网络安全集中监管系统ytao

网络安全集中监管系统北大青鸟环宇科技股份有限公司•问题的提出•系统原理•系统目标•系统设计内容组织目前的安全状况——产品分布总产值：19亿28%5%3%34%30%反病毒产品防火墙商用密码IDnACA目前的安全状况——产品布局•网络边界防护：防火墙•传输加密：密码机•内部和主机：入侵检测、扫描•主机：防病毒目前的安全状况——实施特点只提供部分、有限的安全体系指导边界保护为主，缺乏整体安全措施静态性•难于发现安全产品的动态配置更改（特别是非授权更改）•缺乏有效审计功能（缺乏针对某时间段的，整体网络安全状况分析数据）离散性缺少信息互通和关联，缺乏综合分析单点管理或单线管理，人员配置困难目前的安全状况——客户的担心•安全应达到什么程度？15%投资？•分布的安全产品工作策略如何？•安全产品配置的更改能否被及时发现？•部分失效与全局安全关系如何？•全网范围的安全基本情况如何？•地方安全专业人才短缺，如何发挥总部人才优势？•大型分布式内联网络的安全事件如何查处？解决之道对网络安全设备进行集中监管系统原理信息采集安全控制分中心安全决策信息采集安全控制分中心安全决策功能组件功能组件功能组件防火墙身份认证其他产品入侵检测控制流信息流控制/信息流安全决策信息采集安全控制中心防火墙身份认证其他产品入侵检测安全决策专家安全建议国家行业法规用户行为追踪行为关联分析网络异常发现安全事件告警策略自动分配可视安全状态人性操作界面安全事件历史安全控制分布管理集中管理异步调用跨平台开放接口加密通信信息采集网络运行状况网络流量信息用户行为数据产品审计信息产品更换升级策略措施调整产品技术公告攻击技术公告系统目标构建安全防护与监控体系——“安全域”统一监控管理路由器、防火墙、入侵检测、漏洞扫描、各种Web服务等网络安全产品，使之互相协同工作，进行数据综合性、关联性分析和处理，为企业的网络安全提供全面战略指导，达到整体、动态、立体的安全防护和监控目的。系统管理信息传输占用的网络带宽不能过大系统足够安全可靠，其加入不会导致新的安全问题系统的运行不影响被管理安全产品的原有管理方式支持多级层次化管理以适应大型分布式网络需要系统优点对路由器、防火墙、入侵检测、拨号身份认证系统等安全产品的统一监视为机构提供全面了解网络安全情况的整体、动态视窗；根据采集过来的信息进行综合性、关联性分析，对网络安全事件进行定位、追踪、报警，评估网络安全状况；能够对负责的所有安全产品统一配置管理，如关闭/重启安全产品，修改配置规则，监测工作状态等；统一用户界面下集中管理多种类型产品，简化安全管理，提高管理人员工作效率。系统运行环境系统总体结构人机交互子系统决策分析子系统采集子系统控制子系统安全子系统采集子系统采集信息：设备配置信息设备日志设备运行状态网络流量统计预处理简单分类、过滤、统计、汇总等安全设备采集中心决策分析子系统上级采集中心下级采集中心采集Agent安全设备采集Agent本地安全信道远程可信安全信道采集方式：主动上报方式定时上报、紧急上报查询方式抽样方式决策分析子系统安全信息人机交互策略制定配置策略响应策略策略－命令描述转换模块安全策略库安全信息安全数据安全管理员信息采集子系统决策分析子系统数据库数据处理模块安全分析决策模型控制子系统按照安全策略的要求，制定决策分析模型，根据国家行业法规、安全事件历史、专家安全建议以及采集到的安全信息，实现用户行为追踪、行为关联分析、网络异常发现等功能。设备配置信息安全策略下达事件报警子模块事件报警子模块事件报警子模块隶属于数据处理模块，是分析决策子系统的一个重要的组成部分。来自于此模块的报警信息将是分析决策的基础之一。值得一提的是，在标准MIBII中有一个RMONMIB，是对管理功能的重要扩展，我们在此基础上可以很方便地设计报警表管理器：•iso.org.dod.internet.mgmt.mib-2.rmon.alarm(1.3.6.1.2.1.16.3)组——定义报警触发阈值•iso.org.dod.internet.mgmt.mib-2.rmon.event(1.3.6.1.2.1.16.9)组——定义报警处理方式所有报警记录将进入报警日志以备查询和分析。控制子系统按照安全策略的要求，控制子系统实现对不同安全设备的统一管理。包括远程修改设备配置、启停安全设备等关键功能。安全设备决策分析子系统中心上级控制中心下级控制中心控制Agent安全设备控制Agent本地安全信道远程可信安全信道控制中心安全子系统为保护系统内各安全子系统之间信息传输的安全性，采用身份认证、数据完整性保护和加密等方式在各子系统之间建立信息的安全传输通道三种不同的实现方式SNMPoverIPSecHTTP-XMLoverSSLSNMPoverHTTPTunnel人机交互子系统（一）提供灵活的、直观的、易于使用的图形用户接口，实现安全状态可视化，支持多种格式的报表输出。总控界面人机交互子系统（二）子网拓扑图MIB浏览器流量信息统计系统难点安全管理协议及标准•需要考虑到协议的兼容性（双语代理），通信安全特性考虑不同种类安全产品和策略整合、分析•可参照CiscoCSPM（整合PIX/IOS防火墙，VPN网关，IDS等）•“策略”的自然语义——对在源和目的设备/地址之间发生的某种服务，允许否if（源设备is条件1）and（服务类型is条件2）and（目的设备is条件3）thenPermit大数据量的采集、传输、处理方式•分理中心，优先级别，VPN技术谢谢！