文/郑敏

引言

随着网络环境日趋复杂，企业所需要部署的网络安全设备和方案种类繁多，而且中间缺乏信息交互，为企业网络安全管理带来了巨大的挑战。管理人员无法对安全资源进行有效整合，各个设备只能是安全孤岛，无法最大化发挥应有价值。

面对纷繁复杂、头绪众多的网络安全管理需求，安全管理中心的集中管理理念和模式受到了越来越多的关注，业内专家及用户均已意识到必须借助专业的安全管理平台来解决问题，帮助管理人员全面掌控网络安全状态，提高工作效率，降低维护资金，以及为制定长远的安全建设决策提供有效依据。

企业安全管理中心建设目标

    安全管理中心不能简单理解为单一的产品或方案的堆砌，安全管理中心是衔接网络安全管理和网络安全设备的技术桥梁，不仅包括安全资源基础管理、安全威胁集中监控、风险评估、安全审计、响应恢复等管理功能，同时还强调了与企业安全制度、流程相结合，实现管理与技术的相互支撑、并行发展。

安全管理中心的建设目标是帮助用户在管理过程中实现有效的安全资源整合，为用户提供全网安全威胁可视化的技术平台，为安全管理、安全服务提供有效的分析数据，与安全制度、流程配合实现科学高效管理，最终实现企业网络安全建设的可持续发展。

http://www.h3c.com.cn/res/200904/15/20090415_748724_image002_631265_30008_0.jpg

图1 安全管理中心在企业网络安全建设中的位置

企业安全管理中心的体系架构和功能

    根据建设目标和特点可以设计出企业安全管理中心的体系架构，应至少包括资源平台、基础管理中心、监控运维中心、应用展现平台、支撑系统五个层面（如图2）。

http://www.h3c.com.cn/res/200904/15/20090415_748725_image003_631265_30008_0.jpg

图2 安全管理中心体系架构

下面具体分析一下五个层面的功能：

1、资源平台：包括被管理的安全设备、安全解决方案等，管理平台从被管资源采集Syslog、SNMP、NetStream等多种数据源，并对原始数据进行分析、汇聚和存储。

2、基础管理中心：图形化显示整个网络连接状况，监测安全设备的CPU、内存等占用率，并在设备异常或链路异常时提示告警；实现对网络设备的配置管理、补丁管理、用户权限管理、资产管理、性能管理、告警管理等基础管理功能；保障网络环境运行质量，降低网络出现故障的频率，帮助管理员对整个系统进行分析、管理和优化。

3、监控运维中心：

• 策略部署中心：
• • 安全拓扑统一管理：对整网安全设备的拓扑信息进行展示，能与已划分的安全域相结合，图形化显示整网安全防护的部署情况。
  • 安全策略集中部署：基于网络安全策略而不是单产品的向导式的配置界面，可方便配置管理多个安全设备，易于安全策略的部署、修改及维护。
  • 配置文件及版本统一管理：解决安全设备种类各异、版本繁多的问题，提供集中的配置文件及版本管理，提高管理效率。
• 合规审计中心：
• • 用户行为监控：结合应用特征知识库对网络中的URL、P2P应用、IM应用、游戏等用户应用行为进行全面的监控、预警、审计，快速全面掌握网络中的带宽滥用、非法上网及流量异常情况，并采取有效措施进行控制管理。可与用户管理配合实现审计到用户。
  • 业务流向分析：通过对原始流量、NetStream等进行采集分析，对园区出口或重要业务的流向进行监控分析。
  • 异常流量分析：通过对原始流量、NetStream等进行采集分析，快速发现、分析网络中流量异常情况，预防潜在威胁。
• 风险管理中心：
• • 安全事件管理：对全网安全日志进行采集、关联、分析、预警，发现并降低风险，输出丰富的报表、报告，提供审计功能。并与响应管理中心、网管中心、用户管理系统配合实现安全事件联动。
  • 病毒漏洞监控：对主机、网络病毒情况进行集中监控、预警，输出报表、报告，提供审计功能。结合漏洞知识库及人工审计提供网络的漏洞预警、脆弱性分析报告。
  • 攻击源及拓扑定位：在获取海量信息事件、分析掌握全网安全状态的基础上，将危害严重的安全事件与网管资源（NOC，Network Operations Center）、用户资源相结合，描绘攻击拓扑，协助管理员对已发生的安全事件进行定位排查，并实现通告响应、攻击源阻断响应等丰富的响应措施解决安全问题。响应管理可与工单系统、企业原有的组织结构和流程良好结合，有效监督和提高整个安全响应效率。

4、应用展现平台：提供综合分析数据及可视化界面，通过定时推送管理信息增强管理透明度。

• 风险评估：系统内置支持BS7799等标准的风险模型，结合资产信息进行风险评估，并提供全局的风险管理，可根据用户制定的风险预警方案进行风险报警。
• 安全预警：对网络异常流量、安全事件、应用行为进行全面监控，并与补丁库、漏洞库、资产信息等相结合，对网络中安全威胁进行识别、判断并有效预警，与工单系统、响应管理中心相结合进行预警后的防治措施。
• 安全审计：对分析后的安全信息进行报表报告展示，并进行保存，便于事后追踪取证。
• 公告信息WEB推送：将安全监控、预警等公告信息通过WEB方式定期向用户推送，提高安全管理的体验性，增强用户与管理者的互动，也可向用户发送广告或其他定制化业务。
• 安全拓扑：将安全监控中心的分析结果在拓扑图中进行展示，显示各个安全区域的告警数量、级别。
• 定制化开发：为将来的安全技术预留管理接口；提供二次开发接口，便于用户的定制化开发。

5、支撑系统：除了技术平台建设，还有安全组织建设、流程建设、结合人工的咨询服务等。

• 安全知识库：提供实时更新的漏洞库、特征库、病毒库，并可提供网上发布及在线升级功能使安全管理中心提供更准确的监控与预警功能；提供统一的安全知识发布、安全工具下载和安全交流的平台。
• 工单管理：根据企业的安全制度、流程、组织结构建设相应的安全事件工单处理流程，并实时跟踪每个工单任务的状态、处理过程和最终结果。
• 安全组织/流程制度管理：安全管理人员、组织、流程制度的建设、发布，人员的权限、角色定位等。
• 安全服务：安全专家组成的安全服务团队结合SOC分析输出的有效安全数据为用户提供专业的咨询、评估、培训服务。

如何建设企业安全管理中心

    安全管理中心是一项安全管理建设的系统工程，企业在规划阶段需要立足于现有的IT建设水平，并充分考虑管理方案的可扩展性。同时，管理流程与技术的建设应相互支持、并行发展，整体建设遵循PDCA持续改进的管理模式，通过计划、实施、检查、改进来逐步完善（如图3），避免使安全管理中心的建设成为空中楼阁。

http://www.h3c.com.cn/res/200904/15/20090415_748726_image004_631265_30008_0.png

图3 安全管理中心PDCA持续改进图

    由于安全管理中心的建设是一个持续改进增强的过程，产品及方案的健壮性、可扩充性将直接关系到管理体系的效果及未来的平滑升级，因此在建设安全管理中心时需着重考虑以下方面的能力：

• 全面的安全基础管理：实现对安全设备的拓扑管理、故障管理、性能管理、资产管理、补丁管理等基础管理功能。帮助管理员全面掌握整个安全网络的运行状况。
• 全面的安全信息监控、预警、管理：支持对安全日志、异常流量、用户行为、漏洞扫描、病毒等信息进行全面的采集、分析、归并处理，并可根据紧急程度进行预警、响应控制、审计等操作。
• 综合响应恢复管理：安全管理与用户管理、NOC配合可实现资源整合，为管理员提供丰富的安全问题定位排查信息，并提供用户阻断、端口关闭、告警、邮件等综合响应管理手段，与企业工单系统配合，快速有效的发现并解决安全问题。
• 丰富直观的报表、报告输出：支持丰富的图形化界面，包括：各种统计图表（支持多种形式输出，2D/3D直方图、饼图、趋势图、列表）、丰富的安全相关报告（可输出PDF、WORD等多种格式）等，用户可通过定制需要输出的报告让系统定期自动生成，帮助企业实现安全信息的规范管理。
• 提供WEB推送，增强管理透明度：能将安全监控、预警情况通过WEB方式定期向用户推送，提高安全管理的体验性，增强用户与管理者的互动，也可向用户发送广告或其他定制化业务。
• 不断更新的安全知识库：由于网络安全的攻击与防护技术不断发展更新，安全管理中心需要具备可灵活更新的安全知识库系统，能快速应对新的网络威胁。
• 强大的安全咨询支撑团队：一个拥有先进安全理念和成熟安全技术的安全服务队伍会使企业安全管理中心的建设事半功倍。安全服务团队拥有丰富的评估、咨询和培训等专业安全服务经验，对企业用户的业务应用和常见安全隐患非常熟悉，可基于IT与信息安全领域的最佳实践经验，为企业安全管理中心的功能完善、信息分析提供实质性的建议，指导企业用户进行网络安全体系建设，提高用户的安全意识和技术水平，实现业务安全目标。

结束语

安全管理中心的建设旨在为企业提供资源平台化、数据集中化的管理平台，涉及到安全技术、相关标准、管理流程等多个方面。管理平台可通过提供基础管理、威胁监控、风险评估、安全审计、响应恢复等多层面功能，并与企业的管理制度、流程的深入结合，实现对企业安全威胁的事前防护、事中监控响应、事后取证分析的全面管理。