联软科技至赛UniNSPM安全策略管理系统_边界安全

联软科技至赛UniNSPM安全策略管理系统

联软科技至赛UniNSPM安全策略管理系统构建可视化的策略运维管理能力体系。以数据驱动运营管理，辅助运营运维决策。构建闭环运维管理，明确职责分工，保障系统稳定运行。实现对网络设备、安全设备等统一监控运营保障。利用数据可视化技术展示综合运营情况，提供统一运营管理视图，掌握运营态势。

立即咨询

首页 > 产品中心 > 应用安全 > 联软科技至赛UniNSPM安全策略管理系统

IT业务管理工作现状及挑战 icon

安全隐患
部署在设备上的策略日益增多，有过于宽松的策略，地址或服务为any，存在被攻击的安全隐患。

设备超负荷
有些时间限制的策略，过期之后没有及时清理，造成无效策略过多，存在地址对象超限、设备超负荷的隐患。

缺乏管理
无法了解防火墙进行了哪些变更，与历史配置存在哪些差异；当前策略配置是否正确、是否有效果，哪些策略长时间没有被使用等。

无法保障合规性
对不符合规范的策略和配置生成报告后，只能够通过人工检查系统内的防火墙是否符合安全规范，费时、费力还不够准确。

构建可视化的策略运维管理能力体系 icon

安全策略运维新阶段

多种异构网络设备如何集中管理？是否对接工单系统实现策略自动化运维？如何做到复杂策略的可视化拓扑？如何实现跨域安全基线检测？出现问题如何快速排查定位？是否具备自动规划下发策略的能力？

设备
多种设备

统一纳管

可视
复杂网络

拓扑呈现

接口
标准接口

工单联动

智能
跳板分析

报错返回

联软至赛UniNSPM系统技术模型 icon

联软至赛UniNSPM系统技术架构 icon

联软至赛UniNSPM系统网络架构 icon

部署方式：联软至赛安全策略管理系统软件可以旁挂在网络的任何节点，无需改变用户现有网络环境，仅需能够访问到所有的网络设备，读取设备的配置。

联软至赛UniNSPM整体解决方案 icon

策略集中管理
策略采集

策略搜索

变更对比跟踪

策略可视
可视化拓扑

数据流查询

攻击面分析

跳板分析

域间基线检查

策略梳理
策略优化分析

策略命中分析

策略流量分析

合规性检查

合规性检查
路径查询

策略规划

策略生成

策略下发

下发验证回退

策略集中管理

联软至赛策略管理系统可实现全网防火墙、路由交换、负载均衡等异构品牌、异构型号的网络设备进行统一集中管理。系统通过在线采集（ssh/telnet)、手工导入等方式纳管三层网络设备，支持设备中接口、ZONE、地址、服务、策略、NAT、路由等数据。管理人员可以对策略中可能存在的地址、服务等进行包含过滤，来快速的找到与之相关的策略，同时对一些策略进行标记，记录请求者、创建用途、截止时间等信息，提高后期维护效率。在单一的管理平台管理所有的网络设备

全网策略、对象快速搜索定位

设备配置统一标准化管理

标记策略信息提高后期维护效率

随时或周期性采集备份历史配置

策略集中管理

全网策略、对象快速搜索定位

设备配置统一标准化管理

可快速统一搜索IP匹配规则等于、包含、被包含、相交、不相交等

支持全网设备及单个设备的策略查找

支持端口数的策略查询

策略集中管理

不同时间点配置对比，记录每次采集防火墙配置的修改，包括修改的详细技术信息。可比较不同版本的策略、地址对象、服务对象等的变化，也可比较配置文本的差异。任意历史版本配置进行标记差异比较，可对配置问题追根溯源

变更对象类型数量统计，监控防火墙的变化

策略梳理

清理冗余、失效等垃圾策略

降低防火墙策略的复杂性，提高网络性能

策略梳理

对于开启日志功能的策略，防火墙会生成命中日志syslog，至赛平台收集这种日志，并与策略关联，计算出对应的命中数量。对于未开启日志功能的策略，系统定期采集防火墙自带的策略命中累计数，通过对比不同时间采集的累计数差异，计算出该时间段的命中数。通过记录每条安全策略的命中情况，查看某台防火墙上哪些策略是长期以来没有被使用过，哪些安全策略的使用率最高等等。删除长期未命中的策略定位高使用率的策略。

策略梳理

对于开启日志功能的策略，可以进行策略流量分析。通过收集防火墙发出来的命中日志syslog，系统会提取出日志中的五元组信息（源地址、目的地址、源端口、目的端口、协议），并关联到对应的策略上，从而梳理出该策略的明细流量。系统可以根据明细流量生成明细策略及对应设备的命令行脚本，实现宽泛策略到明细策略的整改，实现策略最小化原则。精细化管理策略，对放行过大的策略进行收敛 ✓ 日志地址端口汇聚，命中趋势。

策略梳理

系统依据企业和行业安全配置指导标准和规范进行安全配置检查，对不符合规范的策略和配置自动检测生成报告。系统提供预定义检查项一百多个。检查项可以是基于正则表达式或策略搜索。用户可以自定义检查项，比如对高危端口、策略带有any放行、大于16位子网等进行检查。可定期对防火墙策略及设备配置做基线检查 ✓ 可自定义检查项，适应具体的应用场景。

策略可视

自动生成网络拓扑模型，在模型上进行深度计算，支持源地址、目的地址的访问路径查询，计算匹配的策略、nat、路由信息；计算网络中任意两点的数据包可通性，支持源、目的网段或安全域放通关系查询，显示放通的数据明细。可用于数据流查询、攻击面分析、跳板分析、域间基线检查。整网拓扑可视

路径查询（通、不通、无路径）

数据流查询：网络上任意两个网段、业务域之间数据的可通性，开放的端口

攻击面分析

跳板分析

域间基线检查

策略可视

策略运维自动化

针对新的开通需求（源地址、目的地址、端口），策略自动化可以通过全网拓扑模型，进行路径计算，展示出经过的防火墙和放通情况，自动定位防火墙，自动梳理出防火墙策略建议，可以计算出添加策略的位置，或修改原有策略，同时可将策略建议转换成命令脚本，实现策略开通、策略批量下发、一键封堵等多项功能，提高运维效率和策略配置的准确性。

基础运维流程化

攻防场景主动防御

加强网络合规性建设

合规性管理
国家等保2.0策略集中管控

监管部门防火墙合规审计

内部合规部门管理

定期输出报表
防火墙安全策略报表

路由交换策略报表

配置变更报表

定期审计
防火墙策略审计

网络合规审计

策略检查
冗余、无效策略定期清理

防火墙安全基线符合性检查

联软至赛UniNSPM方案效益 icon

策略梳理
可以定义审计项，对不合规的端口或放行过大的策略进行检查，梳理出不符合要求的策略

自动计算
对于开通工单，平台可以自动计算路径判断是否已有策略放通，没有放通的定位设备给出规划建议和脚本

黑名单监控
根据业务定义不同的逻辑安全域，计算域间的放通情况，对不允许的定义黑名单，不断进行监控

集中管理
集中纳管现网所有防火墙、路由交换，实现全网的集中管理，可以快速全网搜索地址、服务，以及对应策略导出，提高运维效率

策略优化
防火墙存在上万条策略，通过人为清理无效策略很难落地，平台能自动计算策略中存在的隐藏、冗余、过期策略等，生成清理脚本下发

跟踪配置变化
记录设备的变更情况，对不同配置版本进行比较跟踪管理，帮助管理员及时了解配置变化详情

联软至赛UniNSPM方案价值 icon

联软至赛标杆客户案例 icon

中泰证券项目基本信息 icon

客户背景& 需求

在全国28个省市自治区设有44家分公司、289家证券营业部，员工近8000人，是集证券、期货、基金等为一体的综合性证券控股集团

由于配备了不同厂商的多种设备，人工操作环节多，检查内容复杂，其中的接口、 zone、地址、服务、策略、NAT等配置难以进行集中统一管理

自动检查可合并策略、冗余策略、隐藏策略、空策略、过期策略等策略配置问题

对不符合规范的策略和配置生成报告后，只能够通过人工检查系统内的防火墙是否符合安全规范

解决方案

通过对异构品牌的设备信息采集、解析，可用于全网策略的展示、搜索、对比、导出等功能。每次采集记录配置变更，可对不同的配置版本深度可视化对比

针对新的开通需求，系统提供智能化、自动化的策略开通流程，将策略建议转换成命令脚本并下发到设备

通过网络拓扑模型的深度计算，分析出访问路径，实现攻击面分析和跳板分析。用户可以定义各个安全域之间的访问关系黑白名单，以此作为安全域基线，系统自动对比计算出的现网开通情况，实现域间异常开通关系的告警

安徽农信项目基本信息 icon

客户背景& 需求

安徽省联社共下辖83家农商银行，共有营业网点3000多个，在岗员工3万多人。根据履职需要，省联社内设17个职能部门。主要经营指标已连续多年位居全省银行业第1位。

自动检查可合并策略、冗余策略、隐藏策略、空策略、过期策略等策略配置问题

在全网安全域逻辑拓扑基础上，实现全路径可视化分析展示，辅助网络故障定位诊断

针对全行异构品牌网络防火墙设备的访问控制策略进行集中管理

解决方案

通过策略配置检查，针对测试和预生产环境中的防火墙进行策略优化检查，并输出详细的检查报告，为用户下一步策略清理和优化提供依据

基于现网网络及安全设备的实际配置，并依托可视化技术，实现面向业务视角的网络安全域拓扑架构可视

实现异构网络及安全设备访问控制策略的集中管理，包括策略优化清理、策略开通、策略分析等一体化管理

安徽农信项目基本信息 icon

客户痛点

手工检查可合并策略、冗余策略、隐藏策略、空策略、过期策略等策略配置问题工作量大、耗时长、不准确，目前1000多条策略待清理。

策略变更需求大，人工进行操作耗时耗力；每月有策略变更工单约200条，手工完成1个工单耗时10分钟。

对安全策略的管理缺乏有效的手段，无法检查全策略配置的正确性。

难以对全行异构品牌网络防火墙设备的访问控制策略进行管理。

实施效果

隐藏、冗余、过期策略自动生成脚本，清理1000多条策略，可在一小时内完成。减少策略变动时间，提高效率，平均每个工单变更的时间为3分钟，共节约70%的时间。与工单系统对接实现策略自动规划下发统一管理全网策略

华融湘江银行项目基本信息 icon

客户背景& 需求

华融湘江银行目前拥有 192 个营业网点（含社区支行），其中总行营业部 1 家，分行 15 家，分别为长沙、湘江新区、株洲、湘潭、衡阳、岳阳等分行；支行（含社区支行）176家。主要经营指标已连续多年位居全省银行业第1 位。

大量的异构网络设备，运维及管理工作都较为繁杂。并且日常运维工单下发策略需要有经验的工程师快速防火墙处理

策略下发一般需要经过人工校验是否符合内部安全规范，需要智能检测替代人工

解决方案

实现异构网络及安全设备访问控制策略的集中管理，包括策略优化清理、策略开通、策略分析等一体化管理

通过策略配置检查，针对测试和预生产环境中的防火墙进行策略优化检查，并输出详细的检查报告，为用户下一步策略清理和优化提供依据

基于现网网络及安全设备的实际配置，并依托可视化技术，实现面向业务视角的网络安全域拓扑架构可视

三一重工项目基本信息 icon

客户背景& 需求

三一重机股份有限公司作为三一集团旗下的核心成员，以生产和销售挖掘机等工程机械产品为主导，首期建成年产4000台规模的挖掘机生产线，年产值近30亿元， 2010年规划产值100亿。

园区规划占地3000亩，并执行分区分域管理。园区内部网络设备数量众多，异构品牌如华为，山石，思科等，管理起来十分复杂

大量设备缺乏策略管理导致堆积，长期不清理以及生产下发不严谨导致策略条目数多大，设备负载过重

内部使用ITSM工单系统，每月工单1W+，没有真正实现闭环式的智能高效运维机制

解决方案

针对新的开通需求，系统通过API联动ITSM系统，实现工单同步，智能化审批下发应用，闭环式检测策略生效状态

所有策略下发时都会经过智能检查，自动检查可合并策略、冗余策略、隐藏策略、空策略、过期策略等策略配置问题，对网络设备的策略进行数量优化，质量优化

江苏电网项目基本信息 icon

客户背景& 需求

于2017年完成公司制改制，是国家电网公司系统规模最大的省级电网公司之一

各个防火墙厂商的配置格式不统一，管理界面不兼容

安全策略经过长期运维，逐渐产生了一些过期策略和无效策略防火墙策略运维标准、规范不能有效落地

解决方案

通过ssh或者telnet采集网络中的防火墙的策略配置信息和路由信息，对于不同厂商的不同格式进行解析和处理，实现统一的、标准化的展示

实现对防火墙安全策略的优化分析，定期对防火墙对象和策略进行优化检查分析，运维人员可根据分析结果对策略进行精简和优化调整

实现防火墙安全策略的合规检查、审计，定期对防火墙策略集进行合规性检查，对于违规的防火墙策略进行告警

对于需要优化的策略，自动生成对应设备的策略整改命令行脚本，通过流程平台审核后，可手动或自动下发到对应设备

产品推荐查看更多>>

文档加密

铁卷数据安全系统是一款以透明加密技术为核心的电子文档安全产品，它能够帮助用户保护知识产权、提升企业形象和核心竞争力。它能够帮管理者实现电子文档加密、操作日志审计、外发文档防护。

高效稳定

安全可靠

立即咨询查看详情

安全狗攻防对抗解决方案

安全狗攻防对抗解决方案，以“安全运营”为重点，聚焦“靶标”，实现攻防对抗下快速响应机制。动态防御，实战化安全运营，整体防控。主动防御，快速响应机制，联防联控。

安全运营

聚焦“靶标”

快速响应机制

实战化安全运营

立即咨询查看详情

开源网安软件供应链安全检测与管理平台

开源网安软件供应链安全检测与管理平台是深圳开源网安自主研发的一款综合性安全检测产品，包括源代码安全检测、软件成分安全分析、Web应用安全测试、渗透测试、恶意代码检测、软件运行环境检测，基于知识库的技术，以检查和发现脆弱点为主，为用户提供标准化、专业化安全检测服务。

源代码安全检测

软件成分安全分析

渗透测试

恶意代码检测

立即咨询查看详情

数字化社区查看更多>>