安全集中管理系统早期调研

network

安全集中管理系统早期调研

【摘要】这是我们在2003年做的一份安全管理平台（那个时候叫安全集中管理系统）的调研。调研的重点是SIEM类产品。虽然时过境迁，但还能帮助我们理解SIEM的发展过程。值得一提的是，在当时我们定义的安全集中管理是包括了SIEM（文中用SIM指代）和ESM两个方面的。SIEM注重事件分析，对此我们已经知道。而ESM则注重对安全设备进行统一的管理，尤指策略下发。这个ESM方向发展一直比较落后，和大部分ESM产品一样，我们推出了针对本公司产品的ESM系统，但是很少有人能够推出对跨厂商安全设备进行集中策略下发的ESM，尽管SolSoft曾经是个例外，可惜他也已经不在了。

【正文】

安全领域的产品一般包括防火墙、入侵检测系统、防病毒系统、VPN、ESM、SIM、认证/授权/身份/访问控制管理、漏洞扫描/风险评估几种。
安全集中管理系统可以对多种安全产品的集中统一管理。一方面，它集成和分析每种安全产品事件，并进行关联性分析，从而更及时和有效地发现网络安全威胁，并做出适当的反应；另一方面，它可以制定并下发统一的安全策略，对安全产品进行配置/补丁管理。总之，从总体上维护信息基础设施的安全性。安全集中管理的这两个方面被称为安全信息管理（SIM）和企业安全管理（ESM）。它们组成了狭义的安全集中管理概念。从广义上将，安全集中管理还包括统一的认证/授权/访问控制管理；全局的漏洞扫描和风险评估；以及管理更多的安全设备和关键应用。
1       现状
在整个IT领域，安全产品销售额占有率不算很高，但增幅很大。2000 年的世界各种安全软件市场规模总额为51.159亿美元[1]。2002 年国内安全产品的销售额为 1.562 亿美元，该市场在2007 年将达到 6.759 亿美元，年复合增长率为 34%[url=#_ftn2][2]。
根据Information Security杂志2003年的调查分析[url=#_ftn3][3]，预计2003到2005年安全集中管理产品的复合年增长率（CAGR）约为40%。该分析认为当前已经成为企业安全标准的产品包括防火墙、防病毒系统和VPN，而漏洞评估、入侵检测系统正在成为标准安全产品，安全集中管理产品则属于增长最快速产品之列。预计在2003年考虑部署安全集中管理产品的企业/组织约有25%，而到2005年只有约13.5%的企业/组织不会考虑部署安全集中管理产品。
从国际市场看，主流产品基本出现于99年以后，多为新兴的、专门从事安全集中管理系统建造的独立软件开发商。进入2002年，许多大型安全厂商通过并购开始进入安全集中管理领域。例如，NetIQ在2002年11月9日收购了PentaSoft公司，获得了安全集中管理技术和产品[url=#_ftn4][4]，进入了全面安全管理解决方案领域。Symantec于2002年8月6日完成对SecurityFocus的收购，获得了DeepSight Threat Management System产品。Symantec于2002年7月还收购了从事集成安全管理的MountainWave公司，并于同年8月份推出了SESA 1.0（Symantec Enterprise Security Architecture），以及安全服务公司Riptech和IDS公司Recourse Technologies。
从国内市场看，已经有安全厂商关注于该领域，提出了初步的解决方案，并正在积极研发自己的第一代产品。
2       发展趋势和分析
目前，安全集中管理产品正处于第一代产品时期，根据总部位于芝加哥的Neohapsis咨询公司2002年4月对6款当时最主要的安全集中管理产品的测试[url=#_ftn5][5]，最好的产品评分仅为C+。相比之下，防火墙产品则已经发展了好几代。同时，现在安全集中管理产品的应用市场也不成熟，安全集中管理产品的典型应用环境要求企业/组织中部署了比较完备的安全设备，而目前企业/组织的安全预算大部分投入在安全基础设施上。
但是，随着安全基础设施的不断完善，到2005年，安全集中管理产品的需求会很强烈，而到那时候安全集中管理产品本身已经发展了2-3代，应该趋于成熟。即使在现在，对于一些大型的企业/组织已经有了集中安全管理的需求。
目前，影响集中安全管理产品发展的技术因素主要包括：安全设备接口规范和标准全局的安全分析技术。目前，市场上有大量的安全设备，有专门的安全设备，也有传统网络设备提供商生产的安全设备。所有这些安全设备遵循不同的技术规范和接口标准，要将他们集中管理起来存在很大的困难。另一方面，目前安全分析技术尚不成熟。实时威胁分析、关联分析、事后信息挖掘等技术在理论和实际之间还存在较大差距。针对这些技术因素，业界和学术界已经提出了一些集中管理的标准和规范，并且在安全分析技术领域开展了较大规模的理论研究，属于热门的研究领域。
综合以上分析，我们认为现在进入集中安全管理领域恰逢其时，经过2年的发展和更新换代，必能为2005年迎合较大规模的市场需求提供较为成熟的产品。
3       主要厂商和产品状况
安全集中管理产品的推出历史并不长。大部分都是在99年以后推出的。下面的表格（按字母序）列举合比较了主流的产品和一些国内的产品。
定义：
1．  产品类型
l  ESM：Enterprise Security Management，包括策略管理、配置/补丁管理、规则管理、远程设备管理
l  SIM：Security Information Management，对来自于远程的、多供应商的、各种类型的设备/应用产生的信息的集中关联、分析和挖掘
2．  厂商类型
l  ISV：独立软件开发商，只生产软件产品，不生产硬件设备
l  设备制造商：生产安全设备的厂商，可能还生产其他设备，例如网络设备
l  安全集中管理产品提供商：包括ESM或（和）SIM系统，可能还包括认证、授权、身份管理
l  综合集中管理产品提供商：除了安全集中管理，还提供网络和系统的集中管理产品

	Aprisma	BindView	CA
产品名称	Spectrum Security Manager	Bv-Control	CA eTurst
产品类型	ESM, SIM	ESM	ESM, SIM
URL	www.aprisma.com	www.bindview.com	[url=http://www.ca.com/]www.ca.com www.ca.com.cn
厂商类型	ISV，综合集中管理产品提供商	ISV, 安全集中管理产品提供商	ISV, 综合集中管理产品提供商
运行平台	Solaris, NT/2000	Window 2000, unix	Windows, Unix
开发平台	java
用户界面	Web, Java Client		GUI
协议	Snmp, icmp
数据库	Oracle, SQL Server
支持设备	防火墙、ids、AVS、扫描器、PKI、路由器、数据库、操作系统		ＣＡ提供了一个的软件开发套件以支持第三方的入侵检测系统、防火墙和网络设备等
事件过滤技术	Spectrum不仅是一个安全集中管理产品，还是一个网管产品和系统管理产品；支持二次开发	风险管理和统一安全策略管理
关联技术			能提供检查安全漏洞的联动功能目前也仅限于ＣＡ公司的设备和一些通过ＣＡ的ＣＡ smart认证项目的厂商生产的设备
告警技术
安全审计技术	E-mail alerts, pager, SNMP, help desk gateway, web-based interface, alarm ticker, wireless alerts (PDA, cell phone, etc.)		有可视化设计、报表和审计功能；支持水晶报表扩展
优势	基于Web的报表技术		提供了单一的控制台，企业可实现对所有的安全策略集成化管理和统一操作
劣势	可视化规则编辑器、可视化报警
价格
备注	$25,000

	Check Point	Cisco	Consul Risk Management
产品名称	Provider-1/NG	VMS(VPN/Security Management Solution) CSPM（Cisco Secure Policy Manager）	Consul/eAudit
产品类型	ESM, SIM	SIM, ESM	SIM
URL	http://www.checkpoint.com/products/management/provider-1.html http://www.checkpoint.com.cn	www.cisco.com	www.consul.com
厂商类型	设备制造商，安全集中管理产品提供商	设备制造商，综合集中管理产品提供商	ISV，安全集中管理产品提供商
运行平台
开发平台
用户界面	GUI		GUI
协议		Snmp, POP, OPSEC,
数据库
支持设备	防火墙、vpn、AVS、内容过滤系统	Cisco Router, PIX, Cisco VPN3000, Cisco NIDS
事件过滤技术	集中安全策略管理、监控、审计、配置管理、许可证管理	软件分发，统一安全策略管理	主要用于安全审计
关联技术
告警技术			遇到攻击事件的时候，不但报警，而且还能够自动的执行预先制定的安全策略。
安全审计技术
优势			主要是对于大型机的安全防护，对于IBM Security Server (RACF)® OS/390等更有针对性。
劣势
价格
备注

	Enterasys	e-Security	GuardedNet
产品名称	Enterasys Dragon Squire	e-sentinel3.1 e-Wizard3.1	neuSecure1.5
产品类型	SIM	SIM	SIM
URL	www.entrasys.com/ids	www.esecurityinc.com	www.guarded.net
厂商类型	设备制造商，安全集中管理产品提供商	ISV，安全集中管理产品提供商	ISV，安全集中管理产品提供商
运行平台	Appliance, BSD, HP-UX, Linux, NT/2000, Solaris	Linux, Nokia, NT, Solaris	Linux, Solaris2.8
开发平台	不详	C	Linux, mysql, apache和java
用户界面		前台x-windows或者ms window	web界面
协议	SNMPv1/v3	SNMPv1/v3；对于不支持snmp的设备提供转换Agent	SNMPv1/v3; syslog; OPSEC
数据库	无	oracle	MySQL
支持设备		7种防火墙; 6种NIDS；4种HIDS; 防病毒系统（McAfee, Symantec and Trend Micro）; 操作系统和数据库日志
事件过滤技术	Agent层过滤，集中层不过滤	Agent层过滤，集中层过滤
关联技术	有限关联	关联	Agent层不过滤，集中层过滤
告警技术
安全审计技术		支持59种水晶报表
优势	自己有产品; 基于signatures	基于windows的规则编辑引擎；实时监控更强	web界面不错；实时关联好；有trouble-ticket跟踪组件；伸缩性好，经济；
劣势	对于其他产品考虑较少	依赖于snmp；Agent配置需要使用Perl, Tcl	没有agent；受到了mysql的限制；
价格	Agent: $650(根据数量不同); console: $15,000	$95,000（支持20个设备）	$40,000（支持25个设备）
备注

	IBM	Intellitactics	ISS
产品名称	Tivoli Risk Manager 3.8	Network Security Manager 3.3	RealSecure SiteProtector
产品类型	SIM	SIM	SIM
URL	www.ibm/software/tivoli	www.itactics.com
厂商类型	设备制造商，综合集中管理产品提供商	ISV，安全集中管理产品提供商	ISV，安全集中管理产品提供商，IDS提供商
运行平台	AIX, NT/2000, Solaris	NT/2000, Solaris	NT/2000, Solaris，Linux
开发平台	基于Tivoli Management Framework；或者独立平台，C	Java, Apache, Tomcat
用户界面		界面采用web（报表）和java客户端（配置）	GUI
协议	SNMPv1	SNMPv1/v3 Smtp, cobra, syslog	至少Snmp
数据库	DB2, Oracle	MS SQL Server, oracle	MSDE及MS SQL Server
支持设备	大部分主流安全设备	大部分主流安全设备	能够集中控管自己的全线产品，其他
特征		Agent层过滤不详，集中层过滤	采用三层式的架构，透过事件过滤及交叉分析机制，具有高度的扩充性。
事件过滤技术	无		较有效的过滤效果
关联技术	有限		他和 Security Fusion Module 组件的配合，达到动态安全威胁保护得功能
告警技术			常用的方法都有，如snmp 报警，电子邮件等
安全审计技术	可以外挂IBM提供的审计软件，也可以二次开发；支持水晶报表	用户易用性；可视化配置工具；图形化显示报警	先进的交叉关联比对方法，来分析、汇集整个企业的安全信息
优势	自己有安全设备产品	Agent功能不是很好；安装复杂	有X-Force研发小组的安全专业知识让产品不断赶上最新的安全威胁与弱点，在入侵检测领域集中管理有先天的优势
劣势	关联能力不行；安装极其复杂；
价格	$44,900（支持20个设备）	$60,000起价
备注

	MicroMuse	netForensics	NetScreen
产品名称	NetCool	netForensics 2.3/3.0	NetScreen-Global PRO Security Management Software
产品类型	SIM, ESM	SIM	SIM, ESM
URL	www.micromuse.com	www.netforensics.com	www.netscreen.com/products/nsglobal.html
厂商类型	ISV，综合集中管理产品提供商	ISV, 安全集中管理产品提供商	设备制造商，安全集中管理产品提供商
运行平台	HP/UX, IBM AIX, IBM OS/2, Windows NT, Windows 2000, Unix, Linux, Sun Solaris	代理和管理中心：Linux, NT/2000, Solaris	Windows，Unix
开发平台		Java, C++?	JAVA
用户界面	Web	Web界面	Web，JAVA Client
协议	Snmp, etc.	Agent支持SNMPv1/v3, Syslog, Cisco POP；内部协议使用xml over tcp/ssl
数据库	MySQL, Sybase, ODBC, Oracle	Oracle，内置商业数据库	Oracle
支持设备	主要支持Cisco和check point	18种防火墙，包括Check point, Cisco；10种NIDS，包括Cisco、ISS的；10种HIDS；Cisco Router，VPN；Unix syslog, Windows Events	自己的防火墙，VPN设备，其他安全设备
特征	不仅是一个安全集中管理产品，还是一个网管产品和系统管理产品	Agent层过滤，集中层不过滤	所有的管理输送活动通过VPN通道，确保安全的通信
事件过滤技术			有
关联技术			采用先进的规则，用来关联和精简数据，帮助分析事件根源
告警技术	E-mail alerts,Pager,RIM BlackBerry or Motient ELink,Telephone,SNMP,Hooks to helpdesk software toools,Different people can be notified based on the type of problem		Email ，snmp报警，etc
安全审计技术		架构优秀；数据挖掘能力；可以针对不同的设备采用不同的数据删除策略；	日志分析报告的技术较强，可以扩展Crystal Repots范本、可自定品牌的用户界面图形报表、日志关联/精简数据、攻击告警分析
优势	设备联动	界面不好用；实时监控要改进；SSL损失了通信性能	提供了中央策略配置管理功能，灵活，高效。报表功能较好，界面易用
劣势			Unfortunately, with Global Pro Express, the display filters show only the events that occurred while the monitor is running.
价格	$10,000起价	$45,000起价
备注

	Open Service	PentaSoft[6]	Pnote
产品名称	Security Threat Manger	VigilEnt Integrated Security Management	NS Contro
产品类型	SIM	SIM, ESM	ESM
URL	www.open.com	[url=http://www.pentasafe.com/]www.pentasafe.com www.netiq.com/products/sm	www.pnote.com
厂商类型	ISV, 安全集中管理产品提供商	ISV，安全集中管理产品提供商	ISV，安全集中管理产品提供商
运行平台	Windows NT, Sun Solaris, HP-UX, AIX, Linux or an appliance (例如Nokia/Check Point firewall)	主要是Windows NT, unix也有部分产品。	NT/2000、sun solaris
开发平台
用户界面	web		Web；CLI
协议	SNMP, OPSEC, POP, Syslog,	OPSEC	自定义
数据库	内置Sybase
支持设备	主流的防火墙，VPN，IDS,防病毒系统		Cisco PIX 4.x-5.x, Cisco IOS routers 11.x-12.x, Cisco Catalyst switches, Efficient Flowpoint routers, Efficient Speed-Stream routers and F-Secure's VPN
特征	可以同其他安全管理系统进行集成	全面的安全管理解决方案，包括策略管理、身份管理、风险管理和漏洞配置管理	基于策略的集中安全管理方案
事件过滤技术
关联技术	强大
告警技术
安全审计技术	强大
优势	关联技术，基于脚本的关联引擎	完善的网站，防火墙日志分析器，丰富的业分析及报告	安全设备的配置管理和升级管理，如支持配置管理（升级）、Firmware管理和口令管理等；支持回滚
劣势	支持设备少		只有本地协议，支持其他设备需要开发接口；交互界面不友好
价格	$23,859起价		依赖具体需求，大型企业部署可能需要$4 million
备注

	Secure Decisions Inc.	SecurityFocus[7]	SolSoft
产品名称	SecureScope	DeepSight Threat Management System	SolSoft NP
产品类型	SIM	SIM, ESM	ESM
URL	[url=http://www.securedecisions.com/]http://www.securedecisions.com/	www.securityfocus.com www.symantec.com	www.solsoft.com
厂商类型	ISV，安全集中管理产品提供商	ISV，安全集中管理产品提供商	ISV，安全集中管理产品提供商
运行平台	服务端跨平台，客户端Windows		服务端：Solaris；控制台：PC
开发平台	Java，客户端使用了部分C++
用户界面	Windows GUI	基于Web，GUI
协议
数据库	JDBC
支持设备		收集来自180个国家、1900个伙伴安装的防火墙及入侵侦测技术获得的数据	对防火墙只支持PIX和Check Point，VPN支持Cisco PIX和Cisco IOS路由器，另外也支持一些非VPN路由器，如3COM、Cisco、Ericsson、IBM和Nortel等
特征		提供早期预警服务，能在网络攻击未上门时，通知用户防患未然，先作下载修补程序等防护动作	基于策略的集中安全管理方案
事件过滤技术
关联技术	使用了聚类技术
告警技术
安全审计技术
优势	三维的可视化风险分析	提供预警服务（Alert Service），以及SecurityFocus的数据库，告知用户可能发生的威胁，如恶意程序代码及漏洞。而威胁管理服务也可享有预警服务	对于Cisco产品的策略配置很好
劣势			对于其他产品支持有限
价格			$14,995 $49,995(MSSP)
备注

	SonicWALL	Symantec	玛赛公司
产品名称	GMS(Global Management System)	Enterprise Security Management 5.5	USP（Unified Security Platform）
产品类型	ESM	SIM, ESM	SIM
URL	www.sonicwall.com	www.symantce.com	http://www.marsec.net/news/news.php?no=118
厂商类型	ISV，安全集中管理产品提供商	ISV，安全集中管理产品提供商	ISV，安全集中管理产品提供商，电信服务商
运行平台		支持超过35种操作系统，包括 WindowsNT/2000/XP, UNIX, NetWare, IBM iSeries(AS/400)和OpenVMS
开发平台
用户界面
协议
数据库		Oracle
支持设备	VPN，AVS, 内容过滤系统，漏洞评估系统和认证系统	业界领先的厂商安全产品大都可以支持	Symantec和NetScreen的防火墙、ids、avs
特征	统一安全策略管理	漏洞检测和统一安全策略管理
事件过滤技术		一般和Incident Manager组件配合，透过交叉比对来检视这些事件(event)是否相互有关，是否需要做出立即响应及进一步封锁
关联技术		和他的安全机制应变中心（Symantec Security Response）中相互关联，包括新的入侵特征、系统漏洞、安全防护和响应指导等。来判断事件是否为安全事件，做出进一步的措施
告警技术		一般的告警形式差不多都有
安全审计技术		他的Event Manager是专门设计用来保护某些特定领域安全（如防毒、防火墙或入侵侦测等）的管理原件，针对特定领域里所发生的事件作完整的汇整与分析
优势		顶尖的安全厂商，有安全方面的雄厚的资源，作此方面的安全管理应该有比较大的影响力
劣势			不能对第三方产品进行深层次配置
价格
备注

[略]

通过比较我们可以看出，所有27个产品中，有23个产品属于SIM，14个产品属于ESM。相对而言，SIM类型的安全集中管理产品更为成熟，而且比ESM更有现实的需求。在这26个厂商中，ISV有20家，设备制造商7家，安全集中管理产品提供商有22家，综合集中管理产品提供商有5家。可以看出，提供全面集中管理解决方案的厂家并不多，大部分厂家专注于安全管理，而这些全面管理解决方案提供商中，都已经在网络管理和系统管理领域积累了大量的经验。大部分安全集中管理产品都是由独立软件开发商提供的，它们的产品在支持被管理对象方面做得比设备制造商好很多。
通过比较还可以看出，所有这些产品基本都支持SNMP协议，都采用多层的体系结构，在系统部署和安装上都比较复杂，在核心的安全分析方面各种产品良莠不齐，基本没有令人满意的产品。
有5个产品采用了JAVA技术进行开发。这5个产品在SIM领域都属于佼佼者，包括被认为是目前最好的SIM产品——netForensics，该产品的控制台完全采用JAVA开发。而GuardedNet的neuSecure管理中心的开发都采用了Java。
所有这些产品基本上都提供了web访问模式。用户可以通过浏览器完成大部分的产品功能。
不同的产品各有所长：比如ISS在入侵，漏洞扫描方面的集中管理；Symantec拥有全球最大的安全漏洞方面的资料，加上自己非常全面的安全线，就很有竞争力；CheckPoint公司依靠自己强大的防火器产品，然后提出OPSEC协议框架，建立和其他产品进行统一管理的基础平台。Intellitactics的NSM可视化做的很好，包括可视化规则编辑和可视化告警显示，以及风险信息的可视化下钻（Drill-down）；netForensics的架构很优秀，并作为Cisco SAFE推荐的SIM解决方案；e-Security的可视化规则编辑引擎则是他的卖点。
总体看来，领先的厂商的产品的大体上的安全管理方面的功能都是具有的，从数据的汇集，到格式的标准化，到关联分析，到报警方式，给用户的报表呈现式样。各家都有各家的特点。
4       后记
以上分析报告是在2003年初出具的。不难看出，时至今日，情况已经有了很大的变化，很多信息已经不是当时那个样子了，需要更新。但是，作为对历史的尊重和对产品发展的如实记录，还是具有一定参考价值的。
就那些厂商而言，目前，Aprisma和PNote已经不复存在，BindView已经被Symantec在2005年收购，Consul已经被IBM于2006年底收购，成为Tivoli的一部分，叫做Tivoli Compliance Insight Manager ；2006年e-Security被Novell收购，改为Sentinel；GuardedNet先是被MicroMuse在2005年7月份收购，后来MicroMuse在2005年底又被IBM收购，GuardedNet改为了Tivoli Security Operations Manager；ISS被IBM收购，时间也是2006年；而NetScreen整体卖给了Juniper；SolSoft先是被exaprotect收购，后来exaprotect又被LogLogic收购；NetIQ也已经被Attachmate收购了。还有一些厂家也退出了SIEM领域。
真是天翻地覆啊。
可以看出来，Symantec和IBM总是高举收购的大棒，Symantec在2003年前后特别热衷于SIEM，而IBM则活跃于随后的几年之中。后续，我还会重点给大家展示一下早先Symantec的SIEM（SOC）大架构，尽管symantec已经逐步退出了SIEM市场，以至于连最后的几款产品都面临被关闭的危险。