1、網(wǎng)絡(luò)安全集中監(jiān)管系統(tǒng) 北大青鳥環(huán)宇科技股份有限公司問題的提出 系統(tǒng)原理系統(tǒng)目標(biāo)系統(tǒng)設(shè)計內(nèi)容組織目前的安全狀況 產(chǎn)品分布總產(chǎn)值：19億 目前的安全狀況 產(chǎn)品布局 網(wǎng)絡(luò)邊界防護(hù)：防火墻 傳輸加密：密碼機 內(nèi)部和主機：入侵檢測、掃描 主機：防病毒目前的安全狀況實施特點只提供部分、有限的安全體系指導(dǎo)邊界保護(hù)為主，缺乏整體安全措施靜態(tài)性 難于發(fā)現(xiàn)安全產(chǎn)品的動態(tài)配置更改（特別是非授權(quán)更改） 缺乏有效審計功能（缺乏針對某時間段的，整體網(wǎng)絡(luò)安全狀況分析數(shù)據(jù) ）離散性缺少信息互通和關(guān)聯(lián)，缺乏綜合分析 單點管理或單線管理，人員配置困難目前的安全狀況 客戶的擔(dān)心 安全應(yīng)達(dá)到什么程度？15%投資？ 分布的安全產(chǎn)品工作

2、策略如何？ 安全產(chǎn)品配置的更改能否被及時發(fā)現(xiàn)？ 部分失效與全局安全關(guān)系如何？ 全網(wǎng)范圍的安全基本情況如何？ 地方安全專業(yè)人才短缺，如何發(fā)揮總部人才優(yōu)勢？ 大型分布式內(nèi)聯(lián)網(wǎng)絡(luò)的安全事件如何查處？ 解決之道對網(wǎng)絡(luò)安全設(shè)備進(jìn)行集中監(jiān)管系統(tǒng)原理安全決策專家安全建議國家行業(yè)法規(guī)用戶行為追蹤行為關(guān)聯(lián)分析網(wǎng)絡(luò)異常發(fā)現(xiàn)安全事件告警策略自動分配可視安全狀態(tài)人性操作界面安全事件歷史安全控制分布管理集中管理異步調(diào)用跨平臺開放接口加密通信信息采集網(wǎng)絡(luò)運行狀況網(wǎng)絡(luò)流量信息用戶行為數(shù)據(jù)產(chǎn)品審計信息產(chǎn)品更換升級策略措施調(diào)整產(chǎn)品技術(shù)公告攻擊技術(shù)公告系統(tǒng)目標(biāo)構(gòu)建安全防護(hù)與監(jiān)控體系“安全域 ”統(tǒng)一監(jiān)控管理路由器、防火墻、入侵檢測

3、、漏洞掃描、各種Web服務(wù)等網(wǎng)絡(luò)安全產(chǎn)品，使之互相協(xié)同工作，進(jìn)行數(shù)據(jù)綜合性、關(guān)聯(lián)性分析和處理，為企業(yè)的網(wǎng)絡(luò)安全提供全面戰(zhàn)略指導(dǎo)，達(dá)到整體、動態(tài)、立體的安全防護(hù)和監(jiān)控目的。系統(tǒng)管理信息傳輸占用的網(wǎng)絡(luò)帶寬不能過大系統(tǒng)足夠安全可靠，其加入不會導(dǎo)致新的安全問題 系統(tǒng)的運行不影響被管理安全產(chǎn)品的原有管理方式支持多級層次化管理以適應(yīng)大型分布式網(wǎng)絡(luò)需要 系統(tǒng)優(yōu)點對路由器、防火墻、入侵檢測、撥號身份認(rèn)證系統(tǒng)等安全產(chǎn)品的統(tǒng)一監(jiān)視為機構(gòu)提供全面了解網(wǎng)絡(luò)安全情況的整體、動態(tài)視窗；根據(jù)采集過來的信息進(jìn)行綜合性、關(guān)聯(lián)性分析，對網(wǎng)絡(luò)安全事件進(jìn)行定位、追蹤、報警，評估網(wǎng)絡(luò)安全狀況；能夠?qū)ω?fù)責(zé)的所有安全產(chǎn)品統(tǒng)一配置管理，如關(guān)

4、閉/重啟安全產(chǎn)品，修改配置規(guī)則，監(jiān)測工作狀態(tài)等；統(tǒng)一用戶界面下集中管理多種類型產(chǎn)品，簡化安全管理，提高管理人員工作效率。系統(tǒng)運行環(huán)境系統(tǒng)總體結(jié)構(gòu)采集子系統(tǒng)采集信息：設(shè)備配置信息設(shè)備日志設(shè)備運行狀態(tài)網(wǎng)絡(luò)流量統(tǒng)計預(yù)處理簡單分類、過濾、統(tǒng)計、匯總等 采集方式：主動上報方式定時上報、緊急上報查詢方式抽樣方式?jīng)Q策分析子系統(tǒng) 安全信息 人機交互 策略制定 配置策略 響應(yīng)策略 策略命令 描述轉(zhuǎn)換模塊 安全策略庫 安全信息 安全數(shù)據(jù) 安全管理員 信息采集子系統(tǒng) 決策分析子系統(tǒng) 數(shù)據(jù) 庫 數(shù)據(jù)處理模塊 安全分析決策模型 控制子系統(tǒng) 按照安全策略的要求，制定決策分析模型，根據(jù)國家行業(yè)法規(guī)、安全事件歷史、專家安全建

5、議以及采集到的安全信息，實現(xiàn)用戶行為追蹤、行為關(guān)聯(lián)分析、網(wǎng)絡(luò)異常發(fā)現(xiàn)等功能。設(shè)備配置信息安全策略下達(dá)事件報警子模塊事件報警子模塊 事件報警子模塊隸屬于數(shù)據(jù)處理模塊，是分析決策子系統(tǒng)的一個重要的組成部分。來自于此模塊的報警信息將是分析決策的基礎(chǔ)之一。 值得一提的是，在標(biāo)準(zhǔn)MIB II中有一個RMON MIB，是對管理功能的重要擴(kuò)展，我們在此基礎(chǔ)上可以很方便地設(shè)計報警表管理器： ernet.mgmt.mib-2.rmon.alarm (.2.1.16. 3)組定義報警觸發(fā)閾值 ernet.mgmt.mib-2.rmon.event (.2.1.16. 9)組定義報警處理方式 所有報警記錄將進(jìn)入報警

6、日志以備查詢和分析。控制子系統(tǒng)按照安全策略的要求，控制子系統(tǒng)實現(xiàn)對不同安全設(shè)備的統(tǒng)一管理。包括遠(yuǎn)程修改設(shè)備配置、啟停安全設(shè)備等關(guān)鍵功能。 安全子系統(tǒng)為保護(hù)系統(tǒng)內(nèi)各安全子系統(tǒng)之間信息傳輸?shù)陌踩裕捎蒙矸菡J(rèn)證、數(shù)據(jù)完整性保護(hù)和加密等方式在各子系統(tǒng)之間建立信息的安全傳輸通道三種不同的實現(xiàn)方式SNMP over IPSecHTTP-XML over SSLSNMP over HTTP Tunnel人機交互子系統(tǒng)（一）提供靈活的、直觀的、易于使用的圖形用戶接口，實現(xiàn)安全狀態(tài)可視化，支持多種格式的報表輸出。總控界面人機交互子系統(tǒng)（二）子網(wǎng)拓?fù)鋱DMIB瀏覽器流量信息統(tǒng)計系統(tǒng)難點安全管理協(xié)議及標(biāo)準(zhǔn) 需要考慮到協(xié)議的兼容性（雙語代理），通信安全特性考慮不同種類安全產(chǎn)品和策略整合、分析 可參照Cisco CSPM（整合PIX/IOS防火墻，VPN網(wǎng)關(guān)，IDS等） “策略”的自然語義 對在源和目的設(shè)備/地址之間發(fā)生的某種服務(wù)