网络安全管理平台建设方案

网络安全管理平台建设方案

।SECWORLD

网神信息技术（北京）股份有限公司

・网神

SECWORLD

目录

1项目背景5

2需求分析5

2.1目前网络拓扑5

2.2网络及安全设备列表5

2.3总体要求5

2.4主要功能描述6

2.4.1网络监控功能需求6

2.4.2安全事件管理功能需求19

2.4.3告警管理24

3设计方案28

3.1建设原则28

3.2参考标准和政策28

3.2.1ISO)7799信息安全管理体系28

3.2.2ISO13335信息技术IT安全管理指南29

3.2.3ISO15408信息技术安全性评价准则30

3.2.4国家政策《信息安全风险评估指南》31

3.2.5国家政策《电子政务信息安全等级保护》32

3.2.6IT服务管理的最佳实践一ITIL33

3.3系统总体架构设计36

3.4系统安全设计38

3.4.1系统安全需求38

3.4.2系统采用的安全技术38

3.5管控方式39

3.6性能指标40

3.7系统接口41

3.7.1接口类型41

3.7.2接口设计原则41

3.7.3接口实现机制42

3.8方案技术特点42

3.8.1采用跨平台的软件技术框架42

3.8.2快速定位故障节点和性能瓶颈42

3.8.3海量异构事件的采集和归一化43

3.8.4强大的智能事件关联引擎44

3.8.5基于场景的事件分析可视化45

3.8.6开放的安全管理平台46

3.8.7紧扣信息系统等级保护要求的安全监控46

4监控平台产品方案47

4.1产品选型47

4.2产品功能描述48

4.2.1网络拓扑管理48

4.2.2资产管理53

4.2.3设备及应用监控54

・网神

SECWORLD

4.2.4业务视图64

4.2.5安全事件管理及日志审计66

4.2.6告警响应及协同防护78

4.2.7报表管理80

4.3支持的管理对象列表82

4.4支持的IT资源监控列表84

4.5产品形态及运行环境84

4.6部署方案85

5项目实施方案86

5.1项目计划86

5.2各阶段工作描述86

5.2.1项目启动87

5.2.2环境调研87

5.2.3系统运行环境准备88

5.2.4服务器软硬件准备89

5.2.5网络环境准备90

5.2.6被监控对象的准备90

5.2.7系统安装部署91

5.2.8系统定制92

5.2.9系统测试93

5.2.10用户培训94

5.2.11系统试运行94

5.2.12系统终验95

5.2.13系统运维支持96

6测试方案97

6.1软件测试概述97

6.2系统测试98

6.2.1系统测试目的98

6.2.2测试机构98

6.2.3独立的测试环境98

6.2.4设计完整、全面的测试内容覆盖99

6.2.5闭环的测试过程100

6.2.6选用适当的系统测试的方法、技术101

6.2.7制订明确的系统测试流程101

6.2.8系统测试用例102

6.3用户确认测试102

6.3.1确认测试目的102

6.3.2确认测试组织102

6.3.3确认测试的特点102

6.3.4确认测试工作流程102

6.3.5确认测试用例103

6.3.6压力测试103

6.3.7测试缺陷处理方案104

7培训方案106

7.1技术培训计划106

・网神

SECWORLD

7.2培训责任107

7.3培训目的107

7.4培训内容说明108

7.4.1前期知识培训108

7.4.2用户使用培训108

7.4.3系统维护培训109

7.4.4培训相关文档目录清单109

8系统验收方案110

8.1系统初验110

8.2试运行110

8.3系统终验110

8.4应用系统验收标准111

8.5文档评审通过标准112

8.6确认测试通过标准112

8.7系统试运行通过标准113

9项目管理与质量控制113

9.1项目组织管理113

9.2项目人力资源管理113

9.3QA质量保证师115

9.4工程质量控制116

9.4.1项目管理规范约束116

9.4.2工程实施规范约束116

9.4.3项目质量控制措施117

9.4.4项目文档管理120

・网神

SECWORLD

1项目背景

略。

2需求分析

2.1目前网络拓扑

略。

2.2网络及安全设备列表

略。

2.3总体要求

此次项目要求建设一套安全管理平台。首先，通过对客户IT资源中包括网络设

备、安全设备、主机和应用在内的节点进行统一监控，实时掌握网络中各重要设备及

系统的可用性状态，及时发现网络和系统主机的故障和性能瓶颈；其次，通过实时获

取IT资源中的各类安全信息，进行关联分析，实现IT资源的安全态势感知，对内部

违规和外部入侵行为进行审计；然后，将IT资源的所有资产和威胁信息汇集到一起,

通过决策分析获得可测量的安全风险，并借助标准化的运维流程支撑平台对IT资源

实施有效的安全策略调整。整个监控、审计和决策过程都统一在一体化管理平台之下,

实现网络、系统、安全、运维等集中式的综合管理，整合现有的监控和运维手段，消

除信息孤岛，有效的减少IT系统故障可能导致的损失，降低运维成本，提高运维效

率和能力，提高服务质量，建立科学合理、高效规范的业务流程，提高对安全事件的

处理能力，满足不同层面角色及时掌握其关心的信息，真正构建起面向整体IT资源

的全面可控安全管理体系。

项目要求日志安全审计系统作为一个统一日志监控与审计平台，能够实时不间断

地将企业和组织中来自不同厂商的安全设备、网络设备、主机、操作系统、用户业务

系统的日志、警报等信息汇集到审计中心，实现全网综合安全审计。

要求能够实时地对采集到的不同类型的信息进行归并和实时分析，通过统一的控

・网神

制台界面进行实时、可视化的呈现，协助安全管理人员迅速准确地识别安全事故，消

除了管理员在多个控制台之间来回切换的烦恼，同时提高工作效率。

要求能够自动地或者在管理员人工干预的情况下对审计告警进行各种响应，并与

包括各种类型的交换机、路由器、防火墙、IDS、主机系统等在内的众多第三方设备

和系统进行预定义的策略联动，实现安全审计的管理闭环。为客户提供了丰富的报表,

使得管理人员能够从各个角度对企业和组织的安全状况进行审计，并自动、定期地产

生报表。

要求紧扣信息系统等级保护中对安全审计的技术要求和对安全事件处置的管理

要求，提供了一个面向等级保护的审计包。

2.4主要功能描述

2.4.1网络监控功能需求

遵循ISO-OSI定义的网络管理功能，支持TCP/IP协议，SNMP、Telnet.SSH、JMX、

JDBC、HTTP等相关的监控标准协议。支持对设备厂商通用MIB的管理及主流厂家的

私有MIB管理，支持对所有不同品牌不同类型网络设备（资源）的管理功能。

实现对网络、主机、数据库、应用服务等的可用性进行监控，能按网络、.业务等

多种拓扑视图方式展现给管理人员，对采集的信息进行关联分析，实现智能化告警和

故障定位。

支持对IP进行管理，管理员可查看当前已分配1P地址，扫描当前占用的IP地址，

发现未经许可私自使用的IP,对IP地址的使用进行规范管理。

拓扑监控

拓扑监控应分网络视图和'业务视图，分层次地呈现业务系统所涉及的所有被管理

资源的拓扑结构。提供灵活的浏览、监视和编辑的功能，并能动态、实时的展现性能、

告警、配置方面的数据。在拓扑图上不但能察看选定节点的详细配置信息，还包括基

本数据和计算、汇总后的数据。

网络设备发生故障，或网络拓扑发生变化，产生告警时间需小于5分钟。

1、网络逻辑拓扑

・网神

SECWORLD

网络拓扑视图展现被管资源分布和关联情况，视图可分层展现，如网络核心层、

汇聚层、接入层和功能区等。提供图形化配置修改工具，允许管理维护人员灵活修改

按地理或网段逻辑分布的相关联资源等基本配置信息。

网络拓扑能自动发现和具有以下功能：

1）能够按照设定的一个或多个条件的拓扑结构自动发现，例如指定网段、指定

资源类型等条件。能够自动区分网络设备和主机，网络设备以种子拓扑显示，主机以

子网方式显示。种子拓扑和子网方式显示可手工选择和切换。

2）发现路由器端口所在子网的主机分布情况，能够按照子网的方式显示。

3）网络拓扑结构的显示方式可以按照用户的要求拖曳编排，从而以最方便直观

的方式展小•网络结构。

4）可以直接用已知设备的IP地址，对设备进行拓扑发现，也可以通过网段或者

种子节点进行拓扑。

5）系统能通过多种方式自动发现和正确识别网络中各种品牌的网络设备，包括

路由器、交换机、服务器网络操作系统、防火墙等，并能通过配置实现自动发现并正

确的显示设备之间拓扑连接。

6）可根据用户输入的某个IP地址直接定位，给出该地址连接于网络何处，连接

在网络中哪台设备的哪个端口（可结合设备面板管理功能），以及给出该IP地址对应

的设备名（如用户主机名）。

7）对于所发现的设备，提供手工编辑功能，拓扑图上的设备能够根据用户喜好,

自由摆放；设备属性提供删除和修改功能，能够从拓扑图上将那些不在需要管理并且

符合删除条件的设备删除掉。

8）拓扑刷新功能，如有设备增减时，拓扑能自动发现和提醒管理员注意。

9）拓扑编辑和拓扑发现的结果能够保存下来。

2、业务视图拓扑

根据应用业务的逻辑，依据业务流程、流程环节、环节模块的上下级关系创建业

务视图拓扑，在业务视图拓扑中包含网络节点，网络连接，业务主机，应用服务，域

名解析等，对业务的相关节点和应用进行统一监控和关联分析，当出现业务不可用或

性能告警时，可以快速定位业务故障的原因，确定到底是网络故障，主机故障还是应

用故障，界定故障位置，分清维护责任。

对于业务拓扑视图，可以设置权限，开放给相关业务单位监控使用。

・网神

SECWORLD

能够根据设定条件自动发现，并提供图形化配置修改工具，允许管理维护人员灵

活修改拓扑。

3、路由拓扑

可分析各种静态和动态路由协议，对于指定任意两点（IP）,或指定源IP和目标

IP,路由拓扑能自动发现IP路由信息，并以图形展示，能穿透和显示地址转换设备。

4、集成链路性能监控

上述拓扑视图能实现链路性能监控，在拓扑视图上能直观显示链路性能和变化状

态，监控以下内容：

链路连通性

链路延时

链路总流量

各类业务占总流量的比例

发包率

能够设定监控阀值，超出阀值进行告警，并提供上述数据统计查询功能。

5、拓扑浏览功能

拓扑浏览应具有以下功能：

I）显示己经编辑好的网络拓扑图；

2）可以根据需要构造用户所需的网络视图；

3）可以根据需要切换到不同的网络视图；

4）可在当前视图和其它视图中，查找指定的被管资源；

5）可以根据需要选择显示或隐藏某些类型的资源，支持资源显示过滤；

6）可通过拓扑图查看节点对象配置属性；

7）拓扑图应能够正确反映被管理资源间的关联；

8）通过拓扑节点可以查看该节点相关的配置、性能、故障的信息；

9）拓扑图可灵活反映告警情况；

10）任选拓扑图中的某一节点，可以启动该节点相关的告警详情和告警历史信息

的查询统计的入口；

11）拓扑图中的节点和连线用易于区别的图标显示，且能够显示该图标是否有子

图；

12）拓扑图中能显小图标自身属性;

・网神

SECWORLD

13）可通过点击拓扑图的网元，直接进行设备管理和简单的测试，如telnet,ssh,http,

https,设备面板管理，ping、traceroute等。

IP地址管理

需满足以下管理功能：

1）提供图形化的IP地址分布查询和分配管理，可以通过图形一目了然查看IP地址

分布状况，直接通过点击图形进行IP分配。

2）将IP地址按照子网分类列表，便于查看和管理。

3）可以方便查询到IP地址的关联信息，包括：IP地址，设备名称，MAC地址，

设备描述，位置，联系人，状态（是否使用）等。

4）提供IP地址查询，IP地址扫描，可以方便地查找和确定那些IP地址己经使用或

者尚未使用，方便管理员的管理工作；IP地址扫描采用异步ICMP技术，可以快速扫描

网段，节省管理时间。同时可根据网关设备ARP表，防止主机禁PING而发现不了IP。

5）可将IP地址与MAC地址进行绑定，监控IP和MAC地址对应关系，防止IP地址

冲突和IP地址盗用的情况出现，并触发相关告警提示用户。

设备面板管理

可以通过点击拓扑图和设备列表查看网络设备的端口面板图，查看端口的状态，

如绿色表示端口连通正常，红色表示端口被阻断，灰色表示端口未连通。点击端口可

以查看端口带宽、端口发送接收数据包、错误率、丢包率等参数，查看端口物理和逻

辑连接信息（如下一跳设备、连接单位利跳线信息等）。可以对端口进行关闭阻断和

开通。

主机和应用集中监控

具体监控指标如下：

1、网络设备监控指标

监测参数指标包括：CPU、内存、端口流量、连接数、收发数据包等运行态状参

数。

N网神

SECWORLD

2、主机监控指标

可监测windows、Linux>Solaris、AIX、FreeBSDHP-UX,可以从多角度多方面

对服务器的运行状态进行监控。

Windows主机监测指标

CPU指标CPU使用率(%)

磁盘指标Disk使用率(%)

磁盘总量(MBj

剩余空间(MBj

内存指标Memory使用率(％)

剩余空间(MB)

内存总量(MB]

Windows进程进程总数(个)和名称，变动告警

接口流量接收速率(Kbit/s)

发送速率(Kbit/s)

接口丢包率接口输入丢包率(％)

接口输出丢包率(%)

指定服务器的状况包成功率(%)

(Ping)数据往返时间(ms)

状态值(200表示成功300表示出

错)

监测连接到指定TCP数据往返时间(ms)

Port的状况

监测指定网页连接的网页返回码状态

状况(URL)网页的下载时间(s)

文件大小(bytes)

使用安全传输获取指网页返回码状态

定网页连接状况(SSL网页的下载时间(s)

HTTPS)文件大小(bytes)

Linux/Unix服务器监测指标

CPU指标CPU使用率(%)

磁盘指标Disk和文件系统使用率(%)

剩余空间(MB)

内存指标Memory使用率(%)

剩余空间(MB)

错误页/秒(页/秒)

内存总量(MB)

监测Linux/unix事件检查的总行数(行)

日志匹配行数(行)

Linux/unix进程监测运行实例个数(个)和名称，变动告

警

・网神

SECWORLD

验证脚本程序是否正往返时间(ms)

常运行字符串返回值

数值返回值

Linux/unix主机监测命命令配备结果(0=匹配不成功；

令执行结果1二匹配成功)

指定服务器的状况包成功率(%)

(Ping)数据往返时间(ms)

状态值(200表示成功300表示出

错)

监测连接到指定TCP数据往返时间(ms)

Port的状况

监测指定网页连接的网页返回码状态

状况(URL)网页的下载时间(s)

文件大小(bytes)

使用安全传输获取指网页返回码状态

定网页连接状况(SSL网页的下载时间(s)

HTTPS)文件大小(bytes)

3、数据库监控指标

可监测oracle、SQLServer、Sybase>Informix>DB2、Mysql等数据库，具体监控

指标如下：

通用数据库状态查数据库SQL语句执行情

询况返回状态

数据往返时间

记录个数

数据库监测器监测参数

Oracle数据库Oracle数据库性能游标数

Session数

每秒事务数

数据库锁数量

死锁数量

缓冲池命中率

Cache命中率

进程内存利用率

Oracle数据库表空间表空间状态

使用率

己用空间

剩余率

剩余空间

总容量

Oracle数据库连接数连接数

・网神

SECWORLD

Oracle数据库进程内存使用率

数据库监测器监测参数

SQLServerSQLMemoryManagerSQLServer使用的内存总量

维护连接的动态内存

每秒成功获得一个工作空间内存授权

的进程总数

查询优化的内存总数

动态SQL高速缓存的动态内存总数

页若不被引用将在缓存区池中停留的

秒数

SQLUserManager用户连接数

每秒启动的登录数

每秒开始的注俏操作总数

SQLServerCache

Manager高速缓存命中次数和查找次数的比率

高速缓存对象所使用的8(KB)页的

数目

高速缓存中高速缓存的对象数

每类高速缓存对象已使用的次数

SQLServerStatic

Manager每秒收到的Transact-SQL命令批数

每秒的自动参数化尝试数

每秒SQL编译数

每秒SQL重新编译数

数据库监测器监测参数

每分钟Sybase在读取和写入时遇到

Sybase数据库Sybase性能

的错误数

每分钟在输入和输出上花费的时间

每分钟Sybase读取的输入数据包数

每分钟Sybase写入的输出数据包数

每分钟Sybase在读取和写入数据包

时遇到的错误数

每分钟Sybase读取的次数

每分钟Sybase写入的次数

服务器计算机的CPU每分钟处理

Sybase工作所用的时间

每分钟登录或尝试登录Sybase的次

数

服务谓计算机的CPU每分钟空闲时间

数据库表空间使用率

・网神

SECWORLD

己用空间

剩余率

剩余空间

总容量

Sybase死锁死锁时间最长的进程ID

最长死锁时间

死锁数

前十个死锁信息

数据库监测器监测参数

Informix数据库Informix数据库性能逻辑日志文件总数

表总数

表所用页面总数

逻辑文件所占空间

块总数

块空间总数

块剩余空间

数据库监测器监测参数

DB2数据库DB2连接状态连接总数

当前连接数

本地连接数

DB2代理状态ActiveAgents

IdleAgents

NumberofAgents

AgentsWaiting

DB2缓存池状态BufferPoolHitRatio

IndexPageHitRatio

DataPageHitRatio

DirectReads

DirectWrites

l)B2cache缓存状态PackageCacheHitRatio

CatalogCacheHitRatio

DR2数据库性能信息当前数据库实例名

DatabaseName

主机名

路径

DatabaseAlias

DatabaseStatus

CcnnectedTime

DeadlockRate

PercentageofLogUtilization

・网神

SECWORLD

总的有效Log数

PercentageofSortsOverflowed

排序总数

DB2执行状态SuccessfulQueries

FailedQueries

UnitsofWork

DB2数据库表空间Extentsize

Prefetchsize

Pagesize

CurBufferPoolID

NextBufferPoolID

数据库监测器监测参数

Mysql数据库Mysql数据库性能当前活动线程总数

上次监测后已执行查询总数

上次监测后已执行长时间查询总数

当前打开的数据表总数

4、中间件监控指标

可监测Wcblogic、Lotus、WebSphere等中间件，具体监控指标如卜:

中间件监测器监测参数

WeblogicWebLogic8.xStatusWebLogic8.x应用服务器的运行状态

WebLogic8.x

ConnectionPool连接池的状态

Server

连接池名称

当前使用的连接数量

等待池中连接的最大客户数

丢失的连接数

连接池最大连接数

WebLogic8.xJmsJMS的连接总数

JMS当前的连接总数

JMS的最高连接数

JMSServer总数

当前JMSServer总数

JMSServer历史中最高总数

JMSSession的总数

当前的JMSSession数

最高的JMSSession数

已接收的Jms消息数

未处理的Jms消息数

Jms发送的消息数

WebLogic8.x执行线程的总数

・网神

SECWORLD

ExecuteQueue

executeQueueName

当前空闲的执行线程数

PendingRequestOldestTime

队列中未处理的请求数

队列已经处理的请求数

WebLogic8.xWebApp当前打开的Session数

WcbAppName

打开的Session最高数

打开的Session的总数

Status

mbeanNamc

WebLogic8.xCluster激活服务器的数量

ClusterName

丢失的消息数

WebLogic8.xHeap当前堆的总空间

当前堆已使用的空间

Name

WebLogic8.xServer当前打开的Socket数量

打开的Socket的总数

当前连接数

RestartsTotalCount

监听端口

监听端口

管理端口

管理服务监听端口

ListenAddress

Name

WcblogicVersion

中间件监测器监测参数

LotusLotusNotes内存占用空间

进程占用空间

共享占用空间

物理内存

内存状态

LotusNotcs磁盘剩余空间

磁盘大小

磁盘类型

本地磁盘

远程磁盘

LotusNotes服务器任务任务数

状态

・网神

SECWORLD

复制任务状态

路由任务状态

事件任务状态

LotusNotes邮件系统Mail传递速率

Ma:l传输速率

M叫路由速率

死信率

总处理数

Mail等待数

复制等待数

LotusNotes文件数据库

空间己用空间

空闵空间

剩余率

响应时间

错误数

中间件监测器监测参数

WebSphere

WebSphere

ServletSessions状态开启的对话

无效的对话

对话活动时间

激活对话数

存活对话数

'^ebSphereTransaction

状态全局开始事务数

有关全局事务数

本地开始事务数

激活全局事务数

激活本地事务数

持续全局事务数

持续本地事务数

全局持续完成之前的事务数

持续等待的全局事务数

持续提交的全局事务数

本地持续完成之前的事务数

持续提交的本地事务数

最佳事务数

提交的全局事务数

提交的最佳本地事务数

回滚的最佳全局事务数

回滚的最佳本地事务数

全局超时事务数

・网神

SECWORLD

本地超时事务数

WebSphereBean状态创建数

移走数

活动数

停顿数

示例数

破坏数

装载数

存储数

并发激活数

并发活动数

总的调用方法

avgMethodRt

平均创建时间

平均的移走时间

激活的方法

从池中获取数

取回数

缓冲池返回数

丢弃的返回数

drainsFromPool

avgDrainSize

缓冲池大小

VcbSphercPerformance

Servlet活动线程数

剩余内存数

使用内存数

创建线程数

销毁线程数

内存总数

5、Web系统监控

1）监测系统主机

检查CPU、内存、磁盘I/O及磁盘空间使用情况，确保Web系统有一个良好的运行

环境，如果CPU、内存使用率过高、磁盘空间不足会导致系统崩溃，无法使用。

2）监测系统软件

检查Web应用进程占用的CPU、内存，探测80端口是否有响应。

3）监测业务运行情况

访问首页和一些关键网页，确保网页可以正常浏览。

4）监测Web系统性能

网神

SECWORLD

监测参数有请求速率、错误请求数、当前连接数、脚本运行错误数等。

5）IIS、APACHE