H3C 安全管理中心解决方案

一、前言
随着安全威胁日益严重，企业对网络安全 防护体系的投入和复杂度都在不断增长，随之而来的是大量针对安全管理的新战：
·安全资源没法整合：安全设备众多，缺乏集中管理，设备间造成信息孤岛，安全建设投资回报率低。
·海量信息：安全事件不断涌现，很难抓住重点，巨大的工做量也不能带来决策依据。
·安全威胁没法可视化：缺乏技术平台提供全网安全状态，对***事件快速定位排差，及时响应。
·企业网络缺少安全专家来解决、分析问题：难以应对愈来愈多的安全要求规范，企业安全管理、安全建设缺乏科学、有效的分析数据。

综上所述，企业须要专业化的安全管理技术平台来支撑网络安全建设的可持续发展，经过全面、集中的安全事件管理，智能、综合的事件分析，智能、及时的协同响应，将不一样领域的网络安所有件融合成一个无缝的安全体系，成为下一代整网安全解决方案的发展趋势。

H3C的安全管理中心解决方案集监控管理、分析管理、响应管理于一体，将网络中的安全产品、安全方案 、网络设备、用户终端等独立功能部件经过资源整合造成一个完整的协同防护体系，实现统一安全管理，如图1所示。

 

 

 

H3C安全管理中心解决方案 主要组成设备为事件管理中心（SecCenter）和响应管理控制中心（iMC SCC），事件管理中心主要完成对全网安全事件的采集、分析、关联、汇聚、报表报告展现，响应控制中心实现了安全事件与网管系统（iMC 平台)、端点准入管理系统（EAD/UAM）的结合，对须要响应的重要事件可灵活进行Email通知、交换机端口关闭、用户下线、加入黑名单、在线提醒等响应操做。

二、方案概述
H3C 安全管理中心解决方案融合了安全事件资源、设备资源、用户资源，经过监控管理、分析管理、响应管理，构成闭环的管理系统，实现了全网统一安全管理。

·监控管理
实现对多厂家的各种安全设备、安全方案产生的安全事件进行实时采集、查看，生成丰富的安全报表、法规听从性报告，将安全事件转化为直观的可视化安全威胁信息，帮助网络管理员快速、有效的掌握全网安全情况。
·分析管理
对海量的安全事件进行降噪处理，将离散的数据整合成规则的安全事件信息，对安全事件进行深度查询、审计分析及安全威胁风险评估。
·响应管理
在获取海量信息事件，分析掌握全网安全状态的基础上，将危害严重的安全事件与设备资源、用户资源相结合，对***源进行拓扑定位，描绘***拓扑，协助管理员对已发生的安全事件进行定位排查，并可对***源进行交换机端口控制、用户下线、在线提醒等策略控制。

三、功能特色

·整网统一安全管理
H3C的安全管理中心解决方案可提供全网安全事件统一管理，兼容主流厂商日志格式，不只可以支持H3C各类类型设备，同时能够支持业界主流安全产品，支持产品类型高达上百种，实现整网安全设备的管理。

·深刻的事件分析关联
H3C的安全管理中心解决方案可对海量的安全事件进行分析汇聚，将离散的数据进行整合、排序，并可根据预约义或用户自定义的关联告警模板，过滤掉重复信息及非关注信息，实现信息降噪。经过关联告警，管理者能够从上百种不一样网络设备中查看关联事件，快速发现真正的安全隐患。

·丰富的报表报告
H3C安全管理中心可提供丰富的图形化界面，可针对***源、***目的、响应联动等提供丰富的报表，并支持直方图、饼图、趋势图、列表等多种形式的报表输出，供管理员定位和管理。

 

·直观的***拓扑展现
H3C公司安全管理中心解决方案突破了单一的安全资源管理，实现了将安全资源、网络资源、用户资源相结合的综合安全管理，可生成宏观安全拓扑视图及单个***事件的***路径，管理员还可在安全拓扑上可查看安全事件详细信息，安全拓扑旨在提供丰富直观的安全及网络信息供管理员定位排差问题。

 

 

·安全威胁及时响应管理
H3C安全管理中心解决方案实现了安全事件管理系统与响应管理系统的紧密结合，管理者可结合安全拓扑功能中的详细***信息、定位信息、用户信息等综合信息进行定位排差，并对执行动做、手动执行、自动执行等联动策略进行配置，经过将安全事件与网管系统（iMC 平台)、端点准入管理系统（EAD/UAM）的结合，对须要响应的重要事件可灵活进行Email通知、交换机端口关闭、用户下线、加入黑名单、在线提醒等响应操做。

·方便灵活的部署
H3C安全管理中心解决方案主要组成设备为事件管理中心（SecCenter）和响应管理控制中心（iMC SCC），iMC软件平台安装简单方便，SecCenter做为硬件设备无兼容性要求，中文界面的操做简单易用。模块化的设计理念使得方案可扩展，部署灵活，可根据企业需求选择可视级、可控级、扩展级部署。

四、典型应用
H3C安全管理中心解决方案通常部署于企业网内部，做为企业整网安全管理的枢纽。方案部署方便、灵活。事件管理中心（SecCenter）为硬件设备，响应管理控制中心（iMC SCC）为软件产品，可与H3C iMC 网管平台安装在一块儿，一般建议部署在管理区域。另针对仿冒IP地址、MAC地址行为，建议在接入交换机上配置IP check、ARP detection等功能, 以便安全管理中心更准肯定位***源并进行联动。

 

 

 

用场景说明： 当防火墙、IPS 等识别到内网发生的***（如扫描***、蠕虫***等）时会阻断***并上报日志，但此时安全隐患仍然存在，***者仍然在试图寻找网络漏洞发起新的***，并不断增长IPS、防火墙的系统负担。管理者可经过安全管理中心解决方案及时了解这些安全预警并对日志内容进行定位，并经过与网管平台、EAD端点准入管理系统联动实现交换机关闭端口、用户下线、加入黑名单、在线提醒等响应策略，也能够经过企业行政手段对***者进行处罚，真正发现并解除安全隐患。

组网详细描述：
一、企业边界部署IPS 、防火墙等基础安全设备。二、安全设备检测到安全异常, 上报syslog日志给SecCenter。三、SecCenter将syslog日志信息根据预约策略汇聚分析，将须要联动的信息经过TRAP上报给iMC SCC集中告警展现。四、iMC SCC可根据日志中的IP信息进行***源定位，帮助管理员确认网络中的***来源，并可与IMC平台/EAD/UAM配合对这些安全威胁进行用户下线、端口关闭、在线提醒、Email通知等联动策略。