增加了安全管理的难度。
不同类型的设备可能使用不同的操作系统和通信协议,导致安全漏洞难以统一修复。
而且,由于物联网设备通常处于无人值守的状态,一旦被攻击,很难及时发现和处理。
再者,物联网的互联互通特性使得安全风险更容易传播。
一个设备的安全漏洞可能会影响到整个网络中的其他设备,造成连锁反应。
此外,用户对物联网安全的重视程度不够,很多人在使用物联网设备时没有更改默认密码,或者随意连接不安全的网络,这也给黑客提供了可乘之机。
三、2018 年物联网安全事件回顾2018 年,发生了多起引人注目的物联网安全事件,给用户和企业带来了巨大的损失。
其中一起典型的事件是某知名智能摄像头被发现存在严重的安全漏洞,黑客可以通过该漏洞获取用户的视频画面和个人信息。
NetCare 安全白皮书1 技术手段1.1 通信安全所有用户网络之间采用MPLS 技术隔离,分隔在不同的MPLS VPN 内。
Customer A 只拥有到NCC 前端系统的路由,无从得知Customer B 的网络信息,不能访问其它客户网络。
平台的接入路由器上部署信道化E1端口,并启动BGP 协议,客户广域网络通过64K DDN/FR 接入到“网管专家服务”平台,接入路由器的CE1端口分成独立的时隙,实现不同客户的64K 电路接入,针对每一个时隙,路由器通过MPLS 技术为客户数据打上一层Tag 标签,形成并维护VRF ,做到路由的隔离;同时,平台内部网络的路由器、交换机通过VLAN方式做到二层隔离;平台的接入路由器通过ACL(访问控制列表)技术进行过滤,只允许指定的源IP 地址通过,防止了非法的访问。
Cust1MPLSCust2MPLSCust3MPLSVPN VPNVPNCustomer site Customer siteCustomer sitefe1fe2fe3backend轮训服务器(Poller)实现客户网络信息的采集,轮训服务器的设置原则为:1.轮训的客户端设备数量。
2.客户端设备的目的IP地址。
因为该地址为私有地址,可能在不同的客户网络中存在着地址冲突,因此,平台中部署了多台轮训服务器。
在轮训服务器中,以每一个目的地址为单位,进行数据的轮训采集,采集的数据仅限于SNMP和PING 数据,做到仅采集固定IP地址和端口类型的数据包,并将结果存储在不同的逻辑区域,通过软件的方式进行隔离。
●用于连接客户的NCC前端路由器,对来自客户方向的信息进行IP地址过滤和端口过滤。
只允许已知的被管理设备IP接入,以及只开方SNMP协议的端口。
这样,来自客户网络的病毒和伪装成被管理设备的计算机都无法访问NCC的管理网络。
此外,由于NCC是7x24小时的有人职守系统,对任何来自被管理网络的异常数据流,都有监测并可及时屏蔽产生异常信息流的源头设备。
研发运营安全技术白皮书前言近年来,安全事件频发,究其原因,软件应用服务自身存在代码安全漏洞,被黑客利用攻击是导致安全事件发生的关键因素之一。
随着信息化的发展,软件应用服务正在潜移默化的改变着生活的各个方面,渗透到各个行业和领域,其自身安全问题也愈发成为业界关注的焦点。
传统研发运营模式之中,安全介入通常是在应用系统构建完成或功能模块搭建完成之后,位置相对滞后,无法完全覆盖研发阶段的安全问题。
在此背景下,搭建整体的研发运营安全体系,强调安全左移,覆盖软件应用服务全生命周期安全,构建可信理念是至关重要的。
本白皮书首先对于研发运营安全进行了概述,梳理了全球研发运营安全现状,随后对于信通院牵头搭建的研发运营安全体系进行了说明,归纳了研发运营安全所涉及的关键技术。
最后,结合当前现状总结了研发运营安全未来的发展趋势,并分享了企业组织研发运营安全优秀实践案例以供参考。
目录一、研发运营安全概述 (1)(一)研发层面安全影响深远,安全左移势在必行 (1)(二)覆盖软件应用服务全生命周期的研发运营安全体系 (4)二、研发运营安全发展现状 (5)(一)全球研发运营安全市场持续扩大 (5)(二)国家及区域性国际组织统筹规划研发运营安全问题 (7)(三)国际标准组织及第三方非盈利组织积极推进研发运营安全共识 (12)(四)企业积极探索研发运营安全实践 (14)(五)开发模式逐步向敏捷化发展,研发运营安全体系随之向敏捷化演进 (19)三、研发运营安全关键要素 (21)(一)覆盖软件应用服务全生命周期的研发运营安全体系 (22)(二)研发运营安全解决方案同步发展 (31)四、研发运营安全发展趋势展望 (41)附录:研发运营安全优秀实践案例 (43)(一)华为云可信研发运营案例 (43)(二)腾讯研发运营安全实践 (50)(三)国家基因库生命大数据平台研发运营安全案例 (58)图目录图1 Forrester外部攻击对象统计数据 (2)图2研发运营各阶段代码漏洞修复成本 (3)图3 研发运营安全体系 (4)图4 Cisco SDL体系框架图 (16)图5 VMware SDL体系框架图 (17)图6 微软SDL流程体系 (20)图7 DevSecOps体系框架图 (21)图8 研发运营安全解决方案阶段对应图 (32)表目录表1 2019-2020全球各项安全类支出及预测 (6)表2 2019-2020中国各项安全类支出及预测 (7)表3 重点国家及区域性国际组织研发运营安全相关举措 (12)表4 国际标准组织及第三方非营利组织研发运营安全相关工作 (14)表5 企业研发运营安全具体实践 (19)表6 SDL与DevSecOps区别对照 (21)一、研发运营安全概述(一)研发层面安全影响深远,安全左移势在必行随着信息化的发展,软件应用服务正在潜移默化的改变着生活的各个方面,渗透到各个行业和领域,软件应用服务的自身安全问题也愈发成为业界关注的焦点。
SecCenter 安全信息与事件管理技术白皮书关键词:安全、信息、事件、管理、日志、搜索、报告摘要:本文档介绍了安全信息与事件管理相关技术。
介绍了企业安全的需求分析,为了解决这些需求所提出的解决方案和相关技术。
最后还介绍了H3C 的解决方案。
缩略语清单:目录1 商业用户网络对于安全管理的需求 (3)2 安全管理技术方案比较 (4)3 安全信息与事件管理主要技术特性分析 (5)3.1 异构设备/主机管理 (5)3.2 安全信息和事件分析 (6)3.3 网络架构 (6)3.4 安全拓扑和可视化威胁 (7)3.5 监控&事件关联 (8)3.6 安全管理报告 (9)3.7 搜索分析 (10)4 H3C解决方案 (11)1 商业用户网络对于安全管理的需求一个公司只注重在物理上对网络安全的投资是远远不够的,即使安全防范再严密的网络,也会有可能有破坏性漏洞的产生。
据估计在世界范围内由攻击造成的经济损失,已经从二十世纪末的几十亿美元上升到目前的几百亿美元。
这个数字还在快速上升。
为了满足政府规范要求,还需要执行安全审计流程。
如果不能满足政府的规范性要求,有可能被高额罚款,还有可能触犯法律,面临刑事诉讼。
这些风险到处存在,并且会影响到公司的日常业务。
根据专业机构提供的行业报告,每个企业都会面临如下挑战:(1) 网络入侵。
包括病毒、黑客攻击、间谍软件、垃圾邮件等。
(2) 网络规划和配置的调整。
为了满足企业需要,网络需要不断添加新的网络设备,并且对这些设备进行调整和配置。
(3) 由于网络威胁在不断的变化,所以会出现不断更新的安全技术。
(4) IT 机构人力不足。
他们未经过正式培训,并且把大部分精力放在了安全防御方面。
为了解决当前紧迫的网络安全问题,我们需要在网络上确保安全,及时发现问题、跟踪定位问题。
现在很多公司采用了防火墙、虚拟专用网(VPN 网关)、身份验证机制、入侵检测系统(IDS)和其他技术来保障网络安全。
但由于蠕虫或者病毒传播的速度很快,能在很短的时间内感染整个企业网络,所以企业要求能采取快速的措施来阻挡病毒和黑客攻击,保证网络正常工作。
但由于现实环境的限制,存在兼容性的问题。
网络安全设备很多,包括防火墙、IDS、VPN 网关等。
他们的报告机制不同,报文格式不同。
各种安全设备不提供足够的网络拓扑信息,网络管理员无法及时了解网络攻击信息。
网络安全设备可能产生大量的数据信息,网络管理员很难快速有效的处理这些数据。
总结起来,企业遇到的问题是:(1) 对实时安全信息不了解,无法及时发出预警信息,并处理。
(2) 各种安全设备孤立,无法相互关联,实现信息共享。
(3) 安全事件发生以后,无法及时诊断网络故障的原因,恢复困难。
(4) 网络安全专家匮乏,没有足够的人员去监控、分析、解决问题。
针对这些用户的需求,现在提出了性价比高、容易实施的安全信息和事件管理解决方案,可以满足企业网络安全的需求。
2 安全管理技术方案比较当网络安全需求比较单纯的时候,企业常常只会部署防火墙、VPN、IDS、防毒墙、UTM、IPS 等产品的其中一种。
网络安全设备常常会自带日志分析功能,可以实现一些简单功能。
网络安全设备在设计日志功能的时候,一般不会考虑与其他设备的日志共享,也不会提供强大的分析功能。
随着企业网络的发展,需要综合部署各种安全设备。
为了管理这些设备,我们传统的手段都是通过网络安全设备发送日志到服务器上,进行事后审计。
一个大型的网络,包含若干个网络产品。
这些网络设备随时发送系统日志信息,每天产生的日志信息多达数万条。
任何一个网络管理员很难通过系统日志来准确定位网络发生的安全故障;熟练的网络管理员,可通过系统日志分析,得到有用的网络信息,但响应速度很慢。
这个时候,采用网络设备自带的日志功能,已经不能满足用户需求了。
为了解决传统安全设备日志的问题,出现了一些新的解决方案。
有很多的安全管理产品可部署创建一个位于IT 物理安全之上的智能层。
这些安全管理产品可作为网络安全设备的一个补充,也可作为第三方的解决方案提供。
这些安全管理方案大致可以分为这样两类:安全信息管理(SIM),安全事件管理(SEM)。
但是如果仅仅利用这些单一的方案去搭建一个全面的安全流程是非常有限的。
一个典型的SIM 解决方案:以系统日志的形式收集网络设备的相关安全信息,并且根据收集的信息产生行为报告。
大部分的SIM 解决方案缺乏全面的实时监控和事件关联特性。
另外,他们对较长时间日志文件的归档和搜索审计做的也不够。
一个典型的SEM 解决方案:收集来自网络设备的实时事件信息。
该事件信息一般是通过SNMP、远程命令、日志数据方式获得。
大部分SEM 解决方案缺少全面的性能报告,没有对日志文件压缩、加密。
日志文件的压缩加密主要用于历史文件的归类和审计。
通过比较,不管是网络安全设备自带日志管理方式,还是SIM 方式、SEM 方式,都不能很好的满足用户安全管理的需求。
在这些方式的基础上,如果能够将SIM、SEM 等管理工具的优点集中起来,收集处理网络安全设备的日志,这样就能提供一个综合完善的解决方案。
现在人们提出了安全信息和事件管理解决方案(SIEM)。
这种方案能够结合SIM和SIEM 安全管理的所有关键要素,可以实现基于拓扑和可视化威胁的网络安全、实时监控和事件关联,提供综合报告,全面管理日志,提供审计功能。
拓扑图可以让用户对于网络结构一目了然;可视化的威胁管理,将枯燥的数字转化为图表;实时监控,避免管理的滞后;事件关联,将各种离散的事情关联起来,实现智能管理;综合报告,提供关于所有被管理设备的报告,实现决策支持功能。
3 安全信息与事件管理主要技术特性分析3.1 异构设备/主机管理大多数IT 安全管理解决方案不能支持大量的设备。
每个供应商很可能仅支持他们自己的设备。
在很多案例里,供应商提供的方案只提供基本配置、监控功能或者报告性能。
很多安全管理中心解决方案只能支持非常有限的安全设备类型。
例如,它可能只提供防火墙报告,却不支持防病毒设备等重要的安全产品。
安全管理负责从所有设备和主机中接收全部的安全事件。
这些设备包括交换机、VPN 网关、路由器、防火墙、IDS/IPS、内容过滤系统、防病毒系统、防间谍软件系统、防垃圾邮件系统和Windows、Unix、Linux 主机。
安全管理是网络管理和应用管理的一个补充。
如图所示:图3-1 安全管理添加到网络和应用管理用一个SIEM 的解决方案可以记录并报告发生在整个IT 架构下的所有相关的安全信息,组成整个IT 架构不同系统的事件进行关联。
例如:一个IT 管理员希望去关联一台防火墙与一个入侵防护系统,或者统计防火墙与主机在网络中的重复告警数量。
网络设备兼容性问题,是SIEM 解决方案的一个重点。
网络设备类型很多,厂商也很多。
一个完整的的SIEM 解决方案,应该能够兼容主流厂商的各种设备,还要能从各种主机设备中收集Windows, UNIX 和Linux 等OS 的事件信息。
对于异种网络的兼容性,是衡量SIEM 产品的重要指标。
3.2 安全信息和事件分析为了从下面的不同安全架构下收集信息,需要提供一个可以升级的多层和无需代理的架构。
事件收集包括安全事件、网络事件、系统事件和应用事件。
收集到这些事件以后,所有信息都要按照统一规格,压缩和存档到一个加密的日志文件中。
如果信息按照不同的格式存储,会浪费存储空间,并且导致处理困难。
所以在存储的时候,需要按照自定义的统一格式进行。
为了节省空间和保密,还需要进行压缩和加密存储。
实时事件数据被发送到信息和事件管理设备以后,需要关联告警。
例如:防火墙和IDS 的告警有可能是相关的。
不同的网络安全设备,对于同样一个攻击事件的日志和告警是不同的。
将这些告警关联起来,可以准确定位告警原因。
单一的设备告警,有可能信息模糊不清。
多种设备告警的相互印证,多角度的分析,才有可能准确及时的发现告警原因。
各种网络设备的日志很复杂,常常是不容易识别的数字和字符,管理员手工处理很困难。
信息和事件管理设备通过设置告警关联,才能将管理员从繁重的手工劳动中解脱出来。
拓扑威胁可视化,也是安全分析的重要需求。
文字难以快速、简洁地传递信息。
用户常常需要直观、简便的图表来实时管理威胁,这样才能及时响应安全事件。
数据库技术的成熟,使得存储和管理数据成为一种简单的事情。
使用文件方式存储数据,常常导致管理困难,数据丢失的问题。
安全信息和事件管理解决方案,可以提供一个内嵌的数据库,也可以提供一个企业级的外置数据库,同时提供行业标准ODBC。
数据库存储安全信息,通过数据库强大的查询、触发等功能,实现安全分析功能。
在安全分析中要用到事件关联、拓扑和威胁可视,在后面还会详细介绍这些技术。
3.3 网络架构企业网络架构各种各样,有小型的网络,也有分布式的大型网络。
小型网络需要管理的设备少;大型网络需要支持上千台的网络设备和主机。
安全信息和事件管理方案,要具有网络的伸缩性。
既可以独立配置,满足小型网络需要,也可以分布式配置,满足大型网络需要。
下图展示了安全信息和事件管理架构。
图3-2 独立部署和分布式部署这种架构考虑到了安全信息和事件管理系统的弹性,独立部署和分布式部署可以适应任何环境。
它允许使用控件报告监控端口,可以提供安全服务或者详细描述远端的监控状况,可以提供全面的监测报告,进行日志审计管理。
它可以使用内置的XML 等技术,用第三方接口,把监测报告和告警数据结合起来。
这种架构能够建立有效和分级的中央日志管理方式。
如上图所示,在独立部署方式中,日志发送给管理模块,管理模块将日志存储到数据库。
用户通过管理模块查询日志。
在分布式部署方式中,安全设备和主机设备,可以分别管理,互不干扰。
安全设备区域和主机设备区域分别部署一套系统,它们将相关信息发送到中心节点,存储在主数据库中。
用户在中心节点查询相关信息,也可以在安全设备区域和主机设备区域独立查询本区域信息。
3.4 安全拓扑和可视化威胁安全管理员常常遇到这样的困难:不能查看所有网络系统的安全相关事件。
安全信息和事件管理能够提供一个网络拓扑视图,管理员可以通过图形界面查看整个网络的安全状态。
这种拓扑与系统管理工具中的拓扑类似。
网络拓扑通过颜色直观的查看当前设备/主机状态的威胁,而不是泛泛的概览。
全面的安全浏览能够快速洞察整个网络架构安全状态。
拓扑图上映射的安全信息可以帮助我们以最快的时间面对重要的安全事件。
拓扑图还允许安全管理员快速掌握问题节点,以便查看特殊的安全事件。
这样就可以消灭处于萌芽状态的威胁。
下图是一个安全信息和事件管理设备安全拓扑和可视化威胁的界面。
图3-3 基于拓扑的实时威胁可视化下拉菜单3.5 监控&事件关联安全信息和事件管理提供对安全事件的实时监控。
