【G金融企业网络安全管理问题及系统设计11000字（论文）】

参考文献PAGE5G金融企业网络安全管理问题及系统设计目录TOC\o"1-3"\u第1章G金融企业网络安全管理现状及存在问题分析 51.1金融企业网络安全管理现状 51.2G金融企业网络安全管理存在问题 51.2.1安全部门及岗位设置问题 51.2.2帐号生命周期管理问题 51.2.3访问操作控制问题 61.2.4操作行为审计问题 61.2.5网银系统防护及防欺诈问题 61.2.6数据库安全问题 61.2.7监控中心及平台化问题 71.2.8合规性管理方面问题 7第2章G金融企业网络安全管理系统设计 82.1安全合规管理中心平台 82.1.1设计框架 82.1.32功能要求 82.2安全运维管理 92.2.1设计目的 92.2.2设计框架 92.2.3功能要求 102.2.4建立集中监控体系 132.2.5安全管理中心 142.2.6应急响应体系 152.3基础安全服务和架构 172.3.1用户安全 172.3.2物理环境安全 172.3.3应用安全 172.3.4数据安全 172.4营业部安全管理. 192.4.1网络安全 192.4.2应用安全 192.4.3审计管理 19第3章G金融企业网络安全管理系统实现与测试 213.1系统拓扑 213.2系统实现. 233.3系统测试 25第4章结论 27参考文献 30第1章G金融企业网络安全管理现状及存在问题分析1.1金融企业网络安全管理现状近年来，不止个人用户在逐渐关注和重视网络安全，各个企业也把目光转向了安全问题。而G金融企业，作为与货币打交道的企业，更是需要维护好网络安全。目前，G金融企业的信息系统功能越来越复杂，系统越来越庞大，简单传统的网络安全维护已经不能满足现代的网络安全形势。第二章中介绍的相关内容都是传统方法。现代的网络安全需要一种动态的、主动的、准确的网络安全管理系统。该系统可以监察整个G金融企业的庞大的复杂的信息系统。不再需要人员被动式的进行网络安全的监察、排除、报警，而是由人工智能、Muti-Agent等技术来实现系统主动追踪安全隐患、自动排除错误，主动报警的功能。G金融企业的网络安全管理伴随着计算机技术、互联网技术、人工智能技术等的发展，已经呈现智能化、多样化、便捷化的发展趋势。1.2G金融企业网络安全管理存在问题1.2.1安全部门及岗位设置问题在企业的网络安全管理中需要各种不同的角色，如流程(需求)发起人、变更人员、审核人员、复合人员、流程(需求)关闭人员等均需预定义角色并应由实际不同人员承担，目前多数企业存在角色复用及角色缺失情况。这就会造成网络安全存在人员岗位方面的隐患。例如，某企业在网络安全中，只设置了安全岗位，并没有安全部门，安全岗位设置在IT中心下的运行中心部门下的基础架构组的安全岗位，在实际工作中负责安全管理只有2人，而其中1人还承担其他组的工作，实际承担安全管理职责的应为1.5人，而依据常规的安全管理要求，安全部门专职负责信息安全管理的人员应超过了信息技术人员的2%或达到至少2人的要求，按照现有IT中心规模没有达到人员编制要求，由此带来的在实际安全管理过程中与流程角色相关的职责及合规部门、审计人员的工作配合均很难配合、很难专人专职。网络安全都是防患于未然，当安全没有发生威胁时，人员的设置问题可能不会出现，但是一旦发生网络安全，安全部门人员及岗位的设置问题便会是隐患。1.2.2帐号生命周期管理问题帐号的生命周期管理作为数据中心在安全管理方面是必不可少的，特别是需要建立一套自动化、平台化的帐号生命周期管理系统，借助流程化平台完成整个数据中心的主机、服务器、网络设备、应用平台及其他专业系统的帐号生命周期管理。目前很多金融企业都缺乏账号的生命周期管理。原有的账户安全通过相关制度、安全策略及技术手段来实现针对相关资产的帐号和口令的复杂性设置，口令基本选择系统本身静态认证方式，帐号口令相关安全策略基本符合等级保护中针对客体资源安全帐号的相关要求。但是还缺少帐号的生命周期管理机制，它会导致:(1)实际运维人员及目标资产帐号无法一一对应。(2)访问目标资产的帐号在申请、变更、托管、注销等方面，主体资源无法正常发起流程，无法自动化完成相关流程。(3)帐号口令的生命周期无法自动完成，特别是帐号的时效性、口令的时效性、自动按照既定的安全策略重置口令等功能。(4)缺乏有效的平台化支撑流程体系，与所有人员身份库的同步，主体帐号、客体资产帐号的申请、变更、维护、注销等各流程有效结合缺乏。(5)缺乏针对第三方人员身份管理及访问资产帐号控制体系。1.2.3访问操作控制问题网络安全通过运维人员拥有的目标资产的帐号进行日常相关作业维护，虽然具备相关授权管理制度及变更、运维管理流程来制约相关访问控制，但是还是缺乏平台化、系统化的访问控制授权体系。为了安全的提升，权限的控制，G金融企业必须建立系统化、平台化的访问控制体系，能够有效的解决运维人员越权操作、人员资源授权混乱的局面。1.2.4操作行为审计问题运维人员实际运维过程中针对目标资产所做的相关配置变更、查看数据及相关敏感操作均为个人行为，没有相关系统化、平台化的机制进行规范、约束、警示作用，很难做到实际运维过程违规操作的监控及事后审计效果。为了审计操作行为，G金融企业网络安全管理必须应用系统操作管理记录，包括操作时间、操作人员及操作类型、操作内容等记录。1.2.5网银系统防护及防欺诈问题随着电子商务的发展，网络银行的用户已经越来越多。而网银系统的安全问题一直是用户担心的问题。同时也是G金融企业担心的问题。针对WEB站点本身所存在的安全漏洞、威胁、代码安全无法正确预知，同时针对典型的WEB攻击行为，如:SQL注入、跨站脚本等恶意攻击行为无法实时阻断，很难形成针对WEB站点自身的安全保护，所以WEB自身安全性存在很大安全隐患。同时，网银业务及系统平台面临着交易欺诈行为，如钓鱼网站的行为。通过建立网银交易防欺诈平台可以有效对网银交易进行保护。1.2.6数据库安全问题信息就是生产力的时代已经到来。G金融企业的信息更是企业的生命。企业所有的数据都存储在分布式的数据库中，这些数据包含着用户账户、用户隐私，银行内部财务等，都是不能被他人窃取的信息。用户的访问、黑客的入侵、数据的存储过程，都存在着安全隐患，目前数据库安全隐患集中在:(1)越权滥用(2)敏感数据被修改或者盗用(3)权限盗用(4)数据库平台漏洞(5)SQL注入(6)缺乏详尽审计(7)拒绝攻击(8)数据库通信协议漏洞(9)弱鉴权机制1.2.7监控中心及平台化问题较大的数据中心一定需要建立集中的监控平台来完成对所有目标对象的监控，并通过统一监控中心平台来完成对安全事件、性能、业务等方面监控流程执行，包括变更流程、运维流程及响应流程等。同时通过建立统一监控平台可以完成运维机制的知识库的建立，配套完成在执行流程过程维护所需的知识体系、预警体系、工单的预处理手册等。.通过集中监控平台来完善针对流程、完善人员岗位角色的完善，真正形成基础架构监控、网络监控、业务监控、安全事件监控为体的统一监控中心。1.2.8合规性管理方面问题合规部门及相关岗位，目前涉及内部业务交易及合同管理，没有涉及It及安全。合规部门及相关岗位要经常性的开展信息安全自查及配合检查等任务。从安全管理流程来看，在完成相关配置变更或相关流程执行均需要安全管理人员、系统管理人员、部门管理经理、审计人员、审核人员、复核人员等角色或部分角色参与其中，具体流程是否执行、执行过程是否合规等问题均无法通过系统化、平台化的方式实现自动合规评估。

第2章G金融企业网络安全管理系统设计2.1安全合规管理中心平台2.1.1设计框架图2.1安全合规管理平台的设计框架框架中含四层架构:资产及专业系统层:主要资产管理、专业系统及专业安全子系统的数据采集分析，该层工作主要由资产管理模块及专业子系统本身完成，因为作为合规数据的数据源，该层所审计和提交的数据最准确;数据采集层:数据采集层负责从资产、专业系统和专业安全系统采集数据，可以直接采集资产数据、也可以采集专业系统数据，形成数据仓库;采集接口应支持各种标准采集接口:合规分析层:合规分析层主要包括合规策略引擎和合规分析引擎，负责对采集层所采集到的数据的合规策略的集中学习、制定、计算以及合规性分析:合规呈现层:合规呈现层主要为平台的整体Portal.通过该Portal可以整体呈现合规的各种标准报表、定制报表、以及统一合规搜索引擎。2.1.32功能要求安全合规管理的建设主要融合了安全管理、技术防护体系、系统运维体系、流程服务体系等内容。合规管理平台应提供对管理体系、各专业安全防护系统、各专业子系统、流程服务平台等标准事件采集接口提供合规策略制定中心，形成各种标准的合规检查KPI;提供统一合规检查搜索引擎，提供用户自查、上级检查通道;提供金融行业、证券行业特有的合规检查报表模版，如等级保护检查等。2.2安全运维管理2.2.1设计目的本文的安全运维管理平台采用4A运维体系平台。通过建立帐号口令的集中管理系.统来完成对IT中心所有人员的身份鉴别，实现统一人员身份库，如LDAP库的建立。形成数据中心整体身份库:通过统一接入维护平台的建立解决It人员资产授权的问题，同时将IT中心统--身份库与平台建立接口，形成自然人身份与实际资产中系统帐号相互匹配，有效解决运维实名制问题。通过授权体系有效分配资产，并通过审计管理中心完成对所有人员操作行为的安全策略控制及事后审计工作。通过建立4A体系形成以帐号生命周期管理、人员身份鉴别、操作高可靠、运维过程审计等功能为一体的安全管理平台。2.2.2设计框架下图2.2是设计框架。图5.24A运维体系平台的设计框架2.2.3功能要求身份和访问安全通常定义为身份验证、访问管理和身份生命周期管理三部分。(1)账号管理账号管理模块是4A管理平台的核心，认证、授权模块需要的很多重要数据都是有账号管理模块负责管理的，如用户(主账号)、从账号(系统账号)、资源、应用等数据，它们一起构成了4A管理平台的身份数据库。账号管理应处理以下几件事情:(a)梳理主从账号对应关系:可以提供梳理模板。(b)考虑账号的生命周期管理。(c)考虑和现有OA、LDAP等做接口同步数据。(d)建立账号审批流程。(c)健全人员角色。(2)认证和授权体系.4A认证方式包括:(a)本地静态认证接口(b)动态短信接口(c)工单方式接口(d)动态令牌方式(c)LDAP方式接口(f)动态接口从内部角色的角度而言，用户在系统中都具有一个相应的主账号，该主账号可以对应系统中的一种或多种角色类型，不同的角色，对系统中的各种被管对象账号等具有不同的访问及管理权限。如下图2.3所示:图2.34A管理平台的设计的角色授权模型从外部角色的角度而言，一个用户可能具有多个从账号，这些从账号分属于不同的系统或应用。对这些从属于各个不同资源对象的从账号来说，其权限的控制更多的基于其所属对象的本身的账号权限管理机制。授权体系一.般在4A平台中采用堡垒机技术实现比较多，针对某某公司的现状，目前可以采用堡垒主机技术来实现，基于原有的KVM的维护方式，也可以和堡垒主机技术进行集成，从而实现命令行及图形方式的运维授权及管控。(3)日志审计日志审计功能包括对如下内容的审计。操作日志包括用户下达的指令及返回的结果，如用户通过SSH、Telnet、Ftp等所做的所有操作日志，这些日志信息由堡垒主机(若使用堡垒主机技术)获取，并通过堡垒主机送往审计模块进行审计。数据库日志包括用户对数据库的访问，如登入、登出、SQL、存储过程等。4A管理系统全面支持对数据库操作的审计，无论字符工具还是图形工具都能够获取具体的字符操作记录，例如具体的sql语句。字符工具通过堡垒主机字符方式获取具体的操作记录，图形界面工具可以通过两种手段同时进行审计，-种是通过图形堡垒主机获得用户身份信息和具体的操作时间，并要的时候可以记录用户的屏幕操作，同时使用部署在安全堡垒主机同个网段的的数据库审计设备，对该网段的数据库操作的进行实时的监听，并进行解包，获得具体的数据库字符操作信息，并把这些信息发送到4A管理平台的审计系统进行综合统一分析。4A管理平台收集到这些信息后与图形堡垒主机获取的信息进行关联，使具体的数据库操作能够关联到用户(自然人)，实现人和操作的一一对应。系统日志主要指用户对主机、网络设备的登入日志，如LoginScessful、LoginFailed等，这种日志大部分可以通过Syslog发送到审计模块进行审计。应用日志是指应用程序的日志，如Wcb的日志，通过对这种日志的分析可以发现哪个人在什么时候访问了哪些页面，做了什么操作，成功与否等。4A自身日志可以细分为用户操作日志和系统日志，用户操作日志是指哪个人在什么时候做了哪些操作，操作的结果怎么样:系统日志主要指系统各组件运行过程中记录的一些日志，如错误日志、发短信、邮件产生的日志等。(4)审批流程管理审批流程如下图2.4所示。图2.4审批流程涉及人员:从账号申请人、部门安全管理员、部门经理、中心安全管理员、中心经理、执行部门经理、执行部门安全管理员、执行人。其中:(1)申请时说明账号名称、权限、有效期:(2)请求到达中心安全管理员时，其判断是否需要给中心经理审批，若需要，中心经理审批完再回到中心安全管理员，再继续下面的流程:若不需要，直接发给执行部门经理:(3)支持驳回。实际流程落地及运维体系应参照已经实现的ISO20000中各种变更流程的角色设置，以此来修正4A中各种角色。2.2.4建立集中监控体系建立安全管理中心、形成监控机制、审计机制。对于G金融企业网络安全，无论是在安全运维管理模式还是人员组织架构方面，不应还采用多套系统共同完成某-特定防护的体系平台，应建立统一集中监控平台，来实现针对基础架构整体监控、应用平台运维性能监控、业务风险监控、安全事件监控等体系。集中监控平台应为统--安全监控管理平台，该平台承载着所有监控数据的汇总、各类监控动态呈现、分类呈现报表信息、各类监控数据运维工单接口、变更行为发起接口、运维反馈接口等统一监控门户。应设立专门的监控岗位，负责对统一监控平台的维护及监控数据查看，所有监控行为均由监控岗位汇总，所有运维流程起源均应由监控平台提供凭证，然后再进行派发工单形成变更流程。同时建立集中化监控体系，便于进行审计信息的关联分析机制。设计框架如下图5.5所示。图2.5集中监控体系框架通过三层架构来完成，形成最终最业务的影响分析模型以及合规性报表。其功能包括:事件源采集要求、关联分析要求、告警要求、知识库要求、报表要求。2.2.5安全管理中心G金融企业需要借助安全运行管理系统把分散的安全信息进行集中管理，为企业的通信网络和业务支撑系统提供安全保障。安全运行管理系统是对安全信息的集中管理，需要与其他业务系统之间完成交互，首先ISMP系统接收来自第三方的安全预警和安全投诉，然后通过电子工单提交给监控管理人员对外围安全防护设备及安全对象下达执行安全策略，同时，ISMP系统采集安全防护设备和安全对象的安全信息，并且对其进行关联分析，计算安全风险，呈现给安全管理员。安全管理人员对相关安全信息进行统计汇总后形成报表，将报表通过办公信息系统提交领导进行分析决策。安全运行管理的平台架构如下图2.6所示。:。ISMP安全运行管理系统总体结构可以分为以下几个部分:PORTAL管理、ISMP主体功能模块、安全信息收集平台、应用接口层。PORTAL管理:对于企业中支持B/S方式进行管理的安全管理系统，但是他们属于安全管理系统的一部分，例如垃圾邮件投诉处理系统，审计系统等，对于这样的系统，采用PORTAL方式进行集成，统一纳入信息安全管理系统进行管理。通过PORTAL功能的集成可以实现多个安全管理子系统的单点登录和安全系统的集中授权管理。ISMP主体功能模块:对安全事件进行统计、追踪和监控。安全信息收集平台:主要负责对安全事件、安全脆弱性等安全信息的收集，由各种数据采集组件组成。应用接口层:通过接口实现系统之间的连接以及系统的可扩展性。公司安全运行管理系统以安全对象的属性信息及相关安全事件输入为基础，通过各个功能模块的处理，最终将系统处理结果与安全对象的属性信息进行关联，完成安全信息数据在系统中的闭环流转。2.2.6应急响应体系在应急响应体系中，事件的级别划分如下表5.1所示。表2.1应急响应体系事件级别总体的应急预案的基本流程主要由:准备阶段、监测及事件分析阶段、事件处理阶段、结束响应阶段、总结及预警阶段。准备阶段包括了人员、组织的准备以及技术的准备，技术准备主要是要建立监控管理的技术体系和平台，为事件发生后的技术分析，及时的通告和响应等提供条件和保障。同时，尽可能地在事前做好相应的安全防范工作，准备好进行应急处理的技术工具等内容。监测及事件分析阶段。监测人员通过手动监测方式以及在准备阶段建设好的安全运行管理中心的监测方式，监测是否有异常现象的发生:当发生异常情况时，并根据异常的性质与影响，决定是否向相关人员进行报告。上报方式除了通常的电话外，还可以利用安全运行管理中心平台中的告警机制，根据告警级别的不同，通过工单、邮件、短信的方式上报和通知到相关人员。上报后，相关人员应该对异常情况进行分析，判断是否事件类型，识别攻击的性质系，获得必要的帮助:在必要的时候，向公安机关报案以获得帮助;事件处理阶段。根据事件的不同，采取不同的处理方案，启用相应的专题应急预案;根据事件级别的不同，按照相应级别的处理要求对事件进行处理、上报。对于常见的、主要的事件类型，要建立专题应急处理预案，主要有:《病毒蟎虫应急处理流程》《拒绝服务攻击应急处理流程》《信息篡改事件处理流程》《Arp攻击应急流程》《僵尸网络”事件应急处理流程》结束响应阶段。应急处理人员根据之前判断的攻击信息，采取必要的技术手段控制攻击行为、恢复系统服务并对攻击的来源进行追踪:如果攻击源不在平台内部，需通过相关单位进行协调，以协助进行追踪、取证，必要时向公安机关通报相关信息，对攻击者进行抓捕。总结汇报阶段。在应急响应的整个流程中，总结经验是非常重要的环节，在应急完成后，应当首先安全事件应急处理结束后，由应急处理参与各维护单位分别提交应急故障处理报告。2.3基础安全服务和架构2.3.1用户安全用户安全分为身份管理、认证管理和权限管理。身份管理主要为解决用户身份鉴别的问题，应满足等级保护三级的要求，企业应建立统一身份库，明确与It安全有关的人员身份，系统及应用的用户可以和身份管理系统建立对应关系，使得主体和客体之间的关系明确。认证应采用多种认证方式实现，就金融行业的系统特点来看，可以选择动态短信、双因素认证令牌等。权限管理是针对用户身份所赋予的行为职责，通过身份的建立将用户能够使用的资源范围进行框定。2.3.2物理环境安全物理环境主要是指设施方面。确保信息系统在对信息进行采集、加工、上传、存储的安全。物理环境针对It安全来看主要为解决机房的整体安全，其中应满足以上要求并能够满足等级保护三级要求。2.3.3应用安全应用系统位于信息系统最上层，与用户直接打交道。应用安全应针对应用的身份鉴别、访问控制、安全审计机制，此三种要求纳入整体4A体系考虑。达到以上要求后应能满足等级保护三级的要求。对邮件系统应部署邮件安全网关，防范邮件病毒、有害代码和垃圾邮件的危害。2.3.4数据安全数据是指企业所积累和掌握的客户信息、生产信息、运营信息，准确地提供给公司领导、相关部门的数据以及容灾系统、测试系统、已备份的数据等。不论数据以何种形式存在，也不论以何种方式被共享或存储，数据始终应当得到妥善保护。其中身份鉴别、安全审计和访问控制等方面主要还是针对应用系统用户级的安全防护，并未提及针对客户本身接口的安全防护，特别是针对网银系统所存在的应用级的安全风险和防护没有进行细致要求。作为证券行业，IT数据中心面临着大量的在线交易业务。越来越多的欺诈交易行为也给企业及客户均带来了相当多的安全隐患。所以某某公司新的数据中心针对交易欺诈风险应提供及时的防欺诈系统平台来降低交易的安全风险，主要采用相关技术手段如在用户登录交易界面的Portal提供个性化的图像识别，来提示用户登录的是否为合法的交易站点，提供Portal认证的强认证及高可靠安全的帐号和密码、针对交易行为提供用户私密问题来验证、请求安全档案机制，针对网银站点交易的应用安全防护等行为。图2.7数据安全设计框架网银交易防欺诈行为主要表现在跨站脚本、SQL注入等典型应用型攻击。通过部署Web应用防护及预警体系可以有效预防和阻止针对网银交易的攻击和欺诈行为。功能要求包括:Web应用保护要求Web、HTTP和XML应用攻击SQL注入会话劫持跨站脚本(XSS)篡改表格字段已知BUG.“第零日病毒”缓冲器溢出cookic布毒DOS&DDOS攻击CC类攻击恶意机器人参数篡改强制登陆恶意编码目录游走系统攻击漏洞扫描命令注入非法编码非法窃取数据盗窃数据泄漏间谍软件网络钓鱼网页篡改等。对特别关键、敏感程度极高的终端或控制台PC，也应考虑部署7x24小时的用户操作审计系统，保证操作行为的可控和可审计。数据库行为审计针对数据中心大量的数据库系统，除了在4A体系中采用运维操作行为审计及管控之外，还应提供专业的数据库保护机制，实现对数据库整体的安全威胁扫描、数据库整体安全审计、数据库运维安全策略的事中监控等行为。针对数据库安全保护方面通过主要采用流量镜像的方式实现对数据库的安全审计，也可采用数据库session劫持的方式实现对数据库所有行为的安全阻断等操作。2.4营业部安全管理.2.4.1网络安全(1)互联网边界防护应在营业部的互联网出口再部署一套防火墙，形成异构模式，同时可以部署成双机冗余的模式，构造更加合理的DMZ，实现内部网络和外部网络的隔离。(2)安全域隔离主要针对营业部公共区域、办公区域、交易区域等进行网络VLAN划分，同时进行边界访问控制，有需要的话可以部署防火墙进行访问控制和隔离措施，保证营业部各安全域之间不会造成相互威胁，同时对核心交易系统不会造成影响。2.4.2应用安全根据等保的恶意代码防范要求，在集中交易和网上交易的边界，部署恶意代码检测系统，提供核心业务系统的内容安全。2.4.3审计管理(1)入侵防护管理营业部作为业务交易区域，很容易造成入侵行为，所以为了满足等级保护3级的要求，应在营业部流量出口处部署入侵防护系统，保障业务交流的流量安全。(2).上网行为管理在满足网监检查要求的基础之上应增加实际的安全管理策略要求。增加网络应用控制:FTP、HTTP、下载软件、网络游戏等控制:网页内容过滤:URL过滤、关键字过滤:外发信息控制:E-mail、论坛等;上网行为控制:.上外时间周期、设置黑名单等;页面提醒告警:告警提示、阻断提示等。下载SQLSERVER2012的安装包，成功安装数据库后，与本文基于物联网的物流信息系统的程序进行连接。成功连接后，可以直接通过程序对数据库进行自动操控。在VisioStutio2012开发环境下建立的C#语言的基于物联网的物流信息系统的配置文件中，在原有代码的基础.上进行数据库连接的修改。再配置好数据库的连接后，可以直接在程序代码中连接数据库。

第3章G金融企业网络安全管理系统实现与测试3.1系统拓扑图3.1系统总体运行拓扑从图3.1可以看出，本文的系统是由多种入口、多种地址分类、多个服务器共同形成的一个分布式的网络拓扑结构。根据本文的系统设计，本文的网络安全系统是一个多层次、复杂、安全的系统，根据在G金融企业网络系统的各个模块区域中，采用本文的G金融网络安全管理系统，形成了-套安全的防护和保障系统。下面通过G金融企业系统的三个核心区域模块的运行拓扑来介绍本文网络安全系统的实现。图3.2业务支撑区域模块运行拓扑图3.2是G金融企业系统的业务支撑区域模块的运行拓扑，从图中可以看出，用户需要通过多层网络安全过滤，才能与核心服务器进行通讯。图3.3呼叫中心区域模块运行拓扑图3.3是G金融企业系统呼叫中心区域模块的运行拓扑。图3.4网上交易区域模块运行拓扑图3.4是G金融企业系统网上交易区域模块的运行拓扑。3.2系统实现.本文的系统是安全管理系统，它是保障其他系统运行安全的元套机制。它与其他系统之间的关系如下图3.5所示:图3.5安全运行管理系统与其他系统关系在3.1的系统拓扑下，本文对G金融企业网络安全管理系统进行实现，通过以下内容展示系统的实现部分。对于本文的G金融企业网络安全管理系统，因为其本身就是一套安全管理系统，所以本文系统对于用户的身份识别，安全认证具有很高的要求。系统组织结构中包含很多用户，用户负责管理维护系统的资源，资源上运行着的都是重要应用，每个应用上存在许多账号，用户通过这些账号对应用进行维护和管理。通过树图形象地展现身份数据库中这些元素之间的关系，如图3.6所示。图3.6身份数据库中主要信息的关系的树图本文的安全运维管理平台采用4A运维体系平台。通过建立帐号口令的集中管理系统来完成对It中心所有人员的身份鉴别，实现统一人员身份库，如LDAP库的建立。形成数据中心整体身份库:通过统一接入维护平台的建立解决IT人员资产授权的问题，同时将It中心统一身份库与平台建立接口，形成自然人身份与实际资产中系统帐号相互匹配，有效解决运维实名制问题。通过授权体系有效分配资产，并通过审计管理中心完成对所有人员操作行为的安全策略控制及事后审计工作。身份数据库中主要信息的关系如下图3.7所示:本文系统的审计功能可以实现:(1)入侵检测及防护。为了