網絡安全管理平臺建設方案N網神SECWORLD網神信息技術（北京）股份有限公司目錄TOC\o"1-5"\h\z\o"CurrentDocument"!項目背景 5\o"CurrentDocument"2需求分析 5\o"CurrentDocument"目前網絡拓撲 5\o"CurrentDocument"網絡及安全設備列表 5\o"CurrentDocument"總體要求 5主要功能描述 64.1網絡監控功能需求 6\o"CurrentDocument"4.2安全事件管理功能需求 194.3告警管理 24\o"CurrentDocument"3設計方案 28\o"CurrentDocument"3.1建設原則 28\o"CurrentDocument"3.2參考標準和政策 282.1ISO17799信息安全管理體系 282.2ISO13335信息技術IT安全管理指南 292.3ISO15408信息技術安全性評價準則 302.4國家政策《信息安全風險評估指南》 312.5國家政策《電子政務信息安全等級保護》 322.6IT服務管理的最佳實踐一ITIL 33\o"CurrentDocument"系統總體架構設計 36系統安全設計 384.1系統安全需求 38\o"CurrentDocument"4.2系統采用的安全技術 38\o"CurrentDocument"管控方式 39\o"CurrentDocument"性能指標 40\o"CurrentDocument"系統接口 417.1接口類型 417.2接口設計原則 417.3接口實現機制 423.8方案技術特點 428.1采用跨平臺的軟件技術框架 428.2快速定位故障節點和性能瓶頸 428.3海量異構事件的采集和歸一化 438.4強大的智能事件關聯引擎 448.5基于場景的事件分析可視化 458.6開放的安全管理平臺 468.7緊扣信息系統等級保護要求的安全監控 464監控平,ロアロロ方案 47\o"CurrentDocument"產品選型 47\o"CurrentDocument"產品功能描述 482.1網絡拓撲管理 482.2資產管理 534.2.3設備及應用監控 544.2.4業務視圖 644.2.5安全事件管理及日志審計 664.2.6告警響應及協同防護 782.7報表管理 80\o"CurrentDocument"4.3支持的管理對象列表 82\o"CurrentDocument"4.4支持的!T資源監控列表 84\o"CurrentDocument"4.5產品形態及運行環境 84\o"CurrentDocument"4.6部署方案 85\o"CurrentDocument"5項目實施方案 86\o"CurrentDocument"5.1項目計劃 86\o"CurrentDocument"5.2各階段工作描述 862.1項目啟動 872.2環境調研 872.3系統運行環境準備 882.4服務器軟硬件準備 892.5網絡環境準備 902.6被監控對象的準備 902.7系統安裝部署 912.8系統定制 922.9系統測試 932.10用戶培訓 942.11系統試運行 942.12系統終驗 952.13系統運維支持 96\o"CurrentDocument"6測試方案 97\o"CurrentDocument"軟件測試概述 97\o"CurrentDocument"糸統測試 982.2測試機構 982.3獨立的測試環境 982.4設計完整、全面的測試內容覆蓋 992.5閉環的測試過程 1002.6選用適當的系統測試的方法、技術 1012.7制訂明確的系統測試流程 1012.8系統測試用例 102\o"CurrentDocument"6.3用戶確認測試 1023.1確認測試目的 1023.2確認測試組織 1023.3確認測試的特點 1023.4確認測試工作流程 1023.5確認測試用例 1033.6壓カ測試 1033.7測試缺陷處理方案 104\o"CurrentDocument"術培訓計劃 106\o"CurrentDocument"訓責任 107\o"CurrentDocument"訓目的 107\o"CurrentDocument"訓內容說明 1084.1前期知識培訓 1087.4.2用戶使用培訓 1087.4.3系統維護培訓 1097.4.4培訓相關文檔目錄清單 109\o"CurrentDocument"8系統驗收方案 110\o"CurrentDocument"系統初驗 110\o"CurrentDocument"試運行 110\o"CurrentDocument"系統終驗 110\o"CurrentDocument"應用系統驗收標準 111\o"CurrentDocument"文檔評審通過標準 112\o"CurrentDocument"確認測試通過標準 112\o"CurrentDocument"系統試運行通過標準 113\o"CurrentDocument"9項目管理與質量控制 113\o"CurrentDocument"項目組織管理 113\o"CurrentDocument"項目人カ資源管理 113\o"CurrentDocument"QA質量保證師 115\o"CurrentDocument"工程質量控制 1169.4.1項目管理規范約束 1169.4.2工程實施規范約束 1169.4.3項目質量控制措施 1179.4.4項目文檔管理 1201項目背景略。2需求分析目前網絡拓撲略。網絡及安全設備列表略?？傮w要求此次項目要求建設ー套安全管理平臺。首先,通過對客戶IT資源中包括網絡設備、安全設備、主機和應用在內的節點進行統ー監控,實時掌握網絡中各重要設備及系統的可用性狀態,及時發現網絡和系統主機的故障和性能瓶頸;其次,通過實時獲取IT資源中的各類安全信息,進行關聯分析,實現IT資源的安全態勢感知,對內部違規和外部入侵行為進行審計;然后,將IT資源的所有資產和威脅信息匯集到ー起,通過決策分析獲得可測量的安全風險，并借助標準化的運維流程支撐平臺對!T資源實施有效的安全策略調整。整個監控、審計和決策過程都統ー在一體化管理平臺之下,實現網絡、系統、安全、運維等集中式的綜合管理,整合現有的監控和運維手段,消除信息孤島,有效的減少IT系統故障可能導致的損失,降低運維成本,提高運維效率和能力,提高服務質量，建立科學合理、高效規范的業務流程,提高對安全事件的處理能力，滿足不同層面角色及時掌握其關心的信息,真正構建起面向整體IT資源的全面可控安全管理體系。項目要求日志安全審計系統作為ー個統一日志監控與審計平臺,能夠實時不間斷地將企業和組織中來自不同廠商的安全設備、網絡設備、主機、操作系統、用戶業務系統的日志、警報等信息匯集到審計中心，實現全網綜合安全審計。要求能夠實時地對采集到的不同類型的信息進行歸并和實時分析,通過統一的控N網神制臺界面進行實時、可視化的呈現,協助安全管理人員迅速準確地識別安全事故,消除了管理員在多個控制臺之間來回切換的煩惱,同時提高工作效率。要求能夠自動地或者在管理員人工干預的情況下對審計告警進行各種響應,并與包括各種類型的交換機、路由器、防火墻、IDS、主機系統等在內的眾多第三方設備和系統進行預定義的策略聯動,實現安全審計的管理閉環。為客戶提供了豐富的報表,使得管理人員能夠從各個角度對企業和組織的安全狀況進行審計,并自動、定期地產生報表。要求緊扣信息系統等級保護中對安全審計的技術要求和對安全事件處置的管理要求,提供了一個面向等級保護的審計包。主要功能描述4.1網絡監控功能需求遵循ISO-OSI定義的網絡管理功能，支持TCP/IP協議，SNMP、Telnet,SSH、JMX、JDBC、HTTP等相關的監控標準協議。支持對設備廠商通用MIB的管理及主流廠家的私有MIB管理,支持對所有不同品牌不同類型網絡設備（資源）的管理功能。實現對網絡、主機、數據庫、應用服務等的可用性進行監控,能按網絡、業務等多種拓撲視圖方式展現給管理人員，對采集的信息進行關聯分析,實現智能化告警和故障定位。支持對IP進行管理,管理員可查看當前已分配IP地址，掃描當前占用的!P地址，發現未經許可私自使用的IP,對IP地址的使用進行規范管理。.1.1拓撲監控拓撲監控應分網絡視圖和業務視圖，分層次地呈現業務系統所涉及的所有被管理資源的拓撲結構。提供靈活的瀏覽、監視和編輯的功能，并能動態、實時的展現性能、告警、配置方面的數據。在拓撲圖上不但能察看選定節點的詳細配置信息,還包括基本數據和計算、匯總后的數據。網絡設備發生故障，或網絡拓撲發生變化，產生告警時間需小于5分鐘。1、網絡邏輯拓撲網絡拓撲視圖展現被管資源分布和關聯情況,視圖可分層展現,如網絡核心層、匯聚層、接入層和功能區等。提供圖形化配置修改工具,允許管理維護人員靈活修改按地理或網段邏輯分布的相關聯資源等基本配置信息。網絡拓撲能自動發現和具有以下功能:1）能夠按照設定的ー個或多個條件的拓撲結構自動發現,例如指定網段、指定資源類型等條件。能夠自動區分網絡設備和主機,網絡設備以種子拓撲顯示,主機以子網方式顯示。種子拓撲和子網方式顯示可手工選擇和切換。2）發現路由器端口所在子網的主機分布情況，能夠按照子網的方式顯示。3）網絡拓撲結構的顯示方式可以按照用戶的要求拖曳編排,從而以最方便直觀的方式展示網絡結構。4）可以直接用已知設備的IP地址，對設備進行拓撲發現,也可以通過網段或者種子節點進行拓撲。5）系統能通過多種方式自動發現和正確識別網絡中各種品牌的網絡設備，包括路由器、交換機、服務器網絡操作系統、防火墻等,并能通過配置實現自動發現并正確的顯示設備之間拓撲連接。6）可根據用戶輸入的某個IP地址直接定位,給出該地址連接于網絡何處，連接在網絡中哪臺設備的哪個端口（可結合設備面板管理功能）,以及給出該!P地址對應的設備名（如用戶主機名）。7）對于所發現的設備,提供手工編輯功能,拓撲圖上的設備能夠根據用戶喜好,自由擺放;設備屬性提供刪除和修改功能，能夠從拓撲圖上將那些不在需要管理并且符合刪除條件的設備刪除掉。8）拓撲刷新功能，如有設備增減時,拓撲能自動發現和提醒管理員注意。9）拓撲編輯和拓撲發現的結果能夠保存下來。2、業務視圖拓撲根據應用業務的邏輯，依據業務流程、流程環節、環節模塊的上下級關系創建業務視圖拓撲，在業務視圖拓撲中包含網絡節點,網絡連接,業務主機，應用服務,域名解析等,對業務的相關節點和應用進行統ー監控和關聯分析,當出現業務不可用或性能告警時，可以快速定位業務故障的原因,確定到底是網絡故障，主機故障還是應用故障，界定故障位置，分清維護責任。對于業務拓撲視圖,可以設置權限,開放給相關業務單位監控使用。能夠根據設定條件自動發現,并提供圖形化配置修改工具,允許管理維護人員靈活修改拓撲。3、路由拓撲可分析各種靜態和動態路由協議,對于指定任意兩點（IP）,或指定源IP和目標IP,路由拓撲能自動發現IP路由信息,并以圖形展示,能穿透和顯示地址轉換設備。4、集成鏈路性能監控上述拓撲視圖能實現鏈路性能監控，在拓撲視圖上能直觀顯示鏈路性能和變化狀態,監控以下內容:鏈路連通性鏈路延時鏈路總流量各類業務占總流量的比例發包率能夠設定監控閥值,超出閥值進行告警,并提供上述數據統計查詢功能。5、拓撲瀏覽功能拓撲瀏覽應具有以下功能:1）顯示已經編輯好的網絡拓撲圖;2）可以根據需要構造用戶所需的網絡視圖;3）可以根據需要切換到不同的網絡視圖;4）可在當前視圖和其它視圖中，查找指定的被管資源;5）可以根據需要選擇顯示或隱藏某些類型的資源，支持資源顯示過濾;6）可通過拓撲圖查看節點對象配置屬性;7）拓撲圖應能夠正確反映被管理資源間的關聯;8）通過拓撲節點可以查看該節點相關的配置、性能、故障的信息；9）拓撲圖可靈活反映告警情況;10）任選拓撲圖中的某ー節點,可以啟動該節點相關的告警詳情和告警歷史信息的查詢統計的入口；11）拓撲圖中的節點和連線用易于區別的圖標顯示，且能夠顯示該圖標是否有子圖；12）拓撲圖中能顯示圖標自身屬性;13）可通過點擊拓撲圖的網元,直接進行設備管理和簡單的測試,如telnet,ssh,http,https,設備面板管理,ping、traceroute等。.1.2IP地址管理需滿足以下管理功能:D提供圖形化的ip地址分布查詢和分配管理,可以通過圖形一目了然查看ip地址分布狀況,直接通過點擊圖形進行ip分配。2）將IP地址按照子網分類列表,便于查看和管理。3）可以方便查詢到IP地址的關聯信息,包括:IP地址,設備名稱,MAC地址,設備描述，位置,聯系人,狀態（是否使用）等。4）提供!P地址查詢，IP地址掃描，可以方便地查找和確定那些IP地址已經使用或者尚未使用,方便管理員的管理工作;IP地址掃描采用異步ICMP技術,可以快速掃描網段,節省管理時間。同時可根據網關設備ARP表,防止主機禁PING而發現不了IP。5）可將IP地址與MAC地址進行綁定，監控IP和MAC地址對應關系,防止IP地址沖突和IP地址盜用的情況出現,并觸發相關告警提示用戶。.1.3設備面板管理可以通過點擊拓撲圖和設備列表查看網絡設備的端口面板圖,查看端口的狀態,如綠色表示端口連通正常,紅色表示端口被阻斷,灰色表示端口未連通。點擊端口可以查看端口帶寬、端口發送接收數據包、錯誤率、丟包率等參數,查看端口物理和邏輯連接信息（如下ー跳設備、連接單位和跳線信息等）?？梢詫Χ丝谶M行關閉阻斷和開通。.1.4主機和應用集中監控具體監控指標如下:1、網絡設備監控指標監測參數指標包括:CPU、內存、端口流量、連接數、收發數據包等運行態狀參數。N網神SFCWORIn2、主機監控指標可監測windows、Linux,Solaris,AIX、FreeBSD、HP-UX,可以從多角度多方面對服務器的運行狀態進行監控。Windows主機監測指標CPU指標CPU使用率(％)磁盤指標Disk使用率(%)磁盤總量(MB)剩余空間(MB)內存指標Memory使用率(％)剩余空間(MB)內存總量(MB)Windows進程進程總數(個)和名稱,變動告警接口流量接收速率(Kbit/s)發送速率(Kbit/s)接口丟包率接口輸入丟包率(％)接口輸出丟包率(％)指定服務器的狀況(Ping)包成功率(%)數據往返時間(ms)狀態值(200表示成功300表示出錯)監測連接到指定TCPPort的狀況數據往返時間(ms)監測指定網頁連接的狀況(URL)網頁返回碼狀態網頁的下載時間(S)文件大小(bytes)使用安全傳輸獲取指定網頁連接狀況(SSLHTTPS)網頁返回碼狀態網頁的下載時間(S)文件大小(bytes)Linux/Unix服務器監測指標CPU指標CPU使用率(％)磁盤指標Disk和文件系統使用率(%)剩余空間(MB)內存指標Memory使用率(％)剩余空間(MB)錯誤頁/秒(頁/秒)內存總量(MB)監測Linux/unix事件日志檢查的總行數(行)匹配行數(行)Linux/unix進程監測運行實例個數(個)和名稱,變動告警驗證腳本程序是否正常運行往返時間(ms)字符串返回值數值返回值Linux/unix主機監測命令執行結果命令配備結果(0=匹配不成功;1=匹配成功)指定服務器的狀況(Ping)包成功率(%)數據往返時間(ms)狀態值(200表示成功300表示出錯)監測連接到指定TCPPort的狀況數據往返時間(ms)監測指定網頁連接的狀況(URL)網頁返回碼狀態網頁的下載時間(s)文件大小(bytes)使用安全傳輸獲取指定網頁連接狀況(SSLHTTPS)網頁返回碼狀態網頁的下載時間(S)文件大小(bytes)3、數據庫監控指標可監測oracle、SQLServer,Sybase.Informix,DB2,Mysql等數據庫,具體監控指標如ド:通用數據庫狀態査詢數據庫SQL語句執行情況返回狀態數據往返時間記錄個數數據庫監測器監測參數Oracle數據庫Oracle數據庫性能游標數Session數每秒事務數數據庫鎖數量死鎖數量緩沖池命中率Cache命中率進程內存利用率Oracle數據庫表空間表空間狀態使用率已用空間剩余率剩余空間總容量Oracle數據庫連接數連接數

I 「Oracle數據庫進程 「內存使用率數據庫監測器監測參數SQLServerSQLMemoryManagerSQLServer使用的內存總量維護連接的動態內存每秒成功獲得一個工作空間內存授權的進程總數查詢優化的內存總數動態SQL高速緩存的動態內存總數頁若不被引用將在緩存區池中停留的秒數SQLUserManager用戶連接數每秒啟動的登錄數每秒開始的注銷操作總數SQLServerCacheManager高速緩存命中次數和查找次數的比率高速緩存對象所使用的8(KB)頁的數目高速緩存中高速緩存的對象數每類高速緩存對象已使用的次數SQLServerStaticManager每秒收到的Transact-SQL命令批數每秒的自動參數化嘗試數每秒SQL編譯數每秒SQL重新編譯數數據庫監測器監測參數Sybase數據庫Sybase性能每分鐘Sybase在讀取和寫入時遇到的錯誤數每分鐘在輸入和輸出上花費的時間每分鐘Sybase讀取的輸入數據包數每分鐘Sybase寫入的輸出數據包數每分鐘Sybase在讀取和寫入數據包時遇到的錯誤數每分鐘Sybase讀取的次數每分鐘Sybase寫入的次數服務器計算機的CPU每分鐘處理Sybase工作所用的時間每分鐘登錄或嘗試登錄Sybase的次數服務器計算機的CPU每分鐘空閑時間數據庫表空間使用率

已用空間剩余率剩余空間總容量Sybase死鎖死鎖時間最長的進程ID最長死鎖時間死鎖數前十個死鎖信息數據庫監測器監測參數Informix數據庫Informix數據庫性能邏輯日志文件總數表總數表所用頁面總數邏輯文件所占空間塊總數塊空間總數塊剩余空間數據庫監測器監測參數DB2數據庫DB2連接狀態連接總數當前連接數本地連接數DB2代理狀態ActiveAgentsIdleAgentsNumberofAgentsAgentsWaitingDB2緩存池狀態BufferPoolHitRatioIndexPageHitRatioDataPageHitRatioDirectReadsDirectWritesDB2cache緩存狀態PackageCacheHitRatioCatalogCacheHitRatioDB2數據庫性能信息當前數據庫實例名DatabaseName主機名路徑DatabaseAliasDatabaseStatusConnectedTimeDeadlockRatePercentageofLogUtilization

總的有效Log數PercentageofSortsOverflowed排序總數DB2執行狀態SuccessfulQueriesFailedQueriesUnitsofWorkDB2數據庫表空間ExtentsizePrefetchsizePagesizeCurBufferPoolIDNextBufferPoolID數據庫監測器監測參數Mysq!數據庫Mysql數據庫性能當前活動線程總數上次監測后已執行查詢總數上次監測后已執行長時間查詢總數當前打開的數據表總數4、中間件監控指標可監測Weblogic、Lotus>WebSphere等中間件,具體監控指標如下:中間件監測器監測參數WeblogicWebLogic8.xStatusWebLogic8.x應用服務器的運行狀態WebLogic8.xConnectionPool連接池的狀態Server連接池名稱當前使用的連接數量等待池中連接的最大客戶數丟失的連接數連接池最大連接數WebLogic8.xJmsJMS的連接總數JMS當前的連接總數JMS的最高連接數JMSServer總數當前JMSServer總數JMSServer歷史中最高總數JMSSession的總數當前的JMSSession數最高的JMSSession數已接收的Jms消息數未處理的Jms消息數Jms發送的消息數WebLogic8.x執行線程的總數

ExecuteQueueexecuteQueueName當前空閑的執行線程數PendingRequestOldestTime隊列中未處理的請求數隊列已經處理的請求數WebLogic8.xWebApp當前打開的Session數WebAppName打開的Session最高數打開的Session的總數StatusmbeanNameWebLogic8.xCluster激活服務器的數量ClusterName丟失的消息數WebLogic8.xHeap當前堆的總空間當前堆已使用的空間NameWebLogic8.xServer當前打開的Socket數量打開的Socket的總數當前連接數RestartsTotalCount監聽端口監聽端口管理端口管理服務監聽端口ListenAddressNameWeblogicVersion中間件監測器監測參數LotusLotusNotes內存占用空間進程占用空間共享占用空間物理內存內存狀態LotusNotes磁盤剩余空間磁盤大小磁盤類型本地磁盤遠程磁盤LotusNotes服務器任務狀態任務數

復制任務狀態路由任務狀態事件任務狀態LotusNotes郵件系統Mail傳遞速率Mail傳輸速率Mail路由速率死信率總處理數Mail等待數復制等待數LotusNotes文件數據庫空間已用空間空閑空間剩余率響應時間錯誤數中間件監測器監測參數WebSphereWebSphereServletSessions狀態開啟的對話無效的對話對話活動時間激活對話數存活對話數WebSphereTransaction狀態全局開始事務數有關全局事務數本地開始事務數激活全局事務數激活本地事務數持續全局事務數持續本地事務數全局持續完成之前的事務數持續等待的全局事務數持續提交的全局事務數本地持續完成之前的事務數持續提交的本地事務數最佳事務數提交的全局事務數提交的最佳本地事務數回滾的最佳全局事務數回滾的最佳本地事務數全局超時事務數

本地超時事務數WebSphereBean狀態創建數移走數活動數停頓數示例數破壞數裝載數存儲數并發激活數并發活動數總的調用方法avgMethodRt平均創建時間平均的移走時間激活的方法從池中獲取數取回數緩沖池返回數丟棄的返回數drainsFromPoolavgDrainSize緩沖池大小WebSpherePerformanceServlet活動線程數剩余內存數使用內存數創建線程數銷毀線程數內存總數5、Web系統監控1）監測系統主機檢查CPU、內存、磁盤I/O及磁盤空間使用情況,確保Web系統有一個良好的運行環境,如果CPU、內存使用率過高、磁盤空間不足會導致系統崩潰,無法使用。2）監測系統軟件檢查Web應用進程占用的CPU、內存,探測80端口是否有響應。3）監測業務運行情況訪問首頁和一些關鍵網頁,確保網頁可以正常瀏覽。4）監測Web系統性能監測參數有請求速率、錯誤請求數、當前連接數、腳本運行錯誤數等。5）IIS、APACHE監控指標如下:WEB服務監測器監測參數msnsHttpWeb服務可用性Web服務的應答時間當前的連接數每秒傳送的字節數當前的匿名用戶數目當前的非匿名用戶數目APACHEHttpWeb服務可用性Web服務的應答時間Apache被訪問的次數CPU負載Apache正常運行的持續時間每分鐘的請求數量每個請求傳輸的字節數量活動線程數非激活的線程數6、郵件系統監控1）監測郵件服務器主機監測CPU、內存、磁盤I/O及磁盤空間使用情況,確保Email系統有一個良好的運行環境,如果CPU、內存使用率過高、磁盤空間不足會導致系統崩潰,無法使用。2）進程監測檢查MailServer進程占用的CPU、內存,探測25、110端口是否有響應。3）可用性監測模擬真實用戶用SMTP、POP3方式發送、接收郵件,檢查MailServer是否可用，發送、接收郵件速度是否正常。4）性能監測監測MailServer的性能指標,POP3當前連接數、SMTP當前連接數、POP3連接拒絕數、POP3驗證失敗數等。5）監測系統和各種應用服務日志7、FTP服務監控1）檢查主機檢查CPU、內存、磁盤I/O及磁盤空間使用情況,確保FTP系統有一個良好的運行環境,如果CPU、內存使用率過高、磁盤空間不足會導致系統崩潰,無法使用。2）進程監測檢查FTPServer進程占用的CPU、內存。3）可用性監測可以通過定期上傳或下載指定文件來驗證系統的FTP服務是否正常。8、DNS系統監控1）檢查主機檢查CPU、內存、磁盤I/O及磁盤空間使用情況,確保DNS系統有一個良好的運行環境,如果CPU、內存使用率過高、磁盤空間不足會導致系統崩潰,無法使用。2）進程監測檢查DNSServer進程占用的CPU、內存。3）可用性監測模擬真實用戶發送DNS請求,驗證DNSServer是否有響應,解析結果是否正確。4）監測系統和各種應用服務日志。9、網頁內容監控應具備網頁內容監控功能，發現網頁無法訪問或網頁特定內容被篡改時可向管理員發出告警。4.2安全事件管理功能需求支持對用戶方網絡環境中重要的設備和系統進行日志采集,統一分析和展現,發現可疑事件時可及時進行告警,可利用歷史數據進行各類安全統計,提供安全統計報表和審計報告。數據采集和處理要求支持Sylsog、SNMPTrap,LogFile,JDBC,XML等事件格式,支持事件過濾、歸并和歸ー化處理，支持以下的數據源的數據采集:I）入侵檢測2）漏洞掃描3）審計系統4）流量分析5）防火墻日志6）網絡設備日志7）主機和應用系統日志8）防病毒系統事件關聯分析關聯分析引擎應具備以下功能:1）提供基于漏洞的關聯自動判斷當前發生的信息安全事件是否真的對目標資產構成威脅,對于并不存在相關漏洞的事件,自動降低其優先級,對于存在相關漏洞的事件則提升其優先級,使得管理員可以更專注于真正會造成危害的事件。2）基于規則的關聯當發生針對某目標的安全事件時,各類安全設備會產生相應的日志報警,如IDS、防火墻、交換機、主機等,系統可以采用基于規則的關聯（如攻擊目標），把相關的報警日志壓縮過濾。3）基于統計的關聯采用基于時間和數量的統計關聯,把一定時間內大量的告警日志歸類合并,確定安全事件類型，如確認為某種攻擊行為。4）提供基于資產的關聯可以將當前發生的信息安全事件與預先定義的資產進行相關,針對警報嚴重程度和資產價值,有效判斷事件的優先級,評估當前資產遭到威脅的狀況。5）提供基于知識庫的關聯能夠將信息安全事件與現有知識庫進行關聯，從而精確評估當前事件對目標資產造成的危害,及其可能會導致的后果。6）提供靈活的自定義關聯分析規則綜合風險監控管理將事件的威脅、資產價值與資產脆弱性進行關聯計算，得出資產的風險值。同時,資產與資產的組合形成安全域,進而可以進行安全域的風險評估。對風險進行實時監控,形成統一的風險級別,進行安全預警,追溯風險威脅源頭。1）可圖形化實時顯示整個系統的風險狀況，可分別按以下分類展示:域脆弱性域風險事件類別資產脆弱性資產風險事件等級2）能夠根據風險的狀況對資產和安全域進行評級,例如:紅色:表示資產處于高風險狀態,需要立即進行處理;橙色:表示資產處于較高風險狀態,需要及時進行處理;黃色:表示資產面臨一定的風險，需要關注;藍色:表示資產處于較為安全的狀態;綠色:表示資產幾乎未受到任何威脅,處于安全狀況。3）用戶可以從風險監控追蹤到相關的高風險事件,從而有效判斷風險的來源，并進行正確的處理。4）安全事件統一展現收集到的日志信息可被安管平臺統ー處理,按不同的安全事件分類,形成標準格式,以利于統一展現和后期的事件分析處理。這些事件類型應包括常見的安全攻擊類型,例如：拒絕服務（DoS）、偵察、應用利用、授權、躲避、病毒、系統狀態以及政策違反等。通過對范化后的事件進行同類合并和關聯分析,實現事件壓縮,精減數量。脆弱性管理脆弱性是指資產本身存在的，它可以被威脅利用、引起資產或目標的損害。脆弱性包括資產的物理環境、組織、過程、人員、管理、配置、硬件、軟件和信息等。脆弱性也稱為漏洞,可以通過安裝在用戶企業被保護網絡中的漏洞掃描器等軟件運行獲得，也可以通過安全評估過程分析獲得。通過對!T資產的脆弱性管理，可以有效的預防安全風險。對脆弱性的響應可通過安全響應流程管理,以達到持續改進的目的。N網神SFCWORIn脆弱性管理應具備以下功能:1）脆弱性導入能將第三方漏洞掃描工具的掃描結果和人工脆弱性調查結果導入系統,導入的脆弱性記錄以IP做為關聯字段關聯到相應的資產上。2）脆弱性呈現可依據選中的資產記錄或安全域記錄列表顯示對應的資產記錄或安全域下所有資產記錄的脆弱性記錄,可查看脆弱性的明細信息。3）脆弱性查詢用戶可以針對脆弱性信息的任意屬性進行任意組合的查詢。查詢結果可以導出為Excel和html格式。查詢結果分頁顯示,各個字段都可以進行排序操作。4）脆弱性變更一次評估（導入）之后,下一次評估（導入）之前,用戶可以修改脆弱性狀態:將未消除改為己消除;將未消除改為不適用,并說明不適用的理由。5）脆弱性統計可以通過脆弱性信息獲得各種統計報表。可統計指定資產的脆弱性信息,指定安全域所包含資產脆弱性列表和統計信息，依據嚴重程度等多種關鍵字進行脆弱性信息查詢統計，最嚴重、出現最多等多種條件的脆弱性統計,統計結果可導出為pdf、word、html格式文件。資產和安全域管理1、資產安全管理提供遵循BS7799/ISO17799和ISO13335的資產管理規范,允許對信息資產的價值進行有效評估,從而確定信息資產的安全需求（完整性需求、保密性需求和可用性需求），不僅可以協助用戶有效管理信息資產的各類屬性,同時也便于貫徹即將強制推行的公安部等級保護規范（ISO15408/GB17859）,為將來公安部的等級管理實施細則預留接口,同時也遵循政府行業安全管理規范。對用戶所關注的信息資產的各類信息進行統一管理，用戶可以錄入、修改、查詢信息資產的各類屬性,包括:資產名稱、描述、IP地址（支持同一資產擁有多個!P）、物理位置、管理人、操作系統、補丁版本、安裝的應用軟件等。N網神SFCWORIn與本平臺總資產管理系統集成。2、安全域管理安全域是用戶根據業務特點、網絡劃分、信息資產重要程度等因素,劃分出的信息安全防護基本單元,貫徹安全域管理不僅可以協助用戶理清現有信息系統的結構和安全需求,同時也簡化了實施安全保障措施的復雜度和難度。應具備以下的安全域管理功能:1）允許用戶根據業務系統、網段等不同的屬性對信息系統進行安全域劃分;2）允許用戶將重要的信息資產與安全域進行關聯;3）支持同一資產隸屬不同的安全域,支持多層次安全域管理;4）用戶可以對安全域進行重要性賦值;5）用戶可以對安全域進行風險監控和脆弱性評估,了解其安全狀況。安全預警和通告管理安全預警是ー種有效預防措施。結合安全漏洞的跟蹤和研究，及時發布有關的安全漏洞信息和解決方案，督促和指導各級安全管理部門及時做好安全防范工作,防患于未然。同時通過安全威脅管理模塊所掌握的全網安全動態，有針對性指導各級安全管理機構做好安全防范工作,特別是針對當前發生頻率較高的攻擊做好預警和防范エ作。安全預警是對來自于不同威脅事件和脆弱性模塊的資產漏洞狀態信息，根據規則的事件關聯分析、漏洞關聯分析和風險評估的進行準確分析計算,形成統一的風險級另リ,為安全管理人員進行安全預警。風險級別可按以下分類;紅色:表示高風險狀態，需要立即進行處理；橙色：表示較高風險狀態，需要及時進行處理;黃色:表示面臨一定的風險,需要關注;藍色:表示較為安全的狀態;綠色:表示幾乎未受到任何威脅,處于安全狀況。在接到新的漏洞通告時,本預警系統將調用關聯分析中的基于漏洞的關聯分析等模塊,計算出該漏洞所影響的設備、系統和業務情況,從而得到該漏洞的風險等級。在接到新的威脅事件時,本預警系統將調用基于規則的事件關聯、基于統計的關聯分析等模塊,得到本威脅事件的影響范圍,從而指導管理人員做好有效的防范工作。安全通告管理的功能應包含:1）通告發布管理員上傳安全通告,維護安全通告（修改、刪除、查詢等）。2）通告通知管理員可以指定某個通告信息以短信或者郵件的方式通知某些用戶。3）通告瀏覽用戶瀏覽通告;在登錄的時候首頁顯示通告、在每個頁面上都有定期刷新的欄目顯示通告。2.4.3告警管理告警數據管理針對數據分析處理后產生的告警事件,進行故障定位、告警過濾、告警升級、告警級別重定義、告警前轉、告警清除等操作。系統需提供告警信息的終端界面顯示外,還需提供多種其他方式的用戶通知，如短信、電話、e_mail等,并觸發業務處理層相應的處理流程。告警管理需包括以下功能:1、告警分類與級別按照告警信息所屬資源的類別進行分類,如:網絡告警、主機告警、應用系統告警、入侵告警等等。告警信息的嚴重程度、影響范圍以及與相應考核指標的關系確定告警級別,如：嚴重告警、重要告警、一般告警等。除了以上三種告警還存在ー種亞健康狀態,指系統尚未到達告警狀態,但是性能下降到達需要管理員密切關注的水平。通過對該狀態的監控，系統管理員可以積極主動地對系統進行管理，避免系統故障的出現。2、告警信息格式告警內容的格式應遵循以下規則,即每條告警可包含有以下信息,并可自定義。名稱說明告警的序列號產生告警消息的序列號

性能標識告警性能的標識告警標題性能的解釋設備/系統的識別名設備/系統的識別名告警發生時間告警發生時間（對于多次發生的告警，則指第一次告警發生的時間）告警確認時間告警確認時間告警清除時間告警清除時間告警級別告警級別告警最近一次發生時間告警最近一次發生時間（對于多次發生的告警而言）告警發生次數告警發生的次數活動狀態告警當前狀態告警源告警發生源告警內容告警內容3、告警數據管理流程?告警重定義包含以下兩個含義由于故障信息采集方式較多,如Syslog、SNMPTrap,第三方網管平臺等,因此系統獲得的原始告警信息附帶的告警級別數據一般是依采集方式而不同，另外，原始采集告警信息附帶的告警級別是針對具體監控對象的，而不是從整個業務系統來考慮的。因此,需要進行統ー規整、重新定義。根據系統平臺及應用邏輯在結構、功能等方面發生的變化,系統可適應對告警數據所屬的類別和級別的重新定義，并通過參數配置的辦法，保證后續處理的一致性與正確性。?關聯分析完成事件的關聯分析處理,解決多個相關事件信息的合并、壓制、過濾、定位、根源確定等問題。通過關聯分析引擎和事件關聯規則進行處理,系統具備智能關聯規則并可由人工進行定義,對于系統接收到的事件信息,關聯分析引擎通過關聯規則,分析出關聯結果，通過處理結果的人工分析，進ー步豐富或優化關聯規則。告警顯示以列表或拓撲等多種形式集中顯示全部被管對象的告警信息,方便運維人員監控。告警前轉對監控到的被管對象的故障信息,以手機短信、email、聲音的形式實時發送給管理員,讓管理人員或維護人員在第一時間內獲得系統的故障信息,以便及時的對故障信息進行響應處理。告警前轉具體功能描述如下:告警過濾條件設置:告警前轉提供給用戶靈活的告警條件設置功能，用戶靈活定制一定的網元、一定的時間范圍內、一定的告警級別的告警信息進行實時前轉。用戶還可以靈活設置前轉的方式如email、手機短信還是聲音通告等，可以設置同一告警轉發給多個用戶,以便進行有效的督處。告警前轉功能需提供以下兩種前轉方式：自動前轉：一旦本系統接收到被管對象的告警信息,自動的根據告警前轉過濾條件進行過濾匹配,并根據設置的前轉方式，自動通過email,手機短信和聲音的形式發送給相應的管理人員或維護人員,業務處理層可根據告警自動生成工單。手動前轉：手動前轉方式,提供給管理人員對發現的故障信息可以通過手動生成エ單、電話通知等形式,把故障信息發給網絡管理員。智能排障對于部份簡單的故障,能進行智能排障,通過對被管主機中應用或系統軟件進程的啟、?？刂啤８婢^濾針對單位時間內發生大量告警的情況,按維護要求和管理部門的要求及實際管理情況,過濾從底層提取的告警信息中不重要的信息,減少輕微告警的干擾,以提高監控與處理的效率。同時可以根據業務與平臺的關聯關系,對業務與平臺兩層面的告警數據進行關聯分析，定位主要告警、過濾掉關聯告警，提高告警的處理效率。告警過濾需要提供靈活的過濾規則，可按告警網元、告警級別、告警類別或告警標題等設置過濾規則?？筛鶕婢畔⒌膬热?屏蔽掉ー些次要的字段。對已設定的過濾規則需要提供保存和修改功能,便于維護人員靈活選擇。告警過濾應實現對以下告警的過濾:頻繁發送的同一告警由主要告警引起的相關大量的關聯告警已進入業務處理層進行處理,重復發送的告警特殊情況下,只需要記錄不需要展現的特殊資源的相關告警告警升級對于系統中持續出現以及超過規定處理時間仍未解決的告警,升級該告警的告警級別,以保證得到優先及時的處理。狀態管理告警狀態應分為有效、已查看、未確定告警和清除。4、告警確認與派エ收到告警提示后,提供友好的界面供維護人員進行告警確認,系統產生確認時間等確認信息。系統提供派發エ單功能,由值班維護人員向相關工作人員簽發派工單,進行告警的相應處理。5、梯度告警提供梯度告警的功能。也就是兩個時間點的數據差值如果超過了門限,則應該上報告警。這種告警不同于性能數據的超門限告警，性能數據的超門限告警只是對ー個時間點上的性能數據設定了門限,而梯度告警則是對兩個時間點的性能數據的差值設定了門限。梯度告警能夠迅速發現性能數據的異常變化。6、告警故障定位告警故障定位應與系統配置數據和應用邏輯相結合，根據設備廠商或應用軟件開發商提供的最小粒度定位,如CPU、路由模塊、網絡接口卡、應用關鍵點等。根據網管系統的業務關鍵點進行管理，對可能產生告警的業務關鍵點進行關聯,通過保證定位到定位被管資源級或業務關鍵點3設計方案建設原則項目的建設應遵循并體現如下設計原則:1）體系化設計原則設計系統應用體系架構時,遵循先進的網絡管理理念,提出科學的綜合管理體系和框架，并根據需求分析提出的各項要求,最大限度地解決系統面臨的運維保障問題。2）可擴展設計原則設計系統軟件體系架構時,遵循網絡和安全管理規范,建立基于軟件組件的可擴展體系架構,可對多廠商設計的擴展支持需求及功能定制需求,最大限度地解決系統管理設備及管理功能靈活擴展的難題。3）可控性原則采取的技術手段需要達到安全可控的目的,技術解決方案涉及的工程實施具有可控性。4）可行性、可靠性原則保證在采用綜合網絡管理系統之后,不會對政務外網系統的現有網絡和應用系統有影響。5）標準性原則方案的設計、實施以及產品的選擇以相關國際國內及政府行業有關網絡管理、安全控制、運維規程為參考依據。6）保密原則對系統建設過程接觸到的數據嚴格保密,未經授權確保不泄露給任何單位和個人。參考標準和政策3.2.1ISO17799信息安全管理體系該標準的總體要求說明企業應在其整體業務活動和風險的環境下建立、實施、維護和持續改進文件化的信息安全管理體系。識別適用于ISMS的風險評估方法、業務信息安全要求和法律法規要求。為信息安全管理體系建立方針和目標以降低風險至可

接受的水平。確定接受風險的準則和識別可接受風險的水平。具體的模型如下圖所示:該模型中主要體現了PDCA的思想,應當把風險評估應用到系統開發、維護和改進的各個階段,實現可持續化的信息安全管理體系。3.2.2ISO13335信息技術IT安全管理指南該標準中強調了信息安全控制中,風險、脆弱性、威脅以及防護措施之間的對抗性，如下圖所示:安全要素及其關系某些防護措施在降低與多種威脅和/或多種脆弱性有關的風險方面可以是有效的。有時,需要幾種防護措施使殘留風險降低到可接受的級別。在某些情況中,當認為風險是可接受時,即使存在威脅也不實現防護措施。在其他ー些情況中,要是沒有已知的威脅利用脆弱性，可以存在這種脆弱性。可以實現ー些防護措施監督威脅環境以保證威脅不至演變成能利用這種脆弱性。具體的以風險為核心的安全管理模型如下圖所示:3.2.3ISO15408信息技術安全性評價準則該標準利用用戶為出發點,說明了資產、弱點、威脅和風險之間的關系,同時描述了引入對策后對于安全風險的控制,本模型中強調了風險的動態性,具體如下圖所示:

信息系統對于所有者來說是ー種資產,為所有者創造價值,由于這個原因,所有者對信息資產進行關注?，F實的環境以及系統本身存在的問題都有可能對信息資產產生所有者不期望的后果,造成資產價值的降低,這也就是所有者所面臨的風險。對于所有者來說希望降低這些不期望的事件對系統帶來的損失。3.2.4國家政策《信息安全風險評估指南》我國關于信息安全風險評估的研究和標準制定方面,已經在2004年開始啟動，并于今年國信辦[2(X)6]9號文件中,要求建立風險管理模式，并印發《信息安全風險評估指南》作為各省信息化工作的參考,在本指南中對于風險評估各要素關系如圖所示:方框部分的內容為風險評估的基本要素,橢圓部分的內容是與這些要素相關的屬性,也是風險評估要素的一部分。風險評估的工作是圍繞其基本要素展開的,在對這些要素的評估過程中需要充分考慮業務戰略、資產價值、安全事件、殘余風險等與這些基本要素相關的各類因素。3.2.5國家政策《電子政務信息安全等級保護》信息安全等級保護是國家在國民經濟和社會信息化的發展過程中,提高信息安全保障能力和水平，維護國家安全、社會穩定和公共利益，保障和促進信息化健康發展的基本策略。27號文件對信息安全等級保護做出了系統的描述一片言息化發展的不同階段和不同的信息系統有著不同的安全需求,必須從實際出發,綜合平衡安全成本和風險,優化信息安全資源的配置，確保重點。要重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統?！彪娮诱招畔踩燃壉Ｗo是根據電子政務系統在國家安全、經濟安全、社會穩定和保護公共利益等方面的重要程度,結合系統面臨的風險、系統特定安全保護要求和成本開銷等因素，將其劃分成不同的安全保護等級,采取相應的安全保護措施，以保障信息和信息系統的安全。電子政務等級保護工作分為管理層面和用戶層面兩個方面的工作。管理層的主要工作是制定電子政務信息安全等級保護的管理辦法、定級指南、基本安全要求、等級評估規范以及對電子政務等級保護工作的管理等。用戶層的

主要工作是依據管理層的要求對電子政務系統進行定級,確定系統應采取的安全保障措施,進行系統安全設計與建設,以及運行監控與改進。安全規劃項目邏輯關系圖組蛆體系 _策略體系_安全組織體系和崗位職責安全培訓與安全組織體系和崗位職責安全培訓與責質認證安全策4與流程推廣實施常年安全咨商與外包展務全網安全域劃分與邊界整合網堵安全性調享和改造安全體系枝査與改造項目技術體系安全支撐系統和基礎設施3.2.6IT服務管理的最佳實踐一ITILITIL提供了覆蓋“端到端”服務管理所有方面的全面的“最佳實踐”指南,并且覆蓋了人、過程、產品和合作伙伴的全部范疇。ITIL的開發和設計始于20世紀80年代,最近!TIL進行了改版更新以使其符合現代實踐、分布計算和互聯網的發展和需求。ITIL是世界范圍內最廣泛使用的提供和支持IT服務以及基礎架構的管理方案。ITIL及其組成模塊是在整體框架內確定范圍和開發的。ITIL將IT服務管理分為十個核心流程和一項管理職能。這十個核心流程分別是服務級別管理、IT服務財務管理、能力管理、IT服務持續性管理、可用性管理、配置管理、變更管理、發布管理、事件管理和問題管理下圖的所示的七個模塊組成了!TIL的核心:?服務提供:覆蓋了規劃和提供高質量IT服務所需的過程,并且著眼于改進所提供的!T服務的質量相關的長期過程。?服務支持:服務支持描述了同所提供的IT服務日常支持和維護活動相關的過程。信息和通信技術基礎設施管理（ICTIM）:信息和通信技術基礎設施管理覆蓋了從標識業務需求到招投標過程、到信息和通信技術組件和!T服務的測試、安裝、部署以及后續運行和優化的信息和通信技術基礎設施管理的所有方面。規劃實施服務管理:檢查組織機構內規劃、實施和改進服務管理過程中所涉及的問題和任務。它也考慮同解決文化和組織機構變更、開發遠景和戰略以及方案的最合適方法等相關的問題。應用管理：描述了如何管理應用從最初的業務需求直至和包括應用廢棄的應用生命周期的所有階段。它將重點放在在應用的整個生命周期內確保IT項目和戰略同業務建立緊密的聯系,以確保業務從其投資中獲得最佳價值。業務視野:提供了建議和指南，以幫助!T人員理解他們如何才能為業務目標作出貢獻以及如何更好地聯系和挖掘其角色和服務以最大化其貢獻。安全管理:詳細描述了規劃和管理用于信息和IT服務的給定級別安全的過程，包括同響應安全事故相關的所有方面。它也包括了風險和脆弱性的評估和管理,以及成本有效的對策的實施。其中，服務支持（下圖所示）描述了同所提供的IT服務日常支持和維護活動相關的過程。是在實現運維支撐平臺中最常用到的模塊。

服務報吿事爾統計出計報告管理工具變更管理發布管理業務、問選統計趨會分圻何尊投吿向理田樓診斷輔助審計報吿交火望度CAB各忘

錄變更統計受更審核由ハ報至「發小國度發仙瓏計［發化由橫I安個年服務報吿事爾統計出計報告管理工具變更管理發布管理業務、問選統計趨會分圻何尊投吿向理田樓診斷輔助審計報吿交火望度CAB各忘

錄變更統計受更審核由ハ報至「發小國度發仙瓏計［發化由橫I安個年費試は準配置管理CMDB日吿CMDB統計策略標準審計報告?服務臺是組織機構內為所有!T用戶所提供的單ー、集中的聯系點,它處理所有事故、查詢和請求。它為所有其它服務支持過程提供了一個接口。?事件管理負責管理所有事故從檢測和記錄到解決和完成的所有內容。事故管理的目標是在最小化業務中斷的情況下盡可能快地恢復正常服務。?問題管理的目標是最小化事故和問題對業務的負面影響。為了達到這個目標,問題管理通過管理所有主要事故和問題來輔助事故管理,問題管理盡力記錄所有的工作環境并對相應已知錯誤進行“快速修補”,并且在可能時產生變更以實施持久的結構性的解決方案。問題管理也對事故和問題進行分析和趨勢分析，以預見性的預防進ー步事故和問題的發生。?ー個單ー的集中化的有效和高效地處理變更的變更管理過程,是任何IT機構成功運營的關鍵。在變更從啟動和記錄到過濾、評估、分類、授權、調度、建設、測試、實施以及最終的審核和收尾的整個生命周期中,必須謹慎仔細地對其進行管理。此過程的ー個關鍵成果是前向變更調度(FSC-ForwardScheduleofChange),它是基于業務影響和緊急性的所有領域都同意的變更的ー個中央程序。?發布管理過程采用了對IT服務變更的整體全局視野,它考慮發布的所有技術和非技術方面。發布管理負責組織機構內所使用的所有硬件和軟件的所有法律和合同義務。為了實現此目標并保護IT資產,發布管理為定義硬件庫（DHSDefinitiveHardwareStore）中的硬件和定義軟件庫（DSL-DefinitiveSoftwareLibrary）中的軟件建立了一個安全的環境。?配置管理提供了成功的!T服務管理的基礎,它支持著所有其它過程。其基礎成果是配置管理數據庫（CMDB）,在數據庫中包含了一個或多個綜合數據庫詳細描述了組織機構中的所有IT基礎設施組件以及其它重要的相關的資產。就是這些資產提供了!T服務,它們也被稱之為配置項（Cis）。CMDB同普通的資產注冊所不同之處在于那些關系、或鏈接,它們定義了每個配置項（CI）如何互連以及如何同其鄰居相互依賴。這些關系允許執行例如影響分析和“如果??將會...”等的活動。理想情況下,CMDB也包含了同每個CI相關的所有事故、問題、已知錯誤和變更的細節。系統總體架構設計系統將企業和組織的IT計算環境中部署的各類安全設備、安全系統、主機操作系統、數據庫以及各種應用系統的日志、事件、告警全部匯集起來，使得用戶通過單一的管理界面對!T計算環境的安全信息進行統一管理。借助統一管理,用戶不必時常在多個控制臺軟件之間來回切換、浪費時間。與此同時，由于企業和組織的所有安全信息都匯聚到ー起,使得用戶可以全面掌控IT計算環境的安全狀況，對安全威脅作出更加準確的判斷。企業和組織部署統一管理平臺后,將有助于優化其安全管理的體系和流程。通過系統可以清晰界定不同管理人員之間的工作職責,使得在監控管理的時候各司其職,提高協同工作的效率,降低維護成本。系統采用三層分布式體系架構,分為數據采集層、集中管理層、界面展示層,主要包括核心服務器、WEB應用服務器、數據庫。系統各組成部分具體為:＞核心服務器:負責實現管理、關聯分析、過濾和處理!T計算環境中所有發生的安全事件,它是ー個高性能的引擎。它是系統的核心,作為WEB客戶端、數據庫和事件傳感器之間的連接。在核心服務器的控制下,事件服務負責采集日志和事件,并由事件分析模塊進行安全分析,然后這些數據被送到其余功能模塊,最后以一種標準化的格式存儲在數據庫中。＞WEB應用服務器:負責生成用戶操作的展示邏輯，并接收用戶的請求和控制,將其轉化為核心服務器的內部調用。WEB應用服務器還負責與工單系統、運維系統、OA系統、企業門戶接口等等。＞數據庫：集中存儲所有收集的事件，以及所有安全信息管理配置信息,比如系統用戶、關聯規則、管理域、資產、報告、顯示和系統參數等。＞事件傳感器：在某些情況下,IT設施的日志和事件無法發送給管理服務器,此時,就需要通過事件傳感器進行中介。＞Web客戶端：它提供集中實時查看企業和組織的安全事件、深入調查分析以及對事件的自動響應的能力等。N網神系統安全設計4.1系統安全需求系統應保證只有被授權的人員才能夠訪問合法的資源。歸結起來,安全需求主要如下:＞身份認證和訪問控制:如果系統不能識別用戶的真正身份,業務是無法開展的。身份認證是實現訪問控制的前提條件，通過身份認證結合應用系統的授權機制,才能提供訪問控制功能。＞機密性：在網絡上傳輸的信息不能被竊取;＞數據完整性:在網絡上傳輸的信息不能被惡意竄改;4.2系統采用的安全技術基于Java2的安全體系在系統實際的運行過程中,首先瀏覽器客戶端通過URL的認證,在網絡的傳輸中使用SSL加密傳輸，從而保證數據在網絡上傳輸不能被其他人截獲明文。進入應用服務器后,服務器根據URL的認證結果判斷該用戶是否有權訪問HTML、JSP或Servlet。立足于J2EE的標準，開發分布式應用系統的數據安全應用。整個應用可以構建于企業內部網、Internet等廣泛的領域。我們數據安全體系完全遵循SUN公司發布的JAVA2安全開放標準。整個數據安全的實施對于用戶而言是完全透明的，用戶完全無須了解其內部構造。用戶認證與授權系統定義角色,根據需要為每類角色賦予相應的權限，根據實際需要創建系統用戶賬號,為每個用戶賦予相應的角色,從而用戶獲得該角色被賦予的操作權限。用戶通過在登錄界面輸入用戶名和口令字進行登錄,系統會對ロ令字的安全強度進行檢查,不允許使用弱ロ令,以保證用戶認證的安全。用戶名和口令字加密后保存在數據庫中?；贘SSE標準的SSUTLS安全套接字網絡傳輸加密JSSE（JavaSecureSocketExtension）是用于網絡傳輸加密的擴展包。它支持SSL3.0以及TLSL0協議,包括數據加密、服務器認證以及客戶端認證等。JSSE簡化了以往的三次“握手”的機制,并使數據加密變成透明的API調用,使Java的應用構建于安全的通訊通道上。目前版本的JSSE已經支持HTTPS、RSA數據加密算法（如RSA、RC4）OJSSE可以廣泛地應用到基于TCP/IP的網絡傳輸應用中,可以應用于安全套接字的應用開發;開發應用HTTPS傳輸協議的應用。應用攻擊的防止對應用系統中，操作敏感數據的模塊，其授權應該嚴密，并能得到有效的權限策略的驗證。從應用管理的角度考慮,將敏感信息的錄入模塊、敏感數據管理模塊、敏感數據的傳輸模塊分開進行設計，并進行分開授權和審計。對敏感數據的操作,除具有完整的操作日志外,還需要有完全的審計能力,操作日志的管理權限不授予相應模塊的操作人員（只能授予系統管理員或數據庫管理員）。敏感數據采用加密存儲和傳輸。日志管理建立完善的日志管理機制。一方面可以記錄用戶所有操作,做到有據可查,另ー方面可以根據需要通過多種方式對記錄的操作日志進行檢索和查詢，進ー步分析生成統計信息。日志管理由具有日志管理操作權限的用戶或系統管理員操作。管控方式管理監控方式大致可分為主動管控和被動管控兩種方式。具體實現手段包括:大屏幕顯示、遠程桌面監控、手機短信、電話呼叫。其中大屏幕顯示和遠程桌面監控為主動管控方式,手機短信,電話和郵件為被動管控方式。管控方式如下圖所示:

心/大屏幕7y遠程監控＞大屏幕顯示:各信息系統運行情況及報警信息均可直接輸出到大屏幕顯示系統上。＞遠程桌面監控:各信息系統運行情況及報警信息均可直接輸出到管理員遠程桌面上,管理員也可通過遠端管理機進行管理。＞手機短信:如有報警則向預先設定的管理員手機號碼自動發送短信。＞電話呼叫：如有報警則自動撥打預先設定的管理員電話號碼。性能指標我們提供給用戶的性能能達到：＞能夠集中管理1000個網絡節點;＞能夠實時處理5000條/秒的安全事件;＞能夠達到10億條規模的數據管理和分析能力;＞支持365天歷史數據存儲;＞日志分析響應時間;＜=15秒；＞客戶端登錄管理服務器的用戶最大并發連接數:30個。y系統接口本系統涉及到各個方面的接口,其中包括與業務系統的接口、與其它應用系統的接口以及與現有三方監控軟件之間的接口等。7.1接口類型平臺部件接口:平臺部件接口支持對象有主機、網絡設備、數據庫、中間件、存儲與備份設備。除了提供采集接口,也保留控制接口。應用部件接口:應用部件接口支持的應用有郵件、網站等。除了提供采集接口,也可保留控制接口。事件管理接口:事件管理接口是實現監控管理平臺中的告警事件信息傳輸給服務管理平臺，并且在事件處理結束后,能夠反饋給監控管理平臺。配置信息接口：配置信息接口完成服務管理平臺的配置變更與監控管理平臺中的配置信息部分同步。服務管理平臺接口:服務管理平臺接口支持與其它服務系統（如呼叫中心等）進行工單的轉派。7.2接口設計原則系統應按照以下原則設計接口：接口可以靈活配置,并且可擴展;具有可靠的接口數據出錯處理機制。使用簡單、快捷的方式實現與其它相關系統的接口;接口數據操作應保證在規定的響應時間內完成,同時還要保證各相關業務系統的運行效率不受影響;保證接口數據在兩側系統的一致性;接口數據能夠方便的形成,并能在被接口方順利地導入；在接口數據交互過程中,應具有數據傳送和接收傳送后的確認過程；在滿足要求的前提下,使接口數據量最少；接口數據傳輸控制策略可靠且完善;利用開放標準；N網神SFCWORIn提供適當的安全控制。7.3接口實現機制接口具體實現機制應包括:基于消息中間件、基于過程調用和共享數據表、基于FTP和基于自定義協議的方式。系統的接口應該適應外部系統等現有系統的提供接口,保持現有系統穩定,變化小,應提供如下接口方式:＞應用程序接口(API)＞過程調用＞共享數據表＞文件傳輸或文件共享＞Socket數據流方式＞Web鏈接方式3.8方案技術特點系統具有以下技術特點:＞采用跨平臺的軟件技術框架＞快速定位故障節點和性能瓶頸＞海量異構事件的采集和歸ー化＞強大的智能事件關聯分析引擎＞基于場景的事件分析可視化＞開放的安全信息管理平臺＞緊扣信息系統等級保護要求的安全監控3.8.1采用跨平臺的軟件技術框架系統采用了基于J2EE的技術框架,可以跨數據庫平臺和跨硬件操作系統平臺;后臺數據庫可以使用MSSQLServer、MYSQL等,也可以運行在Liunx、Windows＞Unix系統上。3.8.2快速定位故障節點和性能瓶頸管理系統能夠自動采用!CMP和SNMP協議監控網絡拓撲的所有節點,當這些網絡節點出現故障時,系統將會產生告警事件,同時拓撲圖中的設備圖標也會顯示故障狀態;當ー個管理子圖發生設備故障時,子圖圖標也會發生相應改變,因此管理員可以根據子圖快速定位故障。對于主機,數據庫,中間件,服務,應用系統的監控,管理員可以自定義監控指標的閾值,監控的時間間隔,監控的描述和告警方式,通過接收告警信息,管理員可以快速了解問題所在,及時采取措施。3.8.3海量異構事件的采集和歸ー化為了實現企業和組織網絡全部的安全事件集中管理，必須采集來自網絡中各種設備和系統的日志、告警、事件。事件服務器的接收信息量十分龐大,僅僅一臺防火墻,一天產生的日志量可能超過1G;而ー個大規模的網絡中所有的事件產生頻率可能高達6000條每秒。對于企業和組織的IT計算環境而言,有的設備或者系統能夠產生并發送事件給系統，同時,發送事件所采用的協議各不相同;而有的設備或者系統無法發送事件，甚至就不能產生事件。為此,系統提供了一套靈活有效的機制使得無論在何種情況下,都能確保事件被匯集到管理服務器。對于能夠發出事件的設備或者系統,支持以SNMPTrap,Syslog協議的方式接收。而對于其他協議，可以通過定制ー個協議轉換器實現事件的接收。對于不能產生或者發送事件的設備和系統,如果事件存儲在數據庫中，系統可以通過標準的ODBC接口進行事件采集。如果事件存儲在本地文件中,系統提供事件傳感器,可以讀取本地文件并發送給管理系統。如下圖所示,顯示了靈活的事件采集能力:管理屮心WEB應川眼多?器系統在實時接收海量事件的同時,需要對每個接收到的事件進行歸ー化處理。來自不同設備和系統的事件千差萬別,只有將這些大量的異構數據轉化為內部統ー的數據格式才能進行后續的關聯事件分析,才能為用戶提供ー個全局統ー的事件監控界面。系統采用事件映射的方式進行歸ー化，提供了廣泛和靈活的事件映射，消除了需要學習來自不同廠商的同類產品（例如防火墻或IDS）的信息差別的過程。事件歸ー化為用戶提供ー系列能滿足過濾器和關聯規則定義的豐富信息。同時,即使用戶日后擴容部署了新的安全設備和系統，它的事件也很容易納入到整個系統中來,而無需更改相應關聯規則、過濾器等。3.8.4強大的智能事件關聯引擎作為企業和組織計算環境中安全事件集中管理平臺,系統最重要的一個任務就是消除計算環境產生的過多的誤報和錯報,發現潛在的威脅，讓安全管理人員將注意力集中在真正的威脅和攻擊上，避免分析麻痹。

0Q 0uFiDAmsKu,即g:而Sybase“網“慟鮎物ORACLe0Q 0uFiDAmsKu,即g:而Sybase“網“慟鮎物ORACLeMicmstfxSQLServarjDOcisco系統具有一個強大的智能事件關聯分析引擎,實現了多種關聯方式:＞基于規則的關聯＞統計關聯＞基于時序的關聯＞資產關聯:資產的屬性任意擴展＞弱點關聯＞業務關聯:黑白名單、案例系統的關聯是實時發生的,管理服務器在收到事件后立刻開始在內存中進行關聯分析,同時存入數據庫。系統的關聯引擎采用了“內存快速符號表檢索”專利技術。系統同時內置了多種關聯規則,用戶也可以根據自己的實際情況很容易地自定義規則,具有極好的靈活性和可擴展性。3.8.5基于場景的事件分析可視化作為ー個集中的安全事件管理系統，接收了大量的事件信息,盡管通過事件歸ー化、聚合和關聯能夠大幅減少無效事件,但是對于ー個ー線的安全監控人員而言,仍然必須面對相當數量的安全事件。設想一下,如果每秒收到6000條事件,而這個單位的安全級別又比較高,要求24x7的實時監控。那么,ー個管理員在監控事件的時候很容易產生視覺疲勞，隨著時間的推移，工作效率直線下降。為此，系統使用場景的方式將事件分門別類,使得用戶在ー個時間僅僅關注某個主題的事件集合,從而大大降低視覺疲勞產生的幾率。

場景,是指用戶感興趣或必須指定需要實時觀察的符合要求的事件序列。通過基于場景的事件分析方式,迅速將分析視角定位到用戶關注的事件,并能夠快速進行場景切換,提高工作效率。系統預置了大量的場景，包括實時分析場景、歷史分析場景和統計分析場景，用戶也可以自己根據需求隨意定義和擴展。3.8.6開放的安全管理平臺系統從設計伊始,就十分強調整個產品的開放性,因為只有開放性才能滿足用戶不斷優化的IT計算環境和不斷提升的安全需求。系統的開放性體現在以下四個方面:＞通過添加配置文件的方式實現對新設備的支持，不需要修改代碼，方便快捷＞企業級的分布能力,可伸縮性的安全信息管理平臺＞可以和外部的其他應用系統進行集成,將安全管理集成到整個企業統一管理流程之中＞基于SOA開發的安全信息管理平臺可以集成到企業的信息總線中,成為企業信息系統的ー環，更加有效的保障信息系