安全领域的产品一般包括防火墙、***检测系统、防病毒系统、***、ESM、SIM、认证/授权/身份/访问控制管理、漏洞扫描/风险评估几种。
安全集中管理系统可以对多种安全产品的集中统一管理。一方面,它集成和分析每种安全产品事件,并进行关联性分析,从而更及时和有效地发现网络安全威胁,并做出适当的反应;另一方面,它可以制定并下发统一的安全策略,对安全产品进行配置/补丁管理。总之,从总体上维护信息基础设施的安全性。安全集中管理的这两个方面被称为安全信息管理(SIM)和企业安全管理(ESM)。它们组成了狭义的安全集中管理概念。从广义上将,安全集中管理还包括统一的认证/授权/访问控制管理;全局的漏洞扫描和风险评估;以及管理更多的安全设备和关键应用。
在整个IT领域,安全产品销售额占有率不算很高,但增幅很大。2000 年的世界各种安全软件市场规模总额为51.159亿美元。2002 年国内安全产品的销售额为 1.562 亿美元,该市场在2007 年将达到 6.759 亿美元,年复合增长率为 34%。
根据Information Security杂志2003年的调查分析,预计2003到2005年安全集中管理产品的复合年增长率(CAGR)约为40%。该分析认为当前已经成为企业安全标准的产品包括防火墙、防病毒系统和***,而漏洞评估、***检测系统正在成为标准安全产品,安全集中管理产品则属于增长最快速产品之列。预计在2003年考虑部署安全集中管理产品的企业/组织约有25%,而到2005年只有约13.5%的企业/组织不会考虑部署安全集中管理产品。
从国际市场看,主流产品基本出现于99年以后,多为新兴的、专门从事安全集中管理系统建造的独立软件开发商。进入2002年,许多大型安全厂商通过并购开始进入安全集中管理领域。例如,NetIQ在2002年11月9日收购了PentaSoft公司,获得了安全集中管理技术和产品,进入了全面安全管理解决方案领域。Symantec于2002年8月6日完成对SecurityFocus的收购,获得了DeepSight Threat Management
System产品。Symantec于2002年7月还收购了从事集成安全管理的MountainWave公司,并于同年8月份推出了SESA 1.0(Symantec Enterprise Security
Architecture),以及安全服务公司Riptech和IDS公司Recourse Technologies。
从国内市场看,已经有安全厂商关注于该领域,提出了初步的解决方案,并正在积极研发自己的第一代产品。这些公司主要包括联想、天融信、中软、玛赛,等。
目前,安全集中管理产品正处于第一代产品时期,根据总部位于芝加哥的Neohapsis咨询公司2002年4月对6款当时最主要的安全集中管理产品的测试,最好的产品评分仅为C+。相比之下,防火墙产品则已经发展了好几代。同时,现在安全集中管理产品的应用市场也不成熟,安全集中管理产品的典型应用环境要求企业/组织中部署了比较完备的安全设备,而目前企业/组织的安全预算大部分投入在安全基础设施上。
但是,随着安全基础设施的不断完善,到2005年,安全集中管理产品的需求会很强烈,而到那时候安全集中管理产品本身已经发展了2-3代,应该趋于成熟。即使在现在,对于一些大型的企业/组织已经有了集中安全管理的需求。
目前,影响集中安全管理产品发展的技术因素主要包括:安全设备接口规范和标准全局的安全分析技术。目前,市场上有大量的安全设备,有专门的安全设备,也有传统网络设备提供商生产的安全设备。所有这些安全设备遵循不同的技术规范和接口标准,要将他们集中管理起来存在很大的困难。另一方面,目前安全分析技术尚不成熟。实时威胁分析、关联分析、事后信息挖掘等技术在理论和实际之间还存在较大差距。针对这些技术因素,业界和学术界已经提出了一些集中管理的标准和规范,并且在安全分析技术领域开展了较大规模的理论研究,属于热门的研究领域。
综合以上分析,我们认为现在进入集中安全管理领域恰逢其时,经过2年的发展和更新换代,必能为2005年迎合较大规模的市场需求提供较为成熟的产品。
安全集中管理产品的推出历史并不长。大部分都是在99年以后推出的。下面的表格(按字母序)列举合比较了主流的产品和一些国内的产品。
定义:
1. 产品类型
l ESM:Enterprise Security Management,包括策略管理、配置/补丁管理、规则管理、远程设备管理
l SIM:Security Information Management,对来自于远程的、多供应商的、各种类型的设备/应用产生的信息的集中关联、分析和挖掘。
2. 厂商类型
l ISV:独立软件开发商,只生产软件产品,不生产硬件设备
l 设备制造商:生产安全设备的厂商,可能还生产其他设备,例如网络设备
l 安全集中管理产品提供商:包括ESM或(和)SIM系统,可能还包括认证、授权、身份管理
l 综合集中管理产品提供商:除了安全集中管理,还提供网络和系统的集中管理产品
Aprisma | BindView | CA | |
产品名称 | Spectrum Security Manager | Bv-Control | CA eTurst |
产品类型 | ESM, SIM | ESM | ESM, SIM |
URL | www.aprisma.com | www.bindview.com | www.ca.com |
www.ca.com.cn | |||
厂商类型 | ISV,综合集中管理产品提供商 | ISV, 安全集中管理产品提供商 | ISV, 综合集中管理产品提供商 |
运行平台 | Solaris, NT/2000 | Window 2000, unix | Windows, Unix |
开发平台 | java | ||
用户界面 | Web, Java Client | GUI | |
协议 | Snmp, icmp | ||
数据库 | Oracle, SQL Server | ||
支持设备 | 防火墙、ids、AVS、扫描器、PKI、路由器、数据库、操作系统 | CA提供了一个的软件开发套件以支持第三方的***检测系统、防火墙和网络设备等 | |
事件过滤技术 | Spectrum不仅是一个安全集中管理产品,还是一个网管产品和系统管理产品;支持二次开发 | 风险管理和统一安全策略管理 | |
关联技术 | 能提供检查安全漏洞的联动功能目前也仅限于CA公司的设备和一些通过CA的CA | ||
smart认证项目的厂商生产的设备 | |||
告警技术 | |||
安全审计技术 | E-mail alerts, pager, SNMP, help | 有可视化设计、报表和审计功能;支持水晶报表扩展 | |
desk gateway, web-based interface, alarm ticker, wireless alerts (PDA, cell | |||
phone, etc.) | |||
优势 | 基于Web的报表技术 | 提供了单一的控制台,企业可实现对所有的安全策略集成化管理和统一操作 | |
劣势 | 可视化规则编辑器、可视化报警 | ||
价格 | |||
备注 | $25,000 |
Check | Cisco | Consul | |
Point | Risk Management | ||
产品名称 | Provider-1/NG | VMS(***/Security Management Solution) | Consul/eAudit |
CSPM(Cisco Secure Policy Manager) | |||
产品类型 | ESM, SIM | SIM, ESM | SIM |
URL | http://www.checkpoint.com/products/management/provider-1.html | www.cisco.com | www.consul.com |
http://www.checkpoint.com.cn | |||
厂商类型 | 设备制造商,安全集中管理产品提供商 | 设备制造商,综合集中管理产品提供商 | ISV,安全集中管理产品提供商 |
运行平台 | |||
开发平台 | |||
用户界面 | GUI | GUI | |
协议 | Snmp, POP, OPSEC, | ||
数据库 | |||
支持设备 | 防火墙、***、AVS、内容过滤系统 | Cisco Router, PIX, Cisco ***3000, Cisco | |
NIDS | |||
事件过滤技术 | 集中安全策略管理、监控、审计、配置管理、许可证管理 | 软件分发,统一安全策略管理 | 主要用于安全审计 |
关联技术 | |||
告警技术 | 遇到***事件的时候,不但报警,而且还能够自动的执行预先制定的安全策略。 | ||
安全审计技术 | |||
优势 | 主要是对于大型机的安全防护,对于IBM Security Server (RACF)® | ||
OS/390等更有针对性。 | |||
劣势 | |||
价格 | |||
备注 |
Enterasys | e-Security | GuardedNet | |
产品名称 | Enterasys Dragon Squire | e-sentinel3.1 | neuSecure1.5 |
e-Wizard3.1 | |||
产品类型 | SIM | SIM | SIM |
URL | www.entrasys.com/ids | www.esecurityinc.com | www.guarded.net |
厂商类型 | 设备制造商,安全集中管理产品提供商 | ISV,安全集中管理产品提供商 | ISV,安全集中管理产品提供商 |
运行平台 | Appliance, BSD, HP-UX, Linux, NT/2000, | Linux, Nokia, NT, | Linux, Solaris2.8 |
Solaris | Solaris | ||
开发平台 | 不详 | C | Linux, mysql, apache和java |
用户界面 | 前台x-windows或者ms window | web界面 | |
协议 | SNMPv1/v3 | SNMPv1/v3;对于不支持snmp的设备提供转换Agent | SNMPv1/v3; syslog; OPSEC |
数据库 | 无 | oracle | MySQL |
支持设备 | 7种防火墙; 6种NIDS;4种HIDS; 防病毒系统(McAfee, Symantec and Trend Micro); 操作系统和数据库日志 | ||
事件过滤技术 | Agent层过滤,集中层不过滤 | Agent层过滤,集中层过滤 | |
关联技术 | 有限关联 | 关联 | Agent层不过滤,集中层过滤 |
告警技术 | |||
安全审计技术 | 支持59种水晶报表 | ||
优势 | 自己有产品; 基于signatures | 基于windows的规则编辑引擎;实时监控更强 | web界面不错;实时关联好;有trouble-ticket跟踪组件;伸缩性好,经济; |
劣势 | 对于其他产品考虑较少 | 依赖于snmp;Agent配置需要使用Perl, Tcl | 没有agent;受到了mysql的限制; |
价格 | Agent: $650(根据数量不同); console: $15,000 | $95,000(支持20个设备) | $40,000(支持25个设备) |
备注 |
IBM | Intellitactics | ISS | |
产品名称 | Tivoli Risk Manager 3.8 | Network Security Manager 3.3 | RealSecure SiteProtector |
产品类型 | SIM | SIM | SIM |
URL | www.ibm/software/tivoli | www.itactics.com | |
厂商类型 | 设备制造商,综合集中管理产品提供商 | ISV,安全集中管理产品提供商 | ISV,安全集中管理产品提供商,IDS提供商 |
运行平台 | AIX, NT/2000, Solaris | NT/2000, Solaris | NT/2000, Solaris,Linux |
开发平台 | 基于Tivoli | Java, Apache, Tomcat | |
Management Framework;或者独立平台,C | |||
用户界面 | 界面采用web(报表)和java客户端(配置) | GUI | |
协议 | SNMPv1 | SNMPv1/v3 | 至少Snmp |
Smtp, cobra, syslog | |||
数据库 | DB2, Oracle | MS SQL Server, oracle | MSDE及MS SQL Server |
支持设备 | 大部分主流安全设备 | 大部分主流安全设备 | 能够集中控管自己的全线产品,其他 |
特征 | Agent层过滤不详,集中层过滤 | 采用三层式的架构,透过事件过滤及交叉分析机制,具有高度的扩充性。 | |
事件过滤技术 | 无 | 较有效的过滤效果 | |
关联技术 | 有限 | 他和 Security | |
Fusion Module 组件的配合,达到动态安全威胁保护得功能 | |||
告警技术 | 常用的方法都有,如snmp | ||
报警,电子邮件等 | |||
安全审计技术 | 可以外挂IBM提供的审计软件,也可以二次开发;支持水晶报表 | 用户易用性;可视化配置工具;图形化显示报警 | 先进的交叉关联比对方法,来分析、汇集整个企业的安全信息 |
优势 | 自己有安全设备产品 | Agent功能不是很好;安装复杂 | 有X-Force研发小组的安全专业知识让产品不断赶上最新的安全威胁与弱点,在***检测领域集中管理有先天的优势 |
劣势 | 关联能力不行;安装极其复杂; | ||
价格 | $44,900(支持20个设备) | $60,000起价 | |
备注 |
MicroMuse | netForensics | NetScreen | |
产品名称 | NetCool | netForensics 2.3/3.0 | NetScreen-Global PRO Security Management |
Software | |||
产品类型 | SIM, ESM | SIM | SIM, ESM |
URL | www.micromuse.com | www.netforensics.com | www.netscreen.com/products/nsglobal.html |
厂商类型 | ISV,综合集中管理产品提供商 | ISV, 安全集中管理产品提供商 | 设备制造商,安全集中管理产品提供商 |
运行平台 | HP/UX, IBM AIX, IBM OS/2, Windows NT, Windows | 代理和管理中心:Linux, | Windows,Unix |
2000, Unix, Linux, Sun Solaris | NT/2000, Solaris | ||
开发平台 | Java, C++? | JAVA | |
用户界面 | Web | Web界面 | Web,JAVA Client |
协议 | Snmp, etc. | Agent支持SNMPv1/v3, Syslog, Cisco POP;内部协议使用xml over tcp/ssl | |
数据库 | MySQL, Sybase, ODBC, Oracle | Oracle,内置商业数据库 | Oracle |
支持设备 | 主要支持Cisco和check point | 18种防火墙,包括Check point, Cisco;10种NIDS,包括Cisco、ISS的;10种HIDS;Cisco Router,***;Unix syslog, Windows Events | 自己的防火墙,***设备,其他安全设备 |
特征 | 不仅是一个安全集中管理产品,还是一个网管产品和系统管理产品 | Agent层过滤,集中层不过滤 | 所有的管理输送活动通过***通道,确保安全的通信 |
事件过滤技术 | 有 | ||
关联技术 | 采用先进的规则,用来关联和精简数据,帮助分析事件根源 | ||
告警技术 | E-mail alerts,Pager,RIM BlackBerry | Email ,snmp报警,etc | |
or Motient ELink,Telephone,SNMP,Hooks to helpdesk software toools,Different | |||
people can be notified based on the type of problem | |||
安全审计技术 | 架构优秀;数据挖掘能力;可以针对不同的设备采用不同的数据删除策略; | 日志分析报告的技术较强,可以扩展Crystal Repots范本、可自定品牌的用户界面图形报表、日志关联/精简数据、***告警分析 | |
优势 | 设备联动 | 界面不好用;实时监控要改进;SSL损失了通信性能 | 提供了中央策略配置管理功能,灵活,高效。报表功能较好,界面易用 |
劣势 | Unfortunately, with Global Pro Express, | ||
the display filters show only the events that occurred while the monitor is | |||
running. | |||
价格 | $10,000起价 | $45,000起价 | |
备注 |
Secure | SecurityFocus[7] | SolSoft | |
Decisions Inc. | |||
产品名称 | SecureScope | DeepSight Threat Management System | SolSoft NP |
产品类型 | SIM | SIM, ESM | ESM |
URL | http://www.securedecisions.com/ | www.securityfocus.com | www.solsoft.com |
www.symantec.com | |||
厂商类型 | ISV,安全集中管理产品提供商 | ISV,安全集中管理产品提供商 | ISV,安全集中管理产品提供商 |
运行平台 | 服务端跨平台,客户端Windows | 服务端:Solaris;控制台:PC | |
开发平台 | Java,客户端使用了部分C++ | ||
用户界面 | Windows GUI | 基于Web,GUI | |
协议 | |||
数据库 | JDBC | ||
支持设备 | 收集来自180个国家、1900个伙伴安装的防火墙及***侦测技术获得的数据 | 对防火墙只支持PIX和Check Point,***支持Cisco PIX和Cisco IOS路由器,另外也支持一些非***路由器,如3COM、Cisco、Ericsson、IBM和Nortel等 | |
特征 | 提供早期预警服务,能在网络***未上门时,通知用户防患未然,先作下载修补程序等防护动作 | 基于策略的集中安全管理方案 | |
事件过滤技术 | |||
关联技术 | 使用了聚类技术 | ||
告警技术 | |||
安全审计技术 | |||
优势 | 三维的可视化风险分析 | 提供预警服务(Alert | 对于Cisco产品的策略配置很好 |
Service),以及SecurityFocus的数据库,告知用户可能发生的威胁,如恶意程序代码及漏洞。而威胁管理服务也可享有预警服务 | |||
劣势 | 对于其他产品支持有限 | ||
价格 | $14,995 | ||
$49,995(MSSP) | |||
备注 |
SonicWALL | Symantec | 玛赛公司 | |
产品名称 | GMS(Global Management System) | Enterprise Security Management 5.5 | USP(Unified Security Platform) |
产品类型 | ESM | SIM, ESM | SIM |
URL | www.sonicwall.com | www.symantce.com | http://www.marsec.net/news/news.php?no=118 |
厂商类型 | ISV,安全集中管理产品提供商 | ISV,安全集中管理产品提供商 | ISV,安全集中管理产品提供商,电信服务商 |
运行平台 | 支持超过35种操作系统,包括 WindowsNT/2000/XP, UNIX, | ||
NetWare, IBM iSeries(AS/400)和OpenVMS | |||
开发平台 | |||
用户界面 | |||
协议 | |||
数据库 | Oracle | ||
支持设备 | ***,AVS, 内容过滤系统,漏洞评估系统和认证系统 | 业界领先的厂商安全产品大都可以支持 | Symantec和NetScreen的防火墙、ids、avs |
特征 | 统一安全策略管理 | 漏洞检测和统一安全策略管理 | |
事件过滤技术 | 一般和Incident | ||
Manager组件配合,透过交叉比对来检视这些事件(event)是否相互有关,是否需要做出立即响应及进一步封锁 | |||
关联技术 | 和他的安全机制应变中心(Symantec | ||
Security Response)中相互关联,包括新的***特征、系统漏洞、安全防护和响应指导等。来判断事件是否为安全事件,做出进一步的措施 | |||
告警技术 | 一般的告警形式差不多都有 | ||
安全审计技术 | 他的Event | ||
Manager是专门设计用来保护某些特定领域安全(如防毒、防火墙或***侦测等)的管理原件,针对特定领域里所发生的事件作完整的汇整与分析 | |||
优势 | 顶尖的安全厂商,有安全方面的雄厚的资源,作此方面的安全管理应该有比较大的影响力 | ||
劣势 | 不能对第三方产品进行深层次配置 | ||
价格 | |||
备注 |
通过比较我们可以看出,所有27个产品中,有23个产品属于SIM,14个产品属于ESM。相对而言,SIM类型的安全集中管理产品更为成熟,而且比ESM更有现实的需求。在这26个厂商中,ISV有20家,设备制造商7家,安全集中管理产品提供商有22家,综合集中管理产品提供商有5家。可以看出,提供全面集中管理解决方案的厂家并不多,大部分厂家专注于安全管理,而这些全面管理解决方案提供商中,都已经在网络管理和系统管理领域积累了大量的经验。大部分安全集中管理产品都是由独立软件开发商提供的,它们的产品在支持被管理对象方面做得比设备制造商好很多。
通过比较还可以看出,所有这些产品基本都支持SNMP协议,都采用多层的体系结构,在系统部署和安装上都比较复杂,在核心的安全分析方面各种产品良莠不齐,基本没有令人满意的产品。
有5个产品采用了JAVA技术进行开发。这5个产品在SIM领域都属于佼佼者,包括被认为是目前最好的SIM产品——netForensics,该产品的控制台完全采用JAVA开发。而GuardedNet的neuSecure管理中心的开发都采用了Java。
所有这些产品基本上都提供了web访问模式。用户可以通过浏览器完成大部分的产品功能。
不同的产品各有所长:比如ISS在***,漏洞扫描方面的集中管理;Symantec拥有全球最大的安全漏洞方面的资料,加上自己非常全面的安全线,就很有竞争力;CheckPoint公司依靠自己强大的防火器产品,然后提出OPSEC协议框架,建立和其他产品进行统一管理的基础平台。Intellitactics的NSM可视化做的很好,包括可视化规则编辑和可视化告警显示,以及风险信息的可视化下钻(Drill-down);netForensics的架构很优秀,并作为Cisco SAFE推荐的SIM解决方案;e-Security的可视化规则编辑引擎则是他的卖点。
总体看来,领先的厂商的产品的大体上的安全管理方面的功能都是具有的,从数据的汇集,到格式的标准化,到关联分析,到报警方式,给用户的报表呈现式样。各家都有各家的特点。
4 后记
以上分析报告是在2003年初出具的。不难看出,时至今日,情况已经有了很大的变化,很多信息已经不是当时那个样子了,需要更新。但是,作为对历史的尊重和对产品发展的如实记录,还是具有一定参考价值的。
就那些厂商而言,目前,Aprisma和PNote已经不复存在,BindView已经被Symantec在2005年收购,Consul已经被IBM于2006年底收购,成为Tivoli的一部分,叫做Tivoli Compliance Insight Manager ;2006年e-Security被Novell收购,改为Sentinel;GuardedNet先是被MicroMuse在2005年7月份收购,后来MicroMuse在2005年底又被IBM收购,GuardedNet改为了Tivoli Security Operations Manager;ISS被IBM收购,时间也是2006年;而NetScreen整体卖给了Juniper;SolSoft先是被exaprotect收购,后来exaprotect又被LogLogic收购;SonicWALL也已经被XX收购了;NetIQ也已经被Attachmate收购了。还有一些厂家也退出了SIEM领域。
真是天翻地覆啊
可以看出来,Symantec和IBM总是高举收购的大棒,Symantec在2003年前后特别热衷于SIEM,而IBM则活跃于随后的几年之中。后续,我还会重点给大家展示一下早先Symantec的SIEM(SOC)大架构,尽管symantec已经逐步退出了SIEM市场,以至于连最后的几款产品都面临被关闭的危险。