安全管理平台技术白皮书

1、天元龙马安全管理平台技术白皮书北京天元龙马科技有限公司2006年12月目录 TOC o 1-5 h z HYPERLINK l bookmark19 o Current Document 第一章产品概述3 HYPERLINK l bookmark22 o Current Document 第二章系统结构3一、系统架构3二、主要模块4 HYPERLINK l bookmark28 o Current Document 第三章系统功能描述5 HYPERLINK l bookmark31 o Current Document 1、系统管理5 HYPERLINK l bookmark35 o Curr

2、ent Document 2、资产管理5 HYPERLINK l bookmark39 o Current Document 3、变更管理6 HYPERLINK l bookmark43 o Current Document 4、事件管理6 HYPERLINK l bookmark47 o Current Document 5、预警管理7 HYPERLINK l bookmark51 o Current Document 6、报表管理7 HYPERLINK l bookmark55 o Current Document 7、知识库管理7 HYPERLINK l bookmark59 o Cur

3、rent Document 第四章系统特性7 HYPERLINK l bookmark67 o Current Document 第五章系统运行环境8第一章产品概述随着互联网的发展以及信息化程度的逐步提高，很多组织和机构部署了局域 网或大型广域网络，为应对多元化、复杂化的安全威胁，安全设备如防火墙也在 网络中得到大量的部署，随着网络规模的日益增长，在整个网络上不断对多个安 全设备管理，更新和维护最新的安全策略变成一项日益复杂和耗时的任务。对于 安全管理员来说，分别管理每个防火墙或VPN网关等安全设备是既耗时又繁杂 的一项工作，更重要的是，这将给网络安全带来极大的风险。因此，我们需要一个完整的安

4、全设备集中安全管理的平台，它能够对分布在 网络中对网络安全进行控制和分析的网络安全设备进行有效的统一管理，使它们 能够互相支撑，密切协同，有机互动，从而充分发挥其应有的作用。一个集中式 的信息安全管理平台能够总体配置、调控整个网络多层面、分布式的安全系统， 实现对各种网络安全设备的统一策略管理、统一设备管理和审计、集中监控、统 一日志统计和事件分析，以及实现多种安全功能模块之间的互动，使得网络安全 管理工作由繁变简，更为有效。北京天元龙马科技有限公司独立研发的安全管理平台，就是为了解决各种安 全产品之间的协作问题而建立起来的一个信息交换、信息存储、信息处理的平台。 安全管理平台能够充分发挥现有

5、的产品的潜力，为用户建立一个具有全局性的网 络安全处理、防御、响应综合平台。第二章系统结构一、系统架构天元龙马安全管理平台系统是一个基于浏览器/服务器管理模式的软件系 统，整个系统通过浏览器的方式进行配置及管理，系统部署简单，可操作性强。 系统的体系结构如下：防病毒 数据库审计安全审计AIX系统:、主要模块天元龙马安全管理平台系统由以下几部分组成：安全产品运行状态信息采集构件该构件能够提供轮询或发布的方式采集如下信息：产品是否在运行的状态信 息；该产品所在设备或计算机的CPU占用率、MEM占用率等。安全产品报警、日志信息采集构件该构件能够提供报警、日志信息采集功能；能够很好地解决重复采集问题（

6、例 如采集器重启后重复获取产品报警信息问题）；安全产品所发布的报警信息、日 志信息应该具备可阅读性或者可被转换为可阅读信息。Web服务系统Web服务系统是天元龙马安全管理平台系统的管理服务系统，该系统以Web 服务的形式存在，用来接收管理端浏览器发过来的管理请求，并通过与应用服务 系统交互，最终完成对网络对象的管理及控制。Web服务系统以可视化的界面方 式为管理员提供简洁的管理形式，并提供强大的分析能力，使管理员以图形或报 表的方式展示安全设备的状态及报警信息。 控制台控制台只是一个信息操作界面，它不负责报警信息的处理和分析。控制台以 多种形式将报警信息展现给合法的用户。这些形式包括：列表，统

7、计，拓扑，声 音等。 数据库系统的数据库中存储大量的系统运行所需的参数信息及网络设备的各种指 标信息及配置信息，数据库中还包含系统用户管理信息、日志信息等其他与系统 运行有关的数据信息。 代理代理是安装在各个网络设备终端的基于TCP/IP协议的代理服务，用于实现 特殊设备报警信息的收集。第三章系统功能描述1、系统管理天元龙马安全管理平台系统是一个基于B/S方式的网络管理系统，任何拥有 浏览器并能访问该系统的Web服务的用户都能对系统实施管理。因此，安全的 管理人员访问及权限控制是非常重要的。天元龙马安全管理平台系统将用户分为 超级管理员、系统管理员、设备管理员等多种角色，系统还允许自定义用户角

8、色。 系统管理功能包括：用户管理（用户注册，修改信息，用户注销，口令修改等）角色管理（角色定义，角色分配等）系统平台管理（系统重起等）2、资产管理资产是指我们或与我们有合作关系厂商提供的安全或部件，这些产品或部件 已经被用户购买，我们已经给用户做了合法授权，用户可以在自己的网络中合法 使用的软件或硬件。资产管理共分为：“资产管理”、“资产拓扑”、“资产状态”、 “地理信息”、“主机信息”、“硬件信息”等几部分。3、变更管理提供变更的流程管理，从创建，审批，执行到检查的全过程控制。变更的发起可能由管理员主动发起，可能根据某个事件被动发起，可能属于 日常性的维护，由系统自动发起。实现审批任务的自动

9、流转，每个用户登录时需提示待审批事件的列表。变更任务单需要存档，同时需要设计该任务单的转存，备份，清理策略，允 许客户根据自己的需要灵活的选择对于接收到的报警信息，可以根据用户自定义规则进行处理（如过滤规则是 什么，即哪一类型的事件需要启动变更流程）4、事件管理实时收集各系统、应用产生的日志信息，以及各种物理平台的状态信息。与 此同时，收集由各种终端发送给服务器端的报警信息。能够对主机系统、防火墙系统、入侵检测系统、漏洞扫描系统、抗拒绝服务 系统、防病毒系统、路由器、交换机等主流的系统和设备进行日志、告警事件的 收集和监控，并能实现事件的过滤、标准化、整形和关联等一下列的技术手段， 最终展现给

10、用户真实、有效的实时事件信息。用户可以自定义关联规则，对搜集的告警事件进行关联。可以根据不同类型 告警事件的具体内容进行相应的关联分析。支持按照风险等级的高、中、低实时显示关联后的事件信息。并对风险分级 云因进行说明。能对安全事件进行多种查询条件的查询，包括发生时间、事件来源、影响目 标、报告设备、事件名称、危险程度、事件类型等。提供统一的策略与响应机制：系统能够对收集到的安全事件和系统网络事件 按优先级进行分类，并能通过直观的图标、颜色、闪烁等手段区分各类事件。支持对资产属性变化情况进行监控和告警，如服务器新开监听端口等。5、预警管理根据系统收集的日志及其重要程度，产生报警信息，并将报警信息

11、通过不同 途径发送给资产相关负责人。提供配置方式，允许用户配置报警处理方式，如普通警告事件，发送email， 对于严重警告，发送短信息等。6、报表管理提供所有数据的展现，要求展现形式多样化，列表，饼状图，柱状图等。可以对事件进行统计分析的结果进行查询，统计的类型包括综合统计分析、趋势 分析和决策分析，分析结果以多种形式（列表，图表，包括饼图柱状图等）展现， 并支持多种格式的导出（html，word，excel和pdf等）根据客户定义的报表类型，可生成日报表，周报表，月报表。7、知识库管理提供安全策略、安全制度、安全标准的查阅管理功能，支持内部安全制度的 发布、更新，并支持安全策略的下发和查阅产

12、品内置安全知识库包括：陷阱知识、硬件信息、漏洞库，安全技术知识库 等。第四章系统特性具有对安全设备的支持，与防火墙、IDS等安全设备联动，构筑安全的管理 平台；具备良好的可扩展性，很容易与安全产品进行结合：1、提供方便、简单、有效、全面的输入输出接口，能够很容易地实现与其 他产品集成。2、支持标准的SysLog日志接口。3、能够通过SNMP网络管理协议与网管系统进行协作。4、支持安全管理平台之间的级连，层数不受限制、规模不受限制。5、系统支持多客户端同时接入，支持多种方式同时接入。支持网络对象拓扑发现、拓扑展示、拓扑管理等可视化管理功能；具备完善、统一的策略与响应机制：SysLog转发、电子邮

13、件等； 跨平台性，支持包括Unix、Linux、NT/2000等多种操作系统；支持分级用户管理与安全认证机制；支持资产权限划分，保证资产的安全性；具备安全事件、日志的统一存储、分析能力，数据挖掘能力；丰富的报表功能；易于部署迅速实施，对当前网络的设置不需要做任何改变； 完全基于WEB方式，运行维护灵活方便；源代码级技术支持，能很好地满足企业个性化信息平台运营维护方面的需 求。第五章系统运行环境天元龙马安全管理平台适用于各种复杂的网络环境，完全实现了跨平台管 理。天元龙马安全管理平台可安装在Windows或Linux环境下，您可以监测包括 Windows NT/2000、Unix、Linux、Solaris AIX、HP-UX 等多种操作系统的服务 器及其应用。安装