网络通信 频道

中科网威安全管理模型与实施

    【IT168专稿】当前,企业事业单位采用了越来越多的IT技术手段,来提高的核心竞争力和服务水平。同时,网络技术日益发展、网络环境变得越来越复杂,更多的安全威胁和安全漏洞被披露出来。为此,安全厂商开发了各种各样的安全产品和解决方案,对企事业网络提供安全防护。这些产品和解决方案包括反病毒、防火墙、入侵检测、安全扫描器、访问控制、用户认证、VPN和加密网关等等,它们都提供了针对某种或某些威胁的防护手段。

    采用多种安全产品,固然有其必要性,但同样也使得进行信息安全管理体系建设的企业面临越来越多的问题和挑战。主要的问题在于:分散的各式各样的安全设备给管理员带来了繁重的工作,同时,极易造成工作疏忽和误操作,从而引入潜在的安全威胁和漏洞。

    中科网威为解决上述问题,帮助企事业单位提高安全防护水平,自2002年以来,投入大量人力物力开发安全管理产品。主要的理念是围绕安全过程进行安全监控与管理。

    安全本身是过程,是动态的。网络安全管理系统(NSMS Network Security Management System)的任务应该是管理这个动态的安全过程,为网络安全管理提供综合性辅助工具。

    从安全过程的整个流程来看,其具备的功能可以划分为:安全事件发生前的企业信息资产描述和集中安全策略管理;安全系统运行中或者安全事件发生时的集中监控、报警与可视化安全响应流程管理;安全事件发生后的集中日志与审计管理。

    集中的安全策略管理

    集中安全策略管理包括安全策略的统一描述和实施。统一策略描述和实施的意义在于:屏蔽对各种受管资源(指安全设备、网络设备<包括路由器、交换机等网络通信设备>和重要网络资源<包括重要主机和应用>等)的具体的安全策略配置细节和差异,而以统一的安全策略配置界面呈现给用户,使用户能够专心地将自然语言描述的企业安全策略映射成机器能够实施的策略。

    过于追求统一,过于抽象的安全策略描述方法是没有意义的。我们将企业安全策略的统一描述建立在安全策略分类的基础之上。具体地讲,依据受管资源的产品类型来划分安全策略类别。比如:生产防火墙的厂商很多,每个厂商都有自己不同的防火墙产品,都有自己不同的策略配置方法,可以将所有防火墙厂商产品的安全策略统一为一种安全策略,就是防火墙安全策略。IDS、VPN、路由器、操作系统和数据库等都可以如此归类。

    在上述安全策略分类的基础上,对各个种类的安全策略进行统一的描述。安全策略实施前,对安全策略进行转换,以便实施到具体的安全设备或者网络资源之上。

    集中监控、报警与可视化响应流程

    通过统一的网络拓扑图,对各种安全设备、网络设备和重要主机进行监控,监控手段包括:IDS事件、各种日志、SNMP trap和扫描等。同时,将监控收集的信息保存在数据库中。关联企业信息资产描述和监控信息,实时地分析出严重的安全事件,按照一定的应急响应预案,通过图形界面引导用户处理安全事件,或者,以自动的方式立即报警通知网络管理人员。

    集中审计管理

    收集的监控信息(包括:日志、事件和SNMP trap等),如实保存在数据库中,用户事后可以进行审计查询。定期生成安全状态和安全形势报告。  

    综上所述,整个安全管理围绕安全事件展开,构成网威安全管理模型。三大信息是模型的中心,包括:资产描述、安全策略和日志事件。安全过程中的三大步骤以信息为依据,同时驱动信息更新,三大步骤为:事前计划、事中监控和事后审计。

    网威安全管理模型的实施

    实现网威安全管理模型的系统分为四个层次:界面层、处理层、驱动层和设备层。界面层负责与用户沟通,包括:企业信息资产描述界面;安全策略管理界面;监控报警与响应界面;日志与审计界面。

    处理层负责数据收集与处理,包括两个子层次:数据处理服务;事件与日志的实时关联分析。另外有数据库管理模块专门负责与数据库通信,涉及的数据库包括:企业信息资产描述数据库;安全策略数据库;事件日志数据库;安全事件知识库。

    驱动层负责事件收集、资产信息收集与设备监管。

    设备层主要是受管的设备或应用,主要分为:安全设备;网络设备;重要主机或应用。其中,IDS引擎专门用来收集网络安全事件。

0