H3C 安全管理中心解決方案

一、前言
隨着安全威脅日益嚴重，企業對網絡安全 防護體系的投入和複雜度都在不斷增長，隨之而來的是大量針對安全管理的新戰：
·安全資源沒法整合：安全設備衆多，缺乏集中管理，設備間造成信息孤島，安全建設投資回報率低。
·海量信息：安全事件不斷涌現，很難抓住重點，巨大的工做量也不能帶來決策依據。
·安全威脅沒法可視化：缺乏技術平臺提供全網安全狀態，對***事件快速定位排差，及時響應。
·企業網絡缺少安全專家來解決、分析問題：難以應對愈來愈多的安全要求規範，企業安全管理、安全建設缺乏科學、有效的分析數據。

綜上所述，企業須要專業化的安全管理技術平臺來支撐網絡安全建設的可持續發展，經過全面、集中的安全事件管理，智能、綜合的事件分析，智能、及時的協同響應，將不一樣領域的網絡安所有件融合成一個無縫的安全體系，成爲下一代整網安全解決方案的發展趨勢。

H3C的安全管理中心解決方案集監控管理、分析管理、響應管理於一體，將網絡中的安全產品、安全方案 、網絡設備、用戶終端等獨立功能部件經過資源整合造成一個完整的協同防護體系，實現統一安全管理，如圖1所示。

 

 

 

H3C安全管理中心解決方案 主要組成設備爲事件管理中心（SecCenter）和響應管理控制中心（iMC SCC），事件管理中心主要完成對全網安全事件的採集、分析、關聯、匯聚、報表報告展現，響應控制中心實現了安全事件與網管系統（iMC 平臺)、端點准入管理系統（EAD/UAM）的結合，對須要響應的重要事件可靈活進行Email通知、交換機端口關閉、用戶下線、加入黑名單、在線提醒等響應操做。

二、方案概述
H3C 安全管理中心解決方案融合了安全事件資源、設備資源、用戶資源，經過監控管理、分析管理、響應管理，構成閉環的管理系統，實現了全網統一安全管理。

·監控管理
實現對多廠家的各種安全設備、安全方案產生的安全事件進行實時採集、查看，生成豐富的安全報表、法規聽從性報告，將安全事件轉化爲直觀的可視化安全威脅信息，幫助網絡管理員快速、有效的掌握全網安全情況。
·分析管理
對海量的安全事件進行降噪處理，將離散的數據整合成規則的安全事件信息，對安全事件進行深度查詢、審計分析及安全威脅風險評估。
·響應管理
在獲取海量信息事件，分析掌握全網安全狀態的基礎上，將危害嚴重的安全事件與設備資源、用戶資源相結合，對***源進行拓撲定位，描繪***拓撲，協助管理員對已發生的安全事件進行定位排查，並可對***源進行交換機端口控制、用戶下線、在線提醒等策略控制。

三、功能特色

·整網統一安全管理
H3C的安全管理中心解決方案可提供全網安全事件統一管理，兼容主流廠商日誌格式，不只可以支持H3C各類類型設備，同時能夠支持業界主流安全產品，支持產品類型高達上百種，實現整網安全設備的管理。

·深刻的事件分析關聯
H3C的安全管理中心解決方案可對海量的安全事件進行分析匯聚，將離散的數據進行整合、排序，並可根據預約義或用戶自定義的關聯告警模板，過濾掉重複信息及非關注信息，實現信息降噪。經過關聯告警，管理者能夠從上百種不一樣網絡設備中查看關聯事件，快速發現真正的安全隱患。

·豐富的報表報告
H3C安全管理中心可提供豐富的圖形化界面，可針對***源、***目的、響應聯動等提供豐富的報表，並支持直方圖、餅圖、趨勢圖、列表等多種形式的報表輸出，供管理員定位和管理。

 

·直觀的***拓撲展現
H3C公司安全管理中心解決方案突破了單一的安全資源管理，實現了將安全資源、網絡資源、用戶資源相結合的綜合安全管理，可生成宏觀安全拓撲視圖及單個***事件的***路徑，管理員還可在安全拓撲上可查看安全事件詳細信息，安全拓撲旨在提供豐富直觀的安全及網絡信息供管理員定位排差問題。

 

 

·安全威脅及時響應管理
H3C安全管理中心解決方案實現了安全事件管理系統與響應管理系統的緊密結合，管理者可結合安全拓撲功能中的詳細***信息、定位信息、用戶信息等綜合信息進行定位排差，並對執行動做、手動執行、自動執行等聯動策略進行配置，經過將安全事件與網管系統（iMC 平臺)、端點准入管理系統（EAD/UAM）的結合，對須要響應的重要事件可靈活進行Email通知、交換機端口關閉、用戶下線、加入黑名單、在線提醒等響應操做。

·方便靈活的部署
H3C安全管理中心解決方案主要組成設備爲事件管理中心（SecCenter）和響應管理控制中心（iMC SCC），iMC軟件平臺安裝簡單方便，SecCenter做爲硬件設備無兼容性要求，中文界面的操做簡單易用。模塊化的設計理念使得方案可擴展，部署靈活，可根據企業需求選擇可視級、可控級、擴展級部署。

四、典型應用
H3C安全管理中心解決方案通常部署於企業網內部，做爲企業整網安全管理的樞紐。方案部署方便、靈活。事件管理中心（SecCenter）爲硬件設備，響應管理控制中心（iMC SCC）爲軟件產品，可與H3C iMC 網管平臺安裝在一塊兒，一般建議部署在管理區域。另針對仿冒IP地址、MAC地址行爲，建議在接入交換機上配置IP check、ARP detection等功能, 以便安全管理中心更準肯定位***源並進行聯動。

 

 

 

用場景說明： 當防火牆、IPS 等識別到內網發生的***（如掃描***、蠕蟲***等）時會阻斷***並上報日誌，但此時安全隱患仍然存在，***者仍然在試圖尋找網絡漏洞發起新的***，並不斷增長IPS、防火牆的系統負擔。管理者可經過安全管理中心解決方案及時瞭解這些安全預警並對日誌內容進行定位，並經過與網管平臺、EAD端點准入管理系統聯動實現交換機關閉端口、用戶下線、加入黑名單、在線提醒等響應策略，也能夠經過企業行政手段對***者進行處罰，真正發現並解除安全隱患。

組網詳細描述：
一、企業邊界部署IPS 、防火牆等基礎安全設備。二、安全設備檢測到安全異常, 上報syslog日誌給SecCenter。三、SecCenter將syslog日誌信息根據預約策略匯聚分析，將須要聯動的信息經過TRAP上報給iMC SCC集中告警展現。四、iMC SCC可根據日誌中的IP信息進行***源定位，幫助管理員確認網絡中的***來源，並可與IMC平臺/EAD/UAM配合對這些安全威脅進行用戶下線、端口關閉、在線提醒、Email通知等聯動策略。