SecCenter解决方案技术白皮书Hangzhou H3C Technology Co., Ltd.杭州华三通信技术有限公司All rights reserved版权所有侵权必究目录1 商业用户网络对于安全管理的需求 (5)2 安全管理技术方案比较 (6)3 H3C安全管理中心解决方案 (7)3.1 安全管理中心基本思路 (7)3.2 解决方案特点 (8)3.3 典型组网图 (9)4 系统主要技术特性分析 (10)4.1 不同种类的安全设备支持 (10)4.2 企业安全分析 (11)4.3 网络架构 (12)4.4 安全拓扑和可视化威胁 (12)4.5 监控&事件关联 (13)4.6 安全管理报告 (15)4.7 可升级日志管理 (15)4.8 搜索分析 (15)5 总结和展望 (16)6 参考文献 (16)7 附录 (16)Figure List 图目录图1 典型组网图 (10)图2 安全管理添加到网络和应用管理 (11)图3 SecCenter支持单独配置和分布式配置 (12)图4 基于拓扑的实时威胁可视化下拉菜单 (13)图5 监控仪表盘展示了一个实时的全部安全状态的一部分 (14)SecCenter解决方案技术白皮书关键词：SecCenter、安全管理、事件、日志、搜索摘要：本文档对于SecCenter安全管理中心的解决方案进行了介绍。

描述了用户对于安全管理中心的需求，各种方案的比较。

介绍了H3C推出解决方案的技术特点、组网图、主要技术分析等。

缩略语清单：1 商业用户网络对于安全管理的需求一个公司只是注重在物理上对网络安全的投资是远远不够的，即使安全防范再严密的网络，也会有可能有破坏性漏洞的产生。

据估计在世界范围内由攻击造成的经济损失已经由1997 年的33 亿美元上升到2003 年的120亿美元。

这个数字还在快速上升。

另外，为了满足政府规范要求，需要执行安全审计流程。

如果不能满足政府的规范要求，除了有可能被高额的罚款以外，还有可能触犯法律，面临刑事诉讼。

这些风险是真实存在的，并且会影响到公司的日常业务。

根据专业机构提供的行业报告，每个企业都面临如下领域的挑战：（1）网络入侵，包括病毒、黑客攻击、间谍软件、垃圾邮件等。

（2）网络规划和配置的调整。

为了满足企业需要，网络需要不断添加新的网络设备，并且对这些设备进行调整和配置。

（3）由于网络威胁在不断的变化，与此相对应的会出现不断更新的安全技术。

（4）IT 机构人员配置不足、未经过正式培训、把大部分精力放在了安全防御的位置。

为了解决当前紧迫的网络安全问题，我们需要在网络上确保安全，及时发现问题、跟踪定位问题。

现在很多公司采用了防火墙、虚拟专用网（VPN）、身份验证机制、入侵检测系统（IDS）和其他技术来保障网络安全，由于蠕虫或者病毒攻击的速度非常快，能够在很短的时间内感染整个企业网络，所以企业要求能够采取足够快的措施制止病毒和攻击，保证网络正常工作。

但是由于现实环境的限制，存在这样的问题。

网络安全设备众多，包括防火墙、IDS、VPN等，他们的报告机制不同，报文格式不同。

各种安全设备没有足够的网络拓扑信息，网络管理员无法及时了解网络攻击信息。

网络安全设备可能产生大量的数据信息，网络管理员很难快速有效的处理这些数据。

所以企业遇到的问题归纳起来就是：（1）对实时安全信息不了解，无法及时发出预警信息，并且处理。

（2）各种安全设备是孤立的，无法相互关联，信息共享。

（3）安全事件发生以后，无法及时诊断网络故障的原因，恢复困难。

（4）网络安全专家匮乏，没有足够的人员去监控、分析、解决问题，成本高。

针对这些用户的需求，现在已经有了性价比高、容易实施的系统信息和事件管理解决方案，来可以用来帮助企业实现网络安全的需求。

2 安全管理技术方案比较企业会在企业网的出口部署各种安全设备，包括防火墙、防毒墙、IDS、VPN等设备。

为了管理这些设备，我们传统的手段都是通过网络设备/安全设备发送Syslog到服务器上，作安全的事后审计。

一个大型的网络，包含若干的网络产品，这些网络设备随时随地都在发送SysLog信息，每天产生的Log信息达到数万之多，任何一个网络管理员很难通过Syslog来准确定位网络发生的安全故障；即使有丰富知识的网络管理员，能通过Syslog分析得到有用的网络信息，但是响应速度也是很慢的。

为了解决传统安全设备日志的问题，出现了一些新的解决方案。

有很多的安全管理产品可部署创建一个位于IT物理安全之上的智能层。

这些安全管理产品可以网络安全设备的一个补充，也可以作为第三方的解决方案提供。

这些安全管理方案大致可以分为这样三类：安全信息管理（SIM），安全事件管理（SEM）和设备配置。

但是如果仅仅利用这些单一的方案去搭建一个全面的安全流程是非常有限的。

一个典型的SIM的解决方案：以系统日志的形式收集网络设备的相关安全信息，并且从收集来的信息里产生行为报告。

大部分的SIM解决方案缺乏全面的实时监控和事件关联特性。

除此以外，他们在对较长时间日志文件的归档和搜索审计做的也不够。

一个典型的SEM解决方案：收集来自网络设备的实时事件信息。

该事件信息一般是通过SNMP、远程命令、日志数据方式获得。

大部分SEM解决方案缺少全面的性能报告，没有对日志文件压缩、加密。

日志文件的压缩加密主要用于对较长时间的文件进行归类和审计。

除了SIM和SEM解决方案之外，硬件提供商还可以提供一个配置工具，但这个工具一般不能进行事件监控和提供报告。

一个设备配置工具还是可以作为一个完整SIEM 解决方案的补充。

通过以上方案的比较，不管是网络安全设备单纯日志管理方式，还是SIM方式、SEM方式，或者配置工具方式，都不能很好的解决用户进行安全管理的需求。

在这些方式的基础上，如果能够将SIM、SEM、配置管理工具的优点集中起来，收集处理网络安全设备的日志，这样就能提供一个综合完善的解决方案。

H3C公司的SecCenter提供了结合 SIM 和 SIEM 用于安全管理的所有关键要素，可以实现基于拓扑和可视化威胁的网络安全，实时监控和事件关联，提供综合报告，全面管理日志，提供审计功能。

3 H3C安全管理中心解决方案3.1 安全管理中心基本思路为了解决安全管理的问题，H3C公司推出了SecCenter解决方案。

H3C公司研发了SecCenter系列产品。

这种产品是基于硬件的安全智能、高效实施的安全信息及事件管理（SIEM）系统。

它能够提供对全网海量的安全事件和日志的集中收集与统一分析，兼容异构网络中多厂商的各种设备，对收集数据高度聚合存储及归一化处理，实时监控全网安全状况，同时能够根据不同用户需求提供丰富的自动报告，提供具有说服力的网络安全状况与政策符合性审计报告，系统自动执行以上收集、监控、告警、报告、归档等所有任务，使IT及安全管理员脱离繁琐的手工管理工作，极大提高效率，能够集中精力用于更有价值的活动，保障网络安全。

SecCenter系列产品支持以最小资金成本进行网络安全管理，以最好的投入产出比来减少企业支出。

它可以每秒分析高达上万条事件，能够满足大型的网络环境需要，通过使用SecCenter，用户可以减少防范网络安全威胁的工作和时间，可以预先满足政府要求的安全规范，并以多种实时安全智能显著减少网络故障响应时间，能够发现、了解并预先防范黑客和病毒的活动与安全威胁。

SecCenter系列产品的高性能、多功能和合理的价格使其成为强有力的IT架构安全智能系统平台。

使用SecCenter系列产品能够解决用户如下实际问题：●异构网络中孤立的安全事件，集中关联分析不同设备产生的日志非常困难，缺乏“整网”意识；●网络设备所产生的海量信息，导致忽略甚至无法发现重要的内容；●不断变化的安全漏洞，大量的攻击，响应及修复总是严重滞后；●定期从海量数据中汇总整理统计报告，繁琐的手工操作耗费了管理员主要精力；●缺乏统筹的安全策略，数不胜数的单一网络安全解决方案，管理员无法统一处理；●不断增加的网络安全管理人员，以及预算投入●管理者希望通过简洁直观的报告来判断网络安全状况，确定投资重点；●海量日志数据无法长期保存，无法追踪用户行为的后果，审计活动难以开展；●满足政府制定的安全条例，政府要求企业提供有利证据表明法规遵从性；3.2 解决方案特点（1）稳定可靠的硬件平台。

H3C公司有丰富的硬件设计、制造、检测经验，利用雄厚的技术积累，可以提供优秀的硬件平台。

SecCenter系列产品采用双核双CPU技术，提供高速处理能力；使用磁盘整列，提供海量存储功能；使用先进以太网技术，提供多个GE/FE接口，满足用户的组网需求。

（2）不仅能够支持H3C各种设备类型，同时可以支持业界主流安全产品，支持产品类型高达上百种，其中包括防火墙、IPS、IDS、路由器、交换机、交换机，VPN，路由器，防火墙，IDS/IPS，内容过滤系统，防病毒系统，防间谍软件系统，防垃圾邮件系统和Windows，Unix和Linux 主机等。

管理设备数量高达近千台。

（3）提供了对安全事件的集中监控，能够实时非常丰富的信息。

通过实时事件显示窗口，能够轻松了解突发事件。

通过监控台用户可实时地监控正在发生的紧急安全事件，SecCenter提供了上百种监控器，用户可根据关注重点定制监控台浏览内容帮助有效的管理安全环境。

SecCenter提供了几十种预定义的关联告警模板――智能的“专家系统”，同时能够允许用户自定义安全策略，设定关联模板，过滤重复信息，帮助用户快速发现真正的安全隐患，并做重点处理，防止问题发生。

自定义关联警告设置灵活。

关联告警可通过SNMP、Email等方式通知非现场用户及时处理。

通过关联告警，一个实时的事件管理者可以从上百种不同网络设备中查看关联事件。

这些事件可以按照优先级被区分，及时对影响最大的行为进行纠正。

（4）提供综合完善的报告。

SecCenter提供了基于角色的访问报告功能，能够满足个人，部门以及高级管理等各层次的需求。

（5）强大的日志管理。

SecCenter兼容主流厂商日志格式，并通过多种方式获取设备日志信息，包括主动收集、被动接收等。

能提供有价值的集中化日志管理，接收性能高达每秒近万条事件。

不同格式的日志信息能够归一化存储，能够实现日志的海量存储，自动压缩和加密。

（6）深度查询与审计分析。

SecCenter为用户提供了强有力的搜索查询及分析能力，可以快速查询几个月甚至几年前的数据。

通过深入的数据查询，对具体的安全事件深入分析，能够一步一步追踪，剥茧抽丝，最终发现安全事件攻击来源及根本原因。

由于数据查询的广度和深度，可以实现很好的审计功能。

（7）安全拓扑和可视化威胁。

SecCenter综合所有网络信息，产生整网安全拓扑视图，安全管理员能够通过一个界面直观的查看整个网络安全状态，查看与安全相关的事件，使网络威胁可视化。