seccenter技术白皮书.doc

H3C SecCenter A1000产品技术白皮书 ?????????? SecCenter A1000 技术应用背景 1.1??????? 当前安全管理面临的普遍问题 一家企业不仅要从物理上关注网络安全，还需要进行良好的网络安全管理，即使安全防范再严密的网络，也有可能会有安全性漏洞出现，现在由于攻击所造成的经济损失已经大大高于过去。另外，为了满足政府法规要求，企业需要执行安全审计流程，如果不能满足政府的法规要求，除了有可能被高额的罚款以外，还有可能触犯法律，面临刑事诉讼。这些风险是真实存在的，并且会影响到公司的日常业务，根据专业机构提供的行业报告，在安全领域，每个企业都面临如下领域的挑战： （1）对实时安全信息不了解，无法及时发出预警信息，并且处理； （2）各种安全设备是孤立的，无法相互关联，信息共享； （3）安全事件发生以后，无法及时诊断网络故障的原因，恢复困难； （4）网络安全专家匮乏，没有足够的人员去监控、分析、解决问题，成本高； （5）不能通过直观的图表和报告了解网络安全情况； 为了解决这些问题，我们需要在网络上及时发现问题、跟踪定位问题并解决问题。但是现实情况是，网络安全设备众多，包括防火墙、IPS、IDS、VPN网关、邮件过滤系统、漏洞扫描系统等。这些网络安全设备可能产生大量的安全事件信息，但是这些设备的报告机制不同，报文格式不同，不能进行集中分析，网络管理员很难快速有效的处理这些数据，无法及时了解网络安全信息。 1.2??????? 传统日志服务器的问题 目前网络中的主要设备（防火墙、VPN网关、IPS、IDS、交换机、路由器、反垃圾邮件系统、病毒防护系统）都可以产生日志（syslog），日志中包含了很多重要的网络运行信息，包括网络的安全、性能、资源使用情况等。传统的日志服务器可以接收这些日志信息，但只能简单的保存和按原始格式显示，主要是用于事后分析使用。由于网络中会包含很多不同厂商和不同类型的设备，这些设备的日志格式都不统一，所以显示的结果通常杂乱无章，再加上日志产生的速度很快，在没有过滤和统计的情况下，用户看日志的速度有可能还跟不上系统接收日志的速度，所以简单的日志接收和未经解析的原始日志显示对用户没有太多的实际意义。同时对历史数据的检索也只能使用简单的按字符串、时间、发送日志设备IP地址等查询方式，不能进行复杂的查询。 1.3??????? SIM、SEM系统简介 针对传统日志服务器的这些问题，出现了SIM（安全信息管理）和SEM（安全事件管理）系统。SIM系统可完成原始安全信息的存档和检索、生成内部审计、法规遵从报告等功能，解决了传统日志服务器的存档、检索、报告生成等问题，但是通常没有实时分析和显示部分，不能及时反映网络当前的情况，只能作事后分析。SEM系统可实现实时安全状况监视信息、安全事件关联分析、实时告警等实时信息显示等功能，解决了传统日志服务器不能实时过滤、深入分析日志的问题，但是通常的SEM又没有SIM系统的原始数据保存能力。 1.4??????? SecCenter A1000 产品介绍 SecCenter A1000产品的推出就是为了解决安全管理中的上述问题。SCA1000综合了SIM和SEM系统的功能，提供全面的安全信息与事件管理能力。这种产品是一种基于硬件的盒式设备，能够提供对全网海量的安全事件进行集中收集与统一分析，兼容网络中多厂商的各种设备，对收集到的事件进行高度聚合存储及分析，实时监控全网安全状况。可根据不同用户需求提供各种具有说服力的网络安全状况与法规遵从审计报告。SecCenter A1000能使IT及安全管理员脱离繁琐的手工管理工作，提高工作效率，集中精力用于更有价值的活动，保障网络的安全。SecCenter A1000除了支持业界主流安全设备厂商的设备外，还提供了对H3C SecPath防火墙产品、Comware V3、V5平台下路由器、交换机的全面支持。 2?????????? SecCenter A1000 产品整体介绍 2.1??????? SecCenter A1000 重要软件功能模块介绍 ???????????????????????????????????????????????????????????????????????????????????????????????????????????? 图1 SecCenter A1000 ? Syslog采集器（Built in Syslog Collector）模块 Syslog采集器负责采集和解析所有SCA1000支持的设备、主机的日志信息，并将这些日志转换为SCA1000内部统一的日志格式供其它模块使用。Syslog采集器可以压缩保存原始的日志信息，供以后查询使用。 事件分析（Event Analys