网络安全集中监管系统ytao.pptxVIP

网络安全集中监管系统 北大青鸟环宇科技股份有限公司 问题的提出 系统原理 系统目标 系统设计 内容组织 目前的安全状况 ——产品分布 总产值：19亿 目前的安全状况 ——产品布局 网络边界防护：防火墙 传输加密：密码机 内部和主机：入侵检测、扫描 主机：防病毒 目前的安全状况——实施特点 只提供部分、有限的安全体系指导 边界保护为主，缺乏整体安全措施 静态性 • 难于发现安全产品的动态配置更改（特别是非授权更改） • 缺乏有效审计功能（缺乏针对某时间段的，整体网络安全状况分析数据 ） 离散性 缺少信息互通和关联，缺乏综合分析 单点管理或单线管理，人员配置困难 目前的安全状况 ——客户的担心 安全应达到什么程度？15%投资？ 分布的安全产品工作策略如何？ 安全产品配置的更改能否被及时发现？ 部分失效与全局安全关系如何？ 全网范围的安全基本情况如何？ 地方安全专业人才短缺，如何发挥总部人才优势？ 大型分布式内联网络的安全事件如何查处？ 解决之道 对网络安全设备进行集中监管 系统原理 系统目标 构建安全防护与监控体系——“安全域 ” 统一监控管理路由器、防火墙、入侵检测、漏洞扫描、各种Web服务等网络安全产品，使之互相协同工作，进行数据综合性、关联性分析和处理，为企业的网络安全提供全面战略指导，达到整体、动态、立体的安全防护和监控目的。 系统管理信息传输占用的网络带宽不能过大 系统足够安全可靠，其加入不会导致新的安全问题 系统的运行不影响被管理安全产品的原有管理方式 支持多级层次化管理以适应大型分布式网络需要 系统优点 对路由器、防火墙、入侵检测、拨号身份认证系统等安全产品的统一监视为机构提供全面了解网络安全情况的整体、动态视窗； 根据采集过来的信息进行综合性、关联性分析，对网络安全事件进行定位、追踪、报警，评估网络安全状况； 能够对负责的所有安全产品统一配置管理，如关闭/重启安全产品，修改配置规则，监测工作状态等； 统一用户界面下集中管理多种类型产品，简化安全管理，提高管理人员工作效率。 系统运行环境 系统总体结构 采集子系统 采集信息： 设备配置信息 设备日志 设备运行状态 网络流量统计 预处理 简单分类、过滤、统计、汇总等 采集方式： 主动上报方式 定时上报、紧急上报 查询方式 抽样方式 决策分析子系统 安全信息 人机交互 策略制定 配置策略 响应策略 策略－命令 描述 转换 模块 安全策 略库 安全信息 安全数据 安 全 管 理 员 信 息 采 集 子 系 统 决策分析子系统 数据 库 数据 处理 模块 安全分析 决策模型 控 制 子 系 统 按照安全策略的要求，制定决策分析模型，根据国家行业法规、安全事件历史、专家安全建议以及采集到的安全信息，实现用户行为追踪、行为关联分析、网络异常发现等功能。设备配置信息 安全 策略 下达 事件报警子模块 事件报警子模块 事件报警子模块隶属于数据处理模块，是分析决策子系统的一个重要的组成部分。来自于此模块的报警信息将是分析决策的基础之一。 值得一提的是，在标准MIB II中有一个RMON MIB，是对管理功能的重要扩展，我们在此基础上可以很方便地设计报警表管理器： ernet.mgmt.mib-2.rmon.alarm (.2.1.16. 3)组——定义报警触发阈值 ernet.mgmt.mib-2.rmon.event (.2.1.16. 9)组——定义报警处理方式 所有报警记录将进入报警日志以备查询和分析。 控制子系统 按照安全策略的要求，控制子系统实现对不同安全设备的统一管理。包括远程修改设备配置、启停安全设备等关键功能。 安全子系统 为保护系统内各安全子系统之间信息传输的安全性，采用身份认证、数据完整性保护和加密等方式在各子系统之间建立信息的安全传输通道 三种不同的实现方式 SNMP over IPSec HTTP-XML over SSL SNMP over HTTP Tunnel 人机交互子系统（一） 提供灵活的、直观的、易于使用的图形用户接口，实现安全状态可视化，支持多种格式的报表输出。 总控界面 人机交互子系统（二） 子网拓扑图 MIB浏览器 流量信息统计 系统难点 安全管理协议及标准 • 需要考虑到协议的兼容性（双语代理），通信安全特性考虑 不同种类安全产品和策略整合、分析 • 可参照Cisco CSPM（整合PIX/IOS防火墙，VPN网关，IDS等） • “策略”的自然语义 ——对在源和目的设备/地址之间发生的某种服务，允许否 if（