发现看不见的价值See what’s invisible

华青融天

Algosec网络安全策略管理解决方案

华青融天

机器大数据应用解决方案领跑者

Algosec网络安全策略管理解决方案

目 录

3 A l g o s e c 产 品 优 势 特 点

2 A l g o s e c 产 品 功 能 介 绍

1 A l g o s e c 公 司 和 产 品 概 述

4 A l g o s e c 客 户 案 例

Algosec公司概况

2010-2012年年增长率 达到55%

在全球50多个国家拥有1000+客户，其中包括15家财富50强企业

安全策略管理行业领导者

致力于客户满意完善的技术合作伙伴渠道

屡获殊荣的安全管理套件

服务于1000+客户

金融 电信 MSSP 能源 咨询 其他

…

网络安全策略管理的挑战

复杂• 1000余条安全访问规则• 高度关联的关键业务

变更• 网络变更- 虚拟化、云、企业合并

• 业务变更- 灵活开发

合规• 复杂规则、 行业标准及内审要求• 耗时的审计流程

协作• 业务、安全与网络运营团队间的协作鸿沟

• 术语定义隔阂

挑战

安全管理平衡

防火墙漏洞 数据中心自动化

5%防火墙脆弱性

95%防火墙 配置错误

安全

灵活

防御网络攻击 开通业务应用

资源 时间规定

服务器 分

存储 分

安全控制 天/周

Algosec网络安全策略管理套件

Algosec Firewall Analyzer（AFA）

智能化的策略分析(Firewall Analyzer)

提供异构环境下对复杂网络和策略的自动化、

可视化及可控性管理，使用户的安全与网络团队

能智能化的对网络安全策略进行优化、风险及合

规性分析，并监控策略变更项，确保防火墙策

略配置的有效性、安全性和合规性。

Algosec FireFlow（AFF）

智能化的变更流程管理(FireFlow)

针对策略变更的全生命周期，实现智能化、

自动化的变更流程管理——从需求提交及分析、

风险分析、实施设计、变更验证到变更审计，使

网络和安全团队能够快速、有效完成策略变更，

确保变更内容的安全性和准确性，提升变更效

率、降低变更成本。

Algosec产品架构

• 非嵌入式架构

• 基于单个设备、组或者矩

阵的分析

• 专利算法对所有实时变更

进行监控分析

• 对法规和风险提供全面的

知识库

更多的结果. 更好的准确性.

目录

3 A l g o s e c 产 品 优 势 特 点

2 A l g o s e c 产 品 功 能 介 绍

1 A l g o s e c 公 司 和 产 品 概 述

4 A l g o s e c 客 户 案 例

Algosec产品功能

AlgoSec Firewall Analyzer--AFA

异构防火墙集中管理

异构防火墙集中管理

• 使用Aglogsec扩展框架连

接所有的异构设备

• 支持在线、离线方式分析网

络安全策略

策略优化及清理整理和优化防火墙策略

• 挖掘规则中未使用对象和协议

• 挖掘可合并的类似”规则

• 挖掘“覆盖”规则

• 挖掘冗余的特例规则

• 挖掘未使用规则

策略优化及清理

• 按照经常使用的规则排序，

以提高性能

• 重新排序后，策略逻辑不

会发生变化

智能化规则重新排序

策略优化及清理

• 基于历史数据来分析规则

中“宽松”的规则

• 根据业务需求对规则中的

“ANY”进行收缩!

收紧宽松策略

策略风险分析

• 全面的风险知识库• 定义所有的风险规则

识别防火墙策略风险

• 根据严重程度排列风险• 提供风险细节和补救措施

• 根据安全等级提供可视化的安全内容

• 展示安全水平的趋势

• 支持各种法规• 定制化风险检测规范

策略风险分析

策略风险分析

合规审计

• 使用默认合规报表节省时间

• 根据合规内容对特殊设备建

立合规可视化报表

• 支持法规• PCI DSS

• SOX

• ISO 27001

• Basel II

• NERC

• J-SOX

减少80%以上的审计工作量

变更监控及分析

动态监控策略变更内容

• 实时的变更追踪

• 变更报警通知

• 综合设计报表

变更监控及分析

静态分析策略变更

• 可分析挖掘同一防火墙

不同时间点的变更内容

• 可挖掘到以下变更内容• Traffic

• Rules

• service

• Object/hostgroup

• Topology

• Risks

• …

策略路径查询

分析策略路径及影响策略的相关设备

• 分析策略路径

• 分析影响该策略路径的设备

及规则

策略迁移验证

• 比较“老的”与“新的‘策略

• 比较不同品牌的网络安全策略

• 保证正确的策略迁移

策略迁移验证

可视化网络拓扑

• 自动生成

• 可手动调整拓扑结构

• 可通过路由表包含任何设备

拓扑图展现

配置基准合规审计

• 可自定义每类网络设备的配置

信息和合规条件

• 提交每台网络设备的配置报告

审计网络设备配置合规性

产品功能

AlgoSec Flow--AFF

现行的变更管理处理流程

Manual Process

明确用户需求

变更内容确认

进行风险评估

变更计划制定

执行变更计划 确定变更

执行方法和结果

审核变更执行过程

评估 SLA

FireFlow自动变更流程管理

需求分析 预期风险评估

最优的执行设计

验证执行的正确性

审计变更流程

重新校验规则

评估 SLAsSecurity Operations Operations

Compliance Executive

灵活的工作流

• 自定义化、基于角色的工作流程

• 不同请求分配不同的工作流程

• 支持动态的、并行的工作流

• 流程包括：

• 添加规则

• 移除规则

• 变更对象

• 重新验证规则

• Web 代理 变更(Blue Coat)

完全可订制化的流程设计

变更结果自动验证• 所有的变更要求都将自动检测和匹配

变更过程全程追踪

• 在安全变更流程中能追踪审计所有步骤

• SLA和性能追踪

目录

3 A l g o s e c 产 品 优 势 特 点

2 A l g o s e c 产 品 功 能 介 绍

1 A l g o s e c 公 司 和 产 品 概 述

4 A l g o s e c 客 户 案 例

Algosec核心独特技术

Deep Policy Inspection™

- AlgoSec的核心技术,利用拓扑感知算法提供最优的防火墙策略分析结果.

Intelligent Policy Tuner™ (IPT)

- 在不影响业务的情况下，收敛过于宽松的策略.

ActiveChange™

- 将防火墙变更策略直接实施到防火墙上（暂时仅适用于Checkpoint）.

AlgoSec Extension Framework (AEF)

- 广泛、灵活的可扩展架构，便于监控防火墙变更.

Algosec产品优势特点

防火墙/网络设备的品牌、版本的兼容性广产品更新能力强

B/S管理模式更为便捷

可简单自定义细粒度的风险检测规则

深层策略分析技术确保策略分析最优化

内置多种变更工作流变更工作流可自定义

采用标准的Webservice接口实现简单的集成与定制化开发

全面的法规与风险知识库内置多种安全标准合规模板

对复杂网络环境的支持能力更强

目录

3 A l g o s e c 产 品 优 势 特 点

2 A l g o s e c 产 品 功 能 介 绍

1 A l g o s e c 公 司 和 产 品 概 述

4 A l g o s e c 客 户 案 例

客户案例No.1

用户简介

网络安全环境

运维挑战

国内第一家股份制商业银行，拥有33家一级分行、50家二级分行、12家直属支行及760多家支行。

总行约200台防火墙，分布深圳及上海数据中心。

防火墙类型包括：Juniper、Checkpoint、Cisco等。

u人员管理挑战：安全室仅有10名IT员工，负责审计总行及与部分分行近200台防火墙策略变更及风险合规内容；

u安全审计及合规要求：无法控制总行、尤其是分行策略中的风险及违规策略、且无法控制策略变更中存在的高风险策略。

解决方案u借助Algosec Security Management Suite（ASMS），对网银区域、两网隔离区域和分行的防火墙策略进行统一管理。

u 借助于华青融天的驻场运维服务，对策略变更过程中发现的高风险进行确认。

u借助于华青融天的定制化开发服务，将Algosec告警集成至SOC平台，实现快速告警，并开发了响应的报表系统，提升报表统计能力。

客户案例No.1客户收益

u为防火墙变更信息的统计和集中管理提供了有效的手段，从人工手动记录和ITIL工单统计转移到algosec平台自动记录，实现了变更工单自动记录，让工程

师和部门经理能随时对防火墙变更信息进行查找和审计，这种便捷手段，每周平均节省3人/天。（招行防火墙业务变更多的情况下，一天会有150条以上

的规则变更记录）。

u针对防火墙策略安全合规管理提供了有效手段，CMB在2011年之前没有针对防火墙策略进行安全合规审计，特别针对各级分行和总行的接口和ATM机业

务防火墙策略安全审计都是采用总行人员去到分行进行手动审计，自从2011年部署Algosec产品后，采用Algosec离线分析功能对分行策略进行审计，无

需总行工程师再下到分行进行手动审计工作。（这项内容至少节省15人/天以上）；并实时对总行防火墙策略进行风险合规审计，每周给出一份总结报告，

有效的控制了规则上线、变更的风险，并制定了相应的响应和处理流程，到目前为止，已连续6个月未出现因防火墙规则变更触发的高风险和疑似高风险事

件。

u由于银行的监管和业务安全保障特性，针对防火墙策略优化内容，用户都很谨慎甚至不优化，使用了Algosec平台后，根据每天的定制分析报告进行长时

间的比对和校验，帮助用户在多个业务新防火墙上线和迁移的过程中帮助用户进行现有策略的梳理和优化工作提供了可靠依据和最佳实践经验。（根据防

火墙策略数量，每次迁移上线至少节省1.5人/天）

u通过Algosec AFF和HP SM集成，建立防火墙规则审计流程，并结合Opsware自动化平台实现对juniper、checkpoint、F5、topsec防火墙规则变更下

发的自动实现，从而实现了防火墙策略自动生成、审计到下发的功能，减少用户对防火墙策略的日常运维工作（这项部分目前在网银等2个业务区域使用，

每周能节省1.5人/天）

客户案例No.2

用户简介

网络安全环境

运维挑战

全球最大的金融机构之一，其信用卡、私人银行、新兴市场、企业银行、跨国公司等业务遍布160个国家。

约1200台防火墙，分布在北美洲及亚洲公司中。

防火墙类型包括：700台Checkpoint、300台Juniper、100台Macfee、100台Palo Alto。

u策略变更控制过程完全手动化且非常复杂：仅有50名IT员工，每天监控及核实防火墙变更；需要员工具备熟练手动操作不同运营商防火墙变更技术及利用6

个独特的内部变更管理系统的能力。

u变更程序需要在全球进行多重检验：由于网络环境和变更过程的复杂性，无法满足较为宽松的安全基线要求；通过安装在不同地域的审计工具来审核变更

过程及规则，由于重大的监管审查及无法自动生成报告的缺陷，导致IT部门要花费非常多的时间验证其合规性。

客户案例No.2

解决方案

客户收益

选择了以分布式+总部集群式模式，在全球部署了Algosec Security Management Suite（ASMS），服务于防火墙策略变更过程的每个步骤。

u节省了大量成本；

u增强了业务需求中对变更反应的灵活性；

u增强了全球1000+以上的防火墙策略的可控性及可视性；

u确保了网络安全设备的正确配置与维护；

u满足了合规性要求；

总结

自动合规提高安全性

• 识别并减轻防火墙策略风

险

• 确保策略的改变不会带来

新的风险

• 对安全风险进行排序并勾

画其趋势

• 了解策略变更对业务应用

的影响

• 减少80％的审计工作量

• 确保持续合规

• 提高公司管理水平

高效运维

• 节约60%的操作时间

• 减少20-30%无用变更

• 提高操作的准确性

• 提高网络性能及可用性

• 紧密结合安全与运维团队

Thanks

发现看不见的价值See What ’s Inv is ib le