联想网御安全设备管理系统产品白皮书

联想网御安全管理系统

安全设备管理系统

产品白皮书

联想网御科技（北京）有限公司

版权信息

?版权所有 2001－2007，联想网御科技(北京)有限公司

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属联想网御科技(北京)有限公司所有，受国家有关产权及版权法保护。如何个人、机构未经联想网御科技(北京)有限公司的书面授权许可，不得以任何方式复制或引用本文档的任何片段。

商标信息

联想，网御，Legend，Lenovo，leadsec等标识及其组合是联想网御科技(北京)有限公司拥有的商标，受商标法和有关国际公约的保护。

第三方信息

本文档中所涉及到的产品名称和商标，属于各自公司或组织所有。

联想网御科技（北京）有限公司

Lenovo Security Technologies Inc.

北京市海淀区中关村南大街6号中电信息大厦8层100086

8/F Zhongdian Information Tower No.6 Zhongguancun South Street,

Haidian District, Beijing

电话(TEL)：010-********

传真(FAX)：010-********

技术热线(Customer Hotline)：400-810-7766，010-********

电子信箱(E-mail)：infosec@https://www.sodocs.net/doc/1818795226.html,

目录

1 安全管理发展概况 (4)

1.1 用户安全管理面临的挑战 (4)

1.2 安全管理技术的发展趋势 (5)

1.3 联想网御第三代安全管理系统 (7)

1.4 联想网御安全设备管理系统 (7)

2 联想网御安全设备管理系统产品简介 (8)

2.1 产品定位 (8)

2.2 产品体系结构 (8)

2.3 典型部署方案 (11)

2.4 产品运行环境 (13)

2.5 支持设备列表 (14)

3 联想网御安全设备管理系统功能介绍 (15)

3.1 安全报警 (15)

3.2 设备监控 (16)

3.3 策略管理 (17)

4 联想网御安全设备管理系统产品特点 (19)

4.1 功能特点 (19)

4.2 技术特点 (20)

1 安全管理发展概况

1.1 用户安全管理面临的挑战

当今，企业和政府中大量运用了信息技术和网络技术来构筑业务运行的基础设施，黑客、蠕虫病毒、后门漏洞等安全威胁的存在，使得用户的关键业务暴露在危险之中。企业管理者必须密切关注网络环境的安全性，部署大量的安全设备，构建一个安全的网络计算环境，以保证业务数据信息的保密性、完整性和可用性。

?日益复杂的安全环境需要集中管理

目前，信息安全市场上存在着数百家厂商，比如联想网御、思科、NETSCREEN等等，推出了上万种不同类型的安全产品，包括防火墙、VPN、IDS、防病毒、漏洞扫描、UTM、身份认证系统等等。一个大型的组织结构复杂的用户，总部以及各个分支机构在不同的建设阶段会部署不同厂家的各类安全设备。每种安全设备都有用来监控和管理的控制台，从各自角度提供局部的安全信息，每个安全设备间是孤立的、分散的。管理员需要学习每种安全设备的使用方式，并时时巡视每台设备的运行情况和报警情况。管理员管理负担越来越重，无从掌控全局的安全状况，很难保证整个网络环境的安全性。

?亿万条安全事件需要统一审计分析

防火墙、VPN、IDS、防病毒、漏洞扫描、UTM等安全设备每天都会产生数以亿万计的安全日志和攻击事件，重要的攻击信息淹没在大量的干扰信息内，管理员需要及时、准确的发现这些应该关注的信息。同时，企业的领导者需要了解整个网络环境的总体安全状况，以便采取相应措施，保证业务的正常运转。

1.2 安全管理技术的发展趋势

安全管理技术经过了十多年的发展，已经从无序、混沌、手工、迟缓的运维管理，经过对重要安全设备的运行进行简单自动监视，直至发展为企业级的IT 安全管理。

企业级的安全管理从以下方面保障企业的全局安全。

1.2.1 集中设备监控

目前，IT经理和IT管理人员有80%到85%的工作时间花费在保证设备正常工作上。各个厂家各种型号的异构设备分散在网络的各个节点上，分散的、各自为政的管理方案极大的占用了管理员的工作时间和精力。

企业级安全管理提供统一的设备监控功能，允许用户单点登录，在统一管理界面内，即可以监控和管理分散网络环境各处的异构设备节点，实时掌握各设备的部署情况、运行状况、设备的接入\断出变动，简单有效的保证安全投资的最大收益。

在这方面，安全管理需要考虑的关键技术是：

设备的扩展支持：各种各样不同的异构设备，以及未来企业用户可能引进的新类型安全设备，需要安全管理系统能够灵活的扩展支持，否则统一的集中管理无从谈起。目前，大部分安全设备都提供支持标准协议SNMP/SYSLOG 的管理接口，只要厂家提供MIB 库文件和日志格式文件，就可以实现对该设备的监控管理。

1.2.2 全局审计分析

数量众多的安全设备每秒钟都会产生数以万计的事件和日志，海量的信息存放在不同安全设备的控制系统内，彼此是孤立的，用户无法把握总体的安全状况。

审计分析功能关联了各个系统产生的日志 ，以丰富的分析报表，从各个角度对网络总体安全进行了分析和汇总，方便用户把握重点关注的事件，判断、定位攻击问题及责任，了解网络安全发展趋势，保障网络总体安全。

在这方面，安全管理需要考虑的关键技术是：

海量事件的处理： 每秒钟数万条的日志，对于系统的处理能力和存储能力都提出了很高的要求，通过数据的压缩、中间分析数据提取以及海量数据存储机制，可以很好的保证数据的完整、系统的稳定和性能。

1.3 联想网御第三代安全管理系统

联想网御结合自身在信息安全领域的长期积累和领先技术，持续不断的推进安全管理系统产品的研究和发展。

2001年，联想网御推出针对安全设备运行监控管理的第一代安全管理系统。

2003年，联想网御推出集成了安全报警、事件审计分析功能的第二代安全管理系统。

2005年，联想网御集五年研发积累，针对企业安全管理的发展趋势和需求，推出了第三代安全管理系统，以适应企业统一安全管理的需要。

2007年，联想网御在第三代安全管理系统的研发基础上，针对安全管理工作的实际状况，进行了全面升级，功能更完备、性能更卓越、运行更稳定。

1.4 联想网御安全设备管理系统

联想网御安全设备管理系统是联想网御安全管理系统的重要子系统，主要完成对联想网御公司安全设备和第三方安全设备的设备监控和管理功能。

联想网御公司同时也为用户提供了网御安全审计系统，以帮助用户完成安全日志审计功能。

2 联想网御安全设备管理系统产品简介

2.1 产品定位

联想网御针对对企业信息安全比较重视的中高端用户推出的安全设备管理系统定位于集中设备监控和策略管理，该产品是联想网御信息安全解决方案的重要组成部分。

联想网御安全设备管理系统是一套综合性的设备管理软件，它通过集中设备监控和策略管理，协助用户掌握设备的安全状况，能够实时监测安全攻击，调整安全设备策略，及时应对安全威胁，从而实现用户网络的整体安全。

2.2 产品体系结构

联想网御安全设备管理系统采用三层分布式体系结构，主要由被管设备层、管理中心层、控制台层组成。

被管设备

用户网络环境内的防火墙、VPN、IDS、UTM、路由器、交换机、服务器、PC机等安全设备和网络设备是安全设备管理系统的管理对象，它们的正常运行是用户最关心的。

设备代理

设备代理部署在安全设备或网络设备上，负责采集设备运行数据、下发设备控制信息.。支持与安全管理中心通过SNMP协议、文件或私有加密通道进行通信。

管理中心

部署在专用服务器上，负责分析、组织、处理网络环境内的告警、设备运行信息。它是安全设备管理系统产品的核心，负责连接其它模块，传递运行数据，并完成所有管理功能的后台处理。

数据库服务器部署在专用服务器上或者与管理中心部署在一起，负责存储安全告警、信息、中间统计数据及系统运行控制数据，支持SQLSERVER /MSDE 数据库。

事件服务器完成信息采集功能，在管理中心内包括了事件服务器模块，若用户网络环境复杂或者存在大量安全设备，仅仅依靠管理中心自带的事件服务器

模块，可能会出现信息处理瓶颈，此时可以单独部署事件服务器，完成设备信息的分布式处理。

控制台

用户控制台可以与管理中心部署在一起，也可以部署在普通PC机上，远程连接访问任意的一个管理中心。用户可以通过管理程序客户端进行设备监控、报警管理。

产品功能架构:

联想网御安全设备管理系统通过SNMP协议、ICMP等管理协议与安全设备通信，以标准平台服务：发现服务、轮询服务、内核服务、访问接口服务、数据管理服务、权限认证服务、级联服务、调度服务、事件服务、告警服务、通知服务为基础，通过管理客户端、WEB客户端为用户提供了告警管理、设备管理、设备监控、策略管理、权限管理、级联管理等服务。同时支持上级管理中心级联和第三方集成管理的定制。

2.3 典型部署方案

联想网御安全设备管理系统模块化的体系结构，使得系统具有非常灵活的部署模式，可以适应从简单到复杂的不同的用户环境。

简单应用模式

对于网络环境比较简单，设备数量较少的用户，可以采用简单应用模式。部署一套安全设备管理系统，直接管理所有的安全设备。

复杂应用模式

对于网络环境复杂，或者存在大量安全设备的用户，需要采用复杂应用模式。整个网络划分为多个区域，如生产网络区，销售网络区，WEB服务区。每个分区内部署一套事件服务器组件，实现本分区内的信息收集和处理。同时，在中心区部署一套联想网御安全设备管理系统，通过与各事件服务器组件或安全设备通信，实现整个网络的全局管理。

级联部署模式

对于结构复杂，层次化的组织，需要划分为多个管理级别，如总部网络，各分部网络，总部和分部的管理范围、管理需求不同，此时应采用级联部署模式。在总部网络和各分部网络分别部署一套安全设备管理系统，实现本地网络的安全管理。同时各分部网络会传递本地管理数据给总部网络，以便总部安全设备管理系统可以管理整个网络。

2.4 产品运行环境

2.5 支持设备列表

联想网御安全设备管理系统具备强大的设备管理功能，支持联想网御全系列安全产品。

对于第三方安全设备，联想网御安全设备管理系统提供了零代码扩展机制，通过编写配置文件，即可实现对设备监控、安全报警的管理支持。

支持设备列表：

注：提供标准化接口，可定制支持第三方设备。

3 联想网御安全设备管理系统功能介绍

联想网御安全设备管理系统功能图

3.1 安全报警

1. 告警监控

网络资源和设备受到攻击，或运行异常时，会以告警等信息方式，通知管理员。联想网御安全设备管理系统提供多种自动处理机制，协助用户监控最新告警，全方位掌控网络异常和攻击。

2. 告警管理

联想网御安全设备管理系统提供强大的告警管理功能。用户可以查询、定位

每一条详细告警，并进行确认、处理，系统记录告警处理时间、处理人等信息，使得每一个问题都可以进行事后审查。

同时，系统提供以自定义条件进行统计分析，掌握总体的告警态势，协助定位安全问题，保障网络整体安全。

3.2 设备监控

1. 拓扑地图

拓扑地图以层次分明的地图页面，组织、呈现用户的网络部署情况。用户可以划分不同子图进行管理，符合用户企业组织结构的管理习惯；地图上安全设备的丰富属性及状态报警，可以让用户对安全设备的运行状况一目了然。

系统灵活的权限控制，可以对不同管理员设定对不同子图的不同权限，进行严格权限控制。

2. 设备监视

系统以直观清晰的方式显示设备关键属性和运行状态。设备运行异常时，拓扑图上会以不同的颜色、不同的图标来呈现设备，醒目提示管理员当前发生的问题。同时，以图形化方式允许管理员实时监控设备的详细信息。

3. 历史状态分析

系统根据用户需要可以记录一段时间内的设备关键信息，在设备出现问题时，可以回放这一时间段内的信息记录，系统以曲线图形式给出关键信息的变动情况，协助定位问题，同时根据状态变动曲线，可以为系统未来运行状态变化趋势提供参考。

4. 集中设备配置

联想网御安全设备管理系统提供切换灵活、操作简单的集中设备配置界面，方便用户从管理中心管理配置每一台安全设备，及时调整防火墙的安全策略和系统配置。

5. 统一设备升级

层出不穷的安全威胁、攻击以及设备新增强功能，需要安全设备以升级包的方式升级更新。联想网御安全设备管理系统提供的设备统一升级功能，允许用户在管理中心管理所有已发布的升级包，并自动进行统一下发，瞬时完成分部在全国各地的安全设备的升级。

3.3 策略管理

1．防火墙策略管理

面对数量众多的防火墙设备，联想网御安全设备管理系统提供了统一的策略

编辑、配置功能。在安全设备管理系统上通过图形化界面配置网御防火墙的安全策略，系统会将策略批量下发到防火墙，既能保证安全策略的一致性，又可以大量减少管理员的工作强度。

2．VPN策略管理

VPN设备的策略配置包括IKE策略、IPSEC策略等，手动配置比较烦琐，且容易出错。联想网御安全设备管理系统提供了VPN策略管理功能，可通过图形化界面编辑、下发VPN策略，建立VPN隧道。同时，系统还提供了全网VPN 的集中监控功能，系统管理员可以一目了然的看到网络中VPN隧道的运行状况及流量等相关信息。

4 联想网御安全设备管理系统产品特点

4.1 功能特点

直观清晰的管理方式

系统支持拓扑图管理方式，用户可以将本单位按照组织结构划分为多个管理域，每个管理域呈现为一个地图页面，用户可以导入本地地图图片，调整设备显示与地理实际分布一致，直观的显示网络部署和设备情况。系统还支持告警面板、设备树、状态红绿灯等直观的管理方式。

全面实时的监视信息

系统能够实时监视设备的名称、版本、类型、描述等基本信息，CPU资源、内存资源、磁盘资源、网络接口、IPSEC隧道信息、IP连接信息、PPTP/L2TP 信息、在线用户等运行信息，以及告警、日志等事件信息。

丰富的告警信息处理

系统可以采用多种方式进行告警处理，例如客户端声音告警、弹出窗口告警、电子邮件告警、手机短信息告警等。在进行告警处理的同时，管理界面上也会显示醒目的异常图标。丰富的告警方式可保证管理员及时得到系统的异常信息并进行相应处理，从而减少系统异常可能造成的负面影响和损失。

健全的备份恢复机制

系统能够周期性地对数据进行备份，并可在数据达到设定阀值时自动对数据进行备份及清除，以确保数据完整性。也可以在需要时将备份的数据重新导入系统中。

高效的中间数据压缩

为增大备份数据的信息量，系统对备份的数据采用压缩后再保存的方法，压缩率达到90%。在数据重新导入系统时先解压再导入。该方法可极大地增加信息的保存量。

强大的策略管理功能

系统可以对网御防火墙产品的代理规则、安全选项等进行统一的策略编辑、

下发和管理，支持基于单个设备和基于管理域的两种管理模式。系统支持通过图形化界面编辑和下发VPN策略，建立VPN隧道，并且提供了全网VPN设备集中监控功能。

灵活的监控开发接口

系统利用标准的XML文件对被监控设备的监控属性进行配置，如果网络中增加了新的设备类型或者原有设备增加新的监控属性，只需要增加或修改配置文件而不需要修改源代码，具有极大的灵活性和兼容性。

4.2 技术特点

可伸缩的管理框架

系统功能组件化、模块化，可以根据需要动态的加载、卸载，这使得安全设备管理系统解决方案更加具有弹性，适应不同大小的管理规模和持续发展的管理理念。

标准化管理技术

标准化管理技术使得被管理对象能够通过HTTP、SNMP、WEB等多种协议和管理方式来被管理，用户可以通过网络远程管理和监控，也可以直接通过远程登录进行直接管理；标准化的设备管理与监控接口，可以方便的扩展第三方安全设备。

精细化、分级的用户权限管理

在系统用户权限定义方面，实现了基于角色、用户组和操作员的精细化的用户权限管理，用户权限分类可以通过安全管理域、功能、角色等多个纬度进行细分，并实现了用户功能的继承与分类等功能。