【導(dǎo)讀】信息化資源整合方案建議書

　　

【正文】 略管理、事件采集、分析決策、協(xié)同響應(yīng)四個組件構(gòu)成，與網(wǎng)絡(luò)中的安全 設(shè)備 、網(wǎng)絡(luò)設(shè)備、用戶終端等獨立功能部件通過各種信息交互接口形成一個完整的 協(xié)同防御體系。 H3C 全局安全管理平臺 旨在集中部署網(wǎng)絡(luò)安全 防護 策略，簡化對安全部件的管理，確保網(wǎng)絡(luò)安全策略的統(tǒng)一；廣泛采集與分析來自于計算機、網(wǎng)絡(luò)、存儲、安全等設(shè)施的告警事件，通過關(guān)聯(lián)來自于不同地點、不同層次、不同類型的安全事件，發(fā)現(xiàn)真正的安全風(fēng)險，提高安全報警的信噪比；準(zhǔn)確的、實時的評估當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢和風(fēng)險，并根據(jù)預(yù)先制定的策略做出快速響應(yīng)。其基本功能包括： 1. 安全策略的集中部署 網(wǎng)絡(luò)中的安全部件涉及身份安全、終端安全、設(shè)備安全、連接安全、網(wǎng)絡(luò)安全等各個層面，對應(yīng)的安全防護技術(shù)包括 AAA、防病毒、漏洞檢測、防火墻、 VPN、IPS 等不同層次的防御部件。集中部署各部件的安全防護策略，可以簡化對安全部件的管理，確保網(wǎng)絡(luò)安全策略的統(tǒng)一，提高安全管理工作的效率。 H3C 全局安全管理平臺 的安全策略集中部署提供了集成、統(tǒng)一、完整的安全防護策略配置 功能 ，可以通過直觀的網(wǎng)絡(luò)、服務(wù)器、終端及用戶拓?fù)鋱D，查看和配置安全策略 。 2. 安全事件的深度感知 網(wǎng)絡(luò)的不同層次、不同節(jié)點往往都部署了相應(yīng)的安全部件，分別起到不同層面的安全防御作用。為了實時、全面地獲取網(wǎng)絡(luò)安全信息，必須解決網(wǎng)絡(luò)安全管理中的事件透明性問題，讓管理員可以監(jiān)控到網(wǎng)絡(luò)中每個設(shè)備的運行狀態(tài)， 為網(wǎng)絡(luò)安全分析與決策提供支持。 H3C SecCenter 可以通過開放協(xié)議或安全代理的方式采集來自不同部件的安全事件數(shù)據(jù)，如病毒事件、異常登錄事件、異常操作事件、漏洞檢測事件、系統(tǒng)資源異常占用事件、流量異常事件等，幫助管理員及時掌握網(wǎng)絡(luò)中設(shè)備和終端的安全狀態(tài)，為進一步的深入分析和決策奠定準(zhǔn)確的數(shù)據(jù)基礎(chǔ)。 3. 安全事件的關(guān)聯(lián)分析 網(wǎng)絡(luò)中的各種安全部件產(chǎn)生的眾多安全事件，往往使管理員淹沒于信息的海洋中。各安全部件本身的局限性造成的誤報和漏報，容易導(dǎo)致真正的攻擊被忽視。H3C SecCenter 在全面采集安全事件的基礎(chǔ) 上，通過各種基于統(tǒng)計和規(guī)則的關(guān)聯(lián)分析算法，結(jié)合安全事件產(chǎn)生的網(wǎng)絡(luò)環(huán)境、資產(chǎn)重要程度、系統(tǒng)漏洞級別，對安全事件進行深度分析，可以有效提高安全事件的信噪比，減少告警日志數(shù)量而不丟失重要信息，為安全事件審計和風(fēng)險響應(yīng)提供更準(zhǔn)確的決策支持。 4. 安全威脅的協(xié)同響應(yīng) 對安全事件進行全面采集和關(guān)聯(lián)分析的目的是準(zhǔn)確地阻斷和防止攻擊。 H3C全局安全管理平臺 在全面了解網(wǎng)絡(luò)資源部署的條件下，可以根據(jù)攻擊源的不同，智能選擇控制點以更有效的防止攻擊，比如，對于外部攻擊選擇在防火墻 的 ACL阻斷、對內(nèi)部攻擊選擇用戶接入交換機 的 端口關(guān)閉、對 于內(nèi)部蠕蟲爆發(fā)選擇隔離攻擊源。也可以針對不同的被攻擊對象，區(qū)分響應(yīng)方式，以提高整個網(wǎng)絡(luò)的自防御能力，比如，對于用戶終端可以強制進行補丁修復(fù)和病毒庫升級，對于服務(wù)器資源可以動態(tài)更新安全配置。 高效的安全解決方案不僅僅在于當(dāng)安全事件發(fā)生時，我們能夠迅速察覺、準(zhǔn)確定位，更重要的是我們能夠及時制定合理的、一致的、完備的安全策略，并最大限度的利用現(xiàn)有網(wǎng)絡(luò)安全資源，通過智能分析和協(xié)同響應(yīng)及時應(yīng)對各種真正的網(wǎng)絡(luò)攻擊。 H3C 全局安全管理解決方案 為實現(xiàn)這一目標(biāo)而構(gòu)建了開放的、可持續(xù)演進的安全管理平臺，通過對防護、檢測和響應(yīng) 等不同生命周期的各個安全環(huán)節(jié)進行基于策略的管理，將各種異構(gòu)的安全 設(shè)備 、網(wǎng)絡(luò)設(shè)備、用戶終端和管理員有機的連接起來，構(gòu)成了一個智能的、聯(lián)動的閉環(huán)響應(yīng)體系，可在保護現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施投資的基礎(chǔ)上 有效應(yīng)對新的安全威脅、大幅提升對 XX 單位 業(yè)務(wù)的安全保障。 . H3C全局安全管理解決方案的突出特點 ? 組件的模塊化架構(gòu) 安全管理由 策略管理、事件采集、分析決策、協(xié)同響應(yīng) 四個組件組成，各功能部件以模塊化方式組成，架構(gòu)簡單明晰，易于擴展， XX 單位 系統(tǒng)網(wǎng)絡(luò)中可根據(jù)實際情況進行組件的選配。 ? 管理、分析、響應(yīng)一體化 當(dāng)安全事件發(fā)生時， H3C 安全管理中心能夠迅速察覺、準(zhǔn)確定位，更重要的是能夠及時制定合理的、一致的、完備的安全策略， 在現(xiàn)有安全設(shè)施的基礎(chǔ)上 形成了 一個 智能的 安全防御體系，大幅度提高 了 企業(yè)網(wǎng)絡(luò)的整體安全防御能力。 ? 管理覆蓋全面 網(wǎng)上設(shè)備種類多、型號復(fù)雜是安全管理面臨的一大難題。 H3C 全局安全管理解決方案采用業(yè)界領(lǐng)先的集成技術(shù)，有效解決了 異構(gòu)環(huán)境 中的管理問題。以負(fù)責(zé)安全事件深度感知的 SecCenter 為例， SecCenter 不僅能夠管理 H3C 各種類型的設(shè)備，而且可以支持業(yè)界主流網(wǎng)絡(luò)和安全產(chǎn)品，支持產(chǎn)品類型高達(dá)上百種，其中包括防火墻、 IPS、 IDS、路由器、交換機、 VPN、內(nèi)容過濾系統(tǒng)、防病毒系統(tǒng)、防間諜軟件系統(tǒng)、防垃圾郵件系統(tǒng)和 Windows、 Unix 和 Linux 主機、數(shù)據(jù)庫等。 . H3C SecCenter部署方案 在 XX 單位 數(shù)據(jù)中心 的系統(tǒng)管理區(qū)，部署一臺 SecCenter，收集整個數(shù)據(jù)中心的安全事件，并提供智能分析，供管理人員進行分析和決策。 . 數(shù)據(jù)中心安全解決方案實現(xiàn)方案總結(jié) 數(shù)據(jù)中心安全方案要點總結(jié)： ? 數(shù)據(jù)中心同廣域網(wǎng)和辦公局域網(wǎng)之間設(shè)置防火墻、 IPS； ? 各業(yè)務(wù)功能區(qū)匯聚交換機設(shè)置防火墻、 IPS、負(fù)載均衡、 VPN 加密插卡； ? 在外連區(qū) 網(wǎng)絡(luò)邊緣設(shè)置獨立防火墻、 IPS、應(yīng)用控制網(wǎng)關(guān) ； ? 在系統(tǒng)管理區(qū)設(shè)置綜合安全管理系統(tǒng)，安全認(rèn)證系統(tǒng)，防病毒管理，用戶行為分析等。 . 兩地三中心數(shù)據(jù)中心存儲災(zāi)備方案 多套業(yè)務(wù)系統(tǒng)應(yīng)用服務(wù)器集中到數(shù)據(jù)中心同時，統(tǒng)一建設(shè)面向各業(yè)務(wù)系統(tǒng)的存儲系統(tǒng)是水到渠成的事，不同業(yè)務(wù)部門應(yīng)用系統(tǒng)數(shù)據(jù)可以集中共享存儲資源池，同一物理存儲資源池可以為不同業(yè)務(wù)系統(tǒng)提供邏輯上獨立的存儲空間，彼此互不影響，但可以集中考慮備份、容災(zāi)。但由于歷史原因，不同部門存儲系統(tǒng)大部分為 FCSAN 架構(gòu)，并且為不同廠商設(shè)備，兼容性、互通性存在問題。解決這些問題 ，需要采用虛擬化技術(shù)實現(xiàn)原有存儲系統(tǒng)利舊兼容，也就是在原有各家不同 FCSAN 異構(gòu)存儲環(huán)境中增加一層虛擬存儲層，面向前端主機實現(xiàn)統(tǒng)一資源共享，存儲虛擬化應(yīng)用成熟廣泛，這里不展開介紹該技術(shù)。 存儲系統(tǒng)實現(xiàn)了整合后， 實現(xiàn) 2 地 3 中心備份容災(zāi)系統(tǒng) 。 部 XX 單位 數(shù)據(jù)中心存儲面向全國 XX 單位 數(shù)據(jù)：面向各應(yīng)用系統(tǒng)共享 SAN存儲池建設(shè)，存儲系統(tǒng)實現(xiàn)本地數(shù)據(jù)可靠存儲，同城容災(zāi)中心建設(shè)，異地容災(zāi)中心建設(shè)。 XX 單位 存儲面向該 XX 單位 下屬機構(gòu)數(shù)據(jù)： 面向個應(yīng)用系統(tǒng)共享 SAN 存儲池建設(shè)， 實現(xiàn)本地數(shù)據(jù)可靠存儲，同城、異地災(zāi)備中心建 設(shè)。 兩級 XX 單位 之間保持同步。 在 XX 單位 主數(shù)據(jù)中心設(shè)置面向各應(yīng)用系統(tǒng)的存儲池，在同城和異地分別設(shè)置災(zāi)備中心和備份中心。 兩地三中心數(shù)據(jù)中心存儲災(zāi)備系統(tǒng)方案詳細(xì)設(shè)計見《 XXXX 單位 數(shù)據(jù)中心存儲解決方案》。 . H3C IT 綜合管理解決方案 管理系統(tǒng)提供 IT 系統(tǒng)監(jiān)控管理功能，管理范圍包括服務(wù)器系統(tǒng)軟硬件、應(yīng)用系統(tǒng)、數(shù)據(jù)庫、中間件、終端 PC 的運行狀態(tài)，通過多角度視圖、告警、報表、SLA 管理等多種手段監(jiān)視您的整個 IT 基礎(chǔ)結(jié)構(gòu)，并可以集中進行管理、控制，使系統(tǒng)管理員實現(xiàn)真正 IT 管理。 同時，管理中心還是安全管理 審計中心，防病毒管理中心。 網(wǎng)絡(luò)管理：數(shù)據(jù)中心、局域網(wǎng)、廣域網(wǎng)管理，集中監(jiān)控、配置、升級； 綜合安全管理：安全基礎(chǔ)設(shè)施管理、安全事件管理、安全認(rèn)證審計管理、人員終端安全管理； 防病毒管理：內(nèi)部辦公用戶終端防病毒管理； 綜合 IT 基礎(chǔ)設(shè)施管理：能夠?qū)Ψ?wù)器軟硬件、數(shù)據(jù)庫進行管理監(jiān)測，對客戶端軟件進行安裝、升級管理。 以上 IT 管理系統(tǒng)分布在部 XX 單位 和 XX 單位 ，為 2 級管理結(jié)構(gòu)。 . 智能管理中心 iMC H3C 智能管理中心（ H3C Intelligent Management Center，以下簡稱： iMC）。iMC 以業(yè)務(wù)應(yīng)用流程模型為核心，采用面向服務(wù)（ SOA）的設(shè)計思想，按需裝配的組件化結(jié)構(gòu)，為客戶提供業(yè)務(wù)、資源和用戶的融合管理解決方案，幫助客戶實現(xiàn)業(yè)務(wù)的端到端管理。通過 iMC 能夠靈活組織功能組件，可以形成直接面向客戶需求的業(yè)務(wù)流解決方案，從根本上解決管理的復(fù)雜性問題。 . 功能特點 iMC 從根本上顛覆了傳統(tǒng)網(wǎng)絡(luò)管理軟件的設(shè)計思想，以開放的技術(shù)路線和融合管理用戶、資源和業(yè)務(wù)三大網(wǎng)絡(luò)要素的理念為基礎(chǔ)，最終向客戶提供了一個個面向具體需求的業(yè)務(wù)管理流程，從而把客戶從繁雜、無序、割裂的管理工作中解脫出來。 iMC 系統(tǒng)的主要特點 有： 業(yè)務(wù)流程（ Business Process） 傳統(tǒng)網(wǎng)絡(luò)管理產(chǎn)品往往提供給客戶的是一個個面向故障、性能、安全、配置等內(nèi)容的割裂工具軟件，但如何利用這些工具和滿足客戶實際管理需求之間存在著巨大的“鴻溝”，正是此導(dǎo)致了業(yè)界“有工具，無管理”的現(xiàn)狀。 H3C iMC 的核心理念在于融合、聯(lián)動各類工具軟件，包括網(wǎng)管軟件、 AAA認(rèn)證軟件、流量分析軟件、安全管理軟件、數(shù)據(jù)管理軟件等，提供給客戶的不再是獨立的功能工具，而是直接面向客戶需求的業(yè)務(wù)流程，由流程來指導(dǎo)管理工作的開展。 用戶、資源和業(yè)務(wù)的融合管理 ： 用戶、資源和 業(yè)務(wù)是構(gòu)成客戶 IT 環(huán)境的三個要素，管理系統(tǒng)不應(yīng)該割裂的僅管理其中一部分，否則無法真正落實 IT 管理的規(guī)章制度。 H3C iMC 在管理資源（網(wǎng)絡(luò)設(shè)備、存儲設(shè)備、服務(wù)器等）、業(yè)務(wù)的基礎(chǔ)上，更融入了對用戶的管理，直接從用戶對資源使用以滿足業(yè)務(wù)需求的角度出發(fā)，真正實現(xiàn)了“面向人的管理”。 基于 SOA 的開放架構(gòu) ： 基于 SOA 開放的技術(shù)架構(gòu)，是實現(xiàn) H3C iMC 管理理念的技術(shù)保證。 H3C iMC 采用 Web Services 技術(shù)框架，通過松耦合、分布式、易擴展的開放管理平臺，提升業(yè)務(wù)融合能力；以資源虛擬化屏蔽底層設(shè)備差異，通 過面向服務(wù)的接口和調(diào)度框架，實現(xiàn)了功能組件化、標(biāo)準(zhǔn)化，使業(yè)務(wù)流程的再造得以落實。 . 系統(tǒng)結(jié)構(gòu) 以用戶為本，靈活分配資源，迅速響應(yīng)業(yè)務(wù)目標(biāo)的變化是 H3C iMC 系統(tǒng)結(jié)構(gòu)設(shè)計的出發(fā)點，從而保證了整個系統(tǒng)結(jié)構(gòu)可以適應(yīng)業(yè)務(wù)擴展、業(yè)務(wù)變更，進而滿足業(yè)務(wù)流程再造的應(yīng)用需求： 通過平臺 +組件化設(shè)計，平臺框架實現(xiàn)了資源的統(tǒng)一管理和訪問控制，不同業(yè)務(wù)獨立設(shè)計，形成可擴展的組件設(shè)計模式，提供業(yè)務(wù)擴展能力； 不同功能組件之間實現(xiàn)融合聯(lián)動，功能組件不再獨立支撐業(yè)務(wù)，而為客戶提供更實用的業(yè)務(wù)支撐； 按照客戶所需進行組合裝配，通過業(yè)務(wù) 流程完成整個網(wǎng)絡(luò)管理和運維； 基于 SOA 架構(gòu)設(shè)計，實現(xiàn)資源訪問層、業(yè)務(wù)邏輯層和應(yīng)用表示層分層實現(xiàn)，每一層可以對外提供接口，具備系統(tǒng)集成能力； H3C 智能管理中心 解決方案 架構(gòu) . 主要功能 基礎(chǔ)資源管理 全網(wǎng)資源的統(tǒng)一部署、管理和調(diào)配中心，包括對路由器、交換機、安全、無線、語音、存儲、服務(wù)器、 PC、 UPS 等設(shè)備類型，實現(xiàn)了故障、性能、拓?fù)?、配置等管理?nèi)容，成為業(yè)務(wù)融合聯(lián)動的基礎(chǔ)。 iMC 設(shè)備面板管理 iMC 設(shè)備狀態(tài)管理 iMC 拓?fù)涔芾? iMC 設(shè)備性能管理 iMC 對象告警設(shè)置 身份與接入管理 支持 LAN、 WAN、 WLAN、 VPN 認(rèn)證接入，實現(xiàn)接入業(yè)務(wù)的統(tǒng)一、集中管理；支持智能卡、證書等強認(rèn)證功能，支持多種方式的端點準(zhǔn)入控制和基于身份的網(wǎng)絡(luò)服務(wù)，實現(xiàn)用戶與資源和業(yè)務(wù)的融合管理。 端點安全準(zhǔn)入管理 在身份接入基礎(chǔ)上，支持終端安 全準(zhǔn)入控制，支持安全狀態(tài)評估、網(wǎng)絡(luò)中安全威脅定位、安全事件感知及保護措施執(zhí)行等，預(yù)防因未打補丁、病毒泛濫、 ARP攻擊、異常流量、非法軟件安裝和運行等因素可能帶來的安全威脅，并可根據(jù)終端的安全狀態(tài)實現(xiàn)終端下線、隔離、提醒、監(jiān)控等多種控制策略。從端點接入上保證每一個接入網(wǎng)絡(luò)的終端的安全，從而保證網(wǎng)絡(luò)安全。 MPLS VPN 管理 實現(xiàn)網(wǎng)絡(luò)資源與 MPLS VPN 業(yè)務(wù)的統(tǒng)一管理，除基礎(chǔ)的網(wǎng)絡(luò)設(shè)備管理外，還包括 MPLS VPN 業(yè)務(wù)部署、業(yè)務(wù)監(jiān)控、業(yè)務(wù)審計等內(nèi)容，為客戶提供了端到端的全流程業(yè)務(wù)管理功能。 ACL 管理 ACL 管理實現(xiàn)了 ACL 這種網(wǎng)絡(luò)重要資源的集中管理，通過全網(wǎng) ACL 的視圖，方便的展示給用戶一個網(wǎng)絡(luò)中 ACL部署情況的藍(lán)圖； ACL部署功能實現(xiàn)了全網(wǎng) ACL的批量配置和下發(fā)，有效減輕了用戶日常的管理工作量；此外， ACL 管理還提供了 ACL 模板、 ACL 規(guī)則優(yōu)化等功能。 智能配置中心 可以幫助管理員方便的對設(shè)備配置文件和軟件文件進行集中管理，包括配置文件的備份、恢復(fù)以及批量更新、設(shè)備軟件的備份和升級等功能；同時提供設(shè)備配置的基線化版本管理，可以對配置文件的變化進行比較跟蹤。 無線業(yè)務(wù)管理 依托 iMC 智能管理平臺，實現(xiàn)有線無 線一體化的管理。用戶可以獲得全面的無線業(yè)務(wù)管理能力，實現(xiàn) AC、 FAT AP、 FIT AP、移動終端等無線設(shè)備的集中管理，提供資源分組、無線拓?fù)涔δ埽瑢θW(wǎng)無線設(shè)備進行直觀有效的組織；此外，策略模板等功能實現(xiàn)網(wǎng)絡(luò)和設(shè)備的批量配置，提升效率，降低維護工作量，降低維護成本。 網(wǎng)絡(luò)流量分析系統(tǒng) 實現(xiàn)各種網(wǎng)絡(luò)流量信息統(tǒng)計和分析功能，能夠讓客戶及時了解各種網(wǎng)絡(luò)應(yīng)用占用的帶寬、消耗的網(wǎng)絡(luò)資源和 Top