联软科技全新一代网络安全策略管理系统

联软科技携手至赛科技联合发布全新一代网络安全策略管理系统，依托联软科技强大的网络安全运维能力，双方的合作将构建统一安全策略管理能力体系，对防火墙、路由交换、负载均衡等异构品牌、异构型号的网络设备进行统一集中管理，提供策略集中管理、策略梳理、策略可视化监控、策略运维等多个维度的综合策略管理能力，促进网络运营降本增效。此外，在原有安全策略管理引擎基础上，结合联软科技网络空间资产测绘能力，即将推出挂图作战网络安全场景解决方案。

策略管理耗时久，有隐患，怎么办？

1、策略开通工作复杂由于各行业发展迅速，需求量大，往往配备多种防火墙设备，人工操作环节多，检查内容复杂，导致效率低下。
2、策略优化耗时久安全策略需要定期、逐条筛查，消耗大量人力和时间。不同设备厂商对策略的表达方式各不相同，操作流程不规范，需要反复进行策略分析优化。
3、安全策略存隐患当出现配置问题时，管理员需要根据策略路径节点逐个分析，效率较低且容易出错，系统安全与稳定性存在隐忧。

4、安全策略“不可见”由于对安全策略的管理缺乏有效的手段，处于“不可见”的状态，无法检查全策略配置的正确性、合规性。

策略运维真的优化了吗？

安全策略运维新阶段？

联软至赛UniNSPM安全策略管理系统解决方案

●技术领先：策略可视化技术领先国外头牌公司，国内唯一原创技术供应商

●完全自主研发

●策略管理集中一体管理

●策略梳理高效精细

●等保合规

●策略态势可视化

●智能运维

●广泛兼容：支持国内外90%厂商防火墙、路由器、交换机

联软至赛网络安全策略管理系统能够对企业内所涉及到的网络设备及安全设备的策略进行全面的梳理和优化，及时发现网络策略的各类异常并通知维护人员，以保证网络以最优状态运行，提升网络用户的感知。

策略集中管理
1策略采集

联软至赛网络安全策略管理系统可实现全网防火墙、路由交换、负载均衡等异构品牌、异构型号的网络设备进行统一集中管理。系统通过在线采集（ssh/telnet)、手工导入等方式纳管三层网络设备，支持设备中接口、ZONE、地址、服务、策略、NAT、路由等数据。管理人员可以对策略中可能存在的地址、服务等进行包含过滤，快速找到与之相关的策略，同时对一些策略进行标记，例如记录请求者、创建用途、截止时间等信息，提高后期维护效率。

2策略搜索

全网策略、对象快速搜索定位设备配置统一标准化管理可快速统一搜索IP匹配规则等于、包含、被包含、相交、不相交等支持全网设备及单个设备的策略查找支持端口数的策略查询

3变更对比跟踪

不同时间点配置对比，记录每次采集防火墙配置的修改，包括修改的详细技术信息。可比较不同版本的策略、地址对象、服务对象等的变化，也可比较配置文本的差异。

策略梳理
1策略优化分析

随着网络复杂度的提升，防火墙的策略也变得日益庞大，而其中通常有大量的隐藏、冗余、过期、空策略和可合并策略。通过联软至赛网络安全策略管理系统，管理员可以对现有策略集进行梳理，清除各种冗余、失效的垃圾策略，降低防火墙策略的复杂性，提高网络性能。

2策略命中分析

对于开启日志功能的策略，防火墙会生成命中日志syslog，平台收集日志并与策略关联，计算出对应的命中数量。对于未开启日志功能的策略，系统定期采集防火墙自带的策略命中累计数，通过对比不同时间采集的累计数差异，计算出该时间段的命中数。通过记录每条安全策略的命中情况，查看某台防火墙上哪些策略是长期以来没有被使用过，哪些安全策略的使用率最高等等。

3策略流量分析

对于开启日志功能的策略，可以进行策略流量分析。通过收集防火墙发出来的命中日志syslog，系统会提取出日志中的五元组信息（源地址、目的地址、源端口、目的端口、协议），并关联到对应的策略上，从而梳理出该策略的明细流量。系统可以根据明细流量生成明细策略及对应设备的命令行脚本，实现宽泛策略到明细策略的整改，实现策略最小化原则。

4合规性检查

系统依据企业和行业安全配置指导标准和规范进行安全配置检查，对不符合规范的策略和配置自动检测生成报告。系统提供预定义检查项一百多个。检查项可以是基于正则表达式或策略搜索。用户可以自定义检查项，比如对高危端口、策略带有any放行、大于16位子网等进行检查。

策略可视化
1可视化拓扑

自动生成网络拓扑模型，在模型上进行深度计算，支持源地址、目的地址的访问路径查询，计算匹配的策略、nat、路由信息；计算网络中任意两点的数据包可通性，支持源、目的网段或安全域放通关系查询，显示放通的数据明细。可用于数据流查询、攻击面分析、跳板分析、域间基线检查。

2数据流查询

输入网段或者安全域，查看数据的放通情况，可以进行攻击面的分析。

3跳板分析

根据可以访问的目的作为下一次访问的源，进行下一跳计算，被攻击后可以再次访问哪里。

策略运维
关键点：路径查询、策略规划、策略生成、策略下发、下发验证回退
针对新的开通需求（源地址、目的地址、端口），策略自动化可以通过全网拓扑模型，进行路径计算，展示出经过的防火墙和放通情况，自动定位防火墙，自动梳理出防火墙策略建议，可以计算出添加策略的位置，或修改原有策略，同时可将策略建议转换成命令脚本，实现策略开通、策略批量下发、一键封堵等多项功能，提高运维效率和策略配置的准确性。

典型应用场景一

 基础运维流程化提供标准接口，可对接工单系统工单需求快速定位工单参数、放通状态校验

典型应用场景二

攻防场景主动防御

查询所有访问、放通关系，及时进行策略优化。

●攻击面分析：攻防演练前预先对网段或域进行扫描和分析

●跳板分析：提前预演，对某一结点被渗透后会进一步对哪些系统造成攻击。

●安全策略收敛：避免策略开放过于宽泛造成暴露面风险。

●一键阻断：一旦发现渗透攻击，可通过一键阻断功能直接回收网络访问权限。

●安全策略自动下发：攻防演练中，设定安全策略定时下发，预验证策略提高容错处理能力。

典型应用场景三

加强网络合规性建设

合规性管理国家等保2.0策略集中管控监管部门防火墙合规审计内部合规部门管理
定期审计防火墙策略审计网络合规审计
定期输出报表防火墙安全策略报表路由交换策略报表配置变更报表
策略检查冗余、无效策略定期清理防火墙安全基线符合性检查

联软至赛UniNSPM方案亮点

1策略梳理可以定义审计项，对不合规的端口或放行过大的策略进行检查，梳理出不符合要求的策略。
2自动计算对于开通工单，平台可以自动计算路径判断是否已有策略放通，没有放通的定位设备给出规划建议和脚本。
3黑名单监控根据业务定义不同的逻辑安全域，计算域间的放通情况，对不允许的定义黑名单，不断进行监控。
4集中管理集中纳管现网所有防火墙、路由交换，实现全网的集中管理，可以快速全网搜索地址、服务，以及对应策略导出，提高运维效率。
5策略优化防火墙存在上万条策略，通过人为清理无效策略很难落地，平台能自动计算策略中存在的隐藏、冗余、过期策略等，生成清理脚本下发。
6跟踪配置变化记录设备的变更情况，对不同配置版本进行比较跟踪管理，帮助管理员及时了解配置变化详情。

典型案例-某证券项目

●通过对异构品牌的设备信息采集、解析，可用于全网策略的展示、搜索、对比、导出等功能。每次采集记录配置变更，可对不同的配置版本深度可视化对比。
●针对新的开通需求，系统提供智能化、自动化的策略开通流程，将策略建议转换成命令脚本并下发到设备。

●通过网络拓扑模型的深度计算，分析出访问路径，实现攻击面分析和跳板分析。用户可以定义各个安全域之间的访问关系黑白名单，以此作为安全域基线，系统自动对比计算出的现网开通情况，实现域间异常开通关系的告警。