网络安全产品

概述

思科安全监控、分析和响应系统（思科安全MARS）是一款基于设备的全功能解决方案，可提供针对您现有安全部署的、前所未有的了解和控制能力。思科安全MARS是思科安全管理生命周期的一个关键组件，可帮助您的安全和网络机构识别、管理和抵御安全威胁。它可充分利用您现有的网络和安全投资，来识别、隔离被攻击的组件和建议对其精确删除的方式。它也有助于保持内部策略符合性，可作为整体法规符合性解决方案工具中一个不可缺少的部件。

安全和网络管理员所面临的问题有：

• 安全和网络信息过载
• 性能不佳的攻击和故障识别、优先级划分和响应
• 更高攻击先进程度、速度和修复成本
• 满足法规符合性和审查要求
• 较少的安全人员和预算

思科安全MARS可通过以下功能满足其需要：

• 集成网络智能，进行网络异常事件和安全事件的先进关联
• 察看校正后的事件并自动执行调查
• 通过全面充分利用网络和安全基础设施来防御攻击
• 监控系统、网络和安全运行来帮助企业达到法规符合性
• 以最低TCO提供一个易于部署和使用的、可扩展的设备

思科安全MARS可将原始网络和安全数据转化为可操作的智能特性，以提交正确有效的安全事件并保持法规符合性。这一易于使用的威胁防御设备系列可利用已部署在您的基础设施中的网络和安全设备，使操作员可集中、检测、防御和报告重要威胁。

深度防御问题

信息安全已从互联网、周边防护发展为深度防御模式，在基础设施中部署了多项措施来抵御安全漏洞和攻击。鉴于攻击频率日益增加、攻击复杂度各不相同，以及攻击非常迅速，网络内部和周边间的界线逐渐模糊，因此这些措施是非常必要的。

为试图利用漏洞发动攻击，每天攻击者都会对网络接入点和系统进行数千次探测。先进的混合攻击使用多种欺骗式攻击方法，以便从机构内外获得未授权系统访问和控制。蠕虫、零日攻击、病毒、特洛伊木马、间谍软件和攻击工具的普及可对最为坚固的基础设施构成挑战——导致防御作用时间缩短、出现停运和昂贵的修复措施。

除服务器和网络设备数量较多外，每个安全组件都提供独立的事件记录和报警功能，以用于异常流量检测、威胁响应和分析。不幸的是，这就生成了大量的干扰、报警、日志文件和误报，需操作员辨别或高效利用它们——但这样的前提是有足够的时间和资源来分析和了解这些信息。此外，法规也要求严格数据保密、更高运营安全性和进行持续审查。

先进的安全信息管理

安全信息/事件管理（SIM）产品从逻辑上看来避免了这一问题——因为您无法对您不能测量出的信息加以管理。SIM使操作员拥有了集中操作的能力：汇总安全事件和记录，通过有限关联和查询技术来分析数据，并针对独立事件生成报警和报告。

但是，许多第一代和第二代SIM不具备足够的网络智能和性能属性，无法更精确地识别和确认关联事件、更好地指出攻击路径、有效地消除威胁或应对高事件负荷。

思科系统公司通过一个可扩展的企业威胁防御设备系列，解决了这些安全问题，弥补了管理的不足。思科安全MARS提供了一个易于部署和使用、经济有效、性能出众的安全命令和控制解决方案，对您的网络和安全基础设施投资构成补充。思科安全MARS是一个性能出众的可扩展威胁防御设备系列，通过结合网络智能、ContextCorrelationTM、SureVectorTM分析和AutoMitigateTM功能，来使公司能作好准备，识别、管理和消除网络攻击并保持法规符合性，从而增强已部署的网络设备和安全措施。

思科安全MARS的主要特性和优势

网络智能事件汇总和性能处理

思科安全MARS了解路由器、交换机和防火墙的拓扑和设备配置，以及网络流量配置，实现了网络智能。通过该系统的集成网络发现功能，可构建一个包括设备配置和当前安全策略的拓扑图，使思科安全MARS能对您网络中的分组流建模。因为此设备不在内部运行，极少使用现有软件代理，所以对网络或系统性能的影响极小。

这一设备集中汇总了来自各种常用网络设备（如路由器和交换机）、安全设备和应用（如防火墙、入侵检测、漏洞扫描器和防病毒软件）、主机（如Windows、Solaris和Linux系统日志）、应用（如数据库、Web服务器和验证服务器）以及网络流量（如Cisco NetFlow）的日志和事件。

ContextCorrelationTM在接收到事件和数据时，可针对网络拓扑、所发现的设备配置、相同的源和目的地应用（跨NAT边界）和类似的攻击类型，来对信息进行标准化。相似的事件会进行实时分组，随后对其运用由系统和用户定义的关联规则，来识别事故。系统配备了全面的预定义规则，Protego会经常更新这些规则，它们能识别大多数混合攻击、零日攻击和蠕虫。一个图形化规则定义框架简化了用户为任何应用创建定制规则的过程。ContextCorrelation大大减少了原始事件数据、实现了响应优先级划分并可最大限度地发挥所部署的措施的作用。

高性能汇总和整合。思科安全MARS解决方案可获取数千个原始事件，高效地对事件分类，实现前所未有的数据减少，并压缩这些信息以进行归档。管理大量安全事件需要一个安全、稳定的集中记录平台。思科安全MARS设备可安全地优化，接收极其大量的事件流量——每秒超过10000个事件或每秒超过30万个NetFlow事件。通过即将荣获专利的Protego内部处理逻辑和采用内嵌Oracleò，这一切成为可能。所有数据库功能和调整都对用户透明。板载存储并可将历史数据档案持续压缩到NFS备用存储设备的功能，使思科安全MARS成为一个强大的安全日志/事件汇总解决方案。

事件查看和有效防御

思科安全MARS有助于加速和简化威胁识别、调查、校正和防御的过程。安全人员通常面临着所提交的事件需要耗时的分析才能解决问题和进行修复的情况。思科安全MARS具有一个功能强大的交互式安全管理控制台。操作员GUI提供了一个由实时热点、事故、攻击路径和具体调查组成的拓扑图，可使用户完全了解事件——立即确认有效威胁。

SureVectorTM分析事件进程等过程，通过评估直至终端MAC地址的整个攻击路径，来确定威胁是否有效或是否已进行了防御。这一自动过程是由分析防火墙和入侵防御应用等设备记录、分析第三方漏洞评估数据，以及籍由思科安全MARS终端扫描来消除误报而完成的。用户可快速、精确地调整系统，来进一步减少误报。

所有安全计划的最终目标是保持系统在线并正常运作——即防御安全违背、抑制事件并进行修复。凭借思科安全MARS，操作员可迅速了解攻击中涉及的所有组件，这可具体到受破坏的系统MAC地址。AutoMitigateTM功能可识别攻击路径上的阻塞点设备，并自动提供用户可用以防御威胁的适当设备命令。通过充分利用基础设施，可快速、准确地防御和抑制攻击。

实时调查和法规符合性报告

思科安全MARS具有一个易于使用的分析框架，简化了传统的安全工作流程，在日常运作和特殊审查时实现了自动的案例分配、调查、提交、通知和说明。它可图形化地重现攻击并检索所存储的事件数据，来分析以前的事件。此系统完全支持临时查询，可进行实时和持续数据采集。

思科安全MARS提供大量的预定义报告，来满足运营需要，有助于达到法规符合性要求，包括Sarbox、GLBA、HTPPA、FISMA和Basel II。一个直观的报告生成器可以修改80多种标准报告或生成新报告，以一种无限制的方式，用数据、趋势和图表格式构建安全措施和修复计划、事件和网络活动、安全状态和审查，以及部门报告。此系统也能提供批报告和电子邮件报告。

迅速部署和可扩展管理

思科安全MARS置于一个TCP/IP网络上，可发送和接收系统日志、SNMP捕获，并通过标准安全协议或厂商特定协议，与已部署的网络和安全设备建立安全连接。只需将其插入网络即可。安装和部署思科安全MARS时无需其他硬件、操作系统补丁、许可或冗长的专业服务部署过程。您只需配置您的日志源，指向MARS设备，并通过基于Web的GUI定义任意网络和数据源。

该设备由一个安全、基于Web的界面集中管理，它支持基于角色的管理。可选思科安全MARS GC设备集中了广泛的安全操作，可提供整个企业的单一视图，分发访问权限、配置、更新、定制规则和报告模板，并将复杂的调查与本地处理的加速查询和报告相结合。

因为本地思科安全MARS设备可在整个企业中执行查询和规则，因此能高效地获得整合结果，快速、集中地在思科安全MARS GC中进行分析。这一可扩展架构提供了一个附加的分布处理和存储层。因此可实现更为经济有效的部署和更高可管理性，满足地理位置分散的大型机构的需求。

思科安全MARS技术规格

思科安全MARS系列提供了多种性能特性和价位，以满足多种机构和部署情况的需要。

思科安全MARS技术规格
思科产品编号	事件/秒	NetFlows/秒	存储	机架单元	电源
Cisco Security MARS-20-K9(CS-MARS 20)	500	15,000	120GB (非RAID)	1RU′16”	300W
Cisco Security MARS-50-K9(CS-MARS 50)	1,000	30,000	240GB RAID0	1RU′25.6”	300W
Cisco Security MARS-100E-K9(CS-MARS 100e)	3,000	75,000	750GB RAID10，可热插拔	3RU′25.6”	500W，双冗余
Cisco Security MARS-100-K9(CS-MARS 100)	5,000	150,000	750GB RAID10，可热插拔	3RU′25.6”	500W，双冗余
Cisco Security MARS-200-K9 (CS-MARS 200)	10,000	300,000	1TB RAID10， 可热插拔	4RU′25.6”	500W，双冗余
思科产品编号（Global Controller型号）	分布式监控
	支持的型号	最大连接数	存储	机架单元	电源
Cisco Security MARS-GCM-K9(CS-MARS GCm)	仅限MARS 20/50	5	1TB RAID10， 可热插拔	4RU′25.6”	500W，双冗余
Cisco Security MARS-GC-K9(CS-MARS GC)	任意	目前无限制	1TB RAID10， 可热插拔	4RU′25.6”	500W，双冗余

* EPS：在动态关联和支持所有特性的情况下，每秒处理的最大事件数目

基于动态连接的关联

• 包括NetFlow的异常流量检测
• 基于行为和基于规则的事件关联
• 全面的内置规则和用户定义的规则
• 自动NAT标准化

拓扑搜索

• 第三层和第二层：路由器，交换机，防火墙
• 网络IDS：刀片和设备
• 手动和事先安排的搜索
• SSH，SNMP，Telnet和特定设备通信

漏洞分析

• 由事件触发、基于目标网络和主机的识别
• 交换机、路由器、防火墙和NAT配置分析
• 自动漏洞（VA）扫描器数据获取
• 自动和可由用户调整的误报分析

事件分析和响应

• 个性化安全事件管理控制台
• 基于连接的事件整合，配有全规则上下文
• 图形化攻击路径显示，带具体调查结果
• 攻击路径设备简况，带终端MAC识别
• 图形化的具体顺序攻击模式显示
• 事件细节：规则，原始事件，CVE和防御选项
• 立即事件调查和误报确定
• GUI规则定义支持定制规则和关键字分析
• 事件提交，带基于用户的“执行”工作列表
• 通知：电子邮件，寻呼机，系统日志，SNMP

查询和报告

• GUI支持大量缺省查询和定制查询
• 80多种常用报告：管理、运营和法规
• 直观的报告生成可产生无限的定制报告
• 数据、表格和趋势格式支持HTML和CSV输出
• 实时、批、模板和电子邮件转发报告系统

管理

• Web界面（HTTPS）：基于角色的管理，有预定义权限
• 多个思科安全MARS的思科安全MARS GC（Global Controller）层次化管理
• 自动进行经过验证的更新：设备支持，新规则和特性
• 持续地将原始数据和事件档案压缩到离线NFS存储中

设备支持（网站中有最新列表）

• 网络: Cisco IOS 11.x, 12.2, Catalyst OS 6.x, NetFlow 5.0, 7.0, Extreme Extremeware 6.x
• 防火墙/VPN: Cisco PIX Firewall 6.x, 7.x IOS Firewall, FWSM 1.x, 2.2, Concentrator 4.0, Checkpoint Firewall-1 NGx, VPN-1, NetScreen Firewall 4.0, 5.0, Nokia Firewall
• IDS: Cisco NIDS 3.x, 4.x, 5.x Network IDS module 3.x, 4.x, 5.x, Enterasys Dragon NIDS 6.x ISS RealSecure Network Sensor 6.5, 7.0, Snort NIDS 2.x, McAfee Intrushield NIDS 1.x, NetScreen IDP 2.x, OS 4.x, 5.x, Symantec MANHUNT
• VA: eEye REM 1.x, FoundStone FoundScan 3.x
• 主机安全: Cisco Security Agent (CSA) 4.0, McAfee Entercept 2.5, 4.0, ISS RealSecure Host Sensor 6.5, 7.0
• 防病毒: Symantec A/V
• 验证服务器: Cisco ACS
• 主机日志: Windows NT, 2000, 2003 (有代理和无代理), Solaris, Linux
• 应用: Web服务器 (ISS, iPlanet, Apache), Oracle 9i, 10i 审查记录, Network Appliance NetCache, Oracle 9i 和 10i
• 通用设备支持，可汇总和监控任意应用系统日志

其他硬件规格

• 具有特殊用途的19”机架安装设备；通过UL认可
• 安全强化OS；防火墙屏蔽，更少服务
• 2个10/100/1000以太网接口，采用可恢复介质的DVD-ROM
• 存储：
  • Cisco Security MARS 20和Cisco Security MARS 50: RAID 0
  • CS-MARS 100, Cisco Security MARS 200, Cisco Security MARS GC: RAID 10，可热插拔
• 冗余 (MARS 100, MARS 200和MARS GC)负载，共享500W电源，120/240V自动切换