第二章 SecCenter A1000产品介绍.ppt

《第二章 SecCenter A1000产品介绍.ppt》由会员分享，可在线阅读，更多相关《第二章 SecCenter A1000产品介绍.ppt（64页珍藏版）》请在三一办公上搜索。

1、第二章 SecCenter A1000产品介绍,日期：2009-05-17,作者：赵彪 04708,杭州华三通信技术有限公司,了解SecCenter A1000功能掌握SecCenter A1000组网掌握SecCenter A1000操作管理,课程目标,学习完本课程，您应该能够：,IT管理面临的问题SecCenter A1000功能介绍SecCenter A1000组网SecCenter A1000管理及应用,目录,支出占营业收入的比例,100%,0%,典型的企业IT安全ROI（投资报酬率）,50%,成本功效,10%,IT安全投资,认证服务器,日志系统,IDS,安全路由交换机,防火墙,信息孤

2、立,安全审计系统,安全客户端,流量整形网关,企业网络安全建设现状,安全投资回报,网络安全建设取得的成绩,IT投资管理最佳实践,端点准入防护,专业防护软件,内容过滤网关,FW/VPN,IDS/IPS,基于安全事件的需求部署,单点管理,以遏制安全事件为核心，无法监控和量化整网安全风险，整网安全状况无法量化，无法帮助企业作出恰当的决定,IT安全投资,病毒传播防护垃圾邮件过滤间谍软件过滤,攻击防御访问控制路由策略加密、认证与授权移动用户安全接入,用户准入认证服务策略实施,应用层威胁攻击防御流量监控,主机病毒防护主机防火墙主机应用审计,对攻击只能孤岛防御，无法实现全局监控,问题一：重局部、轻整体造成信息

3、孤岛,设备间信息沟通不畅，形成信息孤岛,分别管理各种网络设备，获取安全信息,网络失衡,问题二：海量信息缺乏智能分析,海量信息：安全事件不断涌现，很难抓住重点，巨大的工作量也不能带来决策依据。,防火墙日志,IPS日志,安全客户端日志,病毒传播报警,网络设备日志,公安部安全等级保护,FISMA,公安部安全等级保护,GLPA,SOX法案,风险评估,HIPAA,ISO 17799,公司的安全制度有没有人违反？最近有没有泄密公司资料？有没有上班时间下载电影？有没有发生过攻击事件？病毒防护措施做了没有？.,环境,问题三：法规遵从要求不断提高,人员,设备,信息,CIO的实际需求,从数字上对安全风险进行评估,

4、实现风险规避,事件发生概率、损失,问题四：以反应性方法为核心,10.8%,10.4%,-0.5%,-4.1%,5.4%,反应性方法：当一个安全事件发生时，反应性方法就是遏制情形，指出发生了什么事情，并尽可能快地修复受影响的系统。前瞻性方法：与等待坏事情发生然后再做出响应不同，前瞻性方法防治结合，最大程度地降低坏事情发生的可能性。,安全风险,我们需要什么样的安全网络？,IT管理面临的问题SecCenter A1000功能介绍SecCenter A1000组网SecCenter A1000管理及应用,目录,安全管理中心系统架构,HIPPA,ISO 17799,SOX,网络设备,安全设备,操作系统,

5、应用系统,实时收集分析,安全管理中心分析引擎,管理、技术、业务规则,各种设备的日志与告警信息,制定信息安全管理政策,Report,Action,Notification,Compliance,文本,SecCenter A1000产品介绍,SecCenter A1000是H3C公司推出的安全管理解决方案中的重要组成部分，基于硬件的智能、高效的安全信息及事件管理（SIEM）系统。,收集&分析,数据,知识,Syslog,NetStream,二进制日志,WMI、API,H3C SecCenter,安全事件,网络事件,系统事件,应用事件,Netflow,文本,SecCenter A1000产品规格,支持

6、近100家厂商的Firewalls/IDS/IPS/Routers/Anti-Virus Servers/Proxy/Web Security/Hosts,可管理异构网络和多厂家设备,事件统计图,应用统计图,简洁的图形化管理界面,全网事件的统一收集与处理,事件过滤漏洞匹配锁定位置告警通知,支持H3C所有设备的管理支持对防火墙、IDS、IPS、UTM、Anti-Virus、Anti-Spam、路由器、交换机、Unix、Linux、Windows等各类IT资源的管理支持安全事件、网络事件、系统事件、应用事件,监控界面定制,仪表盘是SecCenter A1000的主监视界 面，可集中显示系统中最常用

7、的监视画面。,仪表盘的监视内容可定制，可以在系统预定义的监 视器（Monitor）和报告（Report）中任意选择,70种预定义监视器，同时可自定义监视器,安全威胁的实时监控,上百种监控方式实时显示事件详情实时监控安全资产信息攻击、病毒、DDoS实时报警相关信息实时整合信息统计实时图表输出,Hacker pc,防火墙,Reverse Back door,实时攻击可视化,Corporate LAN,黑客利用反向联接技术穿透防火墙,网络流量的实时监控,实时监控每台设备流量实时监控带宽利用率实时按协议统计网络流量实时按应用查看流量实时按地址、按时间,海量事件的关联与分析,事件关联后,近10分钟内按不

8、同级别划分的安全事件统计图,安全事件统计与关联,网络拓扑与网元可视化,快速定位攻击源和攻击路径,快速定位攻击源/路径,近千种报告输出,提供13种预定义视图，用户可根据需要自定义视图；,安全审计,通过安全审计分析可以根据历史信息追踪溯源，清晰的查看到攻击源和目的地址、端口、协议、时间等信息。同时可以清除的看到该事件是从哪个分支机构是何种设备发发生的事件。,快速查询与审计分析法规遵从要求：SOX、GLBA、HIPPA、FISMA,智能分析、联动、统一管理,安全联动流程介绍,IPS,防火墙,2、安全设备检测到安全异常,上报SecCenter。,2、SecCenter将安全事件根据预定策略汇聚分析，将

9、需要联动的告警上报给iMC。,3、iMC SCC收到告警后查找攻击源，进行端口关闭、用户下线、告警、Email等联动策略。,汇聚交换机,核心交换机,服务器区,iMC SCC,SecCenter的作用：安全管理中心可对防火墙、IPS识别的攻击（如扫描攻击、smurf攻击、winnuke）进行展示并根据日志内容进行攻击源定位。,SecCenter安全管理中心,1、内网攻击者发起扫描等攻击，对网络造成威胁。,最完善的联动方案，业内唯一,IT管理面临的问题SecCenter A1000功能介绍SecCenter A1000组网SecCenter A1000管理及应用,目录,1-Tier集中式部署,交换

10、机,控制台,交换机,SecCenter,集中式部署优点：适合中小型企业，成本低、管理简单、投资回报率高 非在线部署，不会影响网络运行,管理区,办公区,N-Tier分布式部署,SecCenter,控制台,控制台,SecCenter,分布式部署优点：适合大型企业，不受地域限制、分级分权管理、事件天然备份安全事件二次关联，提高决策准确性非在线部署，不会影响网络运行,管理区,办公区,控制台,SecCenter,IT管理面临的问题SecCenter A1000功能介绍SecCenter A1000组网SecCenter A1000管理及应用,目录,SecCenter 管理,设备管理方式 帐号管理 Lic

11、ense 管理,设备管理方式,设备默认情况下 管理地址为：192.168.0.1 管理端口为：9216 登陆 用户名/密码：admin/sca1000,管理PC环境要求：1、JRE1.5以上2、与 Report 相关软件（PDF等）,帐号管理（一）,Users 选项卡可以对帐号进行管理，同时可以查看帐号相关日志,Groups 选项卡可以管理组，并把帐号加入相应组,策略 选项卡用来管理 Policy 直接影响组的权限,SecCenter帐号管理通过设备上的“用户管理”选项卡，通过这个界面可 以创建、删除用户，把用户加入组，并针对用户设置相应的策略,帐号管理（二）,可单独控制用户对设备的访问权限,

12、可单独控制用户对报告的访问权限,对于用户和策略可以单独指定权限,帐号管理（三）,使用“事件监视”策略的用户登录后只能看到安全分析中心（Security Analysis Center）界面中的Monitoring页面,使用“报告模板”策略的用户登录后只能看到安全分析中心（Security Analysis Center）界面中的Reporting页面,使用“通过Console访问”策略的用户登录后只能看到主界面中的Alert页面,不同级别的帐号只能看到与其权限相应的功能项,License 管理（一）,SecCenter 能正常工作的前提是设备上有 License，通过License选项卡可以增

13、加、更新 License；对设备授予License；生成License请求,指定设备上可用的Devices License,指明License 的种类（超时时间）,指定设备上可用的 Hosts License,License 管理（二）,通过 Add Device 及 Add Host 选项给设备或者主机 授予 License,License 管理（三）,设备第一次写入License时使用,设备更新License时使用,根据生成的License 文件选择合适的位置输入,License 管理（四）,通过License 选项卡下面的 Options 选项，可以导出用来生成 License 的特征码

14、或者特征文件,系统标识码，通过它可以用来生成License,通过导出的两个文件也可以生成License,SecCenter 应用,定制Dashboard 收集主机信息 收集设备信息 使用Monitoring 和 Reporting 使用策略 和 报警 使用深度查询 和 报表,定制仪表盘,安全分析中心中的安全信息告示板可显示系统中最近被触发的报警、端 口活动情况统计、协议活动情况统计、源目的地址及端口活动情况统 计、系统实时事件浏览器。,更改显示的设备及显示的方式,选择显示的报表项,调整报表大小,定制仪表盘,通过报表管理项可以定制 Dashboard 显示报表的个 数、种类及显示方式,收集设备信

15、息,收集主机信息,选择添加主机方式 及添加相应主机,收集主机信息,勾选需要加入的主机,设置主机名及用户名,选择主机种类，有两类,选中应用后，设备会添加主机到本地,收集主机信息,此项勾选标识收集,这里标识主机当前策略,通过策略来决定主机可收集的信息,收集主机信息,收集设备信息,SCA通过接收设备发来的 SysLog日志，自动添加设备到Device列表中。也可以手动添加被管理的设备。,通过策略选项更改对于设备使用的策略,标识当前是否收集设备信息,表示当前对于设备的收集策略,监听 和 报告,监视器（Monitor）列表，系统提供70种预定义的监视器，也可以根据实际需要自定义新的监视器；,被选中监视器

16、（Monitor）的显示输出,安全分析中心功能可提供 70种预定义监视器，并支 持自定义监视器,选择监视（Monitoring）页面,监听 和 报告,报告（Report）列表，系统提供近千种预定义的报告；,被选中报告（Report）的显示输出,安全分析中心可提供近千种分析报告,选择报告（Reporting）页面,策略 和 报警,对于安全信息事件管理系统来说，有一个强大的过滤功能是至关重要的，因为通常系统需要接收处理的安全事件信息数量非常大，过滤功能可在海量的事件信息中找到用户真正重要的信息提醒用户注意，避免重要信息被海量信息淹没SecCenter A1000提供了一些予定义的常用过滤规则模板，

17、可直接使用。用户也可以根据实际需要通过自定义过滤规则来定制自己需要的过滤规则,用来定义新的策略,策略 和 报警,预定义的过滤规则模板可直接使用，提供一些常用的过滤规则,过滤模板自定义功能可使用所有SecCenter A1000标准日志格式中的字段作为过滤模板定义的条件，包括描述字段中的字符串匹配，可以定义出非常精确的过滤规则，找出用户关心的重要事件信息,定义策略时 都是与相应的 规则绑定在一起的,策略 和 报警,选择报警策略动作事件分类模式可根据需要对事件进行详细分类,报警策略的事件分类能力可根据实际情况将过滤出来的事件进行详细的分类并重新设定级别，发送相应的日志,符合条件的报警将被重定义事件

18、级别,符合条件的报警更新选择的报告数据,策略 和 报警,选择报警策略动报警触发模式,报警触发模式可让符合条件的事件触发报警，被触发非报警在报警页面被集中显示；报警可以被设定级别也可以被转发；,设定被触发报警的级别,设定报警转发方式和参数,深度查询 和 报表,深度查询 和 报表 功能是相似的，都是根据所列条件生成相关 的报表两种查询之间的不同是：深度查询 是基于原始日志文件的；报表 统计的是经过SecCenter处理后存入数据库的文件,深度查询 和 报表,根据向导生成报表,深度查询 和 报表,定制过滤策略,定制执行周期,定义报表输出格式,深度查询 和 报表,每个选现为多个报表的集合，可以同时选择

19、多个选项,可以通过该选项定制其他报表格式,深度查询 与报表 使用类似，除不能直接在选项内定制报表,深度查询 和 报表,指定生成的报表文件保存问题,指定通过邮件的方式发送给相关人员,指定通过FTP的方式放到指定位置,深度查询 使用参考报表 的配置,后期维护,定制告警策略，查询重要的安全事件通过采集报表，输出安全分析报告,IT管理面临的问题SecCenter A1000功能介绍SecCenter A1000组网SecCenter A1000管理及应用,本章总结,MajpjMVcyzj21HLfrvy96dv02lPPfYgxUS7IYmZkyEmZ0kGeYZS3bpLCkYH1lt4EK7Cxm

20、UX3ijoYSOer7ZuaVWYgz4EpZrUirVpMzzvNtf1XZw5oswSXOtFaejnOcmfE1lZgnN1RSXg8wLCG8CVQ3XPJMvodPFWcpiYJgZazNSEPNIaklYSu7qSd1UpaxmZDlpN9zW7kljfsLCLi26Yv109ffbnDH8LbUN1G6ACURQ39eG12KHL9tXsZ1jzgoCK8g1kuNOh5eFvcmVT5ZYVQt9zk3rp3qLnf02FovEXxVRxjCcFRNppiJljNiOuk6fONnyX7fyGg7sXZ49BmCN5oy9VesHpKzdjTKwjrkCEQCFDehVmGa

21、x3lrOEbw63VscA3YSijtUKoCyiLzAlVRp7l4QgPNHxvJFFDyjUVN3oHlMah0XBd4uTbkfPIhHtw0evPmYOrdhEDoPwvYhzlGplU1AU9mpyiCXH8gpPCBRYjq77VcnbXumNE1yGfyTsbSj89J63kRTKDkKUg3mdS5sJ4X5cQ8dK7oW9IkScssECQdz2O9UTlpRjAFPChjhLdzopQzwxQf8ozdzOhogwAooXpUF83BX4C3jRgjDJiiXEUDMaNz4vQ4n164vspddHvOIVuBBdMA4xp1YhiHk0vOJ8TL1BxogzVl

22、Mpmod6ianYGmksQq6NWCEd56hZF4wfaNyZcrGfNxnPiG6ZAxSkfmhJAKtNmCqbRmppeXp8inz4eq3HkWCMSORyMMX522xpHG6basNr6KQfbZsFbHjzyNlJrruLolKFcC84dqfijBO5Dy2NaBcNEBPgQrT12PgpcKx2or2YChN5DPjs80zzdtdAdTKuW4uVv9bbZu3K2SZ2aEhTlIC1UqrIWibkzwHh6p8gLv26zr01mJybfOzFc4T7kQH1IpPwOzMDnAKPLsLrznXGjFNIA9bSWWms6ibKZwQIKrMzalwbFrQJvOP1rPH8rx2KkyYqrtQk5VRwM1HSX,