电力信息网络安全加固解决方案(3)

        3.2.1 功能特点

        更灵活。提供监控模式和认证模式两大类方案，认证方案支持IEEE 802.1X和Portal两种认证模式，组网方式多样、灵活。

        更彻底。多种方式组合能够全面防御新建网络ARP攻击，切实保障网络稳定和安全。

        保护投资。对接入交换机的依赖较小，可以较好的支持现有网络的利旧，兼容大部分现有网络场景，有效保护投资。

        适用性强。解决方案适应动态和静态两种地址分配方式，通过终端、接入交换机、网关多种模块的组合，适用于各种复杂的组网环境。

        H3C ARP攻击防御解决方案的推出，为教育、金融、政府、企业等客户网络彻底解决了ARP欺骗攻击的问题，其“全面防御 模块定制”的理念，能够满足新旧网络的不同需要，让ARP欺骗攻击从此不再困扰!

        3.2.2 典型应用

        一、监控方式

       监控方式也即DHCP Snooping方式，适合大部分主机为动态分配IP地址的网络场景。实现原理：接入层交换机监控用户动态申请IP地址的全过程，记录用户的IP、MAC和端口信息，并且在接入交换机上做多元素绑定，从而在根本上阻断非法ARP报文的传播。

        另外，ARP泛洪攻击会产生大量的ARP报文，消耗网络带宽资源和交换机CPU资源，造成网络速度急剧降低。因此可以在接入交换机部署ARP报文限速，对每个端口单位时间内接收到的ARP报文数量进行限制，避免ARP泛洪攻击，保护网络资源。

         二、认证方式

        认证方式适合网络中采用认证登陆的场景，通过H3C CAMS服务器、H3C iNode智能客户端与接入交换机和网关的联动，全方面的防御ARP攻击。

        实现原理：认证方式是客户端通过认证协议登陆网络，认证服务器识别客户端，并且将事先配置好的网关IP/MAC绑定信息下发给客户端，实现了ARP报文在客户端、接入交换机和网关的绑定，使得虚假的ARP报文在网络里无立足之地，从根本上防止ARP病毒泛滥。

          H3C认证方式包括IEEE802.1X和Portal两种方案，充分考虑了新建和利旧网络的不同网络场景，方案全面有效。

         4 统一安全管理及联动

        随着安全威胁日益严重，企业对网络安全防御体系的投入和复杂度都在不断增加，随之而来的是大量针对安全管理的新挑战：

        安全资源无法整合：安全设备众多，缺少集中管理，设备间形成信息孤岛，安全建设投资回报率低。

        海量信息：安全事件不断涌现，很难抓住重点，巨大的工作量也不能带来决策依据。

        安全威胁无法可视化：缺少技术平台提供全网安全状态，对攻击事件快速定位排差，

        及时响应。

        企业网络缺乏安全专家来解决、分析问题：难以应对越来越多的安全要求规范，企业安全管理、安全建设缺少科学、有效的分析数据。

        综上所述，企业需要专业化的安全管理技术平台来支撑网络安全建设的可持续发展，通过全面、集中的安全事件管理，智能、综合的事件分析，智能、及时的协同响应，将不同领域的网络安全部件融合成一个无缝的安全体系，成为下一代整网安全解决方案的发展趋势。

        H3C的安全管理中心解决方案集监控管理、分析管理、响应管理于一体，与网络中的安全产品、安全方案、网络设备、用户终端等独立功能部件通过各种信息交互接口形成一个完整的协同防御体系，如图1所示。

        H3C安全管理中心实现统一安全管理

        H3C安全管理中心解决方案主要组成设备为事件管理中心(SecCenter)和响应管理控制中心(iMC SCC)，事件管理中心主要完成对全网安全事件的采集、分析、关联、汇聚、报表报告展示，响应控制中心实现了安全事件与网管系统(iMC 平台)、用户管理系统(EAD/UAM)的结合，对需要响应的重要事件可灵活进行短信通知、Email通知、交换机端口关闭、用户下线、加入黑名单、在线提醒等响应操作。

        H3C 安全管理中心解决方案融合了安全事件资源、设备资源、用户资源，通过监控管理、分析管理、响应管理，构成闭环的管理系统，实现了全网统一安全管理。

        监控管理

        实现对多厂家的各类安全设备、安全方案产生的安全事件进行实时采集、查看，生成丰富的安全报表、法规遵从性报告，将安全事件转化为直观的可视化安全威胁信息，帮助网络管理员快速、有效的掌握全网安全状况。

        分析管理

        对海量的安全事件进行降噪处理，将离散的数据整合成规则的安全事件信息，对安全事件进行深度查询、审计分析及安全威胁风险评估。

        响应管理

        在获取海量信息事件，分析掌握全网安全状态的基础上，将危害严重的安全事件与设备资源、用户资源相结合，对攻击源进行拓扑定位，描绘攻击拓扑，协助管理员对已发生的安全事件进行定位排查，并可通过响应联动功能对攻击源进行控制、下线、提醒。

        4.1 功能特点

        整网统一安全管理

        H3C的安全管理中心解决方案可提供全网安全事件统一管理，兼容主流厂商日志格式，不仅能够支持H3C各种类型设备，同时可以支持业界主流安全产品，支持产品类型高达上百种，实现整网安全设备的管理。

        深入的事件分析关联

        H3C的安全管理中心解决方案可对海量的安全事件进行分析汇聚，将离散的数据进行整合、排序，并可根据预定义或用户自定义的关联告警模板，过滤掉重复信息及非关注信息，实现信息降噪。通过关联告警，管理者可以从上百种不同网络设备中查看关联事件，快速发现真正的安全隐患。

        丰富的报表报告

        H3C安全管理中心可提供丰富的图形化界面，可针对攻击源、攻击目的、响应联动等提供丰富的报表，并支持直方图、饼图、趋势图、列表等多种形式的报表输出，供管理员定位和管理。

报表展示

        直观的攻击拓扑展示

        H3C公司安全管理中心解决方案突破了单一的安全资源管理，实现了将安全资源、网络资源、用户资源相结合的综合安全管理，可生成宏观安全拓扑视图及单个攻击事件的攻击路径，管理员还可在安全拓扑上可查看安全事件详细信息，安全拓扑旨在提供丰富直观的安全及网络信息供管理员定位排差问题。

攻击拓扑

        安全威胁及时响应管理

        H3C安全管理中心解决方案实现了安全事件管理系统与响应管理系统的紧密结合，管理者可结合安全拓扑功能中的详细攻击信息、定位信息、用户信息等综合信息进行定位排差，在响应管理中心对执行动作、手动执行、自动执行等联动策略进行配置，通过响应管理功能完成交换机端口关闭、用户阻断、黑名单管理、用户在线提醒等响应控制操作，并可对响应操作进行日志记录，便于日后查证。

        方便灵活的部署

        H3C安全管理中心解决方案主要组成设备为事件管理中心(SecCenter)和响应管理控制中心(iMC SCC)，iMC软件平台安装简单管理方便，SecCenter作为硬件设备无兼容性要求，中文界面的操作简单易用。模块化的设计理念使得方案可扩展，部署灵活，可根据企业需求选择可视级、可控级、扩展级部署。

         4.2 典型应用

         H3C安全管理中心解决方案部署于电力企业网内部，作为企业整网安全管理的枢纽。方案部署方便、灵活。事件管理中心(SecCenter)为硬件设备，响应管理控制中心(iMC SCC)为软件产品，可与H3C iMC 网管平台安装在一起，通常建议部署在管理区域。另针对仿冒IP地址、MAC地址行为，建议在接入交换机上配置IP check、ARP detection等功能, 以便安全管理中心更准确定位攻击源并进行联动。

        应用场景说明： 当防火墙、IPS等识别到内网发生的攻击(如扫描攻击、蠕虫攻击等)时会阻断攻击并上报日志，但此时安全隐患仍然存在，攻击者仍然在试图寻找网络漏洞发起新的攻击，并不断增加IPS、防火墙的系统负担。管理者可通过安全管理中心解决方案及时了解这些安全预警并对日志内容进行定位，并通过与网管平台、EAD终端准入系统联动实现交换机关闭端口、用户下线、加入黑名单、在线提醒等响应策略，也可以通过企业行政手段对攻击者进行处罚，真正发现并解除安全隐患。