隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展和信息化進(jìn)程的日漸深入，計(jì)算機(jī)網(wǎng)絡(luò)已成為企業(yè)高效運(yùn)營(yíng)的重要支撐。工作效率的提高、企業(yè)信譽(yù)的提升、利潤(rùn)來(lái)源的拓展都依靠于穩(wěn)定、高效、安全的網(wǎng)絡(luò)環(huán)境。與此同時(shí)，各種網(wǎng)絡(luò)攻擊技術(shù)也變得越來(lái)越先進(jìn)、越來(lái)越普及化，企業(yè)的網(wǎng)絡(luò)系統(tǒng)面臨著隨時(shí)被攻擊的危險(xiǎn)，經(jīng)常遭受不同程度的入侵和破壞，嚴(yán)重干擾了企業(yè)網(wǎng)絡(luò)的正常運(yùn)行。日益嚴(yán)重的安全威脅迫使企業(yè)不得不加強(qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)，不斷追求多層次、立體化的安全防御體系，逐步引入了防病毒、防火墻、IDS、VPN、AAA等大量異構(gòu)的單點(diǎn)安全防御技術(shù)。然而，現(xiàn)有網(wǎng)絡(luò)安全防御體系還是以孤立的單點(diǎn)防御為主，彼此間缺乏有效的協(xié)作，從而形成了一個(gè)個(gè)的安全“孤島”，使得網(wǎng)絡(luò)安全不得不面對(duì)新的挑戰(zhàn)。

l         策略部署的挑戰(zhàn)

立體化的安全防御體系缺乏統(tǒng)一的安全策略治理平臺(tái)，使得網(wǎng)絡(luò)治理人員無(wú)法全面把握和控制網(wǎng)絡(luò)的整體安全策略和安全狀態(tài)，造成策略部署和治理上的困難，難以在全網(wǎng)統(tǒng)一實(shí)施企業(yè)安全策略，輕易產(chǎn)生安全“縫隙”和“三不管”的灰色地帶。

l         事件分析的挑戰(zhàn)

多層次的安全防御體系產(chǎn)生的海量安全事件無(wú)法人為治理，各安全部件(如IDS、FW)本身的局限性造成的誤報(bào)和漏報(bào)，輕易導(dǎo)致重要的信息被沉沒、真正的攻擊被忽視。由于缺乏對(duì)整網(wǎng)安全狀態(tài)和被保護(hù)對(duì)象的了解，現(xiàn)有的安全防御體系沒有將資產(chǎn)或業(yè)務(wù)的價(jià)值體現(xiàn)到安全策略中，難以對(duì)安全事件的原因做深入的關(guān)聯(lián)分析，無(wú)法從海量的安全事件中判定攻擊有效性、區(qū)分防御重點(diǎn)。

l         風(fēng)險(xiǎn)響應(yīng)的挑戰(zhàn)

孤立的安全防御體系中，安全防護(hù)、安全檢測(cè)、安全響應(yīng)沒有形成高效的閉環(huán)，各安全子系統(tǒng)的響應(yīng)手段單一，安全部件、網(wǎng)絡(luò)設(shè)備、用戶終端和治理員之間缺乏協(xié)同與聯(lián)動(dòng)，導(dǎo)致企業(yè)網(wǎng)絡(luò)對(duì)安全事件的響應(yīng)能力低下，難以做到及時(shí)、準(zhǔn)確的整體防御。

現(xiàn)有安全防御體系面臨的問題不是單一的安全部件能夠獨(dú)立解決的。網(wǎng)絡(luò)信息安全的“木桶原則”表明：一個(gè)木桶能裝多少水不僅取決于短木板的長(zhǎng)度，也取決于木板間的緊密程度；一個(gè)網(wǎng)絡(luò)的安全不僅依靠于單個(gè)安全部件的能力，也依靠于各安全部件之間的緊密協(xié)作。因此，通過(guò)全面、集中的安全治理，智能、綜合的事件分析，動(dòng)態(tài)、廣泛的協(xié)同響應(yīng)，將不同領(lǐng)域的安全部件融合成一個(gè)無(wú)縫的安全體系，成為下一代整網(wǎng)安全解決方案的發(fā)展趨勢(shì)。

在此背景下，華為3Com計(jì)劃推出安全治理中心解決方案，以開放的安全治理平臺(tái)為框架，將安全體系中各層次的安全產(chǎn)品、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)服務(wù)、用戶終端等納入一個(gè)緊密的統(tǒng)一治理平臺(tái)中，通過(guò)安全策略的集中部署、安全事件的深度感知與關(guān)聯(lián)分析以及安全部件的協(xié)同響應(yīng)，在現(xiàn)有安全設(shè)施的基礎(chǔ)上構(gòu)建一個(gè)協(xié)同安全防御體系，大幅度提高企業(yè)網(wǎng)絡(luò)的整體安全防御能力。華為3Com安全治理中心由策略治理、事件采集、分析決策、協(xié)同響應(yīng)四個(gè)組件構(gòu)成，與網(wǎng)絡(luò)中的安全產(chǎn)品、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)服務(wù)、用戶終端等獨(dú)立功能部件通過(guò)各種信息交互接口形成一個(gè)完整的協(xié)同防御體系（見下圖）。

基于安全治理中心的協(xié)同防御體系

華為3Com安全治理中心旨在集中部署網(wǎng)絡(luò)安全保護(hù)策略，簡(jiǎn)化對(duì)安全部件的治理，確保網(wǎng)絡(luò)安全策略的統(tǒng)一；廣泛采集與分析來(lái)自于計(jì)算機(jī)、網(wǎng)絡(luò)、存儲(chǔ)、安全等設(shè)施的告警事件，通過(guò)關(guān)聯(lián)來(lái)自于不同地點(diǎn)、不同層次、不同類型的安全事件，發(fā)現(xiàn)真正的安全風(fēng)險(xiǎn)，提高安全報(bào)警的信噪比；準(zhǔn)確的、實(shí)時(shí)的評(píng)估當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢(shì)和風(fēng)險(xiǎn)，并根據(jù)預(yù)先制定的策略做出快速響應(yīng)。其基本功能包括：

l         安全策略的集中部署

網(wǎng)絡(luò)中的安全部件涉及身份安全、終端安全、設(shè)備安全、連接安全、網(wǎng)絡(luò)安全等各個(gè)層面，對(duì)應(yīng)的安全防護(hù)技術(shù)包括AAA、防病毒、漏洞檢測(cè)、防火墻、VPN、IDS等不同層次的防御部件。集中部署各部件的安全防護(hù)策略，可以簡(jiǎn)化對(duì)安全部件的治理，確保網(wǎng)絡(luò)安全策略的統(tǒng)一，提高安全治理工作的效率。華為3Com安全治理中心的安全策略集中部署提供了集成、統(tǒng)一、完整的安全防護(hù)策略配置平臺(tái)，可以通過(guò)直觀的網(wǎng)絡(luò)、服務(wù)器、終端及用戶拓?fù)鋱D，查看和配置安全策略、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)服務(wù)與用戶終端，有效屏蔽安全產(chǎn)品和網(wǎng)絡(luò)設(shè)備的差異性，實(shí)現(xiàn)對(duì)安全產(chǎn)品或設(shè)備的配置一致性。

l         安全事件的深度感知

網(wǎng)絡(luò)的不同層次、不同節(jié)點(diǎn)往往都部署了相應(yīng)的安全部件，分別起到不同層面的安全防御作用。為了實(shí)時(shí)、全面地獲取網(wǎng)絡(luò)安全信息，必須解決網(wǎng)絡(luò)安全治理中的事件透明性問題，讓治理員可以監(jiān)控到網(wǎng)絡(luò)中每個(gè)安全產(chǎn)品的運(yùn)行狀態(tài)，為網(wǎng)絡(luò)安全分析與決策提供支持。華為3Com安全治理中心可以通過(guò)開放協(xié)議或安全代理的方式采集來(lái)自不同部件的安全事件數(shù)據(jù)，如病毒事件、異常登錄事件、異常操作事件、漏洞檢測(cè)事件、系統(tǒng)資源異常占用事件、流量異常事件等，幫助治理員及時(shí)把握網(wǎng)絡(luò)中的設(shè)備、服務(wù)和終端的安全狀態(tài)，為進(jìn)一步的深入分析和決策奠定準(zhǔn)確的數(shù)據(jù)基礎(chǔ)。

l         安全事件的關(guān)聯(lián)分析

網(wǎng)絡(luò)中的各種安全部件產(chǎn)生的眾多安全事件，往往使治理員沉沒于信息的海洋中；各安全部件本身的局限性造成的誤報(bào)和漏報(bào)，輕易導(dǎo)致真正的攻擊被忽視。華為3Com安全治理中心在全面采集安全事件的基礎(chǔ)上，通過(guò)各種基于統(tǒng)計(jì)和規(guī)則的關(guān)聯(lián)分析算法，結(jié)合安全事件產(chǎn)生的網(wǎng)絡(luò)環(huán)境、資產(chǎn)重要程度、系統(tǒng)漏洞級(jí)別，對(duì)安全事件進(jìn)行深度分析，可以有效提高安全事件的信噪比，減少告警日志數(shù)量而不丟失重要信息，為安全事件審計(jì)和風(fēng)險(xiǎn)響應(yīng)提供更準(zhǔn)確的決策支持。

l         安全威脅的協(xié)同響應(yīng)

對(duì)安全事件進(jìn)行全面采集和關(guān)聯(lián)分析的目的是準(zhǔn)確的阻斷和防止攻擊。華為3Com安全治理中心在全面了解網(wǎng)絡(luò)資源部署的條件下，可以根據(jù)攻擊源的不同，智能選擇控制點(diǎn)以更有效的防止攻擊，比如，對(duì)于外部攻擊選擇在防火墻ACL阻斷、對(duì)內(nèi)部攻擊選擇用戶接入交換機(jī)端口關(guān)閉、對(duì)于內(nèi)部蠕蟲爆發(fā)選擇隔離攻擊源。也可以針對(duì)不同的被攻擊對(duì)象，區(qū)分響應(yīng)方式，以提高整個(gè)網(wǎng)絡(luò)的自防御能力，比如，對(duì)于用戶終端可以強(qiáng)制進(jìn)行補(bǔ)丁修復(fù)和病毒庫(kù)升級(jí)，對(duì)于服務(wù)器資源可以動(dòng)態(tài)更新安全配置。

高效的安全解決方案不僅僅在于當(dāng)安全事件發(fā)生時(shí)，我們能夠迅速察覺、準(zhǔn)確定位，更重要的是我們能夠及時(shí)制定合理的、一致的、完備的安全策略，并最大限度的利用現(xiàn)有網(wǎng)絡(luò)安全資源，通過(guò)智能分析和協(xié)同響應(yīng)及時(shí)應(yīng)對(duì)各種真正的網(wǎng)絡(luò)攻擊。華為3Com安全治理中心為實(shí)現(xiàn)這一目標(biāo)而構(gòu)建了開放的、可持續(xù)演進(jìn)的網(wǎng)絡(luò)安全治理平臺(tái)，通過(guò)對(duì)防護(hù)、檢測(cè)和響應(yīng)等不同生命周期的各個(gè)安全環(huán)節(jié)進(jìn)行基于策略的治理，將各種異構(gòu)的安全產(chǎn)品、網(wǎng)絡(luò)設(shè)備、用戶終端和治理員有機(jī)的連接起來(lái)，構(gòu)成了一個(gè)智能的、聯(lián)動(dòng)的閉環(huán)響應(yīng)體系，可在保護(hù)現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施投資的基礎(chǔ)上有效應(yīng)對(duì)新的安全威脅、大幅提升對(duì)企業(yè)基礎(chǔ)業(yè)務(wù)的安全保障。