Arcsight 方案.docx

第一章 项目方案1.1 项目背景随着富友金融网络技术有限公司IT系统的发展，需要管理的安全设备和主机系统也越来越多，其中Cisco /H3C的网络设备、Cisco的防火墙/IPS设备、DB2/Oracle/Informix等数据库系统、Windows/AIX/Linux等操作系统、Apache Tomcat应用服务器，每台产生海量日志，没有办法集中管理，进行统计分析，并且不能够做统计报表，管理复杂，需要登录到每一类系统设备中去查看日志，比较繁琐和浪费时间，需要一套能够集中收集这些系统设备的日志系统，并能够进行集中收集和管理，统一查询和报表统计，特选择世界排名第一的HP/Arcsight Logger设备，为富友公司搭建日志集中管理平台1.2 项目方案介绍1.2.1 项目需求富友公司当前的网络架构如下图所示：目前需要进行日志采集的设备列表如下：设备分类（厂商）设备类型厂商操作系统/型号版本数量操作系统AIXIBMAIX 5.35.32AIXIBMAIX 6.16.16LINUX CentOSCentOS 5.55.51LINUX RedHatRedHat 5.7 (64)5.74LINUX RedHatRedHat 5.45.413LINUX CentOSCentOS 4.44.41Windows Server MicrosoftWindows 200320037数据库DB2 IBM DB2 V9.1.0.49.1.0.48oracleORACLEORACLE 11.2.0.3.011.2.0.3.02应用服务器tomcat tomcat7.0.12 15tomcat tomcat5.5 3网络设备路由器Cisco3845IOS12.42交换机Cisco3750GIOS12.26防火墙CiscoASA5520IOS8.24路由器H3CMSR50405.22安全设备IPSCiscoAIM107.062数据库审计ImpervaX2500 数据库监控网关暂未上线1双因素认证RSASECURID暂未上线1堡垒主机帕拉迪统一安全管理和综合审计系统暂未上线1应用层防火墙ImpervaX2500 WEB应用防火墙暂未上线11.2.2 项目方案设计原则根据项目建设目标，富友公司日志分析系统项目要遵循以下几个原则：¨ 长远性和现实性相结合富友公司日志分析系统项目，要兼顾企业的目前状况与长远发展等因素，放眼未来，统筹规划，又要具有可付诸实施的现实可能性。

¨ 全面性和针对性相结合富友公司日志分析系统项目实施，要着眼全局，不能遗漏；同时又要突出重点，方案和计划具有较强的针对性¨ 完整性和阶段性相结合富友公司日志分析系统项目，既要制定整体发展规划、安全建设纲要、安全总则等战略性指导文档，也要按照现阶段产品采购，提升亚运期间客户信息安全审计整体水平¨ 先进性和实用性相结合富友公司日志分析系统项目实施，在战略和策略、目标和要求、规定和制度、产品和技术、人员和知识等各方面，既要有先进性，又要有实用性¨ 开放性和可靠性相结合富友公司日志分析系统项目实施，应采用最新且成熟的系统软硬件等技术和产品其各项技术应保证具有开放性、可移植性和可扩展性，同时，具有可靠性和稳定性¨ 完整性和经济性相结合富友公司日志分析系统系统建设，既要考虑采用的产品和技术在整体上具有完整性和一致性，又要尽量保护富友公司已有的软硬件投资，使得总体上具有更好经济性¨ 安全性和业务连续性相结合富友公司日志分析系统建设必须保证系统安全性和业务连续性系统在开发规范和接口规范必须符合富友公司有限相关安全规范和安全要求，系统建设必须考虑和其他系统之间的整合，确保相互间业务通信的连续性1.2.3 项目方案产品选型对于需要进行日志收集的设备的日志量估算如下:设备分类设备类型厂商操作系统/型号版本数量估算的EPS日志收集方式操作系统AIXIBMAIX 5.35.322Smart ConnectorAIXIBMAIX 6.16.166Smart ConnectorLINUX CentOSCentOS 5.55.511Smart ConnectorLINUX RedHatRedHat 5.7 (64)5.744Smart ConnectorLINUX RedHatRedHat 5.45.41313Smart ConnectorLINUX CentOSCentOS 4.44.411Smart ConnectorWindows Server MicrosoftWindows 2003200377Smart Connector数据库DB2 IBM DB2 V9.1.0.49.1.0.4840Smart ConnectororacleORACLEORACLE 11.2.0.3.011.2.0.3.0210Smart Connector应用服务器tomcatApachetomcat7.0.12 15225Smart ConnectortomcatApachetomcat5.5 345Smart Connector网络设备路由器Cisco3845IOS12.4 22Smart Connector交换机Cisco3750GIOS12.2 66Smart Connector路由器H3CMSR5040 5.2 22Flex Connector安全设备防火墙CiscoASA5520IOS8.2 4400Smart ConnectorIPSCiscoAIM10 240Smart Connector双因素认证RSASECURID暂未上线15Smart Connector堡垒主机帕拉迪统一安全管理和综合审计系统暂未上线110Flex Connector应用层防火墙ImpervaX2500 WEB应用防火墙暂未上线115Smart Connector数据库审计ImpervaX2500 数据库监控网关暂未上线1100Smart Connector根据上述估算，当前的设备总数为82，日志总量约为934EPS (Event Per Second 每秒事件数)，设备选型将以此为基础并充分考虑未来的扩展。

1） 日志管理平台选型：Arcsight Logger L3400根据当前的日志量并充分考虑未来的扩展，建议选用Arcsight Logger L3400作为日志管理平台系统的核心，其最佳处理能力为EPS 2000，支持200台设备的日志采集，最大日志容量可达8TB，完全可以胜任富友公司的日志管理需求2） 日志收集服务器选型：2台HP ProLiant DL360 G7 服务器建议用户提供了2台HP DL360服务器作为本项目的日志采集器使用，服务器配置建议如下：CPU: 1 Intel E6520, 4核内存：8G硬盘：500GB（3） 日志收集器许可证： Arcsight Flex ConnectorHP/Arcsight提供两种形式的日志收集器，Smart Connector和Flex ConnectorSmart Connector可以直接支持超过300中主流IT设备的日志收集，对于不在Smart Connector支持列表中的产品，可以采用定制收集器Flex Connector来实现富友网络中的Informix数据库和H3C的网络设备需要通过Flex Connector实现日志收集序号产品类别产品选型数量1日志收集器硬件HP ProLiant DL360 G7 （1 E6520 CPU, 8G /500G）22日志收集器许可证Arcsight FlexConnectors12日管分析系统产品Arcsight Logger L34001图表 1项目产品选型1.2.4 产品部署图图表 2 项目方案产品部署图上图所示为为富友公司日志分析系统那个项目解决方案的产品部署图。

通过在富友公司总部及各分支结构中分布式部署ArcSight的Connectors产品，这样能更好的发挥Connectors产品的技术特点，如安全事件采集的分时传输或带宽控制等然后安全事件通过Connectors的采集、归并、过滤和标准化后，汇总分析后的日志数据保存到Arcsight Logger设备上，管理员就可以通过WEB方式进行查询与分析日志1.2.5 项目方案功能实现1.2.5.1 日志采集ArcSight Connectors具有强大的安全事件收集功能，支持100%数据的数据捕获，支持海量安全事件数据处理，支持的安全事件格式包括SYSLOG，LEA, SYSLOG-NG，W3C和文件型安全事件在内的多种形式的安全事件格式支持SYSLOG、SYSLOG-NG、SNMP TRAP、JDBC数据库连接等实时或定时采集协议不需要在被管理主机上安装代理，不会对数据库主机造成影响支持长安全事件格式自动识别安全事件源的安全事件格式，支持主动采集和被动接收两种采集方式ArcSight Connectors系统支持智能代理的集中部署和分布式部署，并可以定制代理，系统自动维护代理状态这种模式，利用分布在网络的各处采集器就可以收集到全网中需要管理的对象的安全事件。

数据在系统内的传输采用加密方式，保证数据的传输完整性和机密性内嵌时间服务器，提供设备之间时间校正服务，支持独有的5时间戳技术日志的时间对日志分析非常重要，错误的时间会影响到日志分析的正确性Arcsight Connectors采用了独有的5时间戳技术，系统共维护了5个时间戳：源日志生成时间、日志采集器收到时间、管理服务器收到时间、数据库存储开始时间和完成时间该技术使系统日志数据更具有可靠性证明，可满足设备时间同步需求对于采集到的海量的安全事件数据ArcSight Connectors进行如下处理后发现相关的安全事件和安全问题1.2.5.2 日志归并和过滤安全事件归并和过滤是可选用的功能，过滤用于丢弃从设备提取的原始安全事件信息中监控人员认为不重要的信息，从而减少轻微告警安全事件的干扰；归并是一种组合技术，将基于选定的时间值或安全事件数量，合并具有匹配字段值的多条安全事件 具备安全事件归并和过滤技术具有如下好处：l 减少对带宽的占用l 减少对存储空间的占用l 提高监控和处理的效率ArcSight 设备在安全事件收集引擎和关联分析引擎上都具备安全事件归并和过滤能力通过在安全事件收集引擎上设置过。