企业安全管理中心建设思路.docVIP

企业安全管理中心建设思路 引言 随着网络环境日趋复杂，企业所需要部署的网络安全设备和方案种类繁多，而且中间缺乏信息交互，为企业网络安全管理带来了巨大的挑战。管理人员无法对安全资源进行有效整合，各个设备只能是安全孤岛，无法最大化发挥应有价值。 面对纷繁复杂、头绪众多的网络安全管理需求，安全管理中心的集中管理理念和模式受到了越来越多的关注，业内专家及用户均已意识到必须借助专业的安全管理平台来解决问题，帮助管理人员全面掌控网络安全状态，提高工作效率，降低维护资金，以及为制定长远的安全建设决策提供有效依据。 企业安全管理中心建设目标 安全管理中心不能简单理解为单一的产品或方案的堆砌，安全管理中心是衔接网络安全管理和网络安全设备的技术桥梁，不仅包括安全资源基础管理、安全威胁集中监控、风险评估、安全审计、响应恢复等管理功能，同时还强调了与企业安全制度、流程相结合，实现管理与技术的相互支撑、并行发展。 安全管理中心的建设目标是帮助用户在管理过程中实现有效的安全资源整合，为用户提供全网安全威胁可视化的技术平台，为安全管理、安全服务提供有效的分析数据，与安全制度、流程配合实现科学高效管理，最终实现企业网络安全建设的可持续发展。 图1 安全管理中心在企业网络安全建设中的位置 企业安全管理中心的体系架构和功能 根据建设目标和特点可以设计出企业安全管理中心的体系架构，应至少包括资源平台、基础管理中心、监控运维中心、应用展现平台、支撑系统五个层面（如图2）。 图2 安全管理中心体系架构 下面具体分析一下五个层面的功能： ? 资源平台：包括被管理的安全设备、安全解决方案等，管理平台从被管资源采集Syslog、SNMP、 NetStream等多种数据源，并对原始数据进行分析、汇聚和存储。 ? 基础管理中心：图形化显示整个网络连接状况，监测安全设备的CPU、内存等占用率，并在设备异常或链路异常时提示告警；实现对网络设备的配置管理、补丁管理、用户权限管理、资产管理、性能管理、告警管理等基础管理功能；保障网络环境运行质量，降低网络出现故障的频率，帮助管理员对整个系统进行分析、管理和优化。 ? 监控运维中心： n 策略部署中心： 安全拓扑统一管理：对整网安全设备的拓扑信息进行展示，能与已划分的安全域相结合，图形化显示整网安全防护的部署情况。 安全策略集中部署：基于网络安全策略而不是单产品的向导式的配置界面，可方便配置管理多个安全设备，易于安全策略的部署、修改及维护。 配置文件及版本统一管理：解决安全设备种类各异、版本繁多的问题，提供集中的配置文件及版本管理，提高管理效率。 n 合规审计中心： 用户行为监控：结合应用特征知识库对网络中的URL、P2P应用、IM应用、游戏等用户应用行为进行全面的监控、预警、审计，快速全面掌握网络中的带宽滥用、非法上网及流量异常情况，并采取有效措施进行控制管理。可与用户管理配合实现审计到用户。 业务流向分析：通过对原始流量、NetStream等进行采集分析，对园区出口或重要业务的流向进行监控分析。 异常流量分析：通过对原始流量、NetStream等进行采集分析，快速发现、分析网络中流量异常情况，预防潜在威胁。 n 风险管理中心： 安全事件管理：对全网安全日志进行采集、关联、分析、预警，发现并降低风险，输出丰富的报表、报告，提供审计功能。并与响应管理中心、网管中心、用户管理系统配合实现安全事件联动。 病毒漏洞监控：对主机、网络病毒情况进行集中监控、预警，输出报表、报告，提供审计功能。结合漏洞知识库及人工审计提供网络的漏洞预警、脆弱性分析报告。 攻击源及拓扑定位：在获取海量信息事件、分析掌握全网安全状态的基础上，将危害严重的安全事件与网管资源（NOC，Network Operations Center）、用户资源相结合，描绘攻击拓扑，协助管理员对已发生的安全事件进行定位排查，并实现通告响应、攻击源阻断响应等丰富的响应措施解决安全问题。响应管理可与工单系统、企业原有的组织结构和流程良好结合，有效监督和提高整个安全响应效率。 ? 应用展现平台：提供综合分析数据及可视化界面，通过定时推送管理信息增强管理透明度。 n 风险评估：系统内置支持BS7799等标准的风险模型，结合资产信息进行风险评估，并提供全局的风险管理，可根据用户制定的风险预警方案进行风险报警。 n 安全预警：对网络异常流量、安全事件、应用行为进行全面监控，并与补丁库、漏洞库、资产信息等相结合，对网络中安全威胁进行识别、判断并有效预警，与工单系统、响应管理中心相结合进行预警后的防治措施。 n 安全审计：对分析后的安全信息进行报表报告展示，并进行保存，便于事后追踪取证。 n 公告信息WEB推送：将安全监控、预警等公告信息通过WEB方式定期向用户推送，提高安全管理的体验性，增强用户与管