【導讀】信息化資源整合方案建議書

　　

【正文】 略管理、事件采集、分析決策、協同響應四個組件構成，與網絡中的安全 設備 、網絡設備、用戶終端等獨立功能部件通過各種信息交互接口形成一個完整的 協同防御體系。 H3C 全局安全管理平臺 旨在集中部署網絡安全 防護 策略，簡化對安全部件的管理，確保網絡安全策略的統一；廣泛采集與分析來自于計算機、網絡、存儲、安全等設施的告警事件，通過關聯來自于不同地點、不同層次、不同類型的安全事件，發(fā)現真正的安全風險，提高安全報警的信噪比；準確的、實時的評估當前的網絡安全態(tài)勢和風險，并根據預先制定的策略做出快速響應。其基本功能包括： 1. 安全策略的集中部署 網絡中的安全部件涉及身份安全、終端安全、設備安全、連接安全、網絡安全等各個層面，對應的安全防護技術包括 AAA、防病毒、漏洞檢測、防火墻、 VPN、IPS 等不同層次的防御部件。集中部署各部件的安全防護策略，可以簡化對安全部件的管理，確保網絡安全策略的統一，提高安全管理工作的效率。 H3C 全局安全管理平臺 的安全策略集中部署提供了集成、統一、完整的安全防護策略配置 功能 ，可以通過直觀的網絡、服務器、終端及用戶拓撲圖，查看和配置安全策略 。 2. 安全事件的深度感知 網絡的不同層次、不同節(jié)點往往都部署了相應的安全部件，分別起到不同層面的安全防御作用。為了實時、全面地獲取網絡安全信息，必須解決網絡安全管理中的事件透明性問題，讓管理員可以監(jiān)控到網絡中每個設備的運行狀態(tài)， 為網絡安全分析與決策提供支持。 H3C SecCenter 可以通過開放協議或安全代理的方式采集來自不同部件的安全事件數據，如病毒事件、異常登錄事件、異常操作事件、漏洞檢測事件、系統資源異常占用事件、流量異常事件等，幫助管理員及時掌握網絡中設備和終端的安全狀態(tài)，為進一步的深入分析和決策奠定準確的數據基礎。 3. 安全事件的關聯分析 網絡中的各種安全部件產生的眾多安全事件，往往使管理員淹沒于信息的海洋中。各安全部件本身的局限性造成的誤報和漏報，容易導致真正的攻擊被忽視。H3C SecCenter 在全面采集安全事件的基礎 上，通過各種基于統計和規(guī)則的關聯分析算法，結合安全事件產生的網絡環(huán)境、資產重要程度、系統漏洞級別，對安全事件進行深度分析，可以有效提高安全事件的信噪比，減少告警日志數量而不丟失重要信息，為安全事件審計和風險響應提供更準確的決策支持。 4. 安全威脅的協同響應 對安全事件進行全面采集和關聯分析的目的是準確地阻斷和防止攻擊。 H3C全局安全管理平臺 在全面了解網絡資源部署的條件下，可以根據攻擊源的不同，智能選擇控制點以更有效的防止攻擊，比如，對于外部攻擊選擇在防火墻 的 ACL阻斷、對內部攻擊選擇用戶接入交換機 的 端口關閉、對 于內部蠕蟲爆發(fā)選擇隔離攻擊源。也可以針對不同的被攻擊對象，區(qū)分響應方式，以提高整個網絡的自防御能力，比如，對于用戶終端可以強制進行補丁修復和病毒庫升級，對于服務器資源可以動態(tài)更新安全配置。 高效的安全解決方案不僅僅在于當安全事件發(fā)生時，我們能夠迅速察覺、準確定位，更重要的是我們能夠及時制定合理的、一致的、完備的安全策略，并最大限度的利用現有網絡安全資源，通過智能分析和協同響應及時應對各種真正的網絡攻擊。 H3C 全局安全管理解決方案 為實現這一目標而構建了開放的、可持續(xù)演進的安全管理平臺，通過對防護、檢測和響應 等不同生命周期的各個安全環(huán)節(jié)進行基于策略的管理，將各種異構的安全 設備 、網絡設備、用戶終端和管理員有機的連接起來，構成了一個智能的、聯動的閉環(huán)響應體系，可在保護現有網絡基礎設施投資的基礎上 有效應對新的安全威脅、大幅提升對 XX 單位 業(yè)務的安全保障。 . H3C全局安全管理解決方案的突出特點 ? 組件的模塊化架構 安全管理由 策略管理、事件采集、分析決策、協同響應 四個組件組成，各功能部件以模塊化方式組成，架構簡單明晰，易于擴展， XX 單位 系統網絡中可根據實際情況進行組件的選配。 ? 管理、分析、響應一體化 當安全事件發(fā)生時， H3C 安全管理中心能夠迅速察覺、準確定位，更重要的是能夠及時制定合理的、一致的、完備的安全策略， 在現有安全設施的基礎上 形成了 一個 智能的 安全防御體系，大幅度提高 了 企業(yè)網絡的整體安全防御能力。 ? 管理覆蓋全面 網上設備種類多、型號復雜是安全管理面臨的一大難題。 H3C 全局安全管理解決方案采用業(yè)界領先的集成技術，有效解決了 異構環(huán)境 中的管理問題。以負責安全事件深度感知的 SecCenter 為例， SecCenter 不僅能夠管理 H3C 各種類型的設備，而且可以支持業(yè)界主流網絡和安全產品，支持產品類型高達上百種，其中包括防火墻、 IPS、 IDS、路由器、交換機、 VPN、內容過濾系統、防病毒系統、防間諜軟件系統、防垃圾郵件系統和 Windows、 Unix 和 Linux 主機、數據庫等。 . H3C SecCenter部署方案 在 XX 單位 數據中心 的系統管理區(qū)，部署一臺 SecCenter，收集整個數據中心的安全事件，并提供智能分析，供管理人員進行分析和決策。 . 數據中心安全解決方案實現方案總結 數據中心安全方案要點總結： ? 數據中心同廣域網和辦公局域網之間設置防火墻、 IPS； ? 各業(yè)務功能區(qū)匯聚交換機設置防火墻、 IPS、負載均衡、 VPN 加密插卡； ? 在外連區(qū) 網絡邊緣設置獨立防火墻、 IPS、應用控制網關 ； ? 在系統管理區(qū)設置綜合安全管理系統，安全認證系統，防病毒管理，用戶行為分析等。 . 兩地三中心數據中心存儲災備方案 多套業(yè)務系統應用服務器集中到數據中心同時，統一建設面向各業(yè)務系統的存儲系統是水到渠成的事，不同業(yè)務部門應用系統數據可以集中共享存儲資源池，同一物理存儲資源池可以為不同業(yè)務系統提供邏輯上獨立的存儲空間，彼此互不影響，但可以集中考慮備份、容災。但由于歷史原因，不同部門存儲系統大部分為 FCSAN 架構，并且為不同廠商設備，兼容性、互通性存在問題。解決這些問題 ，需要采用虛擬化技術實現原有存儲系統利舊兼容，也就是在原有各家不同 FCSAN 異構存儲環(huán)境中增加一層虛擬存儲層，面向前端主機實現統一資源共享，存儲虛擬化應用成熟廣泛，這里不展開介紹該技術。 存儲系統實現了整合后， 實現 2 地 3 中心備份容災系統 。 部 XX 單位 數據中心存儲面向全國 XX 單位 數據：面向各應用系統共享 SAN存儲池建設，存儲系統實現本地數據可靠存儲，同城容災中心建設，異地容災中心建設。 XX 單位 存儲面向該 XX 單位 下屬機構數據： 面向個應用系統共享 SAN 存儲池建設， 實現本地數據可靠存儲，同城、異地災備中心建 設。 兩級 XX 單位 之間保持同步。 在 XX 單位 主數據中心設置面向各應用系統的存儲池，在同城和異地分別設置災備中心和備份中心。 兩地三中心數據中心存儲災備系統方案詳細設計見《 XXXX 單位 數據中心存儲解決方案》。 . H3C IT 綜合管理解決方案 管理系統提供 IT 系統監(jiān)控管理功能，管理范圍包括服務器系統軟硬件、應用系統、數據庫、中間件、終端 PC 的運行狀態(tài)，通過多角度視圖、告警、報表、SLA 管理等多種手段監(jiān)視您的整個 IT 基礎結構，并可以集中進行管理、控制，使系統管理員實現真正 IT 管理。 同時，管理中心還是安全管理 審計中心，防病毒管理中心。 網絡管理：數據中心、局域網、廣域網管理，集中監(jiān)控、配置、升級； 綜合安全管理：安全基礎設施管理、安全事件管理、安全認證審計管理、人員終端安全管理； 防病毒管理：內部辦公用戶終端防病毒管理； 綜合 IT 基礎設施管理：能夠對服務器軟硬件、數據庫進行管理監(jiān)測，對客戶端軟件進行安裝、升級管理。 以上 IT 管理系統分布在部 XX 單位 和 XX 單位 ，為 2 級管理結構。 . 智能管理中心 iMC H3C 智能管理中心（ H3C Intelligent Management Center，以下簡稱： iMC）。iMC 以業(yè)務應用流程模型為核心，采用面向服務（ SOA）的設計思想，按需裝配的組件化結構，為客戶提供業(yè)務、資源和用戶的融合管理解決方案，幫助客戶實現業(yè)務的端到端管理。通過 iMC 能夠靈活組織功能組件，可以形成直接面向客戶需求的業(yè)務流解決方案，從根本上解決管理的復雜性問題。 . 功能特點 iMC 從根本上顛覆了傳統網絡管理軟件的設計思想，以開放的技術路線和融合管理用戶、資源和業(yè)務三大網絡要素的理念為基礎，最終向客戶提供了一個個面向具體需求的業(yè)務管理流程，從而把客戶從繁雜、無序、割裂的管理工作中解脫出來。 iMC 系統的主要特點 有： 業(yè)務流程（ Business Process） 傳統網絡管理產品往往提供給客戶的是一個個面向故障、性能、安全、配置等內容的割裂工具軟件，但如何利用這些工具和滿足客戶實際管理需求之間存在著巨大的“鴻溝”，正是此導致了業(yè)界“有工具，無管理”的現狀。 H3C iMC 的核心理念在于融合、聯動各類工具軟件，包括網管軟件、 AAA認證軟件、流量分析軟件、安全管理軟件、數據管理軟件等，提供給客戶的不再是獨立的功能工具，而是直接面向客戶需求的業(yè)務流程，由流程來指導管理工作的開展。 用戶、資源和業(yè)務的融合管理 ： 用戶、資源和 業(yè)務是構成客戶 IT 環(huán)境的三個要素，管理系統不應該割裂的僅管理其中一部分，否則無法真正落實 IT 管理的規(guī)章制度。 H3C iMC 在管理資源（網絡設備、存儲設備、服務器等）、業(yè)務的基礎上，更融入了對用戶的管理，直接從用戶對資源使用以滿足業(yè)務需求的角度出發(fā)，真正實現了“面向人的管理”。 基于 SOA 的開放架構 ： 基于 SOA 開放的技術架構，是實現 H3C iMC 管理理念的技術保證。 H3C iMC 采用 Web Services 技術框架，通過松耦合、分布式、易擴展的開放管理平臺，提升業(yè)務融合能力；以資源虛擬化屏蔽底層設備差異，通 過面向服務的接口和調度框架，實現了功能組件化、標準化，使業(yè)務流程的再造得以落實。 . 系統結構 以用戶為本，靈活分配資源，迅速響應業(yè)務目標的變化是 H3C iMC 系統結構設計的出發(fā)點，從而保證了整個系統結構可以適應業(yè)務擴展、業(yè)務變更，進而滿足業(yè)務流程再造的應用需求： 通過平臺 +組件化設計，平臺框架實現了資源的統一管理和訪問控制，不同業(yè)務獨立設計，形成可擴展的組件設計模式，提供業(yè)務擴展能力； 不同功能組件之間實現融合聯動，功能組件不再獨立支撐業(yè)務，而為客戶提供更實用的業(yè)務支撐； 按照客戶所需進行組合裝配，通過業(yè)務 流程完成整個網絡管理和運維； 基于 SOA 架構設計，實現資源訪問層、業(yè)務邏輯層和應用表示層分層實現，每一層可以對外提供接口，具備系統集成能力； H3C 智能管理中心 解決方案 架構 . 主要功能 基礎資源管理 全網資源的統一部署、管理和調配中心，包括對路由器、交換機、安全、無線、語音、存儲、服務器、 PC、 UPS 等設備類型，實現了故障、性能、拓撲、配置等管理內容，成為業(yè)務融合聯動的基礎。 iMC 設備面板管理 iMC 設備狀態(tài)管理 iMC 拓撲管理 iMC 設備性能管理 iMC 對象告警設置 身份與接入管理 支持 LAN、 WAN、 WLAN、 VPN 認證接入，實現接入業(yè)務的統一、集中管理；支持智能卡、證書等強認證功能，支持多種方式的端點準入控制和基于身份的網絡服務，實現用戶與資源和業(yè)務的融合管理。 端點安全準入管理 在身份接入基礎上，支持終端安 全準入控制，支持安全狀態(tài)評估、網絡中安全威脅定位、安全事件感知及保護措施執(zhí)行等，預防因未打補丁、病毒泛濫、 ARP攻擊、異常流量、非法軟件安裝和運行等因素可能帶來的安全威脅，并可根據終端的安全狀態(tài)實現終端下線、隔離、提醒、監(jiān)控等多種控制策略。從端點接入上保證每一個接入網絡的終端的安全，從而保證網絡安全。 MPLS VPN 管理 實現網絡資源與 MPLS VPN 業(yè)務的統一管理，除基礎的網絡設備管理外，還包括 MPLS VPN 業(yè)務部署、業(yè)務監(jiān)控、業(yè)務審計等內容，為客戶提供了端到端的全流程業(yè)務管理功能。 ACL 管理 ACL 管理實現了 ACL 這種網絡重要資源的集中管理，通過全網 ACL 的視圖，方便的展示給用戶一個網絡中 ACL部署情況的藍圖； ACL部署功能實現了全網 ACL的批量配置和下發(fā)，有效減輕了用戶日常的管理工作量；此外， ACL 管理還提供了 ACL 模板、 ACL 規(guī)則優(yōu)化等功能。 智能配置中心 可以幫助管理員方便的對設備配置文件和軟件文件進行集中管理，包括配置文件的備份、恢復以及批量更新、設備軟件的備份和升級等功能；同時提供設備配置的基線化版本管理，可以對配置文件的變化進行比較跟蹤。 無線業(yè)務管理 依托 iMC 智能管理平臺，實現有線無 線一體化的管理。用戶可以獲得全面的無線業(yè)務管理能力，實現 AC、 FAT AP、 FIT AP、移動終端等無線設備的集中管理，提供資源分組、無線拓撲功能，對全網無線設備進行直觀有效的組織；此外，策略模板等功能實現網絡和設備的批量配置，提升效率，降低維護工作量，降低維護成本。 網絡流量分析系統 實現各種網絡流量信息統計和分析功能，能夠讓客戶及時了解各種網絡應用占用的帶寬、消耗的網絡資源和 Top