H3C SecCenter 安管一体机产品是由新华三技术有限公司(以下简称H3C 公司)在多年的安全研究沉淀和等保建设服务实践经验的基础上,自主研发的一款用于等保建设或者信息系统安全管理区域建设的综合性的安管管理平台,具有漏洞扫描、日志审计和运维审计功能,全面满足网络安全等级保护技术要求中的管理审计需求,同时安管一体机集中整合纳管网络系统中的组成元素形成多态化的安全管理中心,满足系统管理、审计管理、安全管理、集中管控的要求。
综合日志审计功能将大量的各种类型的日志信息需要被保存下来,帮助用户识别安全风险,快速查询特定信息,向用户输出告警信息等等。同时综合日志审计完全满足“网络安全法”中规定的网络日志留存时间不少于六个月要求,是等保合规建设的必备功能。
漏洞扫描功能可以对各类服务器、网络设备、安全设备构成的操作系统环境、数据库环境、WEB 应用等进行综合漏洞扫描检测。可以用于信息系统的分析和指出存在的相关安全漏洞及被测系统的薄弱环节,给出详细的检测报告,在业务环境受到危害之前为安全管理员提供专业、有效的安全分析和修补建议,该功能已经成为安全管理员的主流使用工具,广泛应用于政府、公安、教育、卫生、电力、金融等行业,帮助用户解决目前所面临的各类常见及最新的安全问题,同时满足如等级保护、行业规范等政策法规的安全建设要求。
运维审计系统通过深入分析当前在信息系统中的运维安全风险,专门研发的一套针对企业、政府、医疗、金融、运营商等行业市场的运维安全审计系统。借助身份认证、权限控制、操作审计等功能,从操作层面解决了企业现存的 IT 内控与管理问题,使运维操作管理进入安全与便利相结合的阶段,帮助客户提高整体运维安全水平,使运维操作管理过程变得更加简单、安全、有效。
通过安管一体机的管理地址登录,在登录后的页面显示安管一体机支持的安全组件,直接点击安全组件图标,就可以进行对该组件的配置管理和业务应用,方便快捷。
H3C SecCenter安管一体机的运维审计系统功能支持管理所有主流类型的操作系统服务器:Linux/Unix服务器、Windows服务器、网络设备(如思科/H3C等)、文件服务器、web系统、数据库服务器、虚拟服务器等等,帮助用户实现“统一管理”的要求。
图形运维 | 文件传输 | Web运维 | 扩展应用运维 | ||
SSH telnet | RDP VNC X11 | SFTP FTP SCP RDP磁盘映射 RDP粘贴板 rz/sz | HTTP HTTPS | SQL server Oracle MySQL DB2 …… | VMware vSphere Client PowerBuilder Radmin 自定义扩展 |
普通用户访问设备时不依赖java等第三方插件;
兼容IE、Google、Firefox、Safrai等所有主流操作终端浏览器;
支持Windows、Mac OS等多种操作终端,满足不同操作运维人员的接入需求。
支持用户分组管理
支持用户批量导入、批量修改
支持多种认证方式:静态密码、手机APP动态令牌、域控、Radius等方式
支持所有主流服务器:Windows、Linux、Unix......
支持所有主流网络设备:H3C、HUAWEI、Cisco......
支持自定义扩展管理B/S、C/S运维客户端工具:IE、Radmin、VMware vSphere Client
可根据用户(组)、设备(组)、系统账号、协议、登录IP、操作时间制定严格的访问控制策略;
具备命令防火墙控制策略,有效防止用户恶意操作、违规操作等事故的发生;
基于有效期的工单管理模式,提高管理效率、降低权限管理风险。
适应不同运维任意的习惯,兼容多种客户端工具(如Xshell、SecureCRT、Putty、Mstsc、FileZilla等):
Web登录方式,适用于习惯从Web页面登录目标主机的运维人员
客户端直连登录方式,适用于习惯使用本地客户端工具登录目标主机的运维人员
批量启动登录设备,适配运维人员批量操作的场景
智能图形识别处理技术,实现操作指令与图像信息的自动关联及审计回放过程的无延迟拖拉定位。基于协议分析模式进行图形录像记录并结合高压缩比、操作空闲期间不记录,减少审计日志的大小,提高空间利用率;
精准的指令识别技术确保各种非常规操作指令的准确识别,如TAB键补全、上下箭头翻页执行历史命令等;
多条件组合检索模式(时间、用户、设备、标题栏识别定位/url/操作指令输入输出关键字等),便于审计管理员快速定位操作记录;
提供丰富的报表,基于用户、设备、访问频率等数据的分析报表
支持用户自定义报表模板,根据模板自动生成报表
报表格式支持PDF、Exce、Html等主流的格式
H3C SecCenter安管一体机的漏洞扫描功能能够全方位检测IT系统存在的脆弱性,发现信息系统安全漏洞,检查系统存在的弱口令,收集系统不必要开放的账号、服务、端口,形成整体安全风险报告,帮助安全管理人员先于攻击者发现安全问题,及时进行修补。
产品采用B/S设计架构,运用高效稳定的核心扫描引擎,综合多种端口检测技术、智能服务识别、授权登陆扫描、安全优化扫描、知识键依赖检测等先进技术,通过脚本预加载方式,提高脚本调度效率和执行效率。WEB漏洞扫描采用智能页面爬取和手动页面抓取相结合实现立体式页面抓取、资源动态调节、代理缓存机制和实时任务调度等技术,实现了对大规模网站的快速、稳定的扫描。全面、深度、准确地检测网络中潜在的各种应用弱点,有助于提高主动防御能力。
为了保证漏洞扫描的可靠性和稳定性,产品运用多引擎分离技术,各引擎相互独立,采用通讯方式实现引擎间交互,引擎包括(任务调度引擎、业务调度引擎、系统漏扫引擎、数据库扫描引擎、爬虫引擎和WEB漏洞检测引擎)。根据引擎资源的使用情况,目标调度和资源分配实现动态调整,在保证准确率的前提下大幅提高了检测的速度。
引入以资产为导向的漏洞管理模型,实现资产风险快速定位。精细的资产管理,能够对企业的网络资产进行完整有序的梳理,主动与被动相结合的资产发现,帮助企业深度抓取IT边界及遗忘资产,并通过计算模型完成资产分级与建模,并以逻辑拓扑的形式进行组织并图形化展示。通过对扫描资产的管理,主动发现与周期扫描进行监控资产安全漏洞,并能够结合漏洞评价,计算主机、网络、数据库、WEB应用的脆弱性风险,直观了解企业全网资产的健康状态,为风险评估和风险监控提供必要支撑;
系统漏洞知识库涵盖对各种主流操作系统、网络设备、安全设备、数据库、应用程序的漏洞检测,漏洞知识库数量国较大。知识库中的漏洞信息、漏洞描述支持全中文展示,同时兼容CVE、CNCVE、CNNVD、CNVD、Bugtraq等国内外主流标准。WEB漏洞知识库全面支持OWASP TOP 10检测,支持对当前各种主流的WEB应用、WEB容器、国内外主流CMS及各类第三方组件的常见漏洞检测。漏洞修复建议清晰、详细,可操作性强。漏洞知识库更新频率保持每周至少一次,重大漏洞即时更新。
采用报表与图型相结合对扫描结果进行分析,可以方便直观呈现给用户,并提供漏洞分级、相应加固建议方案以及自定义报表内容。定性的趋势分析和定量的风险分析,让用户更加直观地了解当前网络安全状况。用户可以自定义报表样式,保存成模板,满足用户不同应用场景。产品支持HTML、WORD、PDF、XML、CSV等主流格式的报表输出。产品支持常规报表、行业报表(OWASP Top 10)、等级保护合规报表、趋势分析报表,提供多层次、多角度、多种格式、满足不同管理角色需求的详细的脆弱点分析报表。
支持多种网络设备、安全设备、漏扫设备、操作系统及应用日志采集和适配
支持SYSLOG协议、HTTP/HTTPS被动采集,FTP、数据库主动采集等多样化日志接入
支持日志采集和日志适配组件分布式拓展,提升日志采集性能
支持匹配正则表达式、逻辑运算符、关系运算符定义日志审计规则,触发安全事件告警
实现海量日志分类检索、全文检索和规范化日志详情查看
实现数据存储、数据备份和全生命周期管理
通过多维度(漏洞、统计、规则)进行数据关联分析,发现潜在的安全问题
利用内置的多种分析规则,对数据进行多维度关联分析,有效发现攻击行为和违规访问
基于机器学习和专家系统,对大范围样本数据进行安全分析,发现威胁并预判趋势
支持多采集器分布式部署,适配多场景部署需求
提供标准化接口,支持第三方厂商的安全日志接入
可作为标准组件与其他安全设备、安全分析系统、安全SaaS服务平台无缝对接
表1-1 H3C SecCenter X6000系列安管一体机 产品规格
功能项 | 功能说明 | |
大屏展示 | 漏扫合规大屏 | 支持等保合规态势大屏,并支持下钻到关联分析界面 |
关联分析 | 关联分析 | 支持对事件的关联分析,并提供对应的解决方案 |
可视化展示 | 资产漏洞展示 | 支持以图表等形式可视化展示资产统计信息 |
日志风险展示 | 支持可视化展示日志告警等信息 | |
业务展示 | 堡垒机业务展示 | 支持展示堡垒机资产数、用户数 |
漏洞扫描业务展示 | 支持展示扫描任务数 | |
日志审计业务展示 | 支持展示日志源数量 | |
风险展示 | 告警时间列表 | 支持展示日志审计告警事件 |
平台系统日志滚动 | 支持展示安管平台系统日志 | |
每日告警事件折线图 | 支持展示日志审计告警事件数量日折线图 | |
运维审计 | 运维任务配置 | 支持增改删用户,支持用户查询 |
支持增改删资产,支持资产查询 | ||
支持增改删权限,支持权限查询 | ||
高级配置 | 支持通过单点登录方式跳转到运维审计进行高级配置 | |
报表配置 | 支持报表列表展示,并支持报表导出功能 | |
漏洞扫描 | 扫描任务配置 | 支持创建、查询WEB漏扫任务 |
支持创建、查询数据库漏扫任务 | ||
支持创建、查询系统漏扫任务 | ||
高级配置 | 支持通过单点登录方式跳转到漏洞扫描进行高级配置 | |
报表配置 | 支持报表列表展示,并支持报表导出功能 | |
日志审计 | 采集任务配置 | 支持日志源配置 |
高级配置 | 支持通过单点登录方式跳转到日志审计进行高级配置 | |
报表配置 | 支持报表列表展示,并支持报表导出功能 | |
系统资源监控 | 平台资源监控 | 支持展示平台CPU、内存、磁盘使用情况及趋势图 |
应用资源监控 | 支持展示各组件资源使用情况及趋势图 | |
应用资源管理 | 应用资源容量 | 支持展示运维审计的CPU、内存、磁盘容量 |
支持展示漏洞扫描的CPU、内存、磁盘容量 | ||
支持展示日志审计的CPU、内存、磁盘容量 | ||
支持展示数据库审计的CPU、内存、磁盘容量 | ||
支持展示终端杀毒的CPU、内存、磁盘容量 | ||
用户管理 | 用户管理 | 支持增删改查平台用户 |
支持用户属性自定义 | ||
访问控制策略 | 支持IP白名单功能,支持远程管理主机的访问控制策略,如IP、MAC、用户名及时间段的组合限制 | |
鉴权失败处理 | 支持尝试次数达到或超过系统默认或仅由授权管理员设定的未成功鉴别次数阈值后阻止可配置时间内继续建立会话 | |
系统日志 | 日志展示 | 支持展示平台的系统日志 |
日志筛选 | 支持根据日期和时间、主体身份、事件类型等条件或条件组合提供对审计数据进行选择或排序的能力 | |
syslog配置 | 支持syslog的配置 | |
SNMP服务 | 支持SNMP配置 | |
系统配置 | 系统升级 | 支持平台系统的升级 |
时间与日期配置 | 支持时间手动配置 | |
告警管理 | 告警配置 | 支持声音告警、邮件告警 |
授权管理 | 平台授权 | 支持平台授权及展示 |
组件授权 | 支持单点登录到各组件进行授权管理 | |
网络管理 | 平台网络管理 | 支持配置平台管理口IP |
应用网络管理 | 支持配置各组件业务口IP |
H3C SecCenter安管一体机一般部署在运维管理区或者直接旁路部署在核心交换机,只需要提供安管一体机与管理资产之间的IP和协议可达网络即可,功能上将“系统管理、审计管理、安全(主机)管理”整合形成多态化安全管理中心。
综合日志审计功能通过高性能日志采集能力和强大的分析功能,将大量分散设备的异构日志进行统一管理、集中存储、统计分析、快速查询,透过事件的表象真实地还原事件背后的信息,为用户提供真正可信赖的事件追责依据和业务运行的深度安全。
漏洞扫描功能通过配置扫描任务定期地对网络中不同网络域中的主机、数据库、WEB应用等进行全面、深入的检测,同时生成相应的漏洞解决方案,用户根据这些解决方案来对目标系统和应用做相应的加固和防护,及时将网络的安全风险降到最低。
运维审计人员通过唯一的认证账户或者双因子认证登录安管一体的的运维审计系统,然后查看有权限访问的目标资源,用户选择登录设备后自动登录到相应目标设备,无需用户再手动输入要登录设备的系统账号、密码。
H3C SecCenter安管一体机组网图
软硬一体式设备;可提供8个10/100/1000Mbps自适应电口业务网口;多个可扩展槽位;可按需灵活选择多个应用组件,支持后续组件扩容。如下为部分示例:
主机/组件 | 数量 | 备注 |
H3C SecCenter X60XX安管一体机 | 1 | 必配 |
H3C SecPath A2000运维审计系统 | 1 | 按需选配 |
A2000-AK/G/V系列 应用发布中心RDS授权函 | 1 | 按需选配 |
Windows server标准版授权 | 1 | 按需选配 |
A2000-AK/G/V系列 双因素认证动态口令卡 | 1 | 按需选配 |
H3C SecCenter日志审计平台 | 1 | 按需选配 |
H3C SecPath D2000数据库审计系统 | 1 | 按需选配 |
H3C SecCenter CSAP-ESM终端安全管理系统 | 1 | 按需选配 |
H3C SecPath SysScan-VE虚拟化漏洞扫描系统 | 1 | 按需选配 |