《XX單位網(wǎng)絡安全管理平臺建設規(guī)劃方案1》由會員分享，可在線閱讀，更多相關《XX單位網(wǎng)絡安全管理平臺建設規(guī)劃方案1（29頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、 XX單位信息安全管理平臺建設 解決方案 文檔信息 文檔名稱 XX單位信息安全管理平臺建設規(guī)劃方案 文檔編號 保密級別 商業(yè)機密 文檔版本號 V1.0 制作人 王鐵成 制作日期 2008年8月20日 復審人 復審日期 擴散范圍 XX單位、網(wǎng)御神州項目組 擴散批準人 王鐵成 文檔說明 本文檔是網(wǎng)御神州科技（北京）有限公司（以下簡稱網(wǎng)御神州）為XX單位提交的信息安全管理平臺建設解決方案，供XX單位信息安全管理相關人員閱讀。 版本變更記錄 時間 版本 說明 修改人

2、 2008-8-20 1.0 文檔創(chuàng)建 王鐵成 安全源于管理 管理驅動安全 第 28頁 共29頁 目 錄 一. 項目規(guī)劃綜述 4 二. 信息安全管理面臨的問題 4 三. 信息安全管理平臺需求分析 5 四. 信息安全管理平臺建設解決方案 7 4.1 SecFox-SNI系統(tǒng)部署說明 7 4.2 SecFox-SIM系統(tǒng)部署說明 8 4.3 “SecFox-SNI”產(chǎn)品功能 9 4.3.1 資產(chǎn)管理 9 4.3.2 網(wǎng)

3、絡拓撲管理 9 4.3.3 機房機架視圖 10 4.3.4 集中監(jiān)控 10 4.3.5 網(wǎng)絡和安全設備監(jiān)控 11 4.3.6 主機監(jiān)控 11 4.3.7 應用和業(yè)務監(jiān)控 12 4.3.8 機房環(huán)境監(jiān)控 13 4.3.9 終端接入監(jiān)控 14 4.3.10 設備配置信息監(jiān)控 14 4.3.11 配置與診斷工具 14 4.3.12 防火墻策略管理 15 4.3.13 日志安全審計 15 4.3.14 IP地址管理 16 4.3.15 集中認證管理 16 4.3.16 告警和響應管理 16 4.3.17 報表管理 17 4.3.18 權限管理 17 4.3.19 系統(tǒng)

4、管理 18 4.3.20 與外部系統(tǒng)集成 18 4.4 “SecFox-SIM”產(chǎn)品功能 18 4.4.1 智能監(jiān)控頻道 18 4.4.2 資產(chǎn)管理 19 4.4.3 工單管理 20 4.4.4 事件分析 20 4.4.5 趨勢分析 21 4.4.6 報表管理 22 4.4.7 知識管理 23 4.4.8 系統(tǒng)管理 24 4.4.9 權限管理 25 4.4.10 等級保護模塊 26 4.4.11 與外部系統(tǒng)集成 26 五. 實施效果價值分析 26 六. 方案優(yōu)勢總結 27 一. 項目規(guī)劃綜述 XX單位非常重視信息化建設，各類相關業(yè)務都在朝著無紙化、網(wǎng)

5、絡化、智能化應用的方向發(fā)展。依托網(wǎng)絡、借助信息化建設成果開展工作，已經(jīng)成為XX單位提高辦公效率、服務內(nèi)部客戶的重要手段。 伴隨XX單位集團信息化建設正不斷向基層延伸，網(wǎng)絡的互聯(lián)互通導致網(wǎng)絡病毒，木馬程序擴散更為便利，波及范圍更廣。內(nèi)網(wǎng)辦公人員違規(guī)操作、濫用網(wǎng)絡資源的現(xiàn)象開始抬頭。目前的情況是，XX單位早期采取的相關安全措施已經(jīng)無法應對新一代的信息安全問題，無法有效保障各類業(yè)務的正常應用。 二. 信息安全管理面臨的問題 u 管理制度缺乏技術依據(jù)，安全策略無法有效落實 盡管安全管理制度早已制定，但只能依靠工作人員的工作責任心，無法有效地杜絕問題；通過原始方式：貼封條、定期檢查等相對松散的

6、管理機制，沒有有效靈活實時的手段保障，無法使管理政策落實。 u 監(jiān)控和管理界面過多、管理員手忙腳亂 被管設備的多樣性，包括網(wǎng)絡設備，主機設備，安全設備，數(shù)據(jù)庫，中間件，機房環(huán)境控制系統(tǒng)等。各類設備都有獨立的管理工具，操作不方便，信息無法共享。 u 無法迅速定位故障點 對于XX單位而言，IT計算環(huán)境的管理本身不是目標，核心需求是要保障運行的應用的可用性、業(yè)務持續(xù)性，以及重要信息系統(tǒng)的安全性，因為應用和業(yè)務是企業(yè)和組織的生命線?，F(xiàn)有的一些應用性能管理（Application Performance Management）系統(tǒng)或者業(yè)務服務管理（Business Service Managem

7、ent）系統(tǒng)雖然可以監(jiān)控客戶的應用性能和工作狀態(tài)，但是卻沒有考慮到安全保障方面的因素。例如，一個應用無法訪問，可能是CPU利用率過高引起的，但是究其根源，可能是應用負載過高，也可能是應用服務器受到了蠕蟲感染。傳統(tǒng)的應用性能管理系統(tǒng)只能告訴客戶CPU利用率過高，卻不能再深入探究成因。 u 缺乏有效地基于等級保護要求，進行綜合安全保護的支撐平臺 在等級保護的每一級都有對安全控制的要求，其中，從第三級開始明確要求建立一個集中的安全監(jiān)控與管理中心，并且要求對流量進行監(jiān)控，對物理環(huán)境進行監(jiān)控。 而從第二級開始，就要求進行安全審計，尤其是日志審計，以及IP地址管理，還有設備和應用的監(jiān)控?？梢园l(fā)現(xiàn)，為了

8、達成等級保護的諸多控制要求，即便部署了大量安全設備也是不夠的，依然難以有效把控整體網(wǎng)絡的安全性，依然說不清當前的安全保障體系是否確實達到了等級保護的要求。 u 網(wǎng)絡應用缺乏監(jiān)控，工作效率無法提高 上網(wǎng)聊天、網(wǎng)絡游戲等行為嚴重影響工作效率，利用QQ，MSN，ICQ 這類即時通訊工具來傳播病毒，已經(jīng)成為新病毒的流行趨勢；使用BitTorrent、電驢等工具瘋狂下載電影、游戲、軟件等大型文件，關鍵業(yè)務應用系統(tǒng)帶寬無法保證。 u 缺少針對不同安全事件的關聯(lián)分析手段 外部入侵和內(nèi)部違規(guī)行為從來都不是單一的行為，都是有時序或者邏輯上的聯(lián)系的，黑客的攻擊一定是分為若干步驟的，每個步驟都會在不同的設備

9、和系統(tǒng)上留下蛛絲馬跡，單看某個設備的日志可能無法發(fā)現(xiàn)問題 u 缺乏便捷、高效、可視的安全事件分析手段 大部分網(wǎng)絡設備、主機設備、數(shù)據(jù)庫產(chǎn)生的安全事件記錄都保存在文本格式的文件中，出現(xiàn)安全問題時面對成千上萬條日志記錄，無法快速、準確的定位出現(xiàn)問題的原因。 三. 信息安全管理平臺需求分析 從上面分析得出，XX單位網(wǎng)絡安全管理需求主要包括： l 全面的IT 計算環(huán)境運行監(jiān)控 能夠管理IT計算環(huán)境中的所有網(wǎng)絡設備、安全設備、主機和服務器、服務和應用系統(tǒng)，以及機房設備，為用戶提供一個全方位監(jiān)控的統(tǒng)一管理平臺，使得管理員通過一個單一控制臺就能夠進行實時全網(wǎng)監(jiān)控，確保企業(yè)和組織IT計算環(huán)境基

10、礎設施的可用性，以及業(yè)務的持續(xù)性。 l 可視化的監(jiān)控管理手段 針對IT計算環(huán)境的統(tǒng)一監(jiān)控，必然會收集并呈現(xiàn)大量的信息。如果將這些信息進行有效的組織，呈現(xiàn)給管理員，并真正提升他們的管理效率是十分關鍵的。 l 快速定位業(yè)務節(jié)點故障 網(wǎng)絡節(jié)點出現(xiàn)故障時，系統(tǒng)將會產(chǎn)生告警事件，同時拓撲圖中的設備圖標也會顯示故障狀態(tài)；當一個管理子圖發(fā)生設備故障時，子圖圖標也會發(fā)生相應改變，因此管理員可以根據(jù)子圖快速定位故障。 對于應用系統(tǒng)和機房環(huán)境的監(jiān)控，管理員可以自定義監(jiān)控指標的閾值，監(jiān)控的時間間隔，監(jiān)控的描述和告警方式，通過接收告警信息，管理員可以快速了解問題所在，及時采取措施。 l 及時發(fā)現(xiàn)網(wǎng)絡流量異

11、常 管理員可以對重點設備的重點端口配置流量監(jiān)控，并且可以配置閾值告警，當出現(xiàn)流量異常時及時通知管理員。 l 統(tǒng)一安全事件監(jiān)控、態(tài)勢感知 能夠實時不間斷地將來自不同廠商的安全設備、網(wǎng)絡設備、主機、操作系統(tǒng)、用戶業(yè)務系統(tǒng)的日志、警報等信息匯集到管理中心，實現(xiàn)海量信息的集中分析，進行統(tǒng)一的安全事態(tài)監(jiān)控和態(tài)勢感知，消除安全防御的孤島。 l 實時安全事件關聯(lián)分析 能夠實時地對采集到的不同類型的信息進行關聯(lián)分析、最大程度地消除誤報和錯報、找出漏報，協(xié)助安全管理人員迅速準確地識別安全事故，消除了管理員在多個控制臺之間來回切換的煩惱，同時提高工作效率。通過事件關聯(lián)分析，客戶可以實現(xiàn)從單點被動防御到全

12、面主動防御的轉變。 l 便捷、高效、可視化的事件分析 l 符合等級保護的安全合規(guī)審計要求 提供一套基于信息系統(tǒng)等級保護基本要求的合規(guī)審計包。該審計包按照等級保護的基本技術要求，針對二級以上的系統(tǒng)建立了一套規(guī)則庫、合規(guī)檢查頻道和場景、報表模板。 四. 信息安全管理平臺建設解決方案 面對XX單位信息安全管理現(xiàn)狀與存在的問題，本方案推薦使用網(wǎng)御神州“SecFox-SNI”計算環(huán)境綜合監(jiān)控平臺及“SecFox-SIM”安全信息管理系統(tǒng)來構建XX單位的信息安全管理平臺。以實現(xiàn)統(tǒng)一的信息安全管理為出發(fā)點，從全面的IT 計算環(huán)境運行監(jiān)控、快速定位業(yè)務節(jié)點故障、統(tǒng)一安全事件監(jiān)控、態(tài)勢感知、實時安全

13、事件關聯(lián)分析等多個角度構建一套完整的信息安全管理平臺，通過技術手段全面貫徹落實單位的安全管理策略。 4.1 SecFox-SNI系統(tǒng)部署說明 在XX單位省中心及管轄的各市州中心部署分別部署一套“SecFox-SNI”系統(tǒng)。 SecFox-SNI運行的網(wǎng)絡環(huán)境有如下要求： l TCP/IP網(wǎng)絡環(huán)境。 l 網(wǎng)絡管理服務器需要開放相關管理端口。 l 需要相關管理設備支持SNMP協(xié)議和Syslog協(xié)議。 SecFox-SNI可應用于大中小各類型企事業(yè)單位，其辦公地點可能分布在許多地方，他們的業(yè)務系統(tǒng)需要跨越不同的局域網(wǎng)段來部署。它可以將關鍵設備的運行管理權利集中到一起，通過統(tǒng)一的安全

14、管理系統(tǒng)，將分散在各地區(qū)、不同業(yè)務網(wǎng)絡上面的各種設備節(jié)點有機的結成一個整體。 對于大型、全國性的、分級的網(wǎng)絡環(huán)境，SecFox-SNI可以進行級聯(lián)部署，多個SecFox-SNI管理分支可以統(tǒng)一接入到一個主SecFox-SNI管理中心。 4.2 SecFox-SIM系統(tǒng)部署說明 在XX單位省中心節(jié)點部署一套“SecFox-SIM”系統(tǒng) SecFox-SIM可應用于大中小各類型企事業(yè)單位，其辦公地點可能分布在許多地方，他們的業(yè)務系統(tǒng)需要跨越不同的局域網(wǎng)段來部署。典型的，SecFox-SIM管理中心服務器放置在網(wǎng)管中心或者安全中心，管理員通過瀏覽器可以從任何位置登錄管理中心服務器，進行

15、各項操作，如下圖所示： 4.3 “SecFox-SNI”產(chǎn)品功能 4.3.1 資產(chǎn)管理 資產(chǎn)是IT計算環(huán)境的基本元素，是信息安全的保護對象，也是本系統(tǒng)的監(jiān)控對象。SecFox-SNI為管理員提供了一個管理各類待監(jiān)控設備的資產(chǎn)庫。 資產(chǎn)管理可以標明企業(yè)和組織關鍵業(yè)務路徑上的各資產(chǎn)等級，在對成百上千個監(jiān)控指標進行監(jiān)控時，可以分清告警信息處理的輕重緩急，按資產(chǎn)等級排列事件處理順序。 4.3.2 網(wǎng)絡拓撲管理 SecFox-SNI的拓撲和服務感知引擎（Topology and Service Awareness Engine）能夠針對不同拓撲結構類型（大中型骨干網(wǎng)絡、中小型局域

16、網(wǎng)絡）采用相適應的算法進行快速自動拓撲發(fā)現(xiàn)，并自動繪制網(wǎng)絡拓撲圖。拓撲管理為客戶提供了一幅IT計算環(huán)境的總覽圖，直觀地給出了整個網(wǎng)絡中網(wǎng)絡設備、安全設備、主機設備的分布和連接情況。拓撲圖支持縮放，具有鳥瞰功能，支持自動布局。 管理員可以通過拓撲圖進行設備監(jiān)控、配置管理和策略管理，可以通過拓撲圖實施對某個設備的ping，telnet等，以及激活它的web管理界面。通過拓撲圖可以直觀的反映設備的實際運行狀態(tài)，并根據(jù)設備的狀態(tài)變化而自動閃爍，方便管理員快速定位故障點。 管理員選中拓撲圖中的某個設備，可以顯示出真實設備面板圖，形象化的展示出當前監(jiān)控設備的端口面板，以及端口狀態(tài)信息。管理員可以對端

17、口進行各種設置，也可以繼續(xù)查看端口的實時流量曲線。 4.3.3 機房機架視圖 SecFox-SNI能夠將基礎設施的物理位置呈現(xiàn)在機房機架視圖中。管理員可以清晰地獲悉每臺服務位于哪個機架，哪一層，還能夠看到機房環(huán)境動力設備。管理員可以在邏輯拓撲和物理視圖之間自由切換，點擊圖中的任何節(jié)點和連接線都能夠細致查看明細信息。 4.3.4 集中監(jiān)控 SecFox-SNI通過統(tǒng)一的界面對計算環(huán)境中的網(wǎng)絡節(jié)點設備進行集中監(jiān)控，對整個計算環(huán)境中所有設備和應用的運行狀態(tài)及性能進行分析，實時獲得告警，并采取應急響應行動。 通過集中監(jiān)控，管理員可以同時實時查看多個監(jiān)控指標項，進行對比分析。 管理員可以

18、根據(jù)需要建立監(jiān)控任務，設定監(jiān)控和采集需要管理的參數(shù)。采集的數(shù)據(jù)可以保存，并可以生成相關報表。對于每個監(jiān)控數(shù)值，可以定制監(jiān)控閾值，當監(jiān)控的數(shù)據(jù)超過了閾值，將會觸發(fā)事件告警。 系統(tǒng)可以顯示每個監(jiān)控任務的監(jiān)控數(shù)據(jù)，在同一界面上顯示最近7天，最近24小時數(shù)據(jù)，管理員可以清楚地了解任務的當前狀況和歷史狀況。 系統(tǒng)支持配置存儲監(jiān)控數(shù)據(jù)，根據(jù)用戶需求能夠提供監(jiān)控數(shù)據(jù)實定制報表，例如日報表，周報表，月報表和年報表，報表可以另存為HTML、EXCEL、文本、PDF等多種格式。 管理員可以通過修改配置文件支持添加新的設備類型和設備監(jiān)控參數(shù)，方便地進行擴展。 4.3.5 網(wǎng)絡和安全設備監(jiān)控 SecFox

19、-SNI能夠對支持SNMP協(xié)議的網(wǎng)絡設備和安全設備進行實時性能分析。主要分析參數(shù)包括：主機CPU利用率、主機存儲設備利用率、接口流量，等等。 SecFox-SNI能夠實時顯示監(jiān)控的性能參數(shù)，采用形象的曲線圖顯示監(jiān)控信息，并且可以計算最大值，平均值和最小值。 SecFox-SNI還能夠收集來自網(wǎng)絡和安全設備的告警和日志信息，進行統(tǒng)一的告警與響應管理。 4.3.6 主機監(jiān)控 主機服務器是企業(yè)和組織IT應用承載的基石，主機的性能直接影響了企業(yè)和組織IT應用的性能，SecFox-SNI能夠對主機的CPU利用率、內(nèi)存利用率、磁盤利用率、進程等進行全面的監(jiān)控，也可以配置閾值告警，當出現(xiàn)性能異常時

20、及時通知管理員。對于這些性能指標，管理員可以根據(jù)自定義的時間段生成報表，通過這些報表可以了解監(jiān)控主機的實際運行負載情況，為主機管理和擴展提供有價值的參考數(shù)據(jù)。例如發(fā)現(xiàn)某個主機的CPU的利用率在某個時間段長時間處于比較高的狀態(tài)，那么管理員可以采取相應的措施進行調(diào)整。 對主機監(jiān)控提供監(jiān)控快照，實時分析和詳細的監(jiān)控指標，不是孤立地查看單個指標，可以在一個界面上查看所有的監(jiān)控信息，提供圖形和數(shù)據(jù)等多種方式，便于管理員全面的了解和分析主機的性能和故障。 4.3.7 應用和業(yè)務監(jiān)控 應用服務是企業(yè)和組織IT應用核心，SecFox-SNI采用先進的主動探測的監(jiān)控方式，無需在應用服務系統(tǒng)中安裝任何

21、代理或軟件，模擬應用數(shù)據(jù)直接監(jiān)控這些應用服務，一旦這些服務出現(xiàn)無法響應或響應太慢，將會觸發(fā)事件告警及時通知管理員，管理員可以迅速采取相應的措施。管理員可以根據(jù)自定義的時間段生成監(jiān)控報表，通過這些報表可以了解應用服務的實際運行性能，幫助管理員制定相關應變措施，幫助應用開發(fā)人員進行調(diào)整優(yōu)化。 SecFox-SNI可以監(jiān)控企業(yè)和組織的各類應用服務，包括數(shù)據(jù)庫，中間件，Web服務，郵件服務，F(xiàn)TP，DHCP，DNS等，不但可以監(jiān)控這些服務的狀態(tài)和響應時間，還可以監(jiān)控系統(tǒng)的詳細性能指標，例如Oracle數(shù)據(jù)庫的表空間大小等，可以為管理員提供全面而詳實的參考信息。 對應用系統(tǒng)的監(jiān)控也提供監(jiān)控快照，實時

22、分析和詳細的監(jiān)控指標，不是孤立地查看單個指標，可以在一個界面上查看所有的監(jiān)控信息，提供圖形和數(shù)據(jù)等多種方式，便于管理員全面的了解和分析應用系統(tǒng)的整體狀態(tài)和性能。 4.3.8 機房環(huán)境監(jiān)控 對于IT計算環(huán)境監(jiān)控而言，物理的機房環(huán)境也是重要的組成部分。對物理機房的環(huán)境進行監(jiān)控也有助于定位業(yè)務故障點，因為業(yè)務故障完全可能由于機房供電系統(tǒng)或者空調(diào)、UPS等設備出現(xiàn)問題而癱瘓。 SecFox-SNI提供對機房環(huán)境的全面監(jiān)控，支持對UPS、空調(diào)、測漏水設備、溫濕度、配電柜等設備的工作指標參數(shù)進行統(tǒng)一監(jiān)控。 4.3.9 終端接入監(jiān)控 SecFox-SNI具備終端接入監(jiān)控的功能。通過

23、對邊緣交換機端口的監(jiān)控，清晰把握當前交換機連接的終端設備狀況，發(fā)現(xiàn)是否有ARP攻擊，是否有非法（MAC匹配）接入，并能夠主動阻斷端口，防止威脅入侵。 4.3.10 設備配置信息監(jiān)控 SecFox-SNI可以采集自動地、定期地歸集網(wǎng)絡設備配置信息，進行配置版本管理。通過不同版本的配置項信息的比較發(fā)現(xiàn)對網(wǎng)絡設備配置的誤操作和惡意篡改。 4.3.11 配置與診斷工具 設備配置和診斷工具提供了一個批處理執(zhí)行命令的外殼工具，可以自動調(diào)用自定義命令行腳本、TELNET或者SSH腳本，并可批量執(zhí)行，方便用戶進行設備配置和故障診斷，而無需手工登陸到設備上。配置與診斷工具用途包括： l 設備的SN

24、MP協(xié)議功能有限，一般只支持查看信息，配置能力弱，此工具可以調(diào)用TELNET或SSH，自動執(zhí)行設置的腳本，可以實現(xiàn)所有信息查看和進行配置，例如自動重啟設備。 l 某些設備和主機不支持SNMP協(xié)議，幾乎沒有辦法管理，例如UNIX，Linux主機和非網(wǎng)管設備，但是這些設備一般都支持TELNET或SSH，可以用工具進行管理，把經(jīng)常需要使用的命令行做成腳本，需要管理時調(diào)用。 l 能夠方便地批量配置設備，例如對多臺設備配置同樣的策略，可以將策略配置做成腳本，配置多臺只需要執(zhí)行，無需登陸和手工配置，減少維護和配置的工作量。 4.3.12 防火墻策略管理 對于網(wǎng)御神州自有的SecGate系列防火墻

25、/VPN，SecFox-SNI允許用戶對這些防火墻/VPN進行集中的策略管理，統(tǒng)一制定策略，批量下發(fā)，極大地方便防火墻管理員，降低他們的工作復雜度。 l 防火墻日志管理：充當防火墻日志服務器，實現(xiàn)對防火墻日志的集中管理 l 策略管理：實現(xiàn)防火墻/VPN的集中策略定義和可視化發(fā)布 l 設備升級：實現(xiàn)防火墻/VPN設備的升級 4.3.13 日志安全審計 SecFox-SNI具有強大的安全審計功能，為系統(tǒng)的使用者，包括網(wǎng)絡安全管理員，IT部門負責人，公司負責人等提供了解網(wǎng)絡安全狀況的直觀方式。 安全審計的主要功能是日志查詢、日志分析規(guī)則設置、安全審計報表。這些功能都具有在圖文顯示、文件

26、導出和打印等輸出方式。 SecFox-SNI的安全統(tǒng)計報表分類的方式有多種，從反映網(wǎng)絡安全總體狀況的角度進行統(tǒng)計和分析，得到網(wǎng)絡安全狀況報表；從所管理的安全設備的運行狀況出發(fā)，可以得到設備安全信息報表。能夠根據(jù)用戶的需求生成日報表，周報表，月報表和年報表等，報表可以另存為HTML、EXCEL、文本、PDF等多種格式。 主要報表包括： 安全管理信息Top10分析 l 主機訪問流量TOP10：統(tǒng)計訪問流量最大的前10位主機 l 站點被訪問流量TOP10：統(tǒng)計被訪問流量最大的前10位站點 l 拒絕訪問類型TOP10：統(tǒng)計被拒絕次數(shù)最多的前10種訪問類型 l 禁訪站點訪問嘗試次數(shù)

27、TOP10：統(tǒng)計嘗試次數(shù)最多的前10位被禁止訪問的站點 l 用戶訪問流量TOP10：統(tǒng)計訪問流量最大的前10位用戶 安全管理信息統(tǒng)計分析 l 主機訪問統(tǒng)計報表：統(tǒng)計所有主機的訪問數(shù)據(jù) l 用戶訪問統(tǒng)計報表：統(tǒng)計所有用戶的訪問數(shù)據(jù) l 站點被訪問統(tǒng)計報表：統(tǒng)計所有被訪問站點的訪問數(shù)據(jù) l 系統(tǒng)管理統(tǒng)計報表：統(tǒng)計管理員的所有系統(tǒng)操作數(shù)據(jù) l 系統(tǒng)模塊狀態(tài)統(tǒng)計報表：統(tǒng)計設備所有系統(tǒng)模塊的狀態(tài)數(shù)據(jù) 4.3.14 IP地址管理 SecFox-SNI可以管理企業(yè)和組織的IP地址資源，將企業(yè)和組織的IP地址按照子網(wǎng)分類列表，便于查看；提供了IP地址查詢，IP地址掃描，可以方便地查找

28、和確定那些IP地址已經(jīng)使用或者尚未使用，方便管理員的管理工作；提供了圖形化的IP地址分布查詢，可以通過圖形一目了然查看IP地址分布狀況。 4.3.15 集中認證管理 SecFox-SNI提供了監(jiān)控對象認證集中管理，可以在一個界面集中管理所有監(jiān)控對象的認證方式，例如SNMP設備的團體字符串，數(shù)據(jù)庫的用戶密碼等，便于管理員進行統(tǒng)一修改。 4.3.16 告警和響應管理 告警管理可以針對事件進行告警處理。這里，事件是指管理中心采集和偵聽到的來自于被管理設備的信息。 對于產(chǎn)生的告警信息，系統(tǒng)可以通過多種方式進行通知：彈出窗口、控制臺突出顯示、電子郵件、有聲報警、短信、電話響鈴。特別地，Se

29、cFox-SNI可以通過Telnet、SSH或者SSH2協(xié)議與第三方網(wǎng)絡設備和安全設備進行策略聯(lián)動，可以執(zhí)行任何預定義策略腳本，實現(xiàn)監(jiān)控管理的閉環(huán)。 4.3.17 報表管理 除了日志審計和設備監(jiān)控可以提供相關報表，SecFox-SNI提供了針對全網(wǎng)絡運行狀態(tài)的分析報表。這是進行綜合分析的數(shù)據(jù)報表，可以讓管理員了解和評估整個網(wǎng)絡系統(tǒng)的運行狀態(tài)，報表具有如下特點： l 能夠根據(jù)用戶的需求定制時間，例如生成日報表，周報表，月報表和年報表等； l 報表可以另存為HTML、EXCEL、文本、PDF等多種格式。 報表類型包括實時分析最近5分鐘，最近1小時的網(wǎng)絡狀態(tài)，例如最近5分鐘設備運行狀況統(tǒng)

30、計，不響應設備列表，最近5分鐘流量最大的10個設備，最近5分鐘流量最大的10條鏈路，最近1小時告警最多的設備等等。 管理員可以根據(jù)自定義的時間段網(wǎng)絡運行報表，性能分析報表和可用性報表，例如：設備運行狀況統(tǒng)計，不響應設備列表，設備流量統(tǒng)計，鏈路流量統(tǒng)計，設備告警次數(shù)統(tǒng)計，設備資產(chǎn)分類統(tǒng)計，設備資產(chǎn)業(yè)務關注度分類統(tǒng)計等等。 系統(tǒng)生成的報表可以自動通過電子郵件定期投遞到管理員指定的地址。 4.3.18 權限管理 本系統(tǒng)實現(xiàn)基于角色的用戶訪問控制機制。所有用戶（根用戶除外）都建立在角色之上。也就是說，在創(chuàng)建用戶之前，需要先創(chuàng)建角色，即定義這個角色具備的權限；然后，再創(chuàng)建用戶，并將用戶置于一個

31、或者多個已經(jīng)創(chuàng)建的角色中。所有對本系統(tǒng)的訪問都需要用戶帳號和口令；不同的用戶具有不同的系統(tǒng)使用權限，具體主要體現(xiàn)在用戶能夠使用的操作（功能）不同。 4.3.19 系統(tǒng)管理 完成對集中管理系統(tǒng)自身的各項配置工作。 4.3.19.1 系統(tǒng)設置 完成對集中管理系統(tǒng)自身的各項配置工作，包括系統(tǒng)的初始化配置、網(wǎng)絡拓撲管理需要的參數(shù)、設備配置管理和策略管理需要的各種參數(shù)的配置（例如證書）、用戶使用許可證管理，等等。 4.3.19.2 系統(tǒng)日志 用戶對本軟件系統(tǒng)的操作都記錄日志并進行持久化存儲，便于追蹤、審核和告警。系統(tǒng)日志格式的屬性包括：時間，源IP，用戶名，操作類型，操作說明，操作結果

32、（成功/失?。? 用戶可以針對系統(tǒng)日志進行各種查詢。 4.3.20 與外部系統(tǒng)集成 SecFox-SNI提供了豐富的API接口，能夠與廣大第三方管理平臺（包括IBM Tivoli，HP OpenView Operations，BMC等）和服務控制臺（Service Desk）集成，包括監(jiān)控信息的集成和告警信息的集成。 4.4 “SecFox-SIM”產(chǎn)品功能 4.4.1 智能監(jiān)控頻道 智能監(jiān)控頻道為用戶提供了一個從總體上把握企業(yè)和組織整體安全情況的界面。通過監(jiān)控頻道，用戶可以看到當前企業(yè)和組織的整體安全等級。每個監(jiān)控頻道顯示某方面的安全信息，可以縮放、可以移動換位、可以更

33、換布局、可以調(diào)臺，顯示管理員想看的內(nèi)容。SecFox-SIM提供豐富的頻道切換器，在不同的頻道間切換。用戶也可以自定義頻道。 4.4.2 資產(chǎn)管理 ISO17799-2005中對資產(chǎn)的定義是：“任何對組織和企業(yè)有價值的事務”。 資產(chǎn)是企業(yè)和組織的IT計算環(huán)境的核心，承載了當今絕大部分企業(yè)和組織的業(yè)務。重要的資產(chǎn)的安全決定了企業(yè)和組織的核心競爭力和命脈。企業(yè)安全管理的一個很重要的工作就是確保資產(chǎn)安全，評估和分析在遭受安全威脅的情況下資產(chǎn)的受影響程度，從而進行企業(yè)和組織的安全風險管理。 SecFox-SIM按照資產(chǎn)重要程度和管理域的方式組織資產(chǎn)，提供便捷的添加、修改、刪除、查詢

34、與統(tǒng)計功能，便于安全管理和系統(tǒng)管理人員能方便地查找所需信息資產(chǎn)的信息，并對資產(chǎn)屬性進行維護。 對于每個資產(chǎn)，用戶可以設置資產(chǎn)的地理位置，便于將來在世界地圖上顯示出該資產(chǎn)相關的事件。 基于SecFox-SIM的動態(tài)資產(chǎn)屬性（Dynamic Asset Attribute）技術，用戶可以對資產(chǎn)屬性進行無限擴展，例如可以根據(jù)客戶自身的需要為資產(chǎn)增加業(yè)務重要性屬性、增加資產(chǎn)保護等級屬性、增加資產(chǎn)品牌、代號等任何信息。同時，所有這些附加資產(chǎn)屬性隨時都可以作為查詢條件進行檢索，也可以作為事件關聯(lián)分析時的規(guī)則的一部分。 4.4.3 工單管理 SecFox-SIM工單管理參照ISO17799、

35、 ISO20000（ITIL規(guī)范），以及ISO18044，為安全管理人員建立了一套安全事故處理流程。通過工單，實現(xiàn)了安全事故記錄從創(chuàng)建、處理到關閉的安全事故生命周期管理。 工單管理是SecFox-SIM的核心流程，它的功能實現(xiàn)遵循ISO18044標準和ISO20000標準（ITIL）。處理過程中，派單人和責任人可以對現(xiàn)象描述、原因分析、處理意見、處理結果中增加內(nèi)容，但不能修改以前人輸入的內(nèi)容。系統(tǒng)需記錄增加的時間和增加人。在顯示工單時，會顯示所有的修改記錄。 管理員在創(chuàng)建工單后，可以由系統(tǒng)自動發(fā)送郵件給指定的工單處理人，提醒其及時處理。 4.4.4 事件分析 事件分析是Sec

36、Fox-SIM的核心，監(jiān)控管理人員可以通過事件分析對來自企業(yè)和組織所有的事件，以及經(jīng)過SecFox-SIM規(guī)則關聯(lián)后產(chǎn)生的事件進行可視化實時分析、歷史分析和事件統(tǒng)計，從而快速識別安全事故。SecFox-SIM采用基于場景的行為分析（Scenario-based Behavior Analysis）技術，將所有的事件分析都以分析場景的方式列舉出來，管理人員可以方便的在各種分析場景之間快速切換，就像切換電視頻道一樣，大大提高分析工作的效率。 針對每個場景，系統(tǒng)都會實時展示出該場景的事件列表，并且附上一副事件的動態(tài)雷達圖（Dynamic Radar Diagram）。用戶可以實時觀察某個事件切片

37、內(nèi)的事件數(shù)量及其不同等級事件的時間分布。點擊每個時間切片上的事件方塊，可以查看該時切片的事件明細。 對于發(fā)現(xiàn)的攻擊和威脅，用戶可以借助SecFox-SIM的iGPS事件全球定位系統(tǒng)在世界地圖上可視化地展示出發(fā)起和遭受攻擊IP的所在地理位置。 用戶也可以對選中的事件生成可視化的實時主動事件圖（Active Incident Diagram），形象地觀測到當前事件的安全態(tài)勢。用戶點擊主動事件圖上的IP節(jié)點，可以查看該節(jié)點的明細信息，點擊節(jié)點之間的連線可以查看事件的端口、協(xié)議等信息。主動事件圖可以放大、縮小、自由拖動。 在事件分析中，SecFox-SIM還為用戶提供了一套進行深入的審計與

38、追蹤工具——事件調(diào)查工具。借助網(wǎng)御神州獨有的啟發(fā)式事件搜索技術（Heuristic Event Searching Technology），管理員通過事件調(diào)查工具可以對某條感興趣的事件中的源IP地址、目的IP地址、或者目的端口進行相關性事件檢索。例如，管理員通過審計某條事件記錄發(fā)現(xiàn)某用戶違規(guī)訪問一個敏感的外部IP地址，那么管理員可以通過事件調(diào)查工具查找最近5分鐘內(nèi)訪問同一個敏感外部IP的其它用戶的事件記錄，從而追蹤違規(guī)行為；管理員也可以查找某個事件記錄中目的端口的含義，是MSN端口？還是BT端口？抑或是蠕蟲端口？等等，從而快速了解當前用戶的行為特征。 4.4.5 趨勢分析 Sec

39、Fox-SIM可以對設備的網(wǎng)絡連接數(shù)、網(wǎng)絡流量，以及時間數(shù)量等的趨勢進行分析，并以圖標的形式展示。 趨勢分析的時間段可以動態(tài)調(diào)整，包括最近24小時、最近1天、最近1周，等等，用戶亦可自行設置。 4.4.6 報表管理 安全管理人員可以將事件分析的結果生成報表，作為工作內(nèi)容匯報的一部分提交給相關部門。 SecFox-SIM將報表分為系統(tǒng)預定義報表和用戶自定義報表兩大類。 SecFox-SIM內(nèi)置大量預定義報表，例如： l 當天，當月，該季度，該年度的出現(xiàn)率最多的十種安全事件統(tǒng)計分析報表，既能夠圖文并茂地顯示著十種安全事件的統(tǒng)計值，也能夠選擇察看具體的安全事件明細表；

40、 l 當天，當月，該季度，該年度的出現(xiàn)率最多的十個源IP地址統(tǒng)計分析報表，既能夠圖文并茂地顯示著十個源IP地址的統(tǒng)計值，也能夠選擇察看出現(xiàn)該IP地址的具體的事件內(nèi)容； l 每月，每周事件告警嚴重程度級別趨勢表，分類統(tǒng)計每個月所有的安全事件的嚴重程度級別，察看其發(fā)展趨勢； l 每天的安全事件統(tǒng)計表，統(tǒng)計每一天的所有安全事件發(fā)生的總數(shù)； l 可以指定源IP，目的IP，源端口，目的端口一項或者幾項內(nèi)容制作出對應安全事件的詳細報表。 l 每天，每周，每月出現(xiàn)最多的十種病毒統(tǒng)計分析報表； l 每天，每周，每月的事故統(tǒng)計報表； l 每天，每周，每月的各種安全狀況的總覽表，在一張報表

41、上圖文并茂地展示這一天，這一周，或者這個月的，全網(wǎng)的安全狀況的多種指標統(tǒng)計和趨勢圖表。 l SecFox-SIM具備強大的自定義報表功能。用戶可以通過報表編輯器，只需4步，即可方便地自己定義各種復雜的報表，包括報表的內(nèi)容、布局，以及運行調(diào)度設置，滿足企業(yè)和組織自身不斷業(yè)務發(fā)展的需要。 4.4.7 知識管理 SecFox-SIM知識管理為用戶提供了一套面向業(yè)務的管理工具，方便用戶進行安全事件的識別和應急響應處理。SecFox-SIM知識管理包括黑白名單管理和案例管理。 黑白名單管理 黑白名單，是指需要格外關注的事件屬性，比如某黑白名單定義為某些符合規(guī)則條件的事件的某個

42、屬性的列表。 黑白名單是一個非常靈活的信息收集工具，它可以基于事件屬性的任意組合或自定義字段組監(jiān)控活動，而不僅僅是IP地址。在記錄可疑的或惡意的IP地址以及有可能已被攻擊成功的目標方面，黑白名單非常有用。 用戶可以手動增加黑白名單的內(nèi)容，也可以通過規(guī)則響應動態(tài)地增加或刪除黑白名單中的記錄。例如，我們在發(fā)現(xiàn)一個惡意攻擊之后，可以將攻擊源添加到惡意列表中，并在以后嚴密監(jiān)控該 IP 的各種行為。 SecFox-SIM包含了大量預定義的黑白名單列表，比如惡意列表、可疑列表、受信任的列表、不受信任的列表、受威脅列表等等，用戶可以把它們作為模板使用。 案例管理 案例是由一組相關事件組

43、成的有意義的、值得借鑒的情景，用于安全信息管理經(jīng)驗和知識的積累。 通過將安全信息管理運維過程中遇到的具有典型性的事件放入案例庫中，并記錄下當時事故的影響情況、采取的安全處理措施，為將來遇到類似事故提供輔助策略的依據(jù)。 4.4.8 系統(tǒng)管理 4.4.8.1 系統(tǒng)配置 SecFox-SIM的系統(tǒng)管理員可以通過系統(tǒng)管理中的系統(tǒng)配置對SecFox-SIM系統(tǒng)自身進行各種參數(shù)配置，包括數(shù)據(jù)的備份與恢復、系統(tǒng)自身運行狀態(tài)的監(jiān)控，等等；通過系統(tǒng)管理中的事件傳感器管理連接到SecFox-SIM平臺的事件傳感器；在系統(tǒng)管理中還有過濾器和資源定義模塊。 事件傳感器是SecFox-SIM提供

44、的、用于安裝在企業(yè)和組織網(wǎng)絡中的目標主機上的應用程序。通過事件傳感器，SecFox-SIM可以主動地采集目標主機上的事件，在管理服務器上進行事件分析。 過濾器是構成規(guī)則的基本單位，也是進行日志審計的條件選項。用戶定義了過濾器之后，可以進行各種復雜的日志實時分析場景設置。 通過資源定義，用戶可以建立安全領域的知識庫，并建立業(yè)務相關的集合。例如可以定義辦公IP地址組、定義上班時間、定義BT常用端口集合或者常見的蠕蟲端口集合，等等。在定義好資源后，用戶可以在過濾器和告警規(guī)則中任意引用，使得管理員的各種設置操作真正基于業(yè)務和領域知識，而不是基礎的端口、IP、時間等原始信息。 4.4.8.2

45、 系統(tǒng)自身健康監(jiān)控 SecFox-SIM具有完善的系統(tǒng)自身健康監(jiān)控功能（System Self Healthiness），能夠對系統(tǒng)自身運行狀態(tài)進行監(jiān)控，包括系統(tǒng)CPU和內(nèi)存利用率，存儲可用容量，等等，遇到問題自動報警，確保安全管理平臺自身的可靠性。 4.4.9 權限管理 SecFox-SIM是一個多用戶系統(tǒng)，不同的用戶可以具備不同的權限。這意味著不同權限的用戶可以使用SecFox-SIM的全部或者部分功能。 SecFox-SIM采用基于角色的權限管理機制。通過權限管理，管理員可以為不同的用戶分配角色，指定該用戶能夠使用的功能。 4.4.10 等級保護模塊 S

46、ecFox-SIM能夠對審計系統(tǒng)中管理的所有信息資產(chǎn)進行統(tǒng)一的等級化保護管理，按照等級化保護2級到4級的基本要求提供實時審計的分析場景知識庫，以及針對等級化保護要求的報表模板。 4.4.11 與外部系統(tǒng)集成 SecFox-SIM提供了豐富的API接口，能夠與廣大第三方管理平臺（包括IBM Tivoli，HP OpenView Operations，BMC等）和服務控制臺（Service Desk）集成，包括事件和告警信息的集成，以及策略聯(lián)動的集成。 五. 實施效果價值分析 本方案中信息安全管理平臺的實施可以從不同層面為XX單位的用戶帶來價值回報。 對于安全管理員、安全

47、分析員、安全運維人員： l 明確工作職責，各類安全管理人員各司其職，協(xié)同合作 l 提高工作效率，更加快速準確的識別安全告警，發(fā)現(xiàn)違規(guī)行為，進行應急響應 l 發(fā)生安全問題，事后調(diào)查有據(jù)可循 對于安全負責人，負責安全的高管： l 有助于建立一套可行的安全策略的執(zhí)行方針，并通過信息安全管理真正落實 l 通過持續(xù)有效的安全事件分析識別安全事故、策略沖突、欺詐行為和操作行為 l 通過安全事件分析有助于進行審計和取證分析、支持內(nèi)部調(diào)查、建立基線，以及進行安全運行趨勢預測，確保企業(yè)和組織的業(yè)務的持續(xù)性和可靠性 l 通過設備和系統(tǒng)的日志以及安全事件的統(tǒng)一存儲，符合企業(yè)和組織的需

48、要，符合國家和行業(yè)的法律法規(guī) l 自動產(chǎn)生各種分析報表和報告，隨時掌控整個企業(yè)和組織的安全狀況 對單位領導層 l 隨時可以全局掌握單位的安全總體狀況，為領導層進行安全建設決策提供依據(jù) l 從整體上提升了單位的安全防護水平 l 通過對信息管理平臺的投資發(fā)揮出原有各種安全設施的投資的潛在價值，從而使得企業(yè)和組織的成本效益最大化，降低總擁有成本（TCO），提升安全設施的投資回報率（ROI） 六. 方案優(yōu)勢總結 1、 提供了統(tǒng)一的信息安全管理平臺，全面直觀的網(wǎng)絡拓撲結構能夠幫助用戶快速定位網(wǎng)絡故障，及時發(fā)現(xiàn)網(wǎng)絡流量異常，能對網(wǎng)絡中的服務器主機性能提供全面監(jiān)控和告警，主動監(jiān)控

49、應用服務的狀態(tài)和性能。 2、 提供了完善的信息安全監(jiān)控功能，包括設備配置信息監(jiān)控、主機進程黑/白名單監(jiān)控、終端接入監(jiān)控、日志審計、系統(tǒng)配置與診斷工具、WEB網(wǎng)頁防篡改、安全輔助工具包，等等。 3、 提升了XX單位網(wǎng)絡中各種設備和應用的協(xié)同安全防御能力。 4、 實現(xiàn)了安全信息的集中管理，包括集中的數(shù)據(jù)采集和分析、統(tǒng)一的存儲、集中的應急響應和控制，有助于落實安全策略、實現(xiàn)企業(yè)和組織的安全目標。 5、 有助于XX單位消除安全防御的孤島，同時不會造成新的孤島 6、 符合國家信息系統(tǒng)安全等級保護制度中對于安全管理中心的建設要求，可以作為XX單位的安全總控中心（SOC/SMC）的基礎技術平臺。