《XX单位网络安全管理平台建设规划方案1.doc》由会员分享,可在线阅读,更多相关《XX单位网络安全管理平台建设规划方案1.doc(29页珍藏版)》请在三一办公上搜索。
1、XX单位信息安全管理平台建设解决方案文档信息文档名称XX单位信息安全管理平台建设规划方案文档编号保密级别商业机密文档版本号V1.0制作人王铁成制作日期2008年8月20日复审人复审日期扩散范围XX单位、网御神州项目组扩散批准人王铁成文档说明 本文档是网御神州科技(北京)有限公司(以下简称网御神州)为XX单位提交的信息安全管理平台建设解决方案,供XX单位信息安全管理相关人员阅读。版本变更记录时间版本说明修改人2008-8-201.0文档创建王铁成目 录一. 项目规划综述4二. 信息安全管理面临的问题4三. 信息安全管理平台需求分析5四. 信息安全管理平台建设解决方案74.1 SecFox-SNI
2、系统部署说明74.2 SecFox-SIM系统部署说明84.3 “SecFox-SNI”产品功能94.3.1 资产管理94.3.2 网络拓扑管理94.3.3 机房机架视图104.3.4 集中监控104.3.5 网络和安全设备监控114.3.6 主机监控114.3.7 应用和业务监控124.3.8 机房环境监控134.3.9 终端接入监控144.3.10 设备配置信息监控144.3.11 配置与诊断工具144.3.12 防火墙策略管理154.3.13 日志安全审计154.3.14 IP地址管理164.3.15 集中认证管理164.3.16 告警和响应管理164.3.17 报表管理174.3.18
3、 权限管理174.3.19 系统管理184.3.20 与外部系统集成184.4 “SecFox-SIM”产品功能184.4.1 智能监控频道184.4.2 资产管理194.4.3 工单管理204.4.4 事件分析204.4.5 趋势分析214.4.6 报表管理224.4.7 知识管理234.4.8 系统管理244.4.9 权限管理254.4.10 等级保护模块264.4.11 与外部系统集成26五. 实施效果价值分析26六. 方案优势总结27一. 项目规划综述XX单位非常重视信息化建设,各类相关业务都在朝着无纸化、网络化、智能化应用的方向发展。依托网络、借助信息化建设成果开展工作,已经成为XX
4、单位提高办公效率、服务内部客户的重要手段。伴随XX单位集团信息化建设正不断向基层延伸,网络的互联互通导致网络病毒,木马程序扩散更为便利,波及范围更广。内网办公人员违规操作、滥用网络资源的现象开始抬头。目前的情况是,XX单位早期采取的相关安全措施已经无法应对新一代的信息安全问题,无法有效保障各类业务的正常应用。二. 信息安全管理面临的问题u 管理制度缺乏技术依据,安全策略无法有效落实尽管安全管理制度早已制定,但只能依靠工作人员的工作责任心,无法有效地杜绝问题;通过原始方式:贴封条、定期检查等相对松散的管理机制,没有有效灵活实时的手段保障,无法使管理政策落实。u 监控和管理界面过多、管理员手忙脚乱
5、被管设备的多样性,包括网络设备,主机设备,安全设备,数据库,中间件,机房环境控制系统等。各类设备都有独立的管理工具,操作不方便,信息无法共享。u 无法迅速定位故障点对于XX单位而言,IT计算环境的管理本身不是目标,核心需求是要保障运行的应用的可用性、业务持续性,以及重要信息系统的安全性,因为应用和业务是企业和组织的生命线。现有的一些应用性能管理(Application Performance Management)系统或者业务服务管理(Business Service Management)系统虽然可以监控客户的应用性能和工作状态,但是却没有考虑到安全保障方面的因素。例如,一个应用无法访问,可
6、能是CPU利用率过高引起的,但是究其根源,可能是应用负载过高,也可能是应用服务器受到了蠕虫感染。传统的应用性能管理系统只能告诉客户CPU利用率过高,却不能再深入探究成因。u 缺乏有效地基于等级保护要求,进行综合安全保护的支撑平台在等级保护的每一级都有对安全控制的要求,其中,从第三级开始明确要求建立一个集中的安全监控与管理中心,并且要求对流量进行监控,对物理环境进行监控。 而从第二级开始,就要求进行安全审计,尤其是日志审计,以及IP地址管理,还有设备和应用的监控。可以发现,为了达成等级保护的诸多控制要求,即便部署了大量安全设备也是不够的,依然难以有效把控整体网络的安全性,依然说不清当前的安全保障
7、体系是否确实达到了等级保护的要求。u 网络应用缺乏监控,工作效率无法提高上网聊天、网络游戏等行为严重影响工作效率,利用QQ,MSN,ICQ 这类即时通讯工具来传播病毒,已经成为新病毒的流行趋势;使用BitTorrent、电驴等工具疯狂下载电影、游戏、软件等大型文件,关键业务应用系统带宽无法保证。u 缺少针对不同安全事件的关联分析手段外部入侵和内部违规行为从来都不是单一的行为,都是有时序或者逻辑上的联系的,黑客的攻击一定是分为若干步骤的,每个步骤都会在不同的设备和系统上留下蛛丝马迹,单看某个设备的日志可能无法发现问题u 缺乏便捷、高效、可视的安全事件分析手段 大部分网络设备、主机设备、数据库产生
8、的安全事件记录都保存在文本格式的文件中,出现安全问题时面对成千上万条日志记录,无法快速、准确的定位出现问题的原因。三. 信息安全管理平台需求分析从上面分析得出,XX单位网络安全管理需求主要包括:l 全面的IT 计算环境运行监控能够管理IT计算环境中的所有网络设备、安全设备、主机和服务器、服务和应用系统,以及机房设备,为用户提供一个全方位监控的统一管理平台,使得管理员通过一个单一控制台就能够进行实时全网监控,确保企业和组织IT计算环境基础设施的可用性,以及业务的持续性。l 可视化的监控管理手段针对IT计算环境的统一监控,必然会收集并呈现大量的信息。如果将这些信息进行有效的组织,呈现给管理员,并真
9、正提升他们的管理效率是十分关键的。l 快速定位业务节点故障网络节点出现故障时,系统将会产生告警事件,同时拓扑图中的设备图标也会显示故障状态;当一个管理子图发生设备故障时,子图图标也会发生相应改变,因此管理员可以根据子图快速定位故障。对于应用系统和机房环境的监控,管理员可以自定义监控指标的阈值,监控的时间间隔,监控的描述和告警方式,通过接收告警信息,管理员可以快速了解问题所在,及时采取措施。l 及时发现网络流量异常管理员可以对重点设备的重点端口配置流量监控,并且可以配置阈值告警,当出现流量异常时及时通知管理员。l 统一安全事件监控、态势感知能够实时不间断地将来自不同厂商的安全设备、网络设备、主机
10、、操作系统、用户业务系统的日志、警报等信息汇集到管理中心,实现海量信息的集中分析,进行统一的安全事态监控和态势感知,消除安全防御的孤岛。l 实时安全事件关联分析能够实时地对采集到的不同类型的信息进行关联分析、最大程度地消除误报和错报、找出漏报,协助安全管理人员迅速准确地识别安全事故,消除了管理员在多个控制台之间来回切换的烦恼,同时提高工作效率。通过事件关联分析,客户可以实现从单点被动防御到全面主动防御的转变。l 便捷、高效、可视化的事件分析l 符合等级保护的安全合规审计要求提供一套基于信息系统等级保护基本要求的合规审计包。该审计包按照等级保护的基本技术要求,针对二级以上的系统建立了一套规则库、
11、合规检查频道和场景、报表模板。四. 信息安全管理平台建设解决方案面对XX单位信息安全管理现状与存在的问题,本方案推荐使用网御神州“SecFox-SNI”计算环境综合监控平台及“SecFox-SIM”安全信息管理系统来构建XX单位的信息安全管理平台。以实现统一的信息安全管理为出发点,从全面的IT 计算环境运行监控、快速定位业务节点故障、统一安全事件监控、态势感知、实时安全事件关联分析等多个角度构建一套完整的信息安全管理平台,通过技术手段全面贯彻落实单位的安全管理策略。4.1 SecFox-SNI系统部署说明在XX单位省中心及管辖的各市州中心部署分别部署一套“SecFox-SNI”系统。SecFo
12、x-SNI运行的网络环境有如下要求:l TCP/IP网络环境。l 网络管理服务器需要开放相关管理端口。 l 需要相关管理设备支持SNMP协议和Syslog协议。SecFox-SNI可应用于大中小各类型企事业单位,其办公地点可能分布在许多地方,他们的业务系统需要跨越不同的局域网段来部署。它可以将关键设备的运行管理权利集中到一起,通过统一的安全管理系统,将分散在各地区、不同业务网络上面的各种设备节点有机的结成一个整体。对于大型、全国性的、分级的网络环境,SecFox-SNI可以进行级联部署,多个SecFox-SNI管理分支可以统一接入到一个主SecFox-SNI管理中心。4.2 SecFox-SI
13、M系统部署说明在XX单位省中心节点部署一套“SecFox-SIM”系统SecFox-SIM可应用于大中小各类型企事业单位,其办公地点可能分布在许多地方,他们的业务系统需要跨越不同的局域网段来部署。典型的,SecFox-SIM管理中心服务器放置在网管中心或者安全中心,管理员通过浏览器可以从任何位置登录管理中心服务器,进行各项操作,如下图所示: 4.3 “SecFox-SNI”产品功能4.3.1 资产管理资产是IT计算环境的基本元素,是信息安全的保护对象,也是本系统的监控对象。SecFox-SNI为管理员提供了一个管理各类待监控设备的资产库。资产管理可以标明企业和组织关键业务路径上的各资产等级,在
14、对成百上千个监控指标进行监控时,可以分清告警信息处理的轻重缓急,按资产等级排列事件处理顺序。4.3.2 网络拓扑管理SecFox-SNI的拓扑和服务感知引擎(Topology and Service Awareness Engine)能够针对不同拓扑结构类型(大中型骨干网络、中小型局域网络)采用相适应的算法进行快速自动拓扑发现,并自动绘制网络拓扑图。拓扑管理为客户提供了一幅IT计算环境的总览图,直观地给出了整个网络中网络设备、安全设备、主机设备的分布和连接情况。拓扑图支持缩放,具有鸟瞰功能,支持自动布局。 管理员可以通过拓扑图进行设备监控、配置管理和策略管理,可以通过拓扑图实施对某个设备的pi
15、ng,telnet等,以及激活它的web管理界面。通过拓扑图可以直观的反映设备的实际运行状态,并根据设备的状态变化而自动闪烁,方便管理员快速定位故障点。管理员选中拓扑图中的某个设备,可以显示出真实设备面板图,形象化的展示出当前监控设备的端口面板,以及端口状态信息。管理员可以对端口进行各种设置,也可以继续查看端口的实时流量曲线。4.3.3 机房机架视图SecFox-SNI能够将基础设施的物理位置呈现在机房机架视图中。管理员可以清晰地获悉每台服务位于哪个机架,哪一层,还能够看到机房环境动力设备。管理员可以在逻辑拓扑和物理视图之间自由切换,点击图中的任何节点和连接线都能够细致查看明细信息。4.3.4
16、 集中监控SecFox-SNI通过统一的界面对计算环境中的网络节点设备进行集中监控,对整个计算环境中所有设备和应用的运行状态及性能进行分析,实时获得告警,并采取应急响应行动。通过集中监控,管理员可以同时实时查看多个监控指标项,进行对比分析。管理员可以根据需要建立监控任务,设定监控和采集需要管理的参数。采集的数据可以保存,并可以生成相关报表。对于每个监控数值,可以定制监控阈值,当监控的数据超过了阈值,将会触发事件告警。系统可以显示每个监控任务的监控数据,在同一界面上显示最近7天,最近24小时数据,管理员可以清楚地了解任务的当前状况和历史状况。系统支持配置存储监控数据,根据用户需求能够提供监控数据
17、实定制报表,例如日报表,周报表,月报表和年报表,报表可以另存为HTML、EXCEL、文本、PDF等多种格式。管理员可以通过修改配置文件支持添加新的设备类型和设备监控参数,方便地进行扩展。4.3.5 网络和安全设备监控SecFox-SNI能够对支持SNMP协议的网络设备和安全设备进行实时性能分析。主要分析参数包括:主机CPU利用率、主机存储设备利用率、接口流量,等等。SecFox-SNI能够实时显示监控的性能参数,采用形象的曲线图显示监控信息,并且可以计算最大值,平均值和最小值。SecFox-SNI还能够收集来自网络和安全设备的告警和日志信息,进行统一的告警与响应管理。4.3.6 主机监控主机服
18、务器是企业和组织IT应用承载的基石,主机的性能直接影响了企业和组织IT应用的性能,SecFox-SNI能够对主机的CPU利用率、内存利用率、磁盘利用率、进程等进行全面的监控,也可以配置阈值告警,当出现性能异常时及时通知管理员。对于这些性能指标,管理员可以根据自定义的时间段生成报表,通过这些报表可以了解监控主机的实际运行负载情况,为主机管理和扩展提供有价值的参考数据。例如发现某个主机的CPU的利用率在某个时间段长时间处于比较高的状态,那么管理员可以采取相应的措施进行调整。对主机监控提供监控快照,实时分析和详细的监控指标,不是孤立地查看单个指标,可以在一个界面上查看所有的监控信息,提供图形和数据等
19、多种方式,便于管理员全面的了解和分析主机的性能和故障。4.3.7 应用和业务监控应用服务是企业和组织IT应用核心,SecFox-SNI采用先进的主动探测的监控方式,无需在应用服务系统中安装任何代理或软件,模拟应用数据直接监控这些应用服务,一旦这些服务出现无法响应或响应太慢,将会触发事件告警及时通知管理员,管理员可以迅速采取相应的措施。管理员可以根据自定义的时间段生成监控报表,通过这些报表可以了解应用服务的实际运行性能,帮助管理员制定相关应变措施,帮助应用开发人员进行调整优化。SecFox-SNI可以监控企业和组织的各类应用服务,包括数据库,中间件,Web服务,邮件服务,FTP,DHCP,DNS
20、等,不但可以监控这些服务的状态和响应时间,还可以监控系统的详细性能指标,例如Oracle数据库的表空间大小等,可以为管理员提供全面而详实的参考信息。对应用系统的监控也提供监控快照,实时分析和详细的监控指标,不是孤立地查看单个指标,可以在一个界面上查看所有的监控信息,提供图形和数据等多种方式,便于管理员全面的了解和分析应用系统的整体状态和性能。4.3.8 机房环境监控对于IT计算环境监控而言,物理的机房环境也是重要的组成部分。对物理机房的环境进行监控也有助于定位业务故障点,因为业务故障完全可能由于机房供电系统或者空调、UPS等设备出现问题而瘫痪。SecFox-SNI提供对机房环境的全面监控,支持
21、对UPS、空调、测漏水设备、温湿度、配电柜等设备的工作指标参数进行统一监控。 4.3.9 终端接入监控SecFox-SNI具备终端接入监控的功能。通过对边缘交换机端口的监控,清晰把握当前交换机连接的终端设备状况,发现是否有ARP攻击,是否有非法(MAC匹配)接入,并能够主动阻断端口,防止威胁入侵。4.3.10 设备配置信息监控SecFox-SNI可以采集自动地、定期地归集网络设备配置信息,进行配置版本管理。通过不同版本的配置项信息的比较发现对网络设备配置的误操作和恶意篡改。4.3.11 配置与诊断工具设备配置和诊断工具提供了一个批处理执行命令的外壳工具,可以自动调用自定义命令行脚本、TELNE
22、T或者SSH脚本,并可批量执行,方便用户进行设备配置和故障诊断,而无需手工登陆到设备上。配置与诊断工具用途包括:l 设备的SNMP协议功能有限,一般只支持查看信息,配置能力弱,此工具可以调用TELNET或SSH,自动执行设置的脚本,可以实现所有信息查看和进行配置,例如自动重启设备。l 某些设备和主机不支持SNMP协议,几乎没有办法管理,例如UNIX,Linux主机和非网管设备,但是这些设备一般都支持TELNET或SSH,可以用工具进行管理,把经常需要使用的命令行做成脚本,需要管理时调用。l 能够方便地批量配置设备,例如对多台设备配置同样的策略,可以将策略配置做成脚本,配置多台只需要执行,无需登
23、陆和手工配置,减少维护和配置的工作量。4.3.12 防火墙策略管理对于网御神州自有的SecGate系列防火墙/VPN,SecFox-SNI允许用户对这些防火墙/VPN进行集中的策略管理,统一制定策略,批量下发,极大地方便防火墙管理员,降低他们的工作复杂度。l 防火墙日志管理:充当防火墙日志服务器,实现对防火墙日志的集中管理l 策略管理:实现防火墙/VPN的集中策略定义和可视化发布l 设备升级:实现防火墙/VPN设备的升级4.3.13 日志安全审计SecFox-SNI具有强大的安全审计功能,为系统的使用者,包括网络安全管理员,IT部门负责人,公司负责人等提供了解网络安全状况的直观方式。安全审计的
24、主要功能是日志查询、日志分析规则设置、安全审计报表。这些功能都具有在图文显示、文件导出和打印等输出方式。SecFox-SNI的安全统计报表分类的方式有多种,从反映网络安全总体状况的角度进行统计和分析,得到网络安全状况报表;从所管理的安全设备的运行状况出发,可以得到设备安全信息报表。能够根据用户的需求生成日报表,周报表,月报表和年报表等,报表可以另存为HTML、EXCEL、文本、PDF等多种格式。 主要报表包括:安全管理信息Top10分析l 主机访问流量TOP10:统计访问流量最大的前10位主机l 站点被访问流量TOP10:统计被访问流量最大的前10位站点l 拒绝访问类型TOP10:统计被拒绝次
25、数最多的前10种访问类型l 禁访站点访问尝试次数TOP10:统计尝试次数最多的前10位被禁止访问的站点l 用户访问流量TOP10:统计访问流量最大的前10位用户 安全管理信息统计分析l 主机访问统计报表:统计所有主机的访问数据l 用户访问统计报表:统计所有用户的访问数据l 站点被访问统计报表:统计所有被访问站点的访问数据l 系统管理统计报表:统计管理员的所有系统操作数据l 系统模块状态统计报表:统计设备所有系统模块的状态数据4.3.14 IP地址管理SecFox-SNI可以管理企业和组织的IP地址资源,将企业和组织的IP地址按照子网分类列表,便于查看;提供了IP地址查询,IP地址扫描,可以方便
26、地查找和确定那些IP地址已经使用或者尚未使用,方便管理员的管理工作;提供了图形化的IP地址分布查询,可以通过图形一目了然查看IP地址分布状况。4.3.15 集中认证管理SecFox-SNI提供了监控对象认证集中管理,可以在一个界面集中管理所有监控对象的认证方式,例如SNMP设备的团体字符串,数据库的用户密码等,便于管理员进行统一修改。4.3.16 告警和响应管理告警管理可以针对事件进行告警处理。这里,事件是指管理中心采集和侦听到的来自于被管理设备的信息。对于产生的告警信息,系统可以通过多种方式进行通知:弹出窗口、控制台突出显示、电子邮件、有声报警、短信、电话响铃。特别地,SecFox-SNI可
27、以通过Telnet、SSH或者SSH2协议与第三方网络设备和安全设备进行策略联动,可以执行任何预定义策略脚本,实现监控管理的闭环。4.3.17 报表管理除了日志审计和设备监控可以提供相关报表,SecFox-SNI提供了针对全网络运行状态的分析报表。这是进行综合分析的数据报表,可以让管理员了解和评估整个网络系统的运行状态,报表具有如下特点:l 能够根据用户的需求定制时间,例如生成日报表,周报表,月报表和年报表等;l 报表可以另存为HTML、EXCEL、文本、PDF等多种格式。报表类型包括实时分析最近5分钟,最近1小时的网络状态,例如最近5分钟设备运行状况统计,不响应设备列表,最近5分钟流量最大的
28、10个设备,最近5分钟流量最大的10条链路,最近1小时告警最多的设备等等。管理员可以根据自定义的时间段网络运行报表,性能分析报表和可用性报表,例如:设备运行状况统计,不响应设备列表,设备流量统计,链路流量统计,设备告警次数统计,设备资产分类统计,设备资产业务关注度分类统计等等。系统生成的报表可以自动通过电子邮件定期投递到管理员指定的地址。4.3.18 权限管理本系统实现基于角色的用户访问控制机制。所有用户(根用户除外)都建立在角色之上。也就是说,在创建用户之前,需要先创建角色,即定义这个角色具备的权限;然后,再创建用户,并将用户置于一个或者多个已经创建的角色中。所有对本系统的访问都需要用户帐号
29、和口令;不同的用户具有不同的系统使用权限,具体主要体现在用户能够使用的操作(功能)不同。4.3.19 系统管理完成对集中管理系统自身的各项配置工作。4.3.19.1 系统设置完成对集中管理系统自身的各项配置工作,包括系统的初始化配置、网络拓扑管理需要的参数、设备配置管理和策略管理需要的各种参数的配置(例如证书)、用户使用许可证管理,等等。4.3.19.2 系统日志用户对本软件系统的操作都记录日志并进行持久化存储,便于追踪、审核和告警。系统日志格式的属性包括:时间,源IP,用户名,操作类型,操作说明,操作结果(成功/失败)。用户可以针对系统日志进行各种查询。4.3.20 与外部系统集成SecFo
30、x-SNI提供了丰富的API接口,能够与广大第三方管理平台(包括IBM Tivoli,HP OpenView Operations,BMC等)和服务控制台(Service Desk)集成,包括监控信息的集成和告警信息的集成。4.4 “SecFox-SIM”产品功能4.4.1 智能监控频道 智能监控频道为用户提供了一个从总体上把握企业和组织整体安全情况的界面。通过监控频道,用户可以看到当前企业和组织的整体安全等级。每个监控频道显示某方面的安全信息,可以缩放、可以移动换位、可以更换布局、可以调台,显示管理员想看的内容。SecFox-SIM提供丰富的频道切换器,在不同的频道间切换。用户也可以自定义频
31、道。4.4.2 资产管理 ISO17799-2005中对资产的定义是:“任何对组织和企业有价值的事务”。 资产是企业和组织的IT计算环境的核心,承载了当今绝大部分企业和组织的业务。重要的资产的安全决定了企业和组织的核心竞争力和命脉。企业安全管理的一个很重要的工作就是确保资产安全,评估和分析在遭受安全威胁的情况下资产的受影响程度,从而进行企业和组织的安全风险管理。 SecFox-SIM按照资产重要程度和管理域的方式组织资产,提供便捷的添加、修改、删除、查询与统计功能,便于安全管理和系统管理人员能方便地查找所需信息资产的信息,并对资产属性进行维护。对于每个资产,用户可以设置资产的地理位置,便于将来
32、在世界地图上显示出该资产相关的事件。 基于SecFox-SIM的动态资产属性(Dynamic Asset Attribute)技术,用户可以对资产属性进行无限扩展,例如可以根据客户自身的需要为资产增加业务重要性属性、增加资产保护等级属性、增加资产品牌、代号等任何信息。同时,所有这些附加资产属性随时都可以作为查询条件进行检索,也可以作为事件关联分析时的规则的一部分。 4.4.3 工单管理 SecFox-SIM工单管理参照ISO17799、 ISO20000(ITIL规范),以及ISO18044,为安全管理人员建立了一套安全事故处理流程。通过工单,实现了安全事故记录从创建、处理到关闭的安全事故生命
33、周期管理。 工单管理是SecFox-SIM的核心流程,它的功能实现遵循ISO18044标准和ISO20000标准(ITIL)。处理过程中,派单人和责任人可以对现象描述、原因分析、处理意见、处理结果中增加内容,但不能修改以前人输入的内容。系统需记录增加的时间和增加人。在显示工单时,会显示所有的修改记录。 管理员在创建工单后,可以由系统自动发送邮件给指定的工单处理人,提醒其及时处理。 4.4.4 事件分析 事件分析是SecFox-SIM的核心,监控管理人员可以通过事件分析对来自企业和组织所有的事件,以及经过SecFox-SIM规则关联后产生的事件进行可视化实时分析、历史分析和事件统计,从而快速识别
34、安全事故。SecFox-SIM采用基于场景的行为分析(Scenario-based Behavior Analysis)技术,将所有的事件分析都以分析场景的方式列举出来,管理人员可以方便的在各种分析场景之间快速切换,就像切换电视频道一样,大大提高分析工作的效率。 针对每个场景,系统都会实时展示出该场景的事件列表,并且附上一副事件的动态雷达图(Dynamic Radar Diagram)。用户可以实时观察某个事件切片内的事件数量及其不同等级事件的时间分布。点击每个时间切片上的事件方块,可以查看该时切片的事件明细。 对于发现的攻击和威胁,用户可以借助SecFox-SIM的iGPS事件全球定位系统在
35、世界地图上可视化地展示出发起和遭受攻击IP的所在地理位置。 用户也可以对选中的事件生成可视化的实时主动事件图(Active Incident Diagram),形象地观测到当前事件的安全态势。用户点击主动事件图上的IP节点,可以查看该节点的明细信息,点击节点之间的连线可以查看事件的端口、协议等信息。主动事件图可以放大、缩小、自由拖动。 在事件分析中,SecFox-SIM还为用户提供了一套进行深入的审计与追踪工具事件调查工具。借助网御神州独有的启发式事件搜索技术(Heuristic Event Searching Technology),管理员通过事件调查工具可以对某条感兴趣的事件中的源IP地址
36、、目的IP地址、或者目的端口进行相关性事件检索。例如,管理员通过审计某条事件记录发现某用户违规访问一个敏感的外部IP地址,那么管理员可以通过事件调查工具查找最近5分钟内访问同一个敏感外部IP的其它用户的事件记录,从而追踪违规行为;管理员也可以查找某个事件记录中目的端口的含义,是MSN端口?还是BT端口?抑或是蠕虫端口?等等,从而快速了解当前用户的行为特征。 4.4.5 趋势分析 SecFox-SIM可以对设备的网络连接数、网络流量,以及时间数量等的趋势进行分析,并以图标的形式展示。 趋势分析的时间段可以动态调整,包括最近24小时、最近1天、最近1周,等等,用户亦可自行设置。4.4.6 报表管理
37、 安全管理人员可以将事件分析的结果生成报表,作为工作内容汇报的一部分提交给相关部门。 SecFox-SIM将报表分为系统预定义报表和用户自定义报表两大类。 SecFox-SIM内置大量预定义报表,例如: l 当天,当月,该季度,该年度的出现率最多的十种安全事件统计分析报表,既能够图文并茂地显示着十种安全事件的统计值,也能够选择察看具体的安全事件明细表; l 当天,当月,该季度,该年度的出现率最多的十个源IP地址统计分析报表,既能够图文并茂地显示着十个源IP地址的统计值,也能够选择察看出现该IP地址的具体的事件内容; l 每月,每周事件告警严重程度级别趋势表,分类统计每个月所有的安全事件的严重程
38、度级别,察看其发展趋势; l 每天的安全事件统计表,统计每一天的所有安全事件发生的总数; l 可以指定源IP,目的IP,源端口,目的端口一项或者几项内容制作出对应安全事件的详细报表。 l 每天,每周,每月出现最多的十种病毒统计分析报表; l 每天,每周,每月的事故统计报表; l 每天,每周,每月的各种安全状况的总览表,在一张报表上图文并茂地展示这一天,这一周,或者这个月的,全网的安全状况的多种指标统计和趋势图表。l SecFox-SIM具备强大的自定义报表功能。用户可以通过报表编辑器,只需4步,即可方便地自己定义各种复杂的报表,包括报表的内容、布局,以及运行调度设置,满足企业和组织自身不断业务
39、发展的需要。4.4.7 知识管理 SecFox-SIM知识管理为用户提供了一套面向业务的管理工具,方便用户进行安全事件的识别和应急响应处理。SecFox-SIM知识管理包括黑白名单管理和案例管理。 黑白名单管理 黑白名单,是指需要格外关注的事件属性,比如某黑白名单定义为某些符合规则条件的事件的某个属性的列表。 黑白名单是一个非常灵活的信息收集工具,它可以基于事件属性的任意组合或自定义字段组监控活动,而不仅仅是IP地址。在记录可疑的或恶意的IP地址以及有可能已被攻击成功的目标方面,黑白名单非常有用。 用户可以手动增加黑白名单的内容,也可以通过规则响应动态地增加或删除黑白名单中的记录。例如,我们在
40、发现一个恶意攻击之后,可以将攻击源添加到恶意列表中,并在以后严密监控该 IP 的各种行为。 SecFox-SIM包含了大量预定义的黑白名单列表,比如恶意列表、可疑列表、受信任的列表、不受信任的列表、受威胁列表等等,用户可以把它们作为模板使用。 案例管理 案例是由一组相关事件组成的有意义的、值得借鉴的情景,用于安全信息管理经验和知识的积累。 通过将安全信息管理运维过程中遇到的具有典型性的事件放入案例库中,并记录下当时事故的影响情况、采取的安全处理措施,为将来遇到类似事故提供辅助策略的依据。 4.4.8 系统管理 4.4.8.1 系统配置 SecFox-SIM的系统管理员可以通过系统管理中的系统配
41、置对SecFox-SIM系统自身进行各种参数配置,包括数据的备份与恢复、系统自身运行状态的监控,等等;通过系统管理中的事件传感器管理连接到SecFox-SIM平台的事件传感器;在系统管理中还有过滤器和资源定义模块。 事件传感器是SecFox-SIM提供的、用于安装在企业和组织网络中的目标主机上的应用程序。通过事件传感器,SecFox-SIM可以主动地采集目标主机上的事件,在管理服务器上进行事件分析。 过滤器是构成规则的基本单位,也是进行日志审计的条件选项。用户定义了过滤器之后,可以进行各种复杂的日志实时分析场景设置。 通过资源定义,用户可以建立安全领域的知识库,并建立业务相关的集合。例如可以定
42、义办公IP地址组、定义上班时间、定义BT常用端口集合或者常见的蠕虫端口集合,等等。在定义好资源后,用户可以在过滤器和告警规则中任意引用,使得管理员的各种设置操作真正基于业务和领域知识,而不是基础的端口、IP、时间等原始信息。 4.4.8.2 系统自身健康监控 SecFox-SIM具有完善的系统自身健康监控功能(System Self Healthiness),能够对系统自身运行状态进行监控,包括系统CPU和内存利用率,存储可用容量,等等,遇到问题自动报警,确保安全管理平台自身的可靠性。 4.4.9 权限管理 SecFox-SIM是一个多用户系统,不同的用户可以具备不同的权限。这意味着不同权限的
43、用户可以使用SecFox-SIM的全部或者部分功能。 SecFox-SIM采用基于角色的权限管理机制。通过权限管理,管理员可以为不同的用户分配角色,指定该用户能够使用的功能。 4.4.10 等级保护模块 SecFox-SIM能够对审计系统中管理的所有信息资产进行统一的等级化保护管理,按照等级化保护2级到4级的基本要求提供实时审计的分析场景知识库,以及针对等级化保护要求的报表模板。 4.4.11 与外部系统集成 SecFox-SIM提供了丰富的API接口,能够与广大第三方管理平台(包括IBM Tivoli,HP OpenView Operations,BMC等)和服务控制台(Service De
44、sk)集成,包括事件和告警信息的集成,以及策略联动的集成。 五. 实施效果价值分析本方案中信息安全管理平台的实施可以从不同层面为XX单位的用户带来价值回报。 对于安全管理员、安全分析员、安全运维人员: l 明确工作职责,各类安全管理人员各司其职,协同合作 l 提高工作效率,更加快速准确的识别安全告警,发现违规行为,进行应急响应 l 发生安全问题,事后调查有据可循 对于安全负责人,负责安全的高管: l 有助于建立一套可行的安全策略的执行方针,并通过信息安全管理真正落实 l 通过持续有效的安全事件分析识别安全事故、策略冲突、欺诈行为和操作行为 l 通过安全事件分析有助于进行审计和取证分析、支持内部
45、调查、建立基线,以及进行安全运行趋势预测,确保企业和组织的业务的持续性和可靠性 l 通过设备和系统的日志以及安全事件的统一存储,符合企业和组织的需要,符合国家和行业的法律法规 l 自动产生各种分析报表和报告,随时掌控整个企业和组织的安全状况 对单位领导层 l 随时可以全局掌握单位的安全总体状况,为领导层进行安全建设决策提供依据 l 从整体上提升了单位的安全防护水平 l 通过对信息管理平台的投资发挥出原有各种安全设施的投资的潜在价值,从而使得企业和组织的成本效益最大化,降低总拥有成本(TCO),提升安全设施的投资回报率(ROI) 六. 方案优势总结1、 提供了统一的信息安全管理平台,全面直观的网
46、络拓扑结构能够帮助用户快速定位网络故障,及时发现网络流量异常,能对网络中的服务器主机性能提供全面监控和告警,主动监控应用服务的状态和性能。2、 提供了完善的信息安全监控功能,包括设备配置信息监控、主机进程黑/白名单监控、终端接入监控、日志审计、系统配置与诊断工具、WEB网页防篡改、安全辅助工具包,等等。3、 提升了XX单位网络中各种设备和应用的协同安全防御能力。4、 实现了安全信息的集中管理,包括集中的数据采集和分析、统一的存储、集中的应急响应和控制,有助于落实安全策略、实现企业和组织的安全目标。 5、 有助于XX单位消除安全防御的孤岛,同时不会造成新的孤岛6、 符合国家信息系统安全等级保护制度中对于安全管理中心的建设要求,可以作为XX单位的安全总控中心(SOC/SMC)的基础技术平台。
