信息系统监控体系规划

1、信息系统监控体系规划201 3年3月1项目背景电子政务网建设到今天，基本建成从中央到地方统一的国家政务网，横向连接各级党委、人大、政府、 政协、法院、检察院等各级政务部门，纵向覆盖中央、省、地（市）、县，满足各级政务部门社会管理和公 共服务的需要，确保了国家政务网的统一性和完整性。这对政务网的监管提出了更高的要求，建设信息安 全监控体系，及时发现和处置网络攻击，防止有害信息传播，对网络和系统实施保护与监控是当务之急。2需求分析电子政务网是一个综合的、复杂的信息网络系统，它的运行情况、每一个环节和部件是否存在安全隐 患和故障因素，应用系统的服务器和数据库资源是否存在安全漏洞和数据泄密或丢失等情况

2、，就会对电子 政务外网造成严重的威胁，主要威胁如下：基础网络面临的威胁：纵向到底，横向到边的政务网基础网络架构，为电子政务提供了最基本的 网络平台，而网络入侵、病毒入侵、僵尸网络等攻击行为严重威胁到网络的可用性、安全性。互联网出口面临的威胁：电子政务网的互联网出口处于一个公开的网络环境，信息泄露、病毒攻 击、黑客防攻击、僵尸网络等严重威胁到电子政务的互联网出口边界。网站面临的威胁：“政府网站”的权威性和公信力都是其它网站所不能比拟的，同时政府门户网 站促进了政府办事效率的提高，增强政府与企业与民众的亲和力，改善了政府的形象，而政府网站极易受 到篡改、SQL注入、跨站攻击、网站挂马、网络舆情、网

3、站服务中断的威胁。应用系统面临的威胁：业务应用是核心，而应用系统依赖多种基础设施支撑，管理人员很难直接 判定问题是出在基础网络、系统服务器、数据库还是应用系统自身，故障难以定位将直接导致业务恢复时 间的推迟，影响业务系统的正常运行，大大降低工作效率。3监控对象网站群监控政务外网监控移动互联网监控终端监控4监控体系从出口边界区域，核心交换区域，内网服务区域三大块监控，主要包括网络安全监控,主机安全监控，应 用安全监控，安全管理监控等.5监控内容与功能实现5.1网络行为检测与预警功能介绍：基于对网络安全技术和黑客技术多年研究的基础上开发的关于网络的入侵检测系统。入侵 检测系统采用先进的协议分析检测

4、引擎，通过优化机制，能够快速处理网络数据，准确发现各 种攻击行为，具有较高的入侵检出率和较低的误报率。产品可广泛应用于政府、企业等各种需 要对网络行为进行实时监控的场合。功能亮点：基于状态的协议分析详尽全面的自定义功能强大的管理和分析能力强大的智能应用检测引擎5.2网络威胁检测与防范功能介绍：入侵防御系统将深度内容检测、安全防护、上网行为管理等技术完美地结合在一起。配合实时更 新的入侵攻击特征库，可检测防护3000种以上的网络攻击行为，包括探测与扫描、可疑代码、蠕虫、病 毒、木马、间谍软件等各种网络威胁，并具有丰富的上网行为管理功能，可对P2P、聊天、在线游戏、虚 拟通道等访问实现细粒度管理控

5、制。从而，很好地提供了动态、主动、深度的安全防御。功能亮点：丰富的上网行为管理高度容错能力方便的管理方式，丰富的报表，直观的实时显示全面的攻击防御能力5.3互联网出口病毒过滤与监控功能介绍：需对企业的进站数据进行病毒扫描，把病毒完全拦截在企业的外部，以减少病毒渗入企业后造成的 危害，同时构建立体化的反病毒体系，从以往传统的单机版的杀毒、网络版的杀毒转变到全网立体化的病 毒防护理念，反病毒技术已经由孤岛战略延伸出立体化架构，并将传统意义的防病毒战线从单机延伸到网 络接入的边缘设备，从软件的模式衍生出硬件的病毒防护模式。该产品采用独创的TCP粘合技术，可对HTTP、SMTP、POP3、IMAP以及

6、FTP这些网络中主要的应用 协议进行病毒过滤和防护。该产品以透明接入的方式安装在企业网络的入口处，能直接保护企业局域网免 受各类病毒、蠕虫、木马和垃圾邮件的干扰，极大的简化了管理员的管理工作，能够实现自动升级、报警 等众多功能。功能亮点：全面的病毒防护解决方案业界最全的病毒库灵活多样双擎查杀高效与安全并重多通道防护功能透明的扫描方式高可用性5.4运维操作监控功能介绍：运维操作监控主要是着眼于解决关键IT基础设施运维安全问题。它能够对Unix和Window s服务器、 网络与安全设备上的数据访问进行安全、有效的操作审计，支持实时监控、实时告警和事后全程回放审计。 弥补了传统审计系统的不足，将运维

7、审计由事件审计提升为内容审计，集认证、授权、管理、审计为一体， 有效地实现了事前预防、事中控制和事后审计。功能亮点:完整的身份管理和认证 灵活、细粒度的授权 后台资源自动登陆 实时监控正在运维的会话 违规操作实时告警与阻 完整记录网络会话过程 详尽的会话审计与回放完备的审计报表功能5.5网页防篡改监控功能介绍：网页防篡改系统是专门针对网站篡改攻击精心研发的一款防护产品，系统主要功能是通过文件底层 驱动技术对Web站点目录提供全方位的保护，防止黑客、病毒等对目录中的网页、电子文档、图片、数据 库等任何类型的文件进行非法篡改和破坏。防篡改系统保护网站安全运行，维护政府和企业形象，保障互 联网业务的

8、正常运营，彻底解决了网站被非法修改的问题，是高效、安全、易用的新一代的网页防篡改系 统。功能亮点：技术先进，采用第三代防篡改技术（增强型事件触发+系统（内核）文件底层驱动过滤技术），安 全、稳定、可靠；采取先进的多重防护技术，杜绝篡改；完全基于内核级事件触发机制，对服务器资源占用极少，效率远高于同类产品；汲取广大网管员建议，操作及其简便，大大提高工作人员效率；对服务器安全性能实时监控，确保服务器安全稳定运行；对Web服务运行状态进行安全监控，保证Web服务不受异常事件干扰；不限制网站发布服务器类型，实现高可用性和高扩展性；支持所有主流操作系统，与Web发布服务类型无关，与CMS系统无缝结合；支

9、持保护Web服务器配置文件，杜绝网站指向遭到修改5.6木马与僵尸网络监控功能介绍：木马与僵尸网络攻击行为监控主要是通过分布式多节点联合运行，根据各节点网络出口容量分级实施 检测，采用多种高效的检测算法综合运算，可快速有效的反映监控区域内的网络安全状况。功能亮点：高效的实时监控功能及时的监测预警功能精确的统计分析功能灵活的用户管理功能详尽的解决方案服务高效的实时监控功能先进的高速流量数据采集功能米用旁 路引流、智能分流和镜像数据零拷贝等一系列 机制高速处理网络镜像流量。强大的MAJD综合检测功能包含流量 地址特征，流量内容特征，流量行为特征，流 量交互特征，流量统计特征等多种流量特征的 强大的综

10、合检测功能。完备的流量内容检测功能具备2000条 以上的网络流量内容检测规则，并根据网络安 全状况定期更新检测规则库，提供最为完备及 时的流量内容检测功能。准确的流量行为检测功能具备1000条 以上的网络行为特征检测规则，并根据网络安 全状况定期更新检测规则库，提供最为准确及 时的流量行为检测功能。全面的流量地址检测功能及时更新的 可疑流量地址库，保证流量地址检测检测功能 快速有效。精确的IRC用户行为特征检测功能采用 自主开发的IRC用户行为特征相似度检测算法， 实施IRC僵尸网络的精确检测功能。及时的监测预警功能系统采用B/S架构，只要接入网络随时随地查看检测信息详细的检测日志详细的预警态

11、势表详细的危害等级表详细的感染范围表直观的攻击行为总体态势图直观的活跃僵尸木马比例图全面的安全态势报告输出精确的统计分析功能根据基于IP地址和网段、部门、用户设定自定义等多种信息检索条件进行统计分析根据自定义的定制条件将各类信息检索结果输出报表多种预警列表和态势分布图全面反映 信息线性图、柱状图、饼图、表格等多种形 式清晰地显示统计的内容统计结果便捷打印地图及列表多种统计结果显示方式直观的地理位置地图标识显示提供危害活跃性TOP10排名灵活的用户管理功能系统运行状态显示单位分级管理 IDC机房管理用户权限自定义用户登陆日志查询非法用户尝试登陆记录详尽的解决方案服务详尽易懂的解决方案按名称查询解

12、决方案按SID查询解决方案5.7网络舆情监控功能介绍:网络舆情监控主要是针对用户关心的内容，利用分布在全国的采集节点，定时采集目标网站中客户关 心的信息并进行排重、分类、正负面判断等分析处理，向用户实时展示所关心的网络舆情信息。监控网站 覆盖面广、配置灵活、采集及时、分析智能。可帮用户实时长久的监控自己在互联网上的舆情、口碑信息， 帮助用户在网络媒体时代掌握舆论走势，了解舆情动态，进退自如，立于不败之地。网络舆情监控系统是一套综合运用搜索引擎技术、文本处理技术、知识管理方法、自然语言处理、手 机短信平台，通过对互联网海量信息自动获取、提取、分类、聚类、主题、监测、专题聚焦，以满足用户 对网络舆

13、情监测和热点事件专题追踪等需求。功能亮点：强大的信息采集系统多载体全网监控安全保护舆情系统全天候不间断监控自动生成舆情报告新闻智能提取技术自然语言智能处理结构化采集技术舆情传播途径跟踪三大舆情预警功能5.8网站可用性与性能监控功能介绍：网站群可用性与性能监控主要是通过遍布全国各地各大运营商的检测节点为客户提供7*24小时的网 站可用性、性能、安全状况监测、预警、响应、救援一站式服务。通过对用户网站的可用性、性能等做出 全面的诊断预警，对发现的问题第一时间通过电话、短信，邮件等多种方式进行报警；并提供智能报表， 使用户实时了解网站运行情况和出现的异常问题。功能亮点：网站群连通性监测网站群性能评估

14、网站群安全扫描评估站群报表5.9主机性能与流量监控功能介绍：主机性能与流量监控平台，主要针对内网设备服务进行监控。当出现问题时通知用户，重新恢复后可 以再次通知用户。可以设定相应阈值，在主机或系统状态变差前得到告警。功能亮点：设备、主机进程存活监控。网络服务监控(SMTP, POP3, HTTP, ICMP, FTP, SSH 等)主机资源监控(CPU load, Disk Usage, Memory)设备接口网络流量监控能够定义网络主机的层次，允许逐级检查，就是从父主机开始向下检查当服务或主机出现问题时发出通告，可通过email, sms,msn,feition,139邮箱向手机发短信等 进

15、行通知能够自定义事件处理机制重新激活出问题的服务或主机(触发脚本)自动日志循环支持冗余监控BS架构，Web界面可以查看当前网络状态，通知，问题历史，日志文件，等等可以在背景图上布置监控节点，方便查看5.10终端安全监控功能介绍：具有丰富而完整的策略模板，能够根据不同用户的不同需要制定适合自己要求的策略，例如用户可以 根据自己的需要启用地址绑定策略、防火墙策略、软件分发策略、补丁更新策略、资产管理策略、移动存 储策略、进程监控策略、接入控制策略、文件审计策略等等，代理将会把监控事件发送到总控中心。为用 户提供了丰富的报表，使得管理人员能够从各种角度对企业和组织的终端安全状况进行分析，并支持报表

16、模板，可以自动地、或者定期地产生报表（日报表、周报表、月报表）功能亮点：终端接入管理移动存储介质注册管理、移动存储介质访问控制、移动存储介质透明加密、移动存储介质认证、终端用户注册管理终端安全加固和运行监控补丁分发管理、病毒库升级管理、操作系统登录安全增强、网络参数监控终端、计算机帐号 监控、资源与资产管理安全预警（资源滥用、资产变更、补丁与病毒库升级、非法访问、设备状态 异常等）用户行为监控和审计进程与服务监控、程序黑白名单管理、软件安装审计、即时通讯监控QQ、MSN、UC、OICQ）、邮件监控、网络浏览审计、网络访问控制、屏幕监控内网机密信息保护计算机终端外设管理、移动存储介质认证管理、内网用户认证、打印监控、文件操作审计、文件加密、计算机终端非法外联监控、内网接入控制、网络共享访问监控、5.11安全运维综合管理监控功能介绍：统一管理对IT环境中的所有网络设