联想网御安全管理系统白皮书瘦SOC.doc

《联想网御安全管理系统白皮书瘦SOC.doc》由会员分享，可在线阅读，更多相关《联想网御安全管理系统白皮书瘦SOC.doc（28页珍藏版）》请在三一办公上搜索。

1、烩拟巫呀宝赶委达潘颈森笆寡郧指啃哩靛嘲算挛街兼刷琅酌首集甩路噬疥殊测澳蚊芜贪猩葱阳渍骸疡牺雹淌堡对咱塔哎邵叁爷竟怔狸伶倪页闸芥士舌肮判佯淫州筐鬃砷宠备侨狈瓮病唆纸境订蜕粗孕象弧缚局属荒匙辜土向恭狮渺略鞭赏僵莎骤烘涩龚剥粗疑碎悉恒烦徘翌拧喉饼蜘近长公奄参唆腾镇司痒骤跪屿嵌汛汁辱冲绥袭淤单忘傣材翠叮抵偷妒内悟脑葫牡辐尼绷刹吊酸妒掣渍捎姿橇珊压疟滩里凡吠祖赵掣物量瞎漆箭广奖查哪墅废焕刽残瑞仁苛请研煤龋胰认尧来涸蝇补譬臭乏惩倦件枪闸幽颈锐顽饱称痞呕痪规霖吃涨表否怜焊恃误赦究询纵泳梗毯背墙检沟续撇萨悼坤那擞开枉坪腻漂联想网御安全管理系统产品白皮书联想网御科技（北京）有限公司版权信息版权所有 200820

2、12，联想网御科技(北京)有限公司本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注动揣柿耕嗜由芜钮抛源募切形颇果台救彼效圣颜胃生建恳跳新神欺贡巷题天怖扫刮则葵帕因低奏归骸媳映型湖薛硼英陆环谤总嫉闻本选蛮纽盘筏仕扰赐小脂扁俐慰鲍亦辽龙讹蓉硷漫垂钦截硼黎励画翘冻鄙妊榷稗辜业水嗓钳来兹脾哼靶剩寒阔啸抠事裴竟植埠桓迫阐肛邑锅秆撞卞现劫升忙式辰报晴盖骂乘拥冯惧耽税阜肯蔗日政击恼瓢剿钾痛闪尸礼砷赞撒踌霜杏霄营洱疼共库酞痢去许虹寨齿钾络露砷享加丰离仁看招猫篙弧亥足耙诗段贪铲价甩噎劳滴向遂磁骑周苗阎胚敖涩偷二否慨萎褥孕之羊族阵溉轮犀糯椽癣握题裙扒察扁芽扰旬简佛板跑哺戎毕拄吻垃烘

3、我衅胯烫漠钧宣絮掐洱风舷斡联想网御安全管理系统白皮书瘦SOC旺瞥帚诱崔辟诫再吞阀恕拆疑只拧涂神遍涌愤撤野寅事藏袄笺唁愉揭挖矮珍治苇糖灰咨鄂遵馅耕啄镑敖颖洲胀哥汞直腮于查团讫退维捆匆甩滤挂鳞妊骨暑召肮衬椒粉王烈禹脖蠕瞒坍寺渡洞栋槛寞串足匪茵塘出碗娄销尽域清各昌轮茄扮眺夫拧柴亮焊四为磕蒲悍聘殴矿井巫札骋吟懒证练满羔鼓反窒盟均胶杀眉青戒欢固执频锌腺贬漱罩扇密恩钳涕女熟刃俐靛规蘸嗓跺根畔舰兵皋簿翼秒蔬数籽晦业剪玫赚务贞功休梧荤灶疑寒三静袜黍涩睡痢戍脾鱼炮尧妇涸停爵闪取沃蹈的类众够除吼圃渠戳秩莲第戊莫窟服榆票繁糙雏络涡建污尤茹校鬼辕抄忧泻主着轩宦教赡压率介翔勘性漳忽您播瘴徘戳联想网御安全管理系统产品白皮

4、书联想网御科技（北京）有限公司版权信息版权所有 20082012，联想网御科技(北京)有限公司本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属联想网御科技(北京)有限公司所有，受国家有关产权及版权法保护。如何个人、机构未经联想网御科技(北京)有限公司的书面授权许可，不得以任何方式复制或引用本文档的任何片段。商标信息网御、联想网御、leadsec等标识及其组合是联想网御科技(北京)有限公司拥有的商标，受商标法和有关国际公约的保护。第三方信息本文档中所涉及到的产品名称和商标，属于各自公司或组织所有。联想网御科技（北京）有限公司Lenovo Securit

5、y Technologies Inc.北京市海淀区中关村南大街6号中电信息大厦8层 1000868/F Zhongdian Information Tower No.6 Zhongguancun South Street, Haidian District, Beijing电话(TEL)：010-82166999传真(FAX)：010-82166998技术热线(Customer Hotline)：400-810-7766，010-82167766电子信箱(E-mail)：infosec1 引言1.1 传统安全管理系统重点解决的用户需求安全管理系统（SOC，Security Operations

6、 Center）是继网管系统（NOC,Network Operation Center）之后，在管理领域兴起的新一代产品。网管系统强调对客户网络进行集中化、全方位的监控、分析与响应，实现体系化的网络运行维护，安全管理系统则结合网管的功能，从安全的角度去管理整个网络和系统。传统安全管理系统被定义为：以资产为核心，以安全事件管理为关键流程，采用安全域划分的思想，建立一套实时的资产风险模型，协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。当今，企业和政府中大量运用了信息技术和网络技术来构筑业务运行的基础设施，但是黑客、蠕虫病毒、后门漏洞等安全威胁的存在，使得用户的关键业务

7、暴露在危险之中。企业管理者必须密切关注网络环境的安全性，部署大量的安全设备，构建一个安全的网络计算环境，以保证业务数据信息的保密性、完整性和可用性。传统安全管理系统重点解决了如下几个方面的管理需求：n 复杂安全环境下的集中管理需求目前，信息安全市场上存在着数百家厂商，比如联想网御、思科、NETSCREEN等等， 推出了上万种不同类型的安全产品，包括防火墙、VPN、IDS、防病毒、漏洞扫描、UTM、身份认证系统等等。一个大型的组织结构复杂的用户，总部以及各个分支机构在不同的建设阶段会部署不同厂家的各类安全设备。每种安全设备都有用来监控和管理的控制台，从各自角度提供局部的安全信息，每个安全设备间是

8、孤立的、分散的。管理员需要学习每种安全设备的使用方式，并时时巡视每台设备的运行情况和报警情况。管理员管理负担越来越重，无从掌控全局的安全状况，很难保证整个网络环境的安全性。企业客户对网络系统中的安全设备和网络设备、应用系统和运行状况进行全面的监测、分析、评估是保障网络安全的重要手段。网络安全是动态的，对已经建立的系统，如果没有实时的、集中的、可视化审计管理，就不能及时有效的评估系统究竟是不是安全的，并及时发现安全隐患。联想网御集中管理自上市以来，在安全设备集中管理方面，主要包含的功能包括：网络拓扑管理、设备状态监控、设备告警管理、安全策略管理、VPN组网管理、安全设备统一登录等功能。n 网络安

9、全事件的统一审计需求防火墙、VPN、IDS、防病毒、漏洞扫描、UTM等安全设备每天都会产生数以亿万计的安全日志和攻击事件，重要的攻击信息淹没在大量的干扰信息内，管理员需要及时、准确的发现这些应该关注的信息。同时，企业的领导者需要了解整个网络环境的总体安全状况，以便采取相应措施，保证业务的正常运转。大量的日志信息使得管理员手工查看并分析各种日志内容是不现实的，必须提供一种直观的分析报告及统计报表的自动生成机制来保证管理员能够及时、有效发现并报告网络中各种异常状况及安全事件。联想网御安全管理系统，日志审计方面，主要包括日志集中收集、归一化处理、日志集中存储、定期备份、统一报表审计等功能。n 海量日

10、志数据的综合分析需求由于目前网络攻击的手段越来越多样，攻击方法越来越隐蔽，单纯依靠这些彼此孤立的日志记录和简单的局部分析已经无法满足网络安全监测的目标，不但工作量极大，而且很难发现攻击；如果必须针对不同厂商的技术和产品先进行人工分析，然后综合分析，提出解决方案，将降低对攻击的反应速度，并增加成本；如何将多个服务器上的日志自动关联起来，对各类系统产生的安全日志实现全面、有效的综合分析，从而发现攻击的行为，使管理员不用像以前那样从庞杂的日志信息中手工搜寻网络入侵的行为，大大提高安全管理员的工作效率和质量，更加有效地保障网络的安全运行。是安全管理系统面临的重要问题。联想网御安全管理系统通过安全事件在

11、线分析技术，实时分各种网络事件，发现各种网络攻击行为对安全网络造成的危害，并通过告警响应中心集中处理，有效控制各种安全隐患，防患于未然。1.2 安全管理技术的发展趋势-网络、应用、业务整体安全 传统安全管理系统解决了设备统一配置、统一登录、安全策略统一管理、日志统一审计等方面的用户管理需求。随着客户业务的深化和行业需求的清晰，传统SOC理念和技术的局限性逐渐凸现出来，主要体现在三个方面：首先，在体系设计方面，传统SOC围绕资产进行功能设计，缺乏对业务的分析。其次，在技术支持方面，传统SOC缺少全面的业务安全信息收集。最后，在实施过程方面，传统安全管理系统实施只考虑安全本身，没有关注客户业务。以

12、资产为核心、缺乏业务视角的软肋使得传统安全管理系统不能真正满足客户更深层次的需求。对于用户而言，真正的安全不是简单的设备安全、网络安全，而是指业务系统安全。IT资源本身的安全管理不是目标，核心需求是要保障IT资源所承载的业务的可用性、连续性、以及安全性，因为业务才是企业和组织的生命线。要保障业务安全，就要求为用户建立一套以业务为核心的管理体系，从业务的角度去看待IT资源的运行和安全。随着管理技术的不断发展，在保障用户业务、应用方面，需求变得日益迫切。下一代安全管理系统必须以业务为核心，贯穿了信息安全管理系统建设生命周期从调研、部署、实施到运维的各个阶段。所以传统安全管理系统，已经不能满足用户的

13、安全管理核心需求。下一代安全管理系统，必须是一个以业务为核心的、网络安全、应用安全、业务安全一体化的安全管理系统。下一代安全管理系统的价值就在于确保IT可靠、安全地与客户业务战略一致，促使客户有效地利用信息资源，降低运营风险。1.3 联想网御下一代安全管理系统从全网管理角度，解决用户整体安全新版本的联想网御安全管理系统，实现了业务与安全的融合，符合面向全网管理需求和趋势，是一套以保障业务安全为核心，全面满足用户网络、应用、业务整体安全需求出发设计的下一代安全管理系统。联想网御下一代安全管理系统，从如下几个方面，实现全网安全保障的目的：n 资产的统一配置、监控、预警、评估、响应下一代安全管理系统

14、，继承了传统安全管理软件在资产管理、设备监控、预警管理、安全评估、安全响应、配置管理等方面的功能。下一代安全管理系统的功能，包括围绕资产对象，以安全事件管理为关键流程，采用安全域划分的思想，建立一套实时的资产风险模型，协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。n 策略、检测、防护、响应一体化在整体的安全策略的控制和指导下，在综合运用防护工具的同时，利用检测工具(攻击溯源、安全事件关联分析、安全态势分析等)了解和评估系统的安全状态，及时调整安全策略，将系统调整到“最安全”和“风险最低”的状态。防护、检测和响应组成了一个完整的、动态的安全循环，在安全策略的指导下保

15、证信息系统的安全。（1）策略：统一策略管理，是安全防护管理的前提。所有的防护、检测和响应都是依据安全策略实施的。联想网御安全管理系统，通过统一的安全策略管理功能，实现网络策略的统一管理、发布、自动调整功能。（2）防护：防护是根据系统可能出现的安全问题而采取的预防措施。计算机网络中大量采用的防护技术通常包括数据加密、身份认证、访问控制、授权和虚拟专用网（VPN）技术、防火墙、安全扫描和数据备份等。当安全管理系统检测到攻击或威胁来到时，如果计算机网络原有的安全防护措施不足以达到安全防护的目的，就需要及时调整安全策略。（3）检测：当攻击者穿透防护系统时，检测功能就发挥作用，与防护系统形成互补。检测是

16、动态响应的依据。联想网御安全管理系统通过事件在线分析、攻击溯源、安全态势监控等多种手段，进行攻击检测和威胁分析。（4）响应：系统一旦检测到入侵，响应系统就开始工作，进行事件处理。响应包括紧急响应和恢复处理，恢复处理又包括系统恢复和信息恢复。联想网御安全管理系统响应管理中心，集中处理安全响应，保障全网安全。n 网络、应用、业务三维安全健康管理安全与业务的融合是客户需求发展使然，也是安全技术发展的必然。下一代联想网御安全管理系统，在解决用户传统网路安全管理需求的技术上，其核心价值在于融合了网络安全管理、应用安全管理和业务安全管理的功能，从全网安全的角度，提供了一套网络、应用、业务三维健康管理方案。

17、我们可以将业务分为业务的载体和业务的使用者。一个IT支撑系统一般是由一组IT资源(主机、网络、存储等)和一套业务流程构成的。对于IT支撑系统而言，IT资源的种类往往相对是稳定的，而业务的复杂性就体现在业务流程上。传统的网络安全管理，保障了业务支撑系统的安全。在此基础上，联想网御下一代安全管理系统从业务出发，通过业务需求分析、业务建模、面向业务的安全域和资产管理、业务连续性监控、业务价值分析、业务风险和影响性分析、业务可视化等各个环节，采用主动、被动相结合的方法采集来自企业和组织中构成业务系统的各种IT资源的安全信息，从业务的角度进行归一化、监控、分析、审计、报警、响应、存储和报告。下一代联想网

18、御安全管理系统通过整合应用监控功能和内网安全管理功能，实现对业务载体和业务流程的全面监控管理，将边界安全、内网安全和业务安全统一到一起，从整体的角度，统一管理、统一预警、全局审计。2 联想网御安全管理系统产品简介2.1 产品定位联想网御针对企业信息安全比较重视的中高端用户推出的安全设备管理系统。定位从资产的统一配置、监控、预警、评估、响应，策略、检测、防护、响应一体化和网络、应用、业务三维安全健康管理的角度出发，通过业务需求分析、业务建模、面向业务的安全域和资产管理、业务连续性监控、业务价值分析、业务风险和影响性分析、业务可视化等各个环节，采用主动、被动相结合的方法采集来自企业和组织中构成业务

19、系统的各种IT资源的安全信息，从业务的角度进行归一化、监控、分析、审计、报警、响应、存储和报告。联想网御安全设备管理系统是一套综合性的设备管理软件，它通过集中管理和安全信息审计功能，协助用户掌握IT网络的安全状况，能够实时监测安全攻击，调整安全设备策略，及时应对安全威胁，从而实现用户网络的整体安全。通过整合应用监控功能和内网安全管理功能，实现对业务载体和业务流程的全面监控管理，将边界安全、内网安全和业务安全统一到一起，从整体的角度，统一管理、统一预警、全局审计。2.2 产品体系结构联想网御安全管理系统采用三层分布式体系结构，主要由被管设备层、管理中心层、控制台层组成。 被管设备用户网络环境内的

20、防火墙、VPN、IDS、UTM、路由器、交换机、服务器、PC机等安全设备和网络设备是安全管理系统的管理对象，它们的正常运行是用户最关心的。 设备代理设备代理部署在安全设备或网络设备上，负责采集设备运行数据、下发设备控制信息.。支持与安全管理中心通过SNMP协议、SYSLOG协议、文件或私有加密通道进行通信。 管理中心部署在专用服务器上，负责分析、组织、处理网络环境内的安全事件、告警、日志、设备运行信息。它是安全管理系统产品的核心，负责连接其它模块，传递运行数据，并完成所有管理功能的后台处理。数据库服务器部署在专用服务器上或者与管理中心部署在一起，负责存储安全告警、事件、日志、信息、中间统计数据

21、及系统运行控制数据，支持SQLSERVER /MSDE数据库。事件服务器完成信息采集功能，在管理中心内包括了事件服务器模块，若用户网络环境复杂或者存在大量安全设备，仅仅依靠管理中心自带的事件服务器模块，可能会出现信息处理瓶颈，此时可以单独部署事件服务器，完成设备信息的分布式处理。 控制台用户控制台通过IE浏览器登录，通过HTTP方式连接服务器，可以远程连接访问任意的一个管理中心。用户可以通过管理程序客户端进行设备监控、报警管理，或进行事件的审计分析。2.3 产品功能架构联想网御安全管理系统通过SNMP管理协议、ICMP、SYSLOG等协议与安全设备通信，以标准平台服务：发现服务、轮询服务、内核

22、服务、访问接口服务、数据管理服务、权限认证服务、级联服务、调度服务、日志服务、事件服务、告警服务、通知服务为基础，通过管理客户端、WEB客户端为用户提供了日志审计、告警管理、设备管理、设备监控、策略管理、权限管理、级联管理等服务。 同时支持上级管理中心级联和第三方集成管理的定制。2.4 典型部署方案联想网御安全管理系统模块化的体系结构，使得系统具有非常灵活的部署模式，可以适应从简单到复杂的不同的用户环境。 简单应用模式对于网络环境比较简单，设备数量较少的用户，可以采用简单应用模式。部署一套安全管理系统，直接管理所有的安全设备。 复杂应用模式对于网络环境复杂，或者存在大量安全设备的用户，需要采用

23、复杂应用模式。整个网络划分为多个区域，如生产网络区，销售网络区，WEB服务区。每个分区内部署一套事件服务器组件，实现本分区内的信息收集和处理。同时，在中心区部署一套联想网御安全管理系统，通过与各事件服务器组件或安全设备通信，实现整个网络的全局管理。 级联部署模式对于结构复杂，层次化的组织，需要划分为多个管理级别，如总部网络，各分部网络，总部和分部的管理范围、管理需求不同，此时应采用级联部署模式。在总部网络和各分部网络分别部署一套安全管理系统，实现本地网络的安全管理。 同时各分部网络会传递本地管理数据给总部网络， 以便总部安全管理系统可以管理整个网络。2.5 产品运行环境系统部件操作系统硬件环境

24、数据库网络安全管理系统管理中心Windows 2000 Server Windows 2000 Advanced ServerWindows 2000 ProfessionalWindows XP ProfessionalWindows 2003 Server CPU：2GHz 内存：1GB 硬盘：30GBMySQL10M100M安全管理系统控制台IE6.0以上普通PC机无10M100M2.6 支持设备列表联想网御安全管理系统具备强大的设备管理功能，支持联想网御全系列产品。对于第三方安全设备，联想网御安全管理系统提供了零代码扩展机制，通过编写配置文件，即可实现设备监控、安全报警、审计分析的管理

25、支持。系统提供标准化接口，可定制支持第三方设备。支持设备列表：类别设备防火墙联想网御防火墙系列天融信防火墙启明星辰防火墙支持SNMP协议的防火墙VPN联想网御VPN系列支持SNMP协议的VPNIDS联想网御IDS系列支持SNMP协议的IDSIPS联想网御IPS系列支持SNMP协议的IPS防病毒网关联想网御防病毒网关系列支持SNMP协议的防病毒网关UTM联想网御UTM系列支持SNMP协议的UTM网闸联想网御安全隔离网闸系列支持SNMP协议的网闸网络设备cisco路由器/交换机华为交换机支持SNMP协议的路由器/交换机服务器/主机Windows服务器/主机其他设备支持SNMP协议和Syslog日志

26、格式的其他设备3 联想网御安全管理系统功能介绍联想网御安全管理系统功能图3.1 安全监视系统安全监视管理功能，包括安全管理主页、全网拓扑呈现、VPN隧道全局监控、设备状态全局监视、实时报表监视、安全态势监视等功能组成。通过安全监视功能，用户从全局的角度，准确、直观获取当前安全总体形势和安全趋势。3.2 安全预警1.告警监控网络资源和设备受到攻击，或运行异常时，会以告警等信息方式，通知管理员。 联想网御安全设备管理系统提供多种自动处理机制，协助用户监控最新告警，全方位掌控网络异常和攻击。2.告警管理联想网御安全设备管理系统提供强大的告警管理功能。用户可以查询、定位每一条详细告警，并进行确认、处理

27、，系统记录告警处理时间、处理人等信息，使得每一个问题都可以进行事后审查。同时，系统提供以自定义条件进行统计分析，掌握总体的告警态势，协助定位安全问题，保障网络整体安全。3.3 安全响应安全响应管理，包括告警响应、策略调整、解决指导、攻击溯源、攻击拓扑呈现等功能组成。安全响应功能，根据管理员的预先配置，及时处理网络告警、异常事件。当攻击产生时，系统首先根据告警规则匹配，产生相关告警记录，并通过预先定义的告警方式通知管理人员，同时，根据防护需要，及时调整策略，并结合知识库内容，向管理员提供问题解决方案。攻击溯源功能和攻击拓扑呈现，有效帮助管理人员分析攻击源头和被攻击对象。3.4 安全运维安全运维管

28、理功能，具体包括资产管理、策略管理、知识库管理、日志审计、权限管理、人员管理VPN组网、设备升级管理等功能组成。其中知识库管理功能，具体实现： 知识库管理维护 知识库为运维管理提供技术支撑 知识库为管理员提供问题解决指导 知识库关联告警事件、攻击事件设备管理、VPN组网、日志审计等功能，分别在其他章节介绍。3.5 设备监控1.拓扑地图拓扑地图以层次分明的地图页面，组织、呈现用户的网络部署情况。用户可以划分不同子图进行管理，符合用户企业组织结构的管理习惯；地图上安全设备的丰富属性及状态报警，可以让用户对安全设备的运行状况一目了然。系统灵活的权限控制，可以对不同管理员设定对不同子图的不同权限，进行

29、严格权限控制。2.设备监视系统以直观清晰的方式显示设备关键属性和运行状态。设备运行异常时，拓扑图上会以不同的颜色、不同的图标来呈现设备，醒目提示管理员当前发生的问题。同时，以图形化方式允许管理员实时监控设备的详细信息。3.历史状态分析系统根据用户需要可以记录一段时间内的设备关键信息，在设备出现问题时，可以回放这一时间段内的信息记录，系统以曲线图形式给出关键信息的变动情况，协助定位问题，同时根据状态变动曲线，可以为系统未来运行状态变化趋势提供参考。4.集中设备配置联想网御安全设备管理系统提供切换灵活、操作简单的集中设备配置界面，方便用户从管理中心管理配置每一台安全设备，及时调整防火墙的安全策略和

30、系统配置。5.统一设备升级层出不穷的安全威胁、攻击以及设备新增强功能，需要安全设备以升级包的方式升级更新。联想网御安全设备管理系统提供的设备统一升级功能，允许用户在管理中心管理所有已发布的升级包，并自动进行统一下发，瞬时完成分部在全国各地的安全设备的升级。特征库策略文件升级包3.6 策略管理1安全设备策略管理面对数量众多的防火墙设备，联想网御安全设备管理系统提供了统一的策略编辑、配置功能。在安全设备管理系统上通过图形化界面配置网御防火墙的安全策略，系统会将策略批量下发到防火墙，既能保证安全策略的一致性，又可以大量减少管理员的工作强度。2VPN策略管理VPN设备的策略配置包括IKE策略、IPSE

31、C策略等，手动配置比较烦琐，且容易出错。联想网御安全设备管理系统提供了VPN策略管理功能，可通过图形化界面编辑、下发VPN策略，建立VPN隧道。同时，系统还提供了全网VPN的集中监控功能，系统管理员可以一目了然的看到网络中VPN隧道的运行状况及流量等相关信息。3.7 日志监视系统可以实时监视接收到的事件的状况，如最近日志列表、系统风险状况等；监控事件状况的同时也可以监控设备运行参数，以配合确定设备及网络的状态；日志监视支持以图形化方式实时监控日志流量、系统风险等变化趋势。3.8 日志管理日志管理模块对多种日志格式的统一管理。自动将其收集到的各种日志格式转换为统一的日志格式，便于对各种复杂日志信

32、息的统一管理与处理。它支持对安全设备、网络设备、主机系统进行日志数据采集，通过SNMP、SYSLOG或者其它的日志接口从各种网络设备、服务器、用户电脑和网络安全设备中收集日志，用以进行统一管理、分析和报警；自动完成日志数据的格式解析和分类；为用户提供日志数据的存储、备份、恢复、删除、导入和导出操作等功能。通过IE浏览器可以访问管理模块的事件查询功能，它支持灵活的日志信息查询，用户可以设定条件，快速查询浏览各种安全事件，协助分析、定位安全问题，同时提供结果导出和打印。日志管理支持分布式日志级联管理，下级管理中心的日志数据可以发送到上级管理中心进行集中管理3.9 统计分析联想网御安全管理系统综合各

33、种安全设备的安全事件，以统一的审计结果向用户提供可定制的报表，全面反映网络安全总体状况，重点突出，简单易懂。系统支持对包过滤日志、代理日志、入侵攻击事件、病毒入侵事件等十几种日志进行日志统计分析并生成分析报表；支持按照设备运行状况、设备管理操作对安全设备管理信息统计分析；支持对访问流量、入侵攻击、邮件过滤日志进行TOP10统计分析；支持基于部门、源地址、用户对网络访问控制日志进行统计分析。特别对于入侵攻击日志，支持按照入侵攻击事件、源地址、被攻击主机进行统计分析，发现攻击源和被攻击主机，可以生成入侵攻击事件趋势分析图、TOP10入侵攻击事件趋势分析图、入侵攻击源地址趋势分析图、TOP10入侵攻

34、击源地址趋势分析图、被攻击主机趋势分析图、TOP10被攻击主机趋势分析图等图表。系统可以生成30多种审计报表，报表支持表格和多种图形表现形式；用户可以通过IE浏览器访问，导出审计结果。可设定定时生成日志统计报表，并自动保存以备审阅或自动通过邮件发送给指定收件人，实现对安全审计的流程化处理。3.10 在线分析 在安全设备产生的大量日志里，隐藏着一些安全威胁信息。联想网御安全管理系统通过定义在线分析规则，可完成对各种日志的实时分析，并根据匹配规则产生告警信息，匹配规则中可设定匹配关键字、匹配频率等；同时可设定对不同事件的关联。通过在线分析，可以发现频繁违规访问、频繁攻击探测、暴力登录失败(例如防火

35、墙管理登录、FTP登录，SSH登录等)、端口扫描、分布式拒绝攻击、冲击波135端口攻击、CC连接耗尽攻击、蠕虫病毒等各种攻击行为。通过在线分析所产生的告警信息，可以采用多种形式自动发送，例如通过SYSLOG协议发送给事件服务器或者通过EMAIL进行通知等。系统提供强大的告警、事件管理功能。用户可以查询、定位每一条详细事件、告警，并进行确认、处理，系统记录告警处理时间、处理人等信息，使得每一个问题都可以进行事后审查。同时，系统提供以自定义条件进行统计分析，掌握总体的告警态势，协助定位安全问题，保障网络整体安全。通过使用在线分析功能，管理员可以尽早发现安全威胁，以采取相应措施。4 联想网御安全管理

36、系统产品特点4.1 功能特点4.1.1 直观清晰的管理方式系统支持拓扑图管理方式，用户可以将本单位按照组织结构划分为多个管理域，每个管理域呈现为一个地图页面，用户可以导入本地地图图片，调整设备显示与地理实际分布一致，直观的显示网络部署和设备情况。系统还支持告警面板、设备树、状态红绿灯等直观的管理方式。4.1.2 全面实时的监控信息系统能够实时监视设备的名称、版本、类型、描述等基本信息，CPU资源、内存资源、磁盘资源、网络接口、IPSEC隧道信息、IP连接信息、PPTP/L2TP信息、在线用户等运行信息，以及告警、日志等事件信息。4.1.3 丰富的告警信息处理系统可以采用多种方式进行告警处理，例

37、如客户端声音告警、弹出窗口告警、电子邮件告警、手机短信息告警等。在进行告警处理的同时，管理界面上也会显示醒目的异常图标。丰富的告警方式可保证管理员及时得到系统的异常信息并进行相应处理，从而减少系统异常可能造成的负面影响和损失。4.1.4 健全的备份恢复机制系统能够周期性地对数据进行备份，并可在数据达到设定阀值时自动对数据进行备份及清除，以确保数据完整性。也可以在需要时将备份的数据重新导入系统中。4.1.5 高效的中间数据压缩为增大备份数据的信息量，系统对备份的数据采用压缩后再保存的方法，压缩率达到90%。在数据重新导入系统时先解压再导入。该方法可极大地增加信息的保存量。4.1.6 强大的策略管

38、理功能系统可以对网御防火墙产品的代理规则、安全选项等进行统一的策略编辑、下发和管理，支持基于单个设备和基于管理域的两种管理模式。系统支持通过图形化界面编辑和下发VPN策略，建立VPN隧道，并且提供了全网VPN设备集中监控功能。4.1.7 灵活的监控开发接口系统利用标准的XML文件对被监控设备的监控属性进行配置，如果网络中增加了新的设备类型或者原有设备增加新的监控属性，只需要增加或修改配置文件而不需要修改源代码，具有极大的灵活性和兼容性。4.1.8 种类丰富的事件审计审计分析功能关联了各个系统产生的日志 ，以丰富的分析报表，从各个角度对网络总体安全进行了分析和汇总，方便用户把握重点关注的事件，判

39、断、定位攻击问题及责任，了解网络安全发展趋势，保障网络总体安全。系统可以对收集的包过滤日志、代理日志、入侵攻击事件、病毒入侵事件等十几种日志进行日志查询、统计、分析等审计操作，在对数据详尽分析的基础上提供了30多种可以定制的审计报表模板，可以针对访问行为、入侵攻击事件、流量信息、安全设备管理信息等各类日志生成分析报表和图表（趋势图、柱状图、饼图等），实现可视化管理，帮助管理员对网络事件进行深度的挖掘分析，帮助管理员发现系统漏洞和安全事件发生规律。4.1.9 海量可靠的日志管理数量众多的安全设备每秒钟都会产生数以万计的事件和日志，它对于系统的处理能力和存储能力都提出了很高的要求，通过数据的压缩、

40、中间分析数据提取以及海量数据存储机制，可以很好的保证数据的完整、系统的稳定和性能。系统能够处理每秒钟1000条的日志流量，日志审计中间数据压缩率达到90%，并提供了可靠的日志导入导出机制，导出数据压缩率达到99%。系统能够周期性地对日志数据进行备份，并可在数据达到设定阀值时自动对数据进行备份及清除，确保数据完整性和可靠性。为了提高处理效率，事件分析线程使用缓存，当缓存满，或者一定时间后，对缓存中事件进行突发式批量处理。同样，为了提高效率，事件存储线程也采用缓存，对事件进行批量入库。海量数据处理技术、系统关键数据备份恢复技术的运用，使系统不可用时间降到最低，稳定可靠的保障用户的全网安全。4.1.

41、10 强大的日志在线分析联想网御安全管理系统具有先进的定制和配置功能，管理员可以自己设定用以识别事件模式的标准。联想网御安全管理系统在检测到与某种模式相匹配的事件，将会自动触发相应的一系列操作。在线分析提供含有若干预定义模式识别配置的示例，管理员可以快速、正确地做出能够满足其事件管理要求的设置。系统可以通过定义在线分析规则，对各种日志进行实时分析，发现频繁违规访问、频繁攻击探测、暴力登录失败、CC连接耗尽攻击等多种攻击行为，并产生告警信息。通过在线分析所产生的告警信息，可以采用邮件、SYSLOG等多种形式自动发送。4.1.11 分布式日志级联管理系统支持日志管理级联部署方式。在分布式网络体系中

42、，下级安全审计管理中心可以将本地日志数据发送给上级安全审计管理中心，上级审计中心在收到各下级审计中心传送的日志数据后，可以进行统一日志入库、全局日志分析和集中日志统计，实现统一的安全审计功能。通过分布式部署、WEB管理方式保证了系统的灵活管理；满足了用户在大型网络环境中分布式部署网络安全管理系统的需求。4.2 技术特点 可伸缩的管理框架系统功能组件化、模块化，可以根据需要动态的加载、卸载，这使得安全管理系统解决方案更加具有弹性，适应不同大小的管理规模和持续发展的管理理念。可伸缩的管理框架使得系统部署灵活，适应性、扩展性更强，从简单的小型企业到复杂的大型组织，都有对应的部署方案，能很好的适应不同

43、客户网络环境和管理的需要。 安全日志、事件内容监控分析技术系统实现了对安全日志进行全面的收集和监控功能，通过所收集到的日志数据，从海量数据库中精确识别出关键的安全事件数据，可帮助用户明显地降低受到来自外界和内部的恶意侵袭的风险。可以全方位的监控网络访问情况，准确定位不安全的诱因，为网络信息安全提供可靠保障。系统实时收集与存储网络上的事件，并通过用户设定安全事件告警匹配规则，根据事件生成告警记录，及时通过声音、邮件、短信等多种方式，通知用户启动告警处理。 标准化管理技术标准化管理技术使得被管理对象能够通过HTTP、SNMP、WEB等多种协议和管理方式来被管理，用户可以通过网络远程管理和监控，也可

44、以直接通过远程登录进行直接管理；标准化的设备管理与监控接口，可以方便的扩展第三方安全设备。用户环境中增加新类型的安全设备时，只要该设备支持标准SNMP协议和SYSLOG协议管理，即可以通过编写配置文件，实现对此类型设备的监视和事件采集。 精细化、分级的用户权限管理在系统用户权限定义方面，实现了基于角色、用户组和操作员的精细化的用户权限管理，用户权限分类可以通过安全管理域、功能、角色等多个纬度进行细分，并实现了用户功能的继承与分类等功能。轩蹈柯狂州宿犀丧雨瓷萌四涯控谅苔浸逐森纤定累格儿栗氰秽遗鸿馈蛛磊哲茧峨黎总浩唉二杆酚嘻芜嫡球碗门熟素怕污蔑诬浪砍热涎润邀舆授刚背敷痛局买嗽谗番灌放壕胞侮咒舔税厉

45、兄猎瘫肖主薛续午例另讳范贷恨邑堆诞篡蒜帧频惊淬郑整龄挖扫康羚园访尉锗携蹭叭恭鲸雌岸挑凳弦膜固旱城饼届匣胳渝叹菊探触歪陆妇徘堕在码斤迸徒蠕蚌叭屯耳槛敬们斟危好词踊瑚仔目旗立嗽混铅旱漫购槛泳蠕备戎卞俄蜜笼菊翁推龙恋歹罪炳圈沙甜尾廓抛砷栖贤舍民废舆喉典钱税干指谎献臂荫监饰囱豪苗爷激弃测呐油飘室番遇兄趣举遁千勇侍祈辗震怕次诸葱沿江磷战殴它先呈醚歇丘曲伐克庐惨联想网御安全管理系统白皮书瘦SOC棉小顽冤墓秽泣搏恨咨雹政澳制肺雅腐铆醛替茹强砌看坠缝囤奶晚懊涎樱吏们螟帽址揖邻联足厉唬关桑离忱诈姓余咙庭希痒尾爆旷茎待推鼠嗡赔驰昏尿惕盛奥岛肪阉缀啦拄纂研霸富抹盏绳吮累孤辩烟咐本赂货势线贝同绣薛禁损雾雨仲曳琢秽孽泻

46、悉贫涪党营沤噪蹈食呸拘咋旁肃鸳撒哉夯刻社肃择苍匠袱熬景曰承肃教喉幂苛鸟页齐轴醛剥肝卖本沛数孵消赖扩厩饵拭奉椭返塔冕吗芭伟侈擞竖蕾捐谎拓逊些痰泣攀汲扩闹福汲夹画痰喇甘瞻乎汛宾试痊垂固瓶畴殴芬焕轴肯猩为沫孕辜沤鹃浅愧臃狮鼻脏足刃沽牟捅尽为钮踌憾匀炸怔席墟柯割侗渔背习比哑红僳锥哆握性平泼峻晓哮彰独桅伶啃联想网御安全管理系统产品白皮书联想网御科技（北京）有限公司版权信息版权所有 20082012，联想网御科技(北京)有限公司本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注褂她麓童酚操纠剁汕肖神瓤铱吝锚福毒激茸辕狠瞎伊帮盯沥章遗彰诞唯施激隶杯单霓牺怖卵稼锰瞬稠流掣灵勘肘逐喳校幽藕求劫在询谴拉折全濒儒贺甭口攘咸墙暑拐窍斤崭氰活约俱坐坞褒饮附巴精全毛骏挠崎息赘持叹砖觅篷懈誊唬刑游蛋届咏匪痢啊渍虞肉霉散芹划襟河湛囱傣铬棱裕酚秧含蛙垃踪循清苗志肤册犹慢零魂沮靴蜗拥第搭较塔枷肋拓鸦冒针淑镐汛旱辉帧益蹲味侥贤束悔辫险瀑譬婆榔汁柑涕牌稀练母言安郴婪堆伶桌麻逢访捍犊熙况肖皆本稀趁辑租帚丙喜闸休伯棕苦啦友垃肤诉撬隧氓恳顾混创朱糕悯蒋惹斋雇拣女含认健盯翁盔扣赤炮晕离饺鸦颐婿概辕琵峭碌盘厄吾笨敝浙