网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


H3C电力信息网络安全加固解决方案

2013-12-30 08:53 推荐: 浏览: 171 views 字号:

摘要: 网络的发展促进了电力工业信息化的深入,但网络安全问题如洪水猛兽难以控制,传统的单点技术防护手段制标难以制本。H3C基于多年电力行业的理解,提出系统化的策略安全防护解决方案。首先将原有内部办公业务和访问internet业务分开,确保内部业务的安全,在网络出口部署...

网络的发展促进了电力工业信息化的深入,但网络安全问题如洪水猛兽难以控制,传统的单点技术防护手段制标难以制本。H3C基于多年电力行业的理解,提出系统化的策略安全防护解决方案。首先将原有内部办公业务和访问internet业务分开,确保内部业务的安全,在网络出口部署安全防护设备,同时重点加强对终端用户的管理,保证用户终端的安全、阻止威胁入侵网络,对用户的网络访问行为进行有效的控制,采用统一的安全事件分析与联动机制实现整个安全管控。

1 H3C电力信息网络安全加固解决方案介绍

基于多年参与电力行业信息化的经验,H3C公司推出电力信息网络安全加固解决方案,该解决方案主要由对终端安全防护和安全管理中心等关键部件组成。终端安全防护通过H3C公司的EAD系统实现对用户身份合法性检测、客户端安全状态评估、合法用户的授权访问、用户行为审计,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,有效地加强了用户终端的主动防御能力,同时为网络管理人员提供了有效、易用的管理工具和手段。安全管理中心通过H3C公司的事件管理中心(Seccenter)和响应管理控制中心(iMC SCC)配合并联动,事件管理中心主要完成对全网安全事件的采集、分析、关联、汇聚、报表报告展示,响应控制中心实现了安全事件与网管系统(iMC 平台)、用户管理系统(EAD/UAM)的结合,对需要响应的重要事件可灵活进行短信通知、Email通知、交换机端口控制、用户阻断、加入黑名单、在线提醒等响应操作。

通过部署EAD对终端用户进行严格的安全防护,同时通过Seccenter与Imc SCC进行联动,将不同领域的网络安全部件融合成一个无缝的安全体系,使网络的安全防护水平大大提升。介绍如何实现对用户身份合法性检测,确保安全的用户才能接入网络、以及客户端安全状态评估、合法用户的授权访问、用户行为审计、安全管理中心。

2 用户层安全防护

2.1 用户身份合法性检测――身份认证

一般对用户身份认证最常见的方式是采用“用户名+密码”进行认证,这种身份认证方式安全保障系数低,存在重大的安全漏洞,由于“用户名+密码”的方式的安全防护强度非常,对于黑客和非法入侵者来说只要盗取了相关用户身份凭证,同时由于用户经常采用弱口令,这样黑客和非法入侵者就能以任何一台设备进入网络,从而产生安全问题甚至安全事故;另外,内部员工还可以凭借本人或其他人的用户名及密码利用任一台未经过安全状态检查的设备进行入网络,这台设备就会对整个网络系统的安全产生威胁,因为被利用的设备没有经过安全状态的检查,设备自身存在的病毒、间谍软件、木马程序等恶意程序就可能在网络爆发和泛滥,严重威胁网络系统的安全。

首先在企业网内部,接入终端一般是通过交换机接入企业网络。这些接入终端的安全状态将直接影响整个网络的运行安全。为了确保只有符合企业安全标准的用户接入网络,EAD可以通过交换机的配合,强制用户在接入网络前通过802.1x方式进行身份认证和安全状态评估,帮助管理员实施企业安全策略业内最广泛的接入方式支持。同时EAD端点准入解决方案支持最广泛的接入方式,包括:802.1x、Portal、VPN、无线等多种认证接入方式,是业界目前支持接入方式种类最全的,可以满足用户在各种组网环境下实现用户接入认证

EAD iNode客户端支持无线接入

EAD iNode客户端支持802.1x、VPN、Portal接入

除基于用户名和密码的身份认证外,EAD还支持身份与接入终端的MAC地址、IP地址、所在VLAN、接入设备IP、接入设备端口号等信息进行绑定,支持智能卡、数字证书认证,增强身份认证的安全性,从而彻底杜绝了帐号盗用和非法接入等情况的出现。下图为EAD安全策略服务器侧的配置界面截图:

另外EAD安全策略服务器具备绑定信息自学习功能,自动学习绑定信息,可以减少管理员手工录入的工作量;支持一个用户绑定多对IP和MAC地址,有效解决单用户多终端问题。

2.2 用户身份合法性检测――内网外联管理

为了提高网络安全防护能力,会将原有内部办公业务和访问internet业务分开,确保内部业务的安全。这样就会形成一个用户有两台电脑来连接不同的网络,会存在用户可能有意或无意将属于不同网络的电脑混用,造成泄密。由于用“用户名+密码”的方式是不能识别设备特征的,为了避免泄密情况的出现,对于用户的身份认证还需要与电脑的硬件信息绑定起来,这样才能避免不同网络的电脑混用的情况。另外还需要可以检测用户私自通过设置代理,双网卡的方式、Modem等方式进行违反安全防护要求的网络访问。

前面介绍里面提到了EAD除基于用户名和密码的身份认证外,EAD还支持身份与接入终端的MAC地址、IP地址、所在VLAN、接入设备IP、接入设备端口号等信息进行绑定,这样针对每个网络就可以设置不同的信息来与用户名和密码进行绑定,将对用户认证的安全级别和强度大大提高了,这样不同网络的电脑就无法混用了。另外安全策略服务器与安全客户端配合可以对各种外联或代理进行禁止。无论用户采用何种方式,包括IE代理、双网卡以及内网用户通过Modem上网等都可以进行控制,以上的禁止方式,可以进行灵活选择,满足不同组网需要。

这样通过以上两种策略部署就可以彻底杜绝不同网络的电脑进行混用的情况出现。

上一期介绍了信息网络安全加固解决方案中的EAD系统如何对日常用户身份合法性进行检测,通过检测接入网络中用户的身份合法性,使非法用户无法接入网络,同时避免出现用户将属于不同网络的电脑混用带来的安全隐患,确保整个网络的安全。

解决了用户身份合法性的问题,还需要考虑对用户接入网络时的安全状态进行检测,对于不符合安全状态的用户即使通过身份合法性检测,也不能接入到网络,将这些安全状态不符合要求的用户与网络隔离开,待用户将问题修复合才能接入到网络;同时还需要用户的安全状态进行实时的监控,从而确保一旦用户在线出现问题,可以根据事先制定的策略,将不符合安全状态的用户与网络隔离开,确保网络中的其他用户不受到影响,从而使整个网络永远出一个安全的状态。

通过EAD系统对客户端的系统补丁、防病毒软件及病毒库、Windows登陆口令、应用软件安装等情况进行检测和监控,通过对客户端安全状态进行全面的评估确保用户安全的接入网络。同时在客户端安全状态评估后也提供了不同处理方式,使网络安全检查工作部署的更便捷、更人性化。

2.3 客户端安全状态评估――系统补丁、防病毒软件及病毒库检测

目前,网络基础设施成为黑客主要的攻击目标。网络安全形势日渐严峻,病毒、网络蠕虫、恶意软件、特洛伊木马、间谍软件、网络钓鱼陷阱、互联网邮件病毒以及拒绝服务(DOS)攻击等各种安全威胁事件成指数级增长。系统漏洞、IE浏览器漏洞、邮件漏洞也给病毒的传播和攻击的泛滥造成可乘之机。在众多的网络安全事件背后,普遍存在的事实是多数用户终端的安全状态存在安全隐患,用户终端的系统补丁、病毒库版本不及时更新的终端,容易遭受外部攻击,另外已感染病毒的终端,会对网络中的其他设施发起攻击。为了使用户和网络都更加安全,需要对于用户客户端的安全状态进行评估,确保符合网络安全规定的用户才可以接入到网络。

EAD系统首先在用户的身份认证获得通过,再对用户的接入设备进行安全状态评估(包括防病毒软件,系统补丁等),根据安全状态的检查结果实施接入控制策略,使健康的用户进入网络,不健康的用户放在隔离区强制进行病毒库或补丁的升级,从而使入网的用户和设备有较高的健康度和可信度。EAD通过对终端安全状态的检查,使得只有符合企业安全标准的终端才能正常访问网络,同时,配合不同方式的身份验证技术(802.1x、Portal等),可以确保接入终端的合法与安全。

EAD系统可以灵活配置安全策略,协助评估客户端安全状态。管理员可以进行的安全认证检查包括终端病毒库版本检查、终端补丁检查、终端安装的应用软件检查、是否有代理、拨号配置等;为了更好的满足客户的需求,EAD客户端支持和微软SMS(WSUS)、LANDesk、BigFix等业界桌面安全产品的配合使用,支持和瑞星、江民、金山、Symantec、MacAfee、Trend Micro、安博士、卡巴斯基等国内外主流病毒厂商联动。例如EAD可充分利用微软成熟的桌面管理工具,由SMS(WSUS)实现各种Windows环境下用户的桌面管理需求:资产管理、补丁管理、软件分发和安装等。

EAD系统同时可以根据实际情况来制定补丁安装的策略,可以做到只安装重要的补丁,另外可以根据日常网络维护的经验将一些安装后容易引起系统问题的补丁不要求安装。下图为EAD系统补丁安装策略操作界面。

2.4 客户端安全状态评估――Windows弱口令检测

很多情况用户对于Windows登陆口令秘密设置的很简单甚至不设置,这样电脑很容易就被入侵,从而使电脑里面的重要资料外泄,针对这点EAD系统可以对用户的Windows登陆口令密码强度进行检测,对于那种简单的密码和不设置密码的用户同样不能接入到网络之中,必须修改密码在符合要求的强度之后才能接入到网络。

2.5 客户端安全状态评估――应用软件安装状态

有的时候用户安装了一些软件也给网络带来安全隐患,EAD系统提供黑白软件统一管理功能。管理员可根据企业的IT政令,在安全策略服务器定义员工终端黑白软件列表,通过安全客户端实时检测、网络设备联动控制,完成对用户终端的软件安装运行状态的统一监控和管理。

管理员根据软件运行的进程名称,在安全策略服务器定义黑白软件列表;同时对每一种受控软件规则定义相应的安全模式,即当用户终端接入网络时,安全客户端发现该规则被违反时,系统采取的策略。其次,管理员在安全策略中添加黑白软件控制规则。

在安全策略服务器完成对黑白软件列表和安全策略中软件控制部分的定义之后,用户终端的软件安装状态便可以通过EAD解决方案来完成统一监控和管理。

2.6 客户端安全状态评估――多种处理方式

对于EAD的应用,经常会有用户担心部署了EAD系统会带来带来很多麻烦,EAD解决方案除了基本的下线模式外还有多种应用模式,在实际部署之中可以根据不同的用户制定不同应用模式,使部署更加灵活方便。

EAD解决方案对于每一种安全状态的检测,按照处理模式可分为隔离模式、警告模式、监控模式。

三种模式对于实现的终端安全状态监控功能各有不同,对安全设备的要求也不相同。可以根据自己的安全管理政策决定采用哪一种模式。例如对于重要的网络用户,比如领导,管理员对其网络访问的管理也可应用监控模式,只了解用户的安全状态,不做任何处理,待用户方便的时候再进行处理。

2.7 合法用户动态授权――实现内部安全策略控制

身份认证是网络端点准入控制的基础。从网络接入端点的安全控制入手,结合认证服务器、安全策略服务器、网络设备、802.1x协议以及第三方软件系统(病毒和系统补丁服务器,如LANDESK),杜绝企业员工对不良网站和危险资源的访问,防止间谍软件、恶意代码等软件对企业内网带来的安全风险。

EAD解决方案在保证终端用户具备自防御能力并安全接入的前提下,通过动态分配ACL、VLAN等合理控制用户的网络权限,保障网络资源的合法使用和网络环境的安全,提升网络的整体安全防御能力。

在用户终端通过病毒、补丁等安全信息检查后,EAD可基于终端用户的角色,向安全联动设备下发事先配置的接入控制策略,按照用户角色权限规范用户的网络使用行为。终端用户的所属VLAN、ACL访问策略、是否禁止使用代理、是否禁止使用双网卡等安全措施均可由管理员统一配置实施。

2.8 用户行为审计

EAD解决方案除支持用户名、密码与接入终端的MAC地址、IP地址、所在VLAN、接入设备IP、接入设备端口号等信息进行绑定之外,结合EAD强大的用户身份、权限的管理和UBAS详尽的用户网络行为日志,可以实现:

精确到用户的网络行为审计:充分结合EAD完善的用户帐号、卡号管理和UBAS基于用户IP地址的日志审计,将网络行为审计精确定义到用户个体;

完善的网络行为跟踪:充分利用UBAS各类日志信息,轻松掌握EAD管理的帐号用户、卡号用户的网络行为,如访问哪些网站,访问哪些网页(DIG组网环境)、发送哪些Email(DIG组网环境)、发送哪些文件(DIG组网环境)等。

准确的非法网络行为用户定位:利用EAD的设备IP地址、接入端口、VLAN、用户IP地址和MAC地址等信息绑定功能,对进行非法网络行为的用户一经发现,即时准确定位。

3 网络层安全设计

3.1 虚拟防火墙解决方案

以企业的具体业务模式为依据,企业中的不同业务总是可以根据其重要程度划分为不同的安全等级和安全区域。对于高等级的安全区域需要更加严格的访问控制和安全保护。本组网利用Secblade和基础网络的融合实现园区网整体安全防护。在汇聚层利用SecBlade和95产品的组合对企业网中的核心安全区域实现进一步的安全防护。

这样的组网模式能够满足企业对不同安全区域的安全等级划分,并且可在不同区域间实现独立安全策略的制定,从而使整网拓扑大大简化,在保持高扩展性的基础上减轻了管理的复杂度。

因此,对企业信息管理人员来说,如何灵活方便的实现企业各业务部门的安全区域划分,以及如何在安全区域之间有控制的互访成为其非常关注的问题。这也对安全区域隔离“利器”――防火墙提出了更高的要求。

为此,H3C推出了虚拟安全解决方案,灵活运用虚拟防火墙技术,旨在解决复杂组网环境中大量VPN的独立安全策略需求所带来的网络拓扑复杂、网络结构扩展性差、管理复杂,用户安全拥有成本高等几大问题。通过在汇聚交换机上面配置的防火墙插卡解决不同区域内的安全防护。

3.1.1?重点楼层重点客户安全防御方案

在网络中,总有些客户对于自己部门或者自己的数据信息安全特别敏感,而且他们的信息也是极为重要的。为解决传统基于VLAN和ACL的内网访问控制解决方案的不足,H3C提出了以防火墙为核心的内网访问控制解决方案。其核心是可以插入交换机中的SecBlade防火墙模块,通过SecBlade防火墙模块对内网各个VLAN之间的访问进行精细化的控制。同时配合交换机的端口隔离特性,实现对同一VLAN内终端之间的访问限制。

为了对这些用户提供保护,我们可以在汇聚交换机中配置H3C SecBlade防火墙插卡进行数据保护业务。其优点是:

实现病毒防护和业务控制双重功能。

在防火墙上配置安全访问策略,设置访问权限,保护内部网络的安全。

SecBlade防火墙插卡具有对业务的良好支持,作为NAT ALG或者ASPF过滤,都能够满足正常业务的运行。

SecBlade防火墙插卡易于管理,让管理员舒心。

SecBlade利用虚拟防火墙技术实现为不同业务和用户实现不同安全防护。

虚拟防火墙是一个逻辑概念,可以在一个单一的硬件平台上提供多个防火墙实体,即,将一台防火墙设备在逻辑上划分成多台虚拟防火墙,每台虚拟防火墙都可以被看成是一台完全独立的防火墙设备,可拥有独立的管理员、安全策略、用户认证数据库等。每个虚拟防火墙能够实现防火墙的大部分特性。每个虚拟防火墙之间相互独立,一般情况下不允许相互通信。

H3C SecPath/SecBlade虚拟防火墙具有如下技术特点:

每个虚拟防火墙维护自己一组安全区域;

每个虚拟防火墙维护自己的一组资源对象(地址/地址组,服务/服务组等)

每个虚拟防火墙维护自己的包过滤策略

每个虚拟防火墙维护自己的ASPF策略、NAT策略、ALG策略

限制每个虚拟防火墙占用资源数:防火墙Session以及ASPF Session数目

除此之外,在防火墙的日常维护工作中,主要的工作就是定义和维护大量的访问控制策略,正是因为这样的应用,用户需要一种强大,直观,简便的管理工具来对防火墙设备进行管理,尤其是在增加了虚拟防火墙特性之后。H3C系列防火墙的面向对象配置管理技术充分考虑到管理员在一台设备上管理多种配置的复杂性,提供了对地址资源、服务资源、网络流量的形象化定义,让用户可以将网络中的网段、主机和服务等各种资源抽象为更加直观的、便于记忆和理解的对象。

SecBlade防火墙模块是将交换机的转发和业务的处理有机融合在一起,使得交换机在高性能数据转发的同时,能够根据组网的特点处理安全业务。

SecBlade 防火墙模块可以对需要保护的区域进行策略定制,可以支持所有报文的安全检测,同时SecBlade 防火墙模块支持多安全区域的设置,支持Secure VLAN,对于需要防火墙隔离或保护的VLAN区域,用户可以将Secure VLAN绑缚到其中的一个SecBlade 防火墙插卡上,这样可以通过设置Secure VLAN来对交换机内网之间(不同VLAN之间)的访问策略进行定制。

此外,端口隔离也是内网访问控制的一个有效手段,端口隔离是指交换机可以由硬件实现相同VLAN中的两个端口互相隔离。隔离后这两个端口在本设备内不能实现二、三层互通。当相同VLAN中的主机之间没有互访要求时,可以设置各自连接的端口为隔离端口。这样可以更好的保证相同安全区域内主机之间的安全。即使非法用户利用后门控制了其中一台主机,也无法利用该主机作为跳板攻击该安全区域内的其他主机。并且可以有效的隔离蠕虫病毒的传播,减小受感染主机可能造成的危害。

3.2 部署防ARP攻击解决方案

当计算机连接正常,却无法打开网页;或者计算机网络出现频繁断线,同时网速变得非常慢,这些都可能是网络中存在ARP欺骗攻击所表现出来的网络现象。

ARP欺骗攻击不仅会造成联网不稳定,引发用户无法上网,或者企业断网导致重大生产事故,而且利用ARP欺骗攻击可进一步实施中间人攻击,以此非法获取到游戏、网银、文件服务等系统的帐号和口令,对被攻击者造成利益上的重大损失。因此ARP欺骗攻击是一种非常恶劣的网络攻击行为。

ARP攻击已经对各行各业网络造成了巨大威胁,但一直没有得到有效的解决。连我们熟知的杀毒软件、防火墙都挡不住ARP 欺骗攻击。主要由于ARP欺骗攻击的木马程序,通常会伪装成常用软件的一部分被下载并被激活,或者作为网页的一部分自动传送到浏览者的电脑上并被激活,或者通过U盘、移动硬盘等方式进入网络。由于木马程序的形态特征都在不断变化和升级,杀毒软件常常会失去作用。

H3C ARP攻击防御解决方案通过对客户端、接入交换机和网关三个控制点实施自上而下的“全面防御”,并且能够根据不同的网络环境和客户需求进行“模块定制”,为用户提供多样、灵活的ARP攻击防御解决方案。

H3C提供两类ARP攻击防御解决方案:监控方式,认证方式。监控方式主要适用于动态接入用户居多的网络环境,认证方式主要适用于认证方式接入的网络环境;实际部署时,建议分析网络的实际场景,选择合适的攻击防御解决方案。另外,结合H3C独有的iMC智能管理中心,可以非常方便、直观的配置网关绑定信息,查看网络用户和设备的安全状况,不仅有效的保障了网络的整体安全,更能快速发现网络中不安全的主机和ARP攻击源,并迅速做出反映。

3.2.1?功能特点

更灵活。提供监控模式和认证模式两大类方案,认证方案支持IEEE 802.1X和Portal两种认证模式,组网方式多样、灵活。

更彻底。多种方式组合能够全面防御新建网络ARP攻击,切实保障网络稳定和安全。

保护投资。对接入交换机的依赖较小,可以较好的支持现有网络的利旧,兼容大部分现有网络场景,有效保护投资。

适用性强。解决方案适应动态和静态两种地址分配方式,通过终端、接入交换机、网关多种模块的组合,适用于各种复杂的组网环境。

H3C ARP攻击防御解决方案的推出,为教育、金融、政府、企业等客户网络彻底解决了ARP欺骗攻击的问题,其“全面防御 模块定制”的理念,能够满足新旧网络的不同需要,让ARP欺骗攻击从此不再困扰!

3.2.2?典型应用

一、监控方式

监控方式也即DHCP Snooping方式,适合大部分主机为动态分配IP地址的网络场景。实现原理:接入层交换机监控用户动态申请IP地址的全过程,记录用户的IP、MAC和端口信息,并且在接入交换机上做多元素绑定,从而在根本上阻断非法ARP报文的传播。

另外,ARP泛洪攻击会产生大量的ARP报文,消耗网络带宽资源和交换机CPU资源,造成网络速度急剧降低。因此可以在接入交换机部署ARP报文限速,对每个端口单位时间内接收到的ARP报文数量进行限制,避免ARP泛洪攻击,保护网络资源。

二、认证方式

认证方式适合网络中采用认证登陆的场景,通过H3C?CAMS服务器、H3C iNode智能客户端与接入交换机和网关的联动,全方面的防御ARP攻击。

实现原理:认证方式是客户端通过认证协议登陆网络,认证服务器识别客户端,并且将事先配置好的网关IP/MAC绑定信息下发给客户端,实现了ARP报文在客户端、接入交换机和网关的绑定,使得虚假的ARP报文在网络里无立足之地,从根本上防止ARP病毒泛滥。

H3C认证方式包括IEEE802.1X和Portal两种方案,充分考虑了新建和利旧网络的不同网络场景,方案全面有效。

4 统一安全管理及联动

随着安全威胁日益严重,企业对网络安全防御体系的投入和复杂度都在不断增加,随之而来的是大量针对安全管理的新挑战:

安全资源无法整合:安全设备众多,缺少集中管理,设备间形成信息孤岛,安全建设投资回报率低。

海量信息:安全事件不断涌现,很难抓住重点,巨大的工作量也不能带来决策依据。

安全威胁无法可视化:缺少技术平台提供全网安全状态,对攻击事件快速定位排差,

及时响应。

企业网络缺乏安全专家来解决、分析问题:难以应对越来越多的安全要求规范,企业安全管理、安全建设缺少科学、有效的分析数据。

综上所述,企业需要专业化的安全管理技术平台来支撑网络安全建设的可持续发展,通过全面、集中的安全事件管理,智能、综合的事件分析,智能、及时的协同响应,将不同领域的网络安全部件融合成一个无缝的安全体系,成为下一代整网安全解决方案的发展趋势。

H3C的安全管理中心解决方案集监控管理、分析管理、响应管理于一体,与网络中的安全产品、安全方案、网络设备、用户终端等独立功能部件通过各种信息交互接口形成一个完整的协同防御体系,如图1所示。

H3C安全管理中心实现统一安全管理

H3C安全管理中心解决方案主要组成设备为事件管理中心(SecCenter)和响应管理控制中心(iMC SCC),事件管理中心主要完成对全网安全事件的采集、分析、关联、汇聚、报表报告展示,响应控制中心实现了安全事件与网管系统(iMC 平台)、用户管理系统(EAD/UAM)的结合,对需要响应的重要事件可灵活进行短信通知、Email通知、交换机端口关闭、用户下线、加入黑名单、在线提醒等响应操作。

H3C 安全管理中心解决方案融合了安全事件资源、设备资源、用户资源,通过监控管理、分析管理、响应管理,构成闭环的管理系统,实现了全网统一安全管理。

监控管理

实现对多厂家的各类安全设备、安全方案产生的安全事件进行实时采集、查看,生成丰富的安全报表、法规遵从性报告,将安全事件转化为直观的可视化安全威胁信息,帮助网络管理员快速、有效的掌握全网安全状况。

分析管理

对海量的安全事件进行降噪处理,将离散的数据整合成规则的安全事件信息,对安全事件进行深度查询、审计分析及安全威胁风险评估。

响应管理

在获取海量信息事件,分析掌握全网安全状态的基础上,将危害严重的安全事件与设备资源、用户资源相结合,对攻击源进行拓扑定位,描绘攻击拓扑,协助管理员对已发生的安全事件进行定位排查,并可通过响应联动功能对攻击源进行控制、下线、提醒。

4.1 功能特点

整网统一安全管理

H3C的安全管理中心解决方案可提供全网安全事件统一管理,兼容主流厂商日志格式,不仅能够支持H3C各种类型设备,同时可以支持业界主流安全产品,支持产品类型高达上百种,实现整网安全设备的管理。

深入的事件分析关联

H3C的安全管理中心解决方案可对海量的安全事件进行分析汇聚,将离散的数据进行整合、排序,并可根据预定义或用户自定义的关联告警模板,过滤掉重复信息及非关注信息,实现信息降噪。通过关联告警,管理者可以从上百种不同网络设备中查看关联事件,快速发现真正的安全隐患。

丰富的报表报告

H3C安全管理中心可提供丰富的图形化界面,可针对攻击源、攻击目的、响应联动等提供丰富的报表,并支持直方图、饼图、趋势图、列表等多种形式的报表输出,供管理员定位和管理。

报表展示

直观的攻击拓扑展示

H3C公司安全管理中心解决方案突破了单一的安全资源管理,实现了将安全资源、网络资源、用户资源相结合的综合安全管理,可生成宏观安全拓扑视图及单个攻击事件的攻击路径,管理员还可在安全拓扑上可查看安全事件详细信息,安全拓扑旨在提供丰富直观的安全及网络信息供管理员定位排差问题。

攻击拓扑

安全威胁及时响应管理

H3C安全管理中心解决方案实现了安全事件管理系统与响应管理系统的紧密结合,管理者可结合安全拓扑功能中的详细攻击信息、定位信息、用户信息等综合信息进行定位排差,在响应管理中心对执行动作、手动执行、自动执行等联动策略进行配置,通过响应管理功能完成交换机端口关闭、用户阻断、黑名单管理、用户在线提醒等响应控制操作,并可对响应操作进行日志记录,便于日后查证。

方便灵活的部署

H3C安全管理中心解决方案主要组成设备为事件管理中心(SecCenter)和响应管理控制中心(iMC SCC),iMC软件平台安装简单管理方便,SecCenter作为硬件设备无兼容性要求,中文界面的操作简单易用。模块化的设计理念使得方案可扩展,部署灵活,可根据企业需求选择可视级、可控级、扩展级部署。

4.2 典型应用

H3C安全管理中心解决方案部署于电力企业网内部,作为企业整网安全管理的枢纽。方案部署方便、灵活。事件管理中心(SecCenter)为硬件设备,响应管理控制中心(iMC SCC)为软件产品,可与H3C iMC 网管平台安装在一起,通常建议部署在管理区域。另针对仿冒IP地址、MAC地址行为,建议在接入交换机上配置IP check、ARP detection等功能, 以便安全管理中心更准确定位攻击源并进行联动。

应用场景说明: 当防火墙、IPS等识别到内网发生的攻击(如扫描攻击、蠕虫攻击等)时会阻断攻击并上报日志,但此时安全隐患仍然存在,攻击者仍然在试图寻找网络漏洞发起新的攻击,并不断增加IPS、防火墙的系统负担。管理者可通过安全管理中心解决方案及时了解这些安全预警并对日志内容进行定位,并通过与网管平台、EAD终端准入系统联动实现交换机关闭端口、用户下线、加入黑名单、在线提醒等响应策略,也可以通过企业行政手段对攻击者进行处罚,真正发现并解除安全隐患。

联系站长租广告位!

中国首席信息安全官


关闭


关闭