神州泰岳

产品介绍

Ultra-ZoneAnalyser产品用于协助安全管理人员了解企业网内安全域划分情况,并发现由安全域划分不合理导致的安全风险,进而调整安全域划分,形成完整的防护体系,提高企业网的安全等级。通过安全域核查实现对同一安全域内的系统进行统一、规范的保护,并可限制系统风险在网内的任意扩散,从而有效控制安全事件和安全风险的传播。

优势特点

产品功能

适用场景

经典案例

神州泰岳

替代人工核查方式,提高安全域核查的效率、准确性

从设备信息采集、安全域划分核查、拓扑图上还原展现全流程自动化执行,提高安全域核查的效率和准确性。

备份网络快照,了解网络变化历史信息

数据库服务器自动备份每次采集的网络结构,因此管理员可以查看不同时间点的数据,形成网络快照。可以对网络快照进行查询、分析和比对,发现网络环境的变化情况的历史记录,为管理员追溯、排查网络问题提供极大便利。

分布式部署,可以灵活扩展

Ultra-ZoneAnalyser系统各组件采用分布式部署方式,核心服务器、WEB服务器、探针服务器均可根据网络情况或者性能要求进行集中或者拆分部署,探针服务器具有灵活的可扩展性。

周期性监控网络情况,感知网络变化

通过周期性的自动化采集现网数据和数据分析,做到洞察网络现状,感知网络变化,可以从容应对相关的网络安全问题。

核查安全域划分情况,发现安全域划分问题

通过分析采集到的数据,可以得到设备间互联关系、层次关系、分区关系、分域关系。图形化展现这些关系,可以直观、准确、详细的了解整个网络的安全域划分情况、网络拓扑结构、设备基本配置信息。可以发现现有网络环境面临的风险,及时制定应对策略。

自动还原网络拓扑图,对安全域划分情况进行可视化展示

主动采集现网设备的互联关系,自动呈现当前安全域拓扑图。通过获取网络设备的ARP表、MAC地址表、端口配置、防火墙策略和主机配置信息等相关信息,进行网络设备和主机互联关系分析,展示实际安全域物理连接网络拓扑

解析规则管理

为每一设备类型定义其特有的信息采集命令,并包含被检查设备的类型和版本自动探测功能,在检查时,可自适应匹配相应的采集命令及相应的标准化解析规则,获得正确的设备回显信息和可供后台计算的标准化信息。

网络范围管理

绝大多数企业内网安全域不应该向互联网开放访问权限,网络范围管理用于定义互联网地址段,进行安全域核查时,可利用该地址段判断安全域划分是否合理,提高安全域分析及异常事件分析的准确性。

任务管理

Ultra-ZoneAnalyser系统可以灵活的制定检查任务,检查任务分为两类:在线检查和离线检查。在线检查用于检查网络可达的设备,根据检查需要,选择被检查设备范围、设定检查开始时间和检查周期。离线检查用于部分设备无法在线检查的情况,下载离线检查脚本并在被检查设备上执行,将脚本执行后自动生成的结果文件导入到Ultra-ZoneAnalyser系统中,即可完成自动化安全域核查。

安全域异常事件管理

对违规组网、异常出口、跨接设备、缺少防火墙防护设备等安全域划分异常问题进行分析,详细展示各安全域存在的问题。

报表管理

对检查结果进行处理,以图表形式分业务系统展现安全域异常事件变化趋势。使用户可以直观的观察各个业务系统存在的安全域异常事件数量及其数量变化趋势。

网络结构及互联关系展示

自动分析出所采集设备的各接口间的连接关系,及所属的安全域,并可以分层、分组、准确的展示网络结构及设备间的互联关系。

安全域异常监控告警

Ultra-ZoneAnalyser可以对违规组网、异常出口、跨接设备、缺少防火墙防护设备等安全域划分异常问题进行分析,详细展示各安全域存在的问题,指导管理员完成整改加固

网络结构核查

根据Ultra-ZoneAnalyser自动生成网内拓扑视图,管理员可以快速核查内网结构是否发生变更,是否符合企业规划,从而避免边界不清晰带来的安全风险

经典案例

中国移动信息安全管理平台(ISMP)安全域管理模块

合作背景

中国移动集团公司和各省公司管理要求明确了安全域建设标准,安全域日常变更要求,防火墙策略设置要求。由于缺乏有效的手段准确呈现安全域划分情况,及时发现违反安全域规定的变更行为等多种安全问题,加上很多省缺失管理流程,或者有流程但实际执行很差等情况,全网安全域管理成为目前所有安全管理工作中的薄弱环节,主要表现为:

1、各省安全域实际划分情况不可见,只有负责建设的厂商了解初期网络细节,而后维护人员只能根据建设方提供的,可能已经与实际情况不一致的设计图纸进行管理,经历网络调整、设备变更等情况后慢慢地就不清楚了;

2、部分省公司的部分系统安全域划分和边界整合要求与标准要求不一致,访问控制难以实施;

3、由于缺乏准确的安全域变更、调整信息记录,尤其是在经历维护人员调整后,维护人员逐渐无法掌握内部设备功能、互连需求等基础信息,失去了判断安全域健康状况的一手数据和判断能力。

  

技术方案

为了解决以上问题,神州泰岳公司Ultra-ZoneAnalyser产品参与了中国移动组织的产品测试与试点建设,并作为中国移动ISMP管理体系中的安全域管理模块进行了全国推广。目前,安全域产品承担着中国移动公司全国范围内的安全域检查任务,为网络层的安全管理提供监控与告警能力。

主要建设了包括:安全域规则管理、网络安全范围管理、安全域核查任务管理、异常事件管理及报警、安全域拓扑图及视图、报表管理等多个功能模块。帮助企业建立起资产安全域核查能力,并通过安全域拓补图、视图及报表的形势,指导企业高效完成资产安全管理工作。