网络安全维护的必备工具.doc

SecviewSOC

网络安全维护的必备工具

一、网络安全现状

大部分的网络如图组成：

网络设备、安全设备、服务器、应用系统、数据库、环境监控

虽然用户购买了FIREWALL、NIDS、防病毒系统等安全设备但是还是有大量的安全隐患存在和安全发生事件：

安全事件不能及时准确发现

海量事件（海量的安全事件充斥着大量不可靠的信息，从而变的毫无价值。网络设备、安全设备、系统都会不可避免的产生对网络不会造成影响的无效事件，有的设备事件报警一天可以上万甚至几十万，人工分析已经变得不可能）

误报问题（典型的如NIDS、IPS）

漏报问题（如未知病毒、未知网络攻击、未知系统攻击）

漏报另一大原因：缺乏重要服务器、网络设备的安全日志实时分析（NIDS虽然能够防御网络攻击，但是黑客利用对服务器、网络设备系统漏洞却一筹莫展，这就要求对重要的服务器、网络设备除了做好安全加固外，还需要实时对系统安全日志做分析监控，当非法用户或超级权限用户探测系统信息的时候，就会在安全日志里迅速地记下服务器、网络设备被探测时所用的用的IP、时间、探测所用的用户名和密码等等，一旦管理员发现此事件可以及时采取措施;;对于安全设备如firewall每天产生大量日志,里面有黑客预攻击或者扫描的记录,由此可见实时日志审计的重要性。但是每台服务器或网络设备每天产生的日志可能有上千条甚至几十万条，这样人工地对多个安全系统的大量日志进行实时审计、分析流于形式。）

安全事件不能准确定位

事件孤立相互之间无法形成很好的集成关联，给系统管理员提供的控制台各种各样，一个事件的出现不能关联到真实问题。（如NIDS事件报警，关联同一时间防火墙报警、被攻击的服务器安全日志报警等，从而了解是真实报警还是误报；如未知病毒的攻击，分为2类网络病毒、主机病毒，网络病毒大都表现为流量异常，主机病毒大都的表现CPU异常、MEM异常、DISK空间异常、文件的属性和大小改变等，要发现这个问题，需要关联流量监控（网络病毒）、关联服务器运行状态监控（主机病毒）、关联完整性检测（主机病毒）来发现，为了大规模在网络内爆发前，必须快速发现问题在中毒机器源头切断；如发现网络流量异常，超过正常阀值，那么在网络设备的端口出会报警，在这个情况并不能确定问题原因，需要通过事件关联，发现网络设备所在上级和下级网络设备是否报警，首先能够确定网络流量异常所在位置，然后根据所在的Sniffer、NDIS、日志分析系统是否发现安全报警，如果存在说明是未知网络攻击行为或者是未知网络病毒；如果没有那么可能是正常量增大造成的。如服务器的宕机，可能是安全事件遭病毒感染，DDOS攻击，可能是服务器健康CPU超负荷，端口某服务流量太大，访问量太大等，必须将多种因素结合起来才能更好分析，快速知道真实问题点及时恢复正常。……）

没法做集中的事件自动统计

无法自动了解某台服务器的安全情况报表，所有机房发生攻击事件的频率报表；网络中利用次数最多的攻击方式报表；发生攻击事件的网段报表；服务器性能利用率最低的服务器列表等等。需要管理员人为去对这些事情做统计记录，生成报告，耗费大量人力。

没有有效的事件处理查询

没有对事件处理的整个过程作跟踪记录，信息部门主管不了解哪些管理员对该事件作了处理，处理结果过程没有做记录，处理得知识经验不能得到共享，导致下次再发生同类事件时，处理效率的低下。

缺乏专业的安全技能

管理员发现问题后，因为安全知识的不足导致事件迟迟不能被处理，影响网络的安全性、延误网络的正常使用。

二、SECVIEW能够解决的问题

自网络和互联网技术和使用被广泛的运行以来，暴露出较多的安全隐患和因为内部员工的误操作或恶意破坏造成的严重损失。为了预防和降低安全和系统故障对用户造成的危害，由信息中心对所属的业务进行集中式的监控维护，并对安全产品实现集中监控，建立统一的网络安全监控和响应中心，对安全事故做到防患于未然、及时发现、及时处理解决和追踪危害来源。

对需要保护的用户进行安全意外、系统故障和非正常宕机现象进行事前的预警、事中的紧急处理和事后的问题分析和总结。

SECVIEW集中监控平台的主要核心不仅仅是产品本身，更重要的是建立一个一级监控、二级维护的体系。

劳动力节省，提高维护效率

用户只需要在一个平台上就可以了解网络中重要资产，网络设备、服务器和应用服务、数据库的运行状况中和发生的安全事件，每个设备产生的大量的安全事件，而造成的海量事件，通过SECVIEW筛选过滤器，可以将大量无效信息过滤，将真实报警展现给用户。简化了公司网络安全维护。

弥补安全的不足，提高整体安全性

弥补不足：通过SECVIEW日志分析系统，对系统、设备安全做实时监控，有效提高了重要服务器、设备的安全。

误报：通过SECVIEW关联分析有效降低NIDS的误报问题

漏报问题：通过SEC