安全管理（SNI）安全管理平台建设方案

网络安全管理平台建设方案N网神SECWORLD网神信息技术（北京）股份有限公司目录TOC\o"1-5"\h\z\o"CurrentDocument"!项目背景 5\o"CurrentDocument"2需求分析 5\o"CurrentDocument"目前网络拓扑 5\o"CurrentDocument"网络及安全设备列表 5\o"CurrentDocument"总体要求 5主要功能描述 64.1网络监控功能需求 6\o"CurrentDocument"4.2安全事件管理功能需求 194.3告警管理 24\o"CurrentDocument"3设计方案 28\o"CurrentDocument"3.1建设原则 28\o"CurrentDocument"3.2参考标准和政策 282.1ISO17799信息安全管理体系 282.2ISO13335信息技术IT安全管理指南 292.3ISO15408信息技术安全性评价准则 302.4国家政策《信息安全风险评估指南》 312.5国家政策《电子政务信息安全等级保护》 322.6IT服务管理的最佳实践一ITIL 33\o"CurrentDocument"系统总体架构设计 36系统安全设计 384.1系统安全需求 38\o"CurrentDocument"4.2系统采用的安全技术 38\o"CurrentDocument"管控方式 39\o"CurrentDocument"性能指标 40\o"CurrentDocument"系统接口 417.1接口类型 417.2接口设计原则 417.3接口实现机制 423.8方案技术特点 428.1采用跨平台的软件技术框架 428.2快速定位故障节点和性能瓶颈 428.3海量异构事件的采集和归一化 438.4强大的智能事件关联引擎 448.5基于场景的事件分析可视化 458.6开放的安全管理平台 468.7紧扣信息系统等级保护要求的安全监控 464监控平,ロアロロ方案 47\o"CurrentDocument"产品选型 47\o"CurrentDocument"产品功能描述 482.1网络拓扑管理 482.2资产管理 534.2.3设备及应用监控 544.2.4业务视图 644.2.5安全事件管理及日志审计 664.2.6告警响应及协同防护 782.7报表管理 80\o"CurrentDocument"4.3支持的管理对象列表 82\o"CurrentDocument"4.4支持的!T资源监控列表 84\o"CurrentDocument"4.5产品形态及运行环境 84\o"CurrentDocument"4.6部署方案 85\o"CurrentDocument"5项目实施方案 86\o"CurrentDocument"5.1项目计划 86\o"CurrentDocument"5.2各阶段工作描述 862.1项目启动 872.2环境调研 872.3系统运行环境准备 882.4服务器软硬件准备 892.5网络环境准备 902.6被监控对象的准备 902.7系统安装部署 912.8系统定制 922.9系统测试 932.10用户培训 942.11系统试运行 942.12系统终验 952.13系统运维支持 96\o"CurrentDocument"6测试方案 97\o"CurrentDocument"软件测试概述 97\o"CurrentDocument"糸统测试 982.2测试机构 982.3独立的测试环境 982.4设计完整、全面的测试内容覆盖 992.5闭环的测试过程 1002.6选用适当的系统测试的方法、技术 1012.7制订明确的系统测试流程 1012.8系统测试用例 102\o"CurrentDocument"6.3用户确认测试 1023.1确认测试目的 1023.2确认测试组织 1023.3确认测试的特点 1023.4确认测试工作流程 1023.5确认测试用例 1033.6压カ测试 1033.7测试缺陷处理方案 104\o"CurrentDocument"术培训计划 106\o"CurrentDocument"训责任 107\o"CurrentDocument"训目的 107\o"CurrentDocument"训内容说明 1084.1前期知识培训 1087.4.2用户使用培训 1087.4.3系统维护培训 1097.4.4培训相关文档目录清单 109\o"CurrentDocument"8系统验收方案 110\o"CurrentDocument"系统初验 110\o"CurrentDocument"试运行 110\o"CurrentDocument"系统终验 110\o"CurrentDocument"应用系统验收标准 111\o"CurrentDocument"文档评审通过标准 112\o"CurrentDocument"确认测试通过标准 112\o"CurrentDocument"系统试运行通过标准 113\o"CurrentDocument"9项目管理与质量控制 113\o"CurrentDocument"项目组织管理 113\o"CurrentDocument"项目人カ资源管理 113\o"CurrentDocument"QA质量保证师 115\o"CurrentDocument"工程质量控制 1169.4.1项目管理规范约束 1169.4.2工程实施规范约束 1169.4.3项目质量控制措施 1179.4.4项目文档管理 1201项目背景略。2需求分析目前网络拓扑略。网络及安全设备列表略。总体要求此次项目要求建设ー套安全管理平台。首先,通过对客户IT资源中包括网络设备、安全设备、主机和应用在内的节点进行统ー监控,实时掌握网络中各重要设备及系统的可用性状态,及时发现网络和系统主机的故障和性能瓶颈;其次,通过实时获取IT资源中的各类安全信息,进行关联分析,实现IT资源的安全态势感知,对内部违规和外部入侵行为进行审计;然后,将IT资源的所有资产和威胁信息汇集到ー起,通过决策分析获得可测量的安全风险，并借助标准化的运维流程支撑平台对!T资源实施有效的安全策略调整。整个监控、审计和决策过程都统ー在一体化管理平台之下,实现网络、系统、安全、运维等集中式的综合管理,整合现有的监控和运维手段,消除信息孤岛,有效的减少IT系统故障可能导致的损失,降低运维成本,提高运维效率和能力,提高服务质量，建立科学合理、高效规范的业务流程,提高对安全事件的处理能力，满足不同层面角色及时掌握其关心的信息,真正构建起面向整体IT资源的全面可控安全管理体系。项目要求日志安全审计系统作为ー个统一日志监控与审计平台,能够实时不间断地将企业和组织中来自不同厂商的安全设备、网络设备、主机、操作系统、用户业务系统的日志、警报等信息汇集到审计中心，实现全网综合安全审计。要求能够实时地对采集到的不同类型的信息进行归并和实时分析,通过统一的控N网神制台界面进行实时、可视化的呈现,协助安全管理人员迅速准确地识别安全事故,消除了管理员在多个控制台之间来回切换的烦恼,同时提高工作效率。要求能够自动地或者在管理员人工干预的情况下对审计告警进行各种响应,并与包括各种类型的交换机、路由器、防火墙、IDS、主机系统等在内的众多第三方设备和系统进行预定义的策略联动,实现安全审计的管理闭环。为客户提供了丰富的报表,使得管理人员能够从各个角度对企业和组织的安全状况进行审计,并自动、定期地产生报表。要求紧扣信息系统等级保护中对安全审计的技术要求和对安全事件处置的管理要求,提供了一个面向等级保护的审计包。主要功能描述4.1网络监控功能需求遵循ISO-OSI定义的网络管理功能，支持TCP/IP协议，SNMP、Telnet,SSH、JMX、JDBC、HTTP等相关的监控标准协议。支持对设备厂商通用MIB的管理及主流厂家的私有MIB管理,支持对所有不同品牌不同类型网络设备（资源）的管理功能。实现对网络、主机、数据库、应用服务等的可用性进行监控,能按网络、业务等多种拓扑视图方式展现给管理人员，对采集的信息进行关联分析,实现智能化告警和故障定位。支持对IP进行管理,管理员可查看当前已分配IP地址，扫描当前占用的!P地址，发现未经许可私自使用的IP,对IP地址的使用进行规范管理。.1.1拓扑监控拓扑监控应分网络视图和业务视图，分层次地呈现业务系统所涉及的所有被管理资源的拓扑结构。提供灵活的浏览、监视和编辑的功能，并能动态、实时的展现性能、告警、配置方面的数据。在拓扑图上不但能察看选定节点的详细配置信息,还包括基本数据和计算、汇总后的数据。网络设备发生故障，或网络拓扑发生变化，产生告警时间需小于5分钟。1、网络逻辑拓扑网络拓扑视图展现被管资源分布和关联情况,视图可分层展现,如网络核心层、汇聚层、接入层和功能区等。提供图形化配置修改工具,允许管理维护人员灵活修改按地理或网段逻辑分布的相关联资源等基本配置信息。网络拓扑能自动发现和具有以下功能:1）能够按照设定的ー个或多个条件的拓扑结构自动发现,例如指定网段、指定资源类型等条件。能够自动区分网络设备和主机,网络设备以种子拓扑显示,主机以子网方式显示。种子拓扑和子网方式显示可手工选择和切换。2）发现路由器端口所在子网的主机分布情况，能够按照子网的方式显示。3）网络拓扑结构的显示方式可以按照用户的要求拖曳编排,从而以最方便直观的方式展示网络结构。4）可以直接用已知设备的IP地址，对设备进行拓扑发现,也可以通过网段或者种子节点进行拓扑。5）系统能通过多种方式自动发现和正确识别网络中各种品牌的网络设备，包括路由器、交换机、服务器网络操作系统、防火墙等,并能通过配置实现自动发现并正确的显示设备之间拓扑连接。6）可根据用户输入的某个IP地址直接定位,给出该地址连接于网络何处，连接在网络中哪台设备的哪个端口（可结合设备面板管理功能）,以及给出该!P地址对应的设备名（如用户主机名）。7）对于所发现的设备,提供手工编辑功能,拓扑图上的设备能够根据用户喜好,自由摆放;设备属性提供删除和修改功能，能够从拓扑图上将那些不在需要管理并且符合删除条件的设备删除掉。8）拓扑刷新功能，如有设备增减时,拓扑能自动发现和提醒管理员注意。9）拓扑编辑和拓扑发现的结果能够保存下来。2、业务视图拓扑根据应用业务的逻辑，依据业务流程、流程环节、环节模块的上下级关系创建业务视图拓扑，在业务视图拓扑中包含网络节点,网络连接,业务主机，应用服务,域名解析等,对业务的相关节点和应用进行统ー监控和关联分析,当出现业务不可用或性能告警时，可以快速定位业务故障的原因,确定到底是网络故障，主机故障还是应用故障，界定故障位置，分清维护责任。对于业务拓扑视图,可以设置权限,开放给相关业务单位监控使用。能够根据设定条件自动发现,并提供图形化配置修改工具,允许管理维护人员灵活修改拓扑。3、路由拓扑可分析各种静态和动态路由协议,对于指定任意两点（IP）,或指定源IP和目标IP,路由拓扑能自动发现IP路由信息,并以图形展示,能穿透和显示地址转换设备。4、集成链路性能监控上述拓扑视图能实现链路性能监控，在拓扑视图上能直观显示链路性能和变化状态,监控以下内容:链路连通性链路延时链路总流量各类业务占总流量的比例发包率能够设定监控阀值,超出阀值进行告警,并提供上述数据统计查询功能。5、拓扑浏览功能拓扑浏览应具有以下功能:1）显示已经编辑好的网络拓扑图;2）可以根据需要构造用户所需的网络视图;3）可以根据需要切换到不同的网络视图;4）可在当前视图和其它视图中，查找指定的被管资源;5）可以根据需要选择显示或隐藏某些类型的资源，支持资源显示过滤;6）可通过拓扑图查看节点对象配置属性;7）拓扑图应能够正确反映被管理资源间的关联;8）通过拓扑节点可以查看该节点相关的配置、性能、故障的信息；9）拓扑图可灵活反映告警情况;10）任选拓扑图中的某ー节点,可以启动该节点相关的告警详情和告警历史信息的查询统计的入口；11）拓扑图中的节点和连线用易于区别的图标显示，且能够显示该图标是否有子图；12）拓扑图中能显示图标自身属性;13）可通过点击拓扑图的网元,直接进行设备管理和简单的测试,如telnet,ssh,http,https,设备面板管理,ping、traceroute等。.1.2IP地址管理需满足以下管理功能:D提供图形化的ip地址分布查询和分配管理,可以通过图形一目了然查看ip地址分布状况,直接通过点击图形进行ip分配。2）将IP地址按照子网分类列表,便于查看和管理。3）可以方便查询到IP地址的关联信息,包括:IP地址,设备名称,MAC地址,设备描述，位置,联系人,状态（是否使用）等。4）提供!P地址查询，IP地址扫描，可以方便地查找和确定那些IP地址已经使用或者尚未使用,方便管理员的管理工作;IP地址扫描采用异步ICMP技术,可以快速扫描网段,节省管理时间。同时可根据网关设备ARP表,防止主机禁PING而发现不了IP。5）可将IP地址与MAC地址进行绑定，监控IP和MAC地址对应关系,防止IP地址冲突和IP地址盗用的情况出现,并触发相关告警提示用户。.1.3设备面板管理可以通过点击拓扑图和设备列表查看网络设备的端口面板图,查看端口的状态,如绿色表示端口连通正常,红色表示端口被阻断,灰色表示端口未连通。点击端口可以查看端口带宽、端口发送接收数据包、错误率、丢包率等参数,查看端口物理和逻辑连接信息（如下ー跳设备、连接单位和跳线信息等）。可以对端口进行关闭阻断和开通。.1.4主机和应用集中监控具体监控指标如下:1、网络设备监控指标监测参数指标包括:CPU、内存、端口流量、连接数、收发数据包等运行态状参数。N网神SFCWORIn2、主机监控指标可监测windows、Linux,Solaris,AIX、FreeBSD、HP-UX,可以从多角度多方面对服务器的运行状态进行监控。Windows主机监测指标CPU指标CPU使用率(％)磁盘指标Disk使用率(%)磁盘总量(MB)剩余空间(MB)内存指标Memory使用率(％)剩余空间(MB)内存总量(MB)Windows进程进程总数(个)和名称,变动告警接口流量接收速率(Kbit/s)发送速率(Kbit/s)接口丢包率接口输入丢包率(％)接口输出丢包率(％)指定服务器的状况(Ping)包成功率(%)数据往返时间(ms)状态值(200表示成功300表示出错)监测连接到指定TCPPort的状况数据往返时间(ms)监测指定网页连接的状况(URL)网页返回码状态网页的下载时间(S)文件大小(bytes)使用安全传输获取指定网页连接状况(SSLHTTPS)网页返回码状态网页的下载时间(S)文件大小(bytes)Linux/Unix服务器监测指标CPU指标CPU使用率(％)磁盘指标Disk和文件系统使用率(%)剩余空间(MB)内存指标Memory使用率(％)剩余空间(MB)错误页/秒(页/秒)内存总量(MB)监测Linux/unix事件日志检查的总行数(行)匹配行数(行)Linux/unix进程监测运行实例个数(个)和名称,变动告警验证脚本程序是否正常运行往返时间(ms)字符串返回值数值返回值Linux/unix主机监测命令执行结果命令配备结果(0=匹配不成功;1=匹配成功)指定服务器的状况(Ping)包成功率(%)数据往返时间(ms)状态值(200表示成功300表示出错)监测连接到指定TCPPort的状况数据往返时间(ms)监测指定网页连接的状况(URL)网页返回码状态网页的下载时间(s)文件大小(bytes)使用安全传输获取指定网页连接状况(SSLHTTPS)网页返回码状态网页的下载时间(S)文件大小(bytes)3、数据库监控指标可监测oracle、SQLServer,Sybase.Informix,DB2,Mysql等数据库,具体监控指标如ド:通用数据库状态査询数据库SQL语句执行情况返回状态数据往返时间记录个数数据库监测器监测参数Oracle数据库Oracle数据库性能游标数Session数每秒事务数数据库锁数量死锁数量缓冲池命中率Cache命中率进程内存利用率Oracle数据库表空间表空间状态使用率已用空间剩余率剩余空间总容量Oracle数据库连接数连接数

I 「Oracle数据库进程 「内存使用率数据库监测器监测参数SQLServerSQLMemoryManagerSQLServer使用的内存总量维护连接的动态内存每秒成功获得一个工作空间内存授权的进程总数查询优化的内存总数动态SQL高速缓存的动态内存总数页若不被引用将在缓存区池中停留的秒数SQLUserManager用户连接数每秒启动的登录数每秒开始的注销操作总数SQLServerCacheManager高速缓存命中次数和查找次数的比率高速缓存对象所使用的8(KB)页的数目高速缓存中高速缓存的对象数每类高速缓存对象已使用的次数SQLServerStaticManager每秒收到的Transact-SQL命令批数每秒的自动参数化尝试数每秒SQL编译数每秒SQL重新编译数数据库监测器监测参数Sybase数据库Sybase性能每分钟Sybase在读取和写入时遇到的错误数每分钟在输入和输出上花费的时间每分钟Sybase读取的输入数据包数每分钟Sybase写入的输出数据包数每分钟Sybase在读取和写入数据包时遇到的错误数每分钟Sybase读取的次数每分钟Sybase写入的次数服务器计算机的CPU每分钟处理Sybase工作所用的时间每分钟登录或尝试登录Sybase的次数服务器计算机的CPU每分钟空闲时间数据库表空间使用率

已用空间剩余率剩余空间总容量Sybase死锁死锁时间最长的进程ID最长死锁时间死锁数前十个死锁信息数据库监测器监测参数Informix数据库Informix数据库性能逻辑日志文件总数表总数表所用页面总数逻辑文件所占空间块总数块空间总数块剩余空间数据库监测器监测参数DB2数据库DB2连接状态连接总数当前连接数本地连接数DB2代理状态ActiveAgentsIdleAgentsNumberofAgentsAgentsWaitingDB2缓存池状态BufferPoolHitRatioIndexPageHitRatioDataPageHitRatioDirectReadsDirectWritesDB2cache缓存状态PackageCacheHitRatioCatalogCacheHitRatioDB2数据库性能信息当前数据库实例名DatabaseName主机名路径DatabaseAliasDatabaseStatusConnectedTimeDeadlockRatePercentageofLogUtilization

总的有效Log数PercentageofSortsOverflowed排序总数DB2执行状态SuccessfulQueriesFailedQueriesUnitsofWorkDB2数据库表空间ExtentsizePrefetchsizePagesizeCurBufferPoolIDNextBufferPoolID数据库监测器监测参数Mysq!数据库Mysql数据库性能当前活动线程总数上次监测后已执行查询总数上次监测后已执行长时间查询总数当前打开的数据表总数4、中间件监控指标可监测Weblogic、Lotus>WebSphere等中间件,具体监控指标如下:中间件监测器监测参数WeblogicWebLogic8.xStatusWebLogic8.x应用服务器的运行状态WebLogic8.xConnectionPool连接池的状态Server连接池名称当前使用的连接数量等待池中连接的最大客户数丢失的连接数连接池最大连接数WebLogic8.xJmsJMS的连接总数JMS当前的连接总数JMS的最高连接数JMSServer总数当前JMSServer总数JMSServer历史中最高总数JMSSession的总数当前的JMSSession数最高的JMSSession数已接收的Jms消息数未处理的Jms消息数Jms发送的消息数WebLogic8.x执行线程的总数

ExecuteQueueexecuteQueueName当前空闲的执行线程数PendingRequestOldestTime队列中未处理的请求数队列已经处理的请求数WebLogic8.xWebApp当前打开的Session数WebAppName打开的Session最高数打开的Session的总数StatusmbeanNameWebLogic8.xCluster激活服务器的数量ClusterName丢失的消息数WebLogic8.xHeap当前堆的总空间当前堆已使用的空间NameWebLogic8.xServer当前打开的Socket数量打开的Socket的总数当前连接数RestartsTotalCount监听端口监听端口管理端口管理服务监听端口ListenAddressNameWeblogicVersion中间件监测器监测参数LotusLotusNotes内存占用空间进程占用空间共享占用空间物理内存内存状态LotusNotes磁盘剩余空间磁盘大小磁盘类型本地磁盘远程磁盘LotusNotes服务器任务状态任务数

复制任务状态路由任务状态事件任务状态LotusNotes邮件系统Mail传递速率Mail传输速率Mail路由速率死信率总处理数Mail等待数复制等待数LotusNotes文件数据库空间已用空间空闲空间剩余率响应时间错误数中间件监测器监测参数WebSphereWebSphereServletSessions状态开启的对话无效的对话对话活动时间激活对话数存活对话数WebSphereTransaction状态全局开始事务数有关全局事务数本地开始事务数激活全局事务数激活本地事务数持续全局事务数持续本地事务数全局持续完成之前的事务数持续等待的全局事务数持续提交的全局事务数本地持续完成之前的事务数持续提交的本地事务数最佳事务数提交的全局事务数提交的最佳本地事务数回滚的最佳全局事务数回滚的最佳本地事务数全局超时事务数

本地超时事务数WebSphereBean状态创建数移走数活动数停顿数示例数破坏数装载数存储数并发激活数并发活动数总的调用方法avgMethodRt平均创建时间平均的移走时间激活的方法从池中获取数取回数缓冲池返回数丢弃的返回数drainsFromPoolavgDrainSize缓冲池大小WebSpherePerformanceServlet活动线程数剩余内存数使用内存数创建线程数销毁线程数内存总数5、Web系统监控1）监测系统主机检查CPU、内存、磁盘I/O及磁盘空间使用情况,确保Web系统有一个良好的运行环境,如果CPU、内存使用率过高、磁盘空间不足会导致系统崩溃,无法使用。2）监测系统软件检查Web应用进程占用的CPU、内存,探测80端口是否有响应。3）监测业务运行情况访问首页和一些关键网页,确保网页可以正常浏览。4）监测Web系统性能监测参数有请求速率、错误请求数、当前连接数、脚本运行错误数等。5）IIS、APACHE监控指标如下:WEB服务监测器监测参数msnsHttpWeb服务可用性Web服务的应答时间当前的连接数每秒传送的字节数当前的匿名用户数目当前的非匿名用户数目APACHEHttpWeb服务可用性Web服务的应答时间Apache被访问的次数CPU负载Apache正常运行的持续时间每分钟的请求数量每个请求传输的字节数量活动线程数非激活的线程数6、邮件系统监控1）监测邮件服务器主机监测CPU、内存、磁盘I/O及磁盘空间使用情况,确保Email系统有一个良好的运行环境,如果CPU、内存使用率过高、磁盘空间不足会导致系统崩溃,无法使用。2）进程监测检查MailServer进程占用的CPU、内存,探测25、110端口是否有响应。3）可用性监测模拟真实用户用SMTP、POP3方式发送、接收邮件,检查MailServer是否可用，发送、接收邮件速度是否正常。4）性能监测监测MailServer的性能指标,POP3当前连接数、SMTP当前连接数、POP3连接拒绝数、POP3验证失败数等。5）监测系统和各种应用服务日志7、FTP服务监控1）检查主机检查CPU、内存、磁盘I/O及磁盘空间使用情况,确保FTP系统有一个良好的运行环境,如果CPU、内存使用率过高、磁盘空间不足会导致系统崩溃,无法使用。2）进程监测检查FTPServer进程占用的CPU、内存。3）可用性监测可以通过定期上传或下载指定文件来验证系统的FTP服务是否正常。8、DNS系统监控1）检查主机检查CPU、内存、磁盘I/O及磁盘空间使用情况,确保DNS系统有一个良好的运行环境,如果CPU、内存使用率过高、磁盘空间不足会导致系统崩溃,无法使用。2）进程监测检查DNSServer进程占用的CPU、内存。3）可用性监测模拟真实用户发送DNS请求,验证DNSServer是否有响应,解析结果是否正确。4）监测系统和各种应用服务日志。9、网页内容监控应具备网页内容监控功能，发现网页无法访问或网页特定内容被篡改时可向管理员发出告警。4.2安全事件管理功能需求支持对用户方网络环境中重要的设备和系统进行日志采集,统一分析和展现,发现可疑事件时可及时进行告警,可利用历史数据进行各类安全统计,提供安全统计报表和审计报告。数据采集和处理要求支持Sylsog、SNMPTrap,LogFile,JDBC,XML等事件格式,支持事件过滤、归并和归ー化处理，支持以下的数据源的数据采集:I）入侵检测2）漏洞扫描3）审计系统4）流量分析5）防火墙日志6）网络设备日志7）主机和应用系统日志8）防病毒系统事件关联分析关联分析引擎应具备以下功能:1）提供基于漏洞的关联自动判断当前发生的信息安全事件是否真的对目标资产构成威胁,对于并不存在相关漏洞的事件,自动降低其优先级,对于存在相关漏洞的事件则提升其优先级,使得管理员可以更专注于真正会造成危害的事件。2）基于规则的关联当发生针对某目标的安全事件时,各类安全设备会产生相应的日志报警,如IDS、防火墙、交换机、主机等,系统可以采用基于规则的关联（如攻击目标），把相关的报警日志压缩过滤。3）基于统计的关联采用基于时间和数量的统计关联,把一定时间内大量的告警日志归类合并,确定安全事件类型，如确认为某种攻击行为。4）提供基于资产的关联可以将当前发生的信息安全事件与预先定义的资产进行相关,针对警报严重程度和资产价值,有效判断事件的优先级,评估当前资产遭到威胁的状况。5）提供基于知识库的关联能够将信息安全事件与现有知识库进行关联，从而精确评估当前事件对目标资产造成的危害,及其可能会导致的后果。6）提供灵活的自定义关联分析规则综合风险监控管理将事件的威胁、资产价值与资产脆弱性进行关联计算，得出资产的风险值。同时,资产与资产的组合形成安全域,进而可以进行安全域的风险评估。对风险进行实时监控,形成统一的风险级别,进行安全预警,追溯风险威胁源头。1）可图形化实时显示整个系统的风险状况，可分别按以下分类展示:域脆弱性域风险事件类别资产脆弱性资产风险事件等级2）能够根据风险的状况对资产和安全域进行评级,例如:红色:表示资产处于高风险状态,需要立即进行处理;橙色:表示资产处于较高风险状态,需要及时进行处理;黄色:表示资产面临一定的风险，需要关注;蓝色:表示资产处于较为安全的状态;绿色:表示资产几乎未受到任何威胁,处于安全状况。3）用户可以从风险监控追踪到相关的高风险事件,从而有效判断风险的来源，并进行正确的处理。4）安全事件统一展现收集到的日志信息可被安管平台统ー处理,按不同的安全事件分类,形成标准格式,以利于统一展现和后期的事件分析处理。这些事件类型应包括常见的安全攻击类型,例如：拒绝服务（DoS）、侦察、应用利用、授权、躲避、病毒、系统状态以及政策违反等。通过对范化后的事件进行同类合并和关联分析,实现事件压缩,精减数量。脆弱性管理脆弱性是指资产本身存在的，它可以被威胁利用、引起资产或目标的损害。脆弱性包括资产的物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等。脆弱性也称为漏洞,可以通过安装在用户企业被保护网络中的漏洞扫描器等软件运行获得，也可以通过安全评估过程分析获得。通过对!T资产的脆弱性管理，可以有效的预防安全风险。对脆弱性的响应可通过安全响应流程管理,以达到持续改进的目的。N网神SFCWORIn脆弱性管理应具备以下功能:1）脆弱性导入能将第三方漏洞扫描工具的扫描结果和人工脆弱性调查结果导入系统,导入的脆弱性记录以IP做为关联字段关联到相应的资产上。2）脆弱性呈现可依据选中的资产记录或安全域记录列表显示对应的资产记录或安全域下所有资产记录的脆弱性记录,可查看脆弱性的明细信息。3）脆弱性查询用户可以针对脆弱性信息的任意属性进行任意组合的查询。查询结果可以导出为Excel和html格式。查询结果分页显示,各个字段都可以进行排序操作。4）脆弱性变更一次评估（导入）之后,下一次评估（导入）之前,用户可以修改脆弱性状态:将未消除改为己消除;将未消除改为不适用,并说明不适用的理由。5）脆弱性统计可以通过脆弱性信息获得各种统计报表。可统计指定资产的脆弱性信息,指定安全域所包含资产脆弱性列表和统计信息，依据严重程度等多种关键字进行脆弱性信息查询统计，最严重、出现最多等多种条件的脆弱性统计,统计结果可导出为pdf、word、html格式文件。资产和安全域管理1、资产安全管理提供遵循BS7799/ISO17799和ISO13335的资产管理规范,允许对信息资产的价值进行有效评估,从而确定信息资产的安全需求（完整性需求、保密性需求和可用性需求），不仅可以协助用户有效管理信息资产的各类属性,同时也便于贯彻即将强制推行的公安部等级保护规范（ISO15408/GB17859）,为将来公安部的等级管理实施细则预留接口,同时也遵循政府行业安全管理规范。对用户所关注的信息资产的各类信息进行统一管理，用户可以录入、修改、查询信息资产的各类属性,包括:资产名称、描述、IP地址（支持同一资产拥有多个!P）、物理位置、管理人、操作系统、补丁版本、安装的应用软件等。N网神SFCWORIn与本平台总资产管理系统集成。2、安全域管理安全域是用户根据业务特点、网络划分、信息资产重要程度等因素,划分出的信息安全防护基本单元,贯彻安全域管理不仅可以协助用户理清现有信息系统的结构和安全需求,同时也简化了实施安全保障措施的复杂度和难度。应具备以下的安全域管理功能:1）允许用户根据业务系统、网段等不同的属性对信息系统进行安全域划分;2）允许用户将重要的信息资产与安全域进行关联;3）支持同一资产隶属不同的安全域,支持多层次安全域管理;4）用户可以对安全域进行重要性赋值;5）用户可以对安全域进行风险监控和脆弱性评估,了解其安全状况。安全预警和通告管理安全预警是ー种有效预防措施。结合安全漏洞的跟踪和研究，及时发布有关的安全漏洞信息和解决方案，督促和指导各级安全管理部门及时做好安全防范工作,防患于未然。同时通过安全威胁管理模块所掌握的全网安全动态，有针对性指导各级安全管理机构做好安全防范工作,特别是针对当前发生频率较高的攻击做好预警和防范エ作。安全预警是对来自于不同威胁事件和脆弱性模块的资产漏洞状态信息，根据规则的事件关联分析、漏洞关联分析和风险评估的进行准确分析计算,形成统一的风险级另リ,为安全管理人员进行安全预警。风险级别可按以下分类;红色:表示高风险状态，需要立即进行处理；橙色：表示较高风险状态，需要及时进行处理;黄色:表示面临一定的风险,需要关注;蓝色:表示较为安全的状态;绿色:表示几乎未受到任何威胁,处于安全状况。在接到新的漏洞通告时,本预警系统将调用关联分析中的基于漏洞的关联分析等模块,计算出该漏洞所影响的设备、系统和业务情况,从而得到该漏洞的风险等级。在接到新的威胁事件时,本预警系统将调用基于规则的事件关联、基于统计的关联分析等模块,得到本威胁事件的影响范围,从而指导管理人员做好有效的防范工作。安全通告管理的功能应包含:1）通告发布管理员上传安全通告,维护安全通告（修改、删除、查询等）。2）通告通知管理员可以指定某个通告信息以短信或者邮件的方式通知某些用户。3）通告浏览用户浏览通告;在登录的时候首页显示通告、在每个页面上都有定期刷新的栏目显示通告。2.4.3告警管理告警数据管理针对数据分析处理后产生的告警事件,进行故障定位、告警过滤、告警升级、告警级别重定义、告警前转、告警清除等操作。系统需提供告警信息的终端界面显示外,还需提供多种其他方式的用户通知，如短信、电话、e_mail等,并触发业务处理层相应的处理流程。告警管理需包括以下功能:1、告警分类与级别按照告警信息所属资源的类别进行分类,如:网络告警、主机告警、应用系统告警、入侵告警等等。告警信息的严重程度、影响范围以及与相应考核指标的关系确定告警级别,如：严重告警、重要告警、一般告警等。除了以上三种告警还存在ー种亚健康状态,指系统尚未到达告警状态,但是性能下降到达需要管理员密切关注的水平。通过对该状态的监控，系统管理员可以积极主动地对系统进行管理，避免系统故障的出现。2、告警信息格式告警内容的格式应遵循以下规则,即每条告警可包含有以下信息,并可自定义。名称说明告警的序列号产生告警消息的序列号

性能标识告警性能的标识告警标题性能的解释设备/系统的识别名设备/系统的识别名告警发生时间告警发生时间（对于多次发生的告警，则指第一次告警发生的时间）告警确认时间告警确认时间告警清除时间告警清除时间告警级别告警级别告警最近一次发生时间告警最近一次发生时间（对于多次发生的告警而言）告警发生次数告警发生的次数活动状态告警当前状态告警源告警发生源告警内容告警内容3、告警数据管理流程♦告警重定义包含以下两个含义由于故障信息采集方式较多,如Syslog、SNMPTrap,第三方网管平台等,因此系统获得的原始告警信息附带的告警级别数据一般是依采集方式而不同，另外，原始采集告警信息附带的告警级别是针对具体监控对象的，而不是从整个业务系统来考虑的。因此,需要进行统ー规整、重新定义。根据系统平台及应用逻辑在结构、功能等方面发生的变化,系统可适应对告警数据所属的类别和级别的重新定义，并通过参数配置的办法，保证后续处理的一致性与正确性。♦关联分析完成事件的关联分析处理,解决多个相关事件信息的合并、压制、过滤、定位、根源确定等问题。通过关联分析引擎和事件关联规则进行处理,系统具备智能关联规则并可由人工进行定义,对于系统接收到的事件信息,关联分析引擎通过关联规则,分析出关联结果，通过处理结果的人工分析，进ー步丰富或优化关联规则。告警显示以列表或拓扑等多种形式集中显示全部被管对象的告警信息,方便运维人员监控。告警前转对监控到的被管对象的故障信息,以手机短信、email、声音的形式实时发送给管理员,让管理人员或维护人员在第一时间内获得系统的故障信息,以便及时的对故障信息进行响应处理。告警前转具体功能描述如下:告警过滤条件设置:告警前转提供给用户灵活的告警条件设置功能，用户灵活定制一定的网元、一定的时间范围内、一定的告警级别的告警信息进行实时前转。用户还可以灵活设置前转的方式如email、手机短信还是声音通告等，可以设置同一告警转发给多个用户,以便进行有效的督处。告警前转功能需提供以下两种前转方式：自动前转：一旦本系统接收到被管对象的告警信息,自动的根据告警前转过滤条件进行过滤匹配,并根据设置的前转方式，自动通过email,手机短信和声音的形式发送给相应的管理人员或维护人员,业务处理层可根据告警自动生成工单。手动前转：手动前转方式,提供给管理人员对发现的故障信息可以通过手动生成エ单、电话通知等形式,把故障信息发给网络管理员。智能排障对于部份简单的故障,能进行智能排障,通过对被管主机中应用或系统软件进程的启、停控制。告警过滤针对单位时间内发生大量告警的情况,按维护要求和管理部门的要求及实际管理情况,过滤从底层提取的告警信息中不重要的信息,减少轻微告警的干扰,以提高监控与处理的效率。同时可以根据业务与平台的关联关系,对业务与平台两层面的告警数据进行关联分析，定位主要告警、过滤掉关联告警，提高告警的处理效率。告警过滤需要提供灵活的过滤规则，可按告警网元、告警级别、告警类别或告警标题等设置过滤规则。可根据告警信息的内容,屏蔽掉ー些次要的字段。对已设定的过滤规则需要提供保存和修改功能,便于维护人员灵活选择。告警过滤应实现对以下告警的过滤:频繁发送的同一告警由主要告警引起的相关大量的关联告警已进入业务处理层进行处理,重复发送的告警特殊情况下,只需要记录不需要展现的特殊资源的相关告警告警升级对于系统中持续出现以及超过规定处理时间仍未解决的告警,升级该告警的告警级别,以保证得到优先及时的处理。状态管理告警状态应分为有效、已查看、未确定告警和清除。4、告警确认与派エ收到告警提示后,提供友好的界面供维护人员进行告警确认,系统产生确认时间等确认信息。系统提供派发エ单功能,由值班维护人员向相关工作人员签发派工单,进行告警的相应处理。5、梯度告警提供梯度告警的功能。也就是两个时间点的数据差值如果超过了门限,则应该上报告警。这种告警不同于性能数据的超门限告警，性能数据的超门限告警只是对ー个时间点上的性能数据设定了门限,而梯度告警则是对两个时间点的性能数据的差值设定了门限。梯度告警能够迅速发现性能数据的异常变化。6、告警故障定位告警故障定位应与系统配置数据和应用逻辑相结合，根据设备厂商或应用软件开发商提供的最小粒度定位,如CPU、路由模块、网络接口卡、应用关键点等。根据网管系统的业务关键点进行管理，对可能产生告警的业务关键点进行关联,通过保证定位到定位被管资源级或业务关键点3设计方案建设原则项目的建设应遵循并体现如下设计原则:1）体系化设计原则设计系统应用体系架构时,遵循先进的网络管理理念,提出科学的综合管理体系和框架，并根据需求分析提出的各项要求,最大限度地解决系统面临的运维保障问题。2）可扩展设计原则设计系统软件体系架构时,遵循网络和安全管理规范,建立基于软件组件的可扩展体系架构,可对多厂商设计的扩展支持需求及功能定制需求,最大限度地解决系统管理设备及管理功能灵活扩展的难题。3）可控性原则采取的技术手段需要达到安全可控的目的,技术解决方案涉及的工程实施具有可控性。4）可行性、可靠性原则保证在采用综合网络管理系统之后,不会对政务外网系统的现有网络和应用系统有影响。5）标准性原则方案的设计、实施以及产品的选择以相关国际国内及政府行业有关网络管理、安全控制、运维规程为参考依据。6）保密原则对系统建设过程接触到的数据严格保密,未经授权确保不泄露给任何单位和个人。参考标准和政策3.2.1ISO17799信息安全管理体系该标准的总体要求说明企业应在其整体业务活动和风险的环境下建立、实施、维护和持续改进文件化的信息安全管理体系。识别适用于ISMS的风险评估方法、业务信息安全要求和法律法规要求。为信息安全管理体系建立方针和目标以降低风险至可

接受的水平。确定接受风险的准则和识别可接受风险的水平。具体的模型如下图所示:该模型中主要体现了PDCA的思想,应当把风险评估应用到系统开发、维护和改进的各个阶段,实现可持续化的信息安全管理体系。3.2.2ISO13335信息技术IT安全管理指南该标准中强调了信息安全控制中,风险、脆弱性、威胁以及防护措施之间的对抗性，如下图所示:安全要素及其关系某些防护措施在降低与多种威胁和/或多种脆弱性有关的风险方面可以是有效的。有时,需要几种防护措施使残留风险降低到可接受的级别。在某些情况中,当认为风险是可接受时,即使存在威胁也不实现防护措施。在其他ー些情况中,要是没有已知的威胁利用脆弱性，可以存在这种脆弱性。可以实现ー些防护措施监督威胁环境以保证威胁不至演变成能利用这种脆弱性。具体的以风险为核心的安全管理模型如下图所示:3.2.3ISO15408信息技术安全性评价准则该标准利用用户为出发点,说明了资产、弱点、威胁和风险之间的关系,同时描述了引入对策后对于安全风险的控制,本模型中强调了风险的动态性,具体如下图所示:

信息系统对于所有者来说是ー种资产,为所有者创造价值,由于这个原因,所有者对信息资产进行关注。现实的环境以及系统本身存在的问题都有可能对信息资产产生所有者不期望的后果,造成资产价值的降低,这也就是所有者所面临的风险。对于所有者来说希望降低这些不期望的事件对系统带来的损失。3.2.4国家政策《信息安全风险评估指南》我国关于信息安全风险评估的研究和标准制定方面,已经在2004年开始启动，并于今年国信办[2(X)6]9号文件中,要求建立风险管理模式，并印发《信息安全风险评估指南》作为各省信息化工作的参考,在本指南中对于风险评估各要素关系如图所示:方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属性,也是风险评估要素的一部分。风险评估的工作是围绕其基本要素展开的,在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全事件、残余风险等与这些基本要素相关的各类因素。3.2.5国家政策《电子政务信息安全等级保护》信息安全等级保护是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化健康发展的基本策略。27号文件对信息安全等级保护做出了系统的描述一片言息化发展的不同阶段和不同的信息系统有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置，确保重点。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。”电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度,结合系统面临的风险、系统特定安全保护要求和成本开销等因素，将其划分成不同的安全保护等级,采取相应的安全保护措施，以保障信息和信息系统的安全。电子政务等级保护工作分为管理层面和用户层面两个方面的工作。管理层的主要工作是制定电子政务信息安全等级保护的管理办法、定级指南、基本安全要求、等级评估规范以及对电子政务等级保护工作的管理等。用户层的

主要工作是依据管理层的要求对电子政务系统进行定级,确定系统应采取的安全保障措施,进行系统安全设计与建设,以及运行监控与改进。安全规划项目逻辑关系图组蛆体系 _策略体系_安全组织体系和岗位职责安全培训与安全组织体系和岗位职责安全培训与责质认证安全策4与流程推广实施常年安全咨商与外包展务全网安全域划分与边界整合网堵安全性调享和改造安全体系枝査与改造项目技术体系安全支撑系统和基础设施3.2.6IT服务管理的最佳实践一ITILITIL提供了覆盖“端到端”服务管理所有方面的全面的“最佳实践”指南,并且覆盖了人、过程、产品和合作伙伴的全部范畴。ITIL的开发和设计始于20世纪80年代,最近!TIL进行了改版更新以使其符合现代实践、分布计算和互联网的发展和需求。ITIL是世界范围内最广泛使用的提供和支持IT服务以及基础架构的管理方案。ITIL及其组成模块是在整体框架内确定范围和开发的。ITIL将IT服务管理分为十个核心流程和一项管理职能。这十个核心流程分别是服务级别管理、IT服务财务管理、能力管理、IT服务持续性管理、可用性管理、配置管理、变更管理、发布管理、事件管理和问题管理下图的所示的七个模块组成了!TIL的核心:•服务提供:覆盖了规划和提供高质量IT服务所需的过程,并且着眼于改进所提供的!T服务的质量相关的长期过程。•服务支持:服务支持描述了同所提供的IT服务日常支持和维护活动相关的过程。信息和通信技术基础设施管理（ICTIM）:信息和通信技术基础设施管理覆盖了从标识业务需求到招投标过程、到信息和通信技术组件和!T服务的测试、安装、部署以及后续运行和优化的信息和通信技术基础设施管理的所有方面。规划实施服务管理:检查组织机构内规划、实施和改进服务管理过程中所涉及的问题和任务。它也考虑同解决文化和组织机构变更、开发远景和战略以及方案的最合适方法等相关的问题。应用管理：描述了如何管理应用从最初的业务需求直至和包括应用废弃的应用生命周期的所有阶段。它将重点放在在应用的整个生命周期内确保IT项目和战略同业务建立紧密的联系,以确保业务从其投资中获得最佳价值。业务视野:提供了建议和指南，以帮助!T人员理解他们如何才能为业务目标作出贡献以及如何更好地联系和挖掘其角色和服务以最大化其贡献。安全管理:详细描述了规划和管理用于信息和IT服务的给定级别安全的过程，包括同响应安全事故相关的所有方面。它也包括了风险和脆弱性的评估和管理,以及成本有效的对策的实施。其中，服务支持（下图所示）描述了同所提供的IT服务日常支持和维护活动相关的过程。是在实现运维支撑平台中最常用到的模块。

服务报吿事爾统计出计报告管理工具变更管理发布管理业务、问选统计趋会分圻何尊投吿向理田楼诊断輔助审计报吿交火望度CAB各忘

录变更统计受更审核由ハ报至「发小国度发仙瓏计［发化由横I安个年服务报吿事爾统计出计报告管理工具变更管理发布管理业务、问选统计趋会分圻何尊投吿向理田楼诊断輔助审计报吿交火望度CAB各忘

录变更统计受更审核由ハ报至「发小国度发仙瓏计［发化由横I安个年费试は准配置管理CMDB日吿CMDB统计策略标准审计报告•服务台是组织机构内为所有!T用户所提供的单ー、集中的联系点,它处理所有事故、查询和请求。它为所有其它服务支持过程提供了一个接口。•事件管理负责管理所有事故从检测和记录到解决和完成的所有内容。事故管理的目标是在最小化业务中断的情况下尽可能快地恢复正常服务。•问题管理的目标是最小化事故和问题对业务的负面影响。为了达到这个目标,问题管理通过管理所有主要事故和问题来辅助事故管理,问题管理尽力记录所有的工作环境并对相应已知错误进行“快速修补”,并且在可能时产生变更以实施持久的结构性的解决方案。问题管理也对事故和问题进行分析和趋势分析，以预见性的预防进ー步事故和问题的发生。•ー个单ー的集中化的有效和高效地处理变更的变更管理过程,是任何IT机构成功运营的关键。在变更从启动和记录到过滤、评估、分类、授权、调度、建设、测试、实施以及最终的审核和收尾的整个生命周期中,必须谨慎仔细地对其进行管理。此过程的ー个关键成果是前向变更调度(FSC-ForwardScheduleofChange),它是基于业务影响和紧急性的所有领域都同意的变更的ー个中央程序。•发布管理过程采用了对IT服务变更的整体全局视野,它考虑发布的所有技术和非技术方面。发布管理负责组织机构内所使用的所有硬件和软件的所有法律和合同义务。为了实现此目标并保护IT资产,发布管理为定义硬件库（DHSDefinitiveHardwareStore）中的硬件和定义软件库（DSL-DefinitiveSoftwareLibrary）中的软件建立了一个安全的环境。•配置管理提供了成功的!T服务管理的基础,它支持着所有其它过程。其基础成果是配置管理数据库（CMDB）,在数据库中包含了一个或多个综合数据库详细描述了组织机构中的所有IT基础设施组件以及其它重要的相关的资产。就是这些资产提供了!T服务,它们也被称之为配置项（Cis）。CMDB同普通的资产注册所不同之处在于那些关系、或链接,它们定义了每个配置项（CI）如何互连以及如何同其邻居相互依赖。这些关系允许执行例如影响分析和“如果・•将会...”等的活动。理想情况下,CMDB也包含了同每个CI相关的所有事故、问题、已知错误和变更的细节。系统总体架构设计系统将企业和组织的IT计算环境中部署的各类安全设备、安全系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警全部汇集起来，使得用户通过单一的管理界面对!T计算环境的安全信息进行统一管理。借助统一管理,用户不必时常在多个控制台软件之间来回切换、浪费时间。与此同时，由于企业和组织的所有安全信息都汇聚到ー起,使得用户可以全面掌控IT计算环境的安全状况，对安全威胁作出更加准确的判断。企业和组织部署统一管理平台后,将有助于优化其安全管理的体系和流程。通过系统可以清晰界定不同管理人员之间的工作职责,使得在监控管理的时候各司其职,提高协同工作的效率,降低维护成本。系统采用三层分布式体系架构,分为数据采集层、集中管理层、界面展示层,主要包括核心服务器、WEB应用服务器、数据库。系统各组成部分具体为:＞核心服务器:负责实现管理、关联分析、过滤和处理!T计算环境中所有发生的安全事件,它是ー个高性能的引擎。它是系统的核心,作为WEB客户端、数据库和事件传感器之间的连接。在核心服务器的控制下,事件服务负责采集日志和事件,并由事件分析模块进行安全分析,然后这些数据被送到其余功能模块,最后以一种标准化的格式存储在数据库中。＞WEB应用服务器:负责生成用户操作的展示逻辑，并接收用户的请求和控制,将其转化为核心服务器的内部调用。WEB应用服务器还负责与工单系统、运维系统、OA系统、企业门户接口等等。＞数据库：集中存储所有收集的事件，以及所有安全信息管理配置信息,比如系统用户、关联规则、管理域、资产、报告、显示和系统参数等。＞事件传感器：在某些情况下,IT设施的日志和事件无法发送给管理服务器,此时,就需要通过事件传感器进行中介。＞Web客户端：它提供集中实时查看企业和组织的安全事件、深入调查分析以及对事件的自动响应的能力等。N网神系统安全设计4.1系统安全需求系统应保证只有被授权的人员才能够访问合法的资源。归结起来,安全需求主要如下:＞身份认证和访问控制:如果系统不能识别用户的真正身份,业务是无法开展的。身份认证是实现访问控制的前提条件，通过身份认证结合应用系统的授权机制,才能提供访问控制功能。＞机密性：在网络上传输的信息不能被窃取;＞数据完整性:在网络上传输的信息不能被恶意窜改;4.2系统采用的安全技术基于Java2的安全体系在系统实际的运行过程中,首先浏览器客户端通过URL的认证,在网络的传输中使用SSL加密传输，从而保证数据在网络上传输不能被其他人截获明文。进入应用服务器后,服务器根据URL的认证结果判断该用户是否有权访问HTML、JSP或Servlet。立足于J2EE的标准，开发分布式应用系统的数据安全应用。整个应用可以构建于企业内部网、Internet等广泛的领域。我们数据安全体系完全遵循SUN公司发布的JAVA2安全开放标准。整个数据安全的实施对于用户而言是完全透明的，用户完全无须了解其内部构造。用户认证与授权系统定义角色,根据需要为每类角色赋予相应的权限，根据实际需要创建系统用户账号,为每个用户赋予相应的角色,从而用户获得该角色被赋予的操作权限。用户通过在登录界面输入用户名和口令字进行登录,系统会对ロ令字的安全强度进行检查,不允许使用弱ロ令,以保证用户认证的安全。用户名和口令字加密后保存在数据库中。基于JSSE标准的SSUTLS安全套接字网络传输加密JSSE（JavaSecureSocketExtension）是用于网络传输加密的扩展包。它支持SSL3.0以及TLSL0协议,包括数据加密、服务器认证以及客户端认证等。JSSE简化了以往的三次“握手”的机制,并使数据加密变成透明的API调用,使Java的应用构建于安全的通讯通道上。目前版本的JSSE已经支持HTTPS、RSA数据加密算法（如RSA、RC4）OJSSE可以广泛地应用到基于TCP/IP的网络传输应用中,可以应用于安全套接字的应用开发;开发应用HTTPS传输协议的应用。应用攻击的防止对应用系统中，操作敏感数据的模块，其授权应该严密，并能得到有效的权限策略的验证。从应用管理的角度考虑,将敏感信息的录入模块、敏感数据管理模块、敏感数据的传输模块分开进行设计，并进行分开授权和审计。对敏感数据的操作,除具有完整的操作日志外,还需要有完全的审计能力,操作日志的管理权限不授予相应模块的操作人员（只能授予系统管理员或数据库管理员）。敏感数据采用加密存储和传输。日志管理建立完善的日志管理机制。一方面可以记录用户所有操作,做到有据可查,另ー方面可以根据需要通过多种方式对记录的操作日志进行检索和查询，进ー步分析生成统计信息。日志管理由具有日志管理操作权限的用户或系统管理员操作。管控方式管理监控方式大致可分为主动管控和被动管控两种方式。具体实现手段包括:大屏幕显示、远程桌面监控、手机短信、电话呼叫。其中大屏幕显示和远程桌面监控为主动管控方式,手机短信,电话和邮件为被动管控方式。管控方式如下图所示:

心/大屏幕7y远程监控＞大屏幕显示:各信息系统运行情况及报警信息均可直接输出到大屏幕显示系统上。＞远程桌面监控:各信息系统运行情况及报警信息均可直接输出到管理员远程桌面上,管理员也可通过远端管理机进行管理。＞手机短信:如有报警则向预先设定的管理员手机号码自动发送短信。＞电话呼叫：如有报警则自动拨打预先设定的管理员电话号码。性能指标我们提供给用户的性能能达到：＞能够集中管理1000个网络节点;＞能够实时处理5000条/秒的安全事件;＞能够达到10亿条规模的数据管理和分析能力;＞支持365天历史数据存储;＞日志分析响应时间;＜=15秒；＞客户端登录管理服务器的用户最大并发连接数:30个。y系统接口本系统涉及到各个方面的接口,其中包括与业务系统的接口、与其它应用系统的接口以及与现有三方监控软件之间的接口等。7.1接口类型平台部件接口:平台部件接口支持对象有主机、网络设备、数据库、中间件、存储与备份设备。除了提供采集接口,也保留控制接口。应用部件接口:应用部件接口支持的应用有邮件、网站等。除了提供采集接口,也可保留控制接口。事件管理接口:事件管理接口是实现监控管理平台中的告警事件信息传输给服务管理平台，并且在事件处理结束后,能够反馈给监控管理平台。配置信息接口：配置信息接口完成服务管理平台的配置变更与监控管理平台中的配置信息部分同步。服务管理平台接口:服务管理平台接口支持与其它服务系统（如呼叫中心等）进行工单的转派。7.2接口设计原则系统应按照以下原则设计接口：接口可以灵活配置,并且可扩展;具有可靠的接口数据出错处理机制。使用简单、快捷的方式实现与其它相关系统的接口;接口数据操作应保证在规定的响应时间内完成,同时还要保证各相关业务系统的运行效率不受影响;保证接口数据在两侧系统的一致性;接口数据能够方便的形成,并能在被接口方顺利地导入；在接口数据交互过程中,应具有数据传送和接收传送后的确认过程；在满足要求的前提下,使接口数据量最少；接口数据传输控制策略可靠且完善;利用开放标准；N网神SFCWORIn提供适当的安全控制。7.3接口实现机制接口具体实现机制应包括:基于消息中间件、基于过程调用和共享数据表、基于FTP和基于自定义协议的方式。系统的接口应该适应外部系统等现有系统的提供接口,保持现有系统稳定,变化小,应提供如下接口方式:＞应用程序接口(API)＞过程调用＞共享数据表＞文件传输或文件共享＞Socket数据流方式＞Web链接方式3.8方案技术特点系统具有以下技术特点:＞采用跨平台的软件技术框架＞快速定位故障节点和性能瓶颈＞海量异构事件的采集和归ー化＞强大的智能事件关联分析引擎＞基于场景的事件分析可视化＞开放的安全信息管理平台＞紧扣信息系统等级保护要求的安全监控3.8.1采用跨平台的软件技术框架系统采用了基于J2EE的技术框架,可以跨数据库平台和跨硬件操作系统平台;后台数据库可以使用MSSQLServer、MYSQL等,也可以运行在Liunx、Windows＞Unix系统上。3.8.2快速定位故障节点和性能瓶颈管理系统能够自动采用!CMP和SNMP协议监控网络拓扑的所有节点,当这些网络节点出现故障时,系统将会产生告警事件,同时拓扑图中的设备图标也会显示故障状态;当ー个管理子图发生设备故障时,子图图标也会发生相应改变,因此管理员可以根据子图快速定位故障。对于主机,数据库,中间件,服务,应用系统的监控,管理员可以自定义监控指标的阈值,监控的时间间隔,监控的描述和告警方式,通过接收告警信息,管理员可以快速了解问题所在,及时采取措施。3.8.3海量异构事件的采集和归ー化为了实现企业和组织网络全部的安全事件集中管理，必须采集来自网络中各种设备和系统的日志、告警、事件。事件服务器的接收信息量十分庞大,仅仅一台防火墙,一天产生的日志量可能超过1G;而ー个大规模的网络中所有的事件产生频率可能高达6000条每秒。对于企业和组织的IT计算环境而言,有的设备或者系统能够产生并发送事件给系统，同时,发送事件所采用的协议各不相同;而有的设备或者系统无法发送事件，甚至就不能产生事件。为此,系统提供了一套灵活有效的机制使得无论在何种情况下,都能确保事件被汇集到管理服务器。对于能够发出事件的设备或者系统,支持以SNMPTrap,Syslog协议的方式接收。而对于其他协议，可以通过定制ー个协议转换器实现事件的接收。对于不能产生或者发送事件的设备和系统,如果事件存储在数据库中，系统可以通过标准的ODBC接口进行事件采集。如果事件存储在本地文件中,系统提供事件传感器,可以读取本地文件并发送给管理系统。如下图所示,显示了灵活的事件采集能力:管理屮心WEB应川眼多・器系统在实时接收海量事件的同时,需要对每个接收到的事件进行归ー化处理。来自不同设备和系统的事件千差万别,只有将这些大量的异构数据转化为内部统ー的数据格式才能进行后续的关联事件分析,才能为用户提供ー个全局统ー的事件监控界面。系统采用事件映射的方式进行归ー化，提供了广泛和灵活的事件映射，消除了需要学习来自不同厂商的同类产品（例如防火墙或IDS）的信息差别的过程。事件归ー化为用户提供ー系列能满足过滤器和关联规则定义的丰富信息。同时,即使用户日后扩容部署了新的安全设备和系统，它的事件也很容易纳入到整个系统中来,而无需更改相应关联规则、过滤器等。3.8.4强大的智能事件关联引擎作为企业和组织计算环境中安全事件集中管理平台,系统最重要的一个任务就是消除计算环境产生的过多的误报和错报,发现潜在的威胁，让安全管理人员将注意力集中在真正的威胁和攻击上，避免分析麻痹。

0Q 0uFiDAmsKu,即g:而Sybase“网“慟鮎物ORACLe0Q 0uFiDAmsKu,即g:而Sybase“网“慟鮎物ORACLeMicmstfxSQLServarjDOcisco系统具有一个强大的智能事件关联分析引擎,实现了多种关联方式:＞基于规则的关联＞统计关联＞基于时序的关联＞资产关联:资产的属性任意扩展＞弱点关联＞业务关联:黑白名单、案例系统的关联是实时发生的,管理服务器在收到事件后立刻开始在内存中进行关联分析,同时存入数据库。系统的关联引擎采用了“内存快速符号表检索”专利技术。系统同时内置了多种关联规则,用户也可以根据自己的实际情况很容易地自定义规则,具有极好的灵活性和可扩展性。3.8.5基于场景的事件分析可视化作为ー个集中的安全事件管理系统，接收了大量的事件信息,尽管通过事件归ー化、聚合和关联能够大幅减少无效事件,但是对于ー个ー线的安全监控人员而言,仍然必须面对相当数量的安全事件。设想一下,如果每秒收到6000条事件,而这个单位的安全级别又比较高,要求24x7的实时监控。那么,ー个管理员在监控事件的时候很容易产生视觉疲劳，随着时间的推移，工作效率直线下降。为此，系统使用场景的方式将事件分门别类,使得用户在ー个时间仅仅关注某个主题的事件集合,从而大大降低视觉疲劳产生的几率。

场景,是指用户感兴趣或必须指定需要实时观察的符合要求的事件序列。通过基于场景的事件分析方式,迅速将分析视角定位到用户关注的事件,并能够快速进行场景切换,提高工作效率。系统预置了大量的场景，包括实时分析场景、历史分析场景和统计分析场景，用户也可以自己根据需求随意定义和扩展。3.8.6开放的安全管理平台系统从设计伊始,就十分强调整个产品的开放性,因为只有开放性才能满足用户不断优化的IT计算环境和不断提升的安全需求。系统的开放性体现在以下四个方面:＞通过添加配置文件的方式实现对新设备的支持，不需要修改代码，方便快捷＞企业级的分布能力,可伸缩性的安全信息管理平台＞可以和外部的其他应用系统进行集成,将安全管理集成到整个企业统一管理流程之中＞基于SOA开发的安全信息管理平台可以集成到企业的信息总线中,成为企业信息系统的ー环，更加有效的保障信息系