安全管理（SNI）安全管理平臺建設(shè)方案

網(wǎng)絡(luò)安全管理平臺建設(shè)方案N網(wǎng)神SECWORLD網(wǎng)神信息技術(shù)（北京）股份有限公司目錄TOC\o"1-5"\h\z\o"CurrentDocument"!項目背景 5\o"CurrentDocument"2需求分析 5\o"CurrentDocument"目前網(wǎng)絡(luò)拓撲 5\o"CurrentDocument"網(wǎng)絡(luò)及安全設(shè)備列表 5\o"CurrentDocument"總體要求 5主要功能描述 64.1網(wǎng)絡(luò)監(jiān)控功能需求 6\o"CurrentDocument"4.2安全事件管理功能需求 194.3告警管理 24\o"CurrentDocument"3設(shè)計方案 28\o"CurrentDocument"3.1建設(shè)原則 28\o"CurrentDocument"3.2參考標(biāo)準(zhǔn)和政策 282.1ISO17799信息安全管理體系 282.2ISO13335信息技術(shù)IT安全管理指南 292.3ISO15408信息技術(shù)安全性評價準(zhǔn)則 302.4國家政策《信息安全風(fēng)險評估指南》 312.5國家政策《電子政務(wù)信息安全等級保護》 322.6IT服務(wù)管理的最佳實踐一ITIL 33\o"CurrentDocument"系統(tǒng)總體架構(gòu)設(shè)計 36系統(tǒng)安全設(shè)計 384.1系統(tǒng)安全需求 38\o"CurrentDocument"4.2系統(tǒng)采用的安全技術(shù) 38\o"CurrentDocument"管控方式 39\o"CurrentDocument"性能指標(biāo) 40\o"CurrentDocument"系統(tǒng)接口 417.1接口類型 417.2接口設(shè)計原則 417.3接口實現(xiàn)機制 423.8方案技術(shù)特點 428.1采用跨平臺的軟件技術(shù)框架 428.2快速定位故障節(jié)點和性能瓶頸 428.3海量異構(gòu)事件的采集和歸一化 438.4強大的智能事件關(guān)聯(lián)引擎 448.5基于場景的事件分析可視化 458.6開放的安全管理平臺 468.7緊扣信息系統(tǒng)等級保護要求的安全監(jiān)控 464監(jiān)控平,ロアロロ方案 47\o"CurrentDocument"產(chǎn)品選型 47\o"CurrentDocument"產(chǎn)品功能描述 482.1網(wǎng)絡(luò)拓撲管理 482.2資產(chǎn)管理 534.2.3設(shè)備及應(yīng)用監(jiān)控 544.2.4業(yè)務(wù)視圖 644.2.5安全事件管理及日志審計 664.2.6告警響應(yīng)及協(xié)同防護 782.7報表管理 80\o"CurrentDocument"4.3支持的管理對象列表 82\o"CurrentDocument"4.4支持的!T資源監(jiān)控列表 84\o"CurrentDocument"4.5產(chǎn)品形態(tài)及運行環(huán)境 84\o"CurrentDocument"4.6部署方案 85\o"CurrentDocument"5項目實施方案 86\o"CurrentDocument"5.1項目計劃 86\o"CurrentDocument"5.2各階段工作描述 862.1項目啟動 872.2環(huán)境調(diào)研 872.3系統(tǒng)運行環(huán)境準(zhǔn)備 882.4服務(wù)器軟硬件準(zhǔn)備 892.5網(wǎng)絡(luò)環(huán)境準(zhǔn)備 902.6被監(jiān)控對象的準(zhǔn)備 902.7系統(tǒng)安裝部署 912.8系統(tǒng)定制 922.9系統(tǒng)測試 932.10用戶培訓(xùn) 942.11系統(tǒng)試運行 942.12系統(tǒng)終驗 952.13系統(tǒng)運維支持 96\o"CurrentDocument"6測試方案 97\o"CurrentDocument"軟件測試概述 97\o"CurrentDocument"糸統(tǒng)測試 982.2測試機構(gòu) 982.3獨立的測試環(huán)境 982.4設(shè)計完整、全面的測試內(nèi)容覆蓋 992.5閉環(huán)的測試過程 1002.6選用適當(dāng)?shù)南到y(tǒng)測試的方法、技術(shù) 1012.7制訂明確的系統(tǒng)測試流程 1012.8系統(tǒng)測試用例 102\o"CurrentDocument"6.3用戶確認測試 1023.1確認測試目的 1023.2確認測試組織 1023.3確認測試的特點 1023.4確認測試工作流程 1023.5確認測試用例 1033.6壓カ測試 1033.7測試缺陷處理方案 104\o"CurrentDocument"術(shù)培訓(xùn)計劃 106\o"CurrentDocument"訓(xùn)責(zé)任 107\o"CurrentDocument"訓(xùn)目的 107\o"CurrentDocument"訓(xùn)內(nèi)容說明 1084.1前期知識培訓(xùn) 1087.4.2用戶使用培訓(xùn) 1087.4.3系統(tǒng)維護培訓(xùn) 1097.4.4培訓(xùn)相關(guān)文檔目錄清單 109\o"CurrentDocument"8系統(tǒng)驗收方案 110\o"CurrentDocument"系統(tǒng)初驗 110\o"CurrentDocument"試運行 110\o"CurrentDocument"系統(tǒng)終驗 110\o"CurrentDocument"應(yīng)用系統(tǒng)驗收標(biāo)準(zhǔn) 111\o"CurrentDocument"文檔評審?fù)ㄟ^標(biāo)準(zhǔn) 112\o"CurrentDocument"確認測試通過標(biāo)準(zhǔn) 112\o"CurrentDocument"系統(tǒng)試運行通過標(biāo)準(zhǔn) 113\o"CurrentDocument"9項目管理與質(zhì)量控制 113\o"CurrentDocument"項目組織管理 113\o"CurrentDocument"項目人カ資源管理 113\o"CurrentDocument"QA質(zhì)量保證師 115\o"CurrentDocument"工程質(zhì)量控制 1169.4.1項目管理規(guī)范約束 1169.4.2工程實施規(guī)范約束 1169.4.3項目質(zhì)量控制措施 1179.4.4項目文檔管理 1201項目背景略。2需求分析目前網(wǎng)絡(luò)拓撲略。網(wǎng)絡(luò)及安全設(shè)備列表略?？傮w要求此次項目要求建設(shè)ー套安全管理平臺。首先,通過對客戶IT資源中包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機和應(yīng)用在內(nèi)的節(jié)點進行統(tǒng)ー監(jiān)控,實時掌握網(wǎng)絡(luò)中各重要設(shè)備及系統(tǒng)的可用性狀態(tài),及時發(fā)現(xiàn)網(wǎng)絡(luò)和系統(tǒng)主機的故障和性能瓶頸;其次,通過實時獲取IT資源中的各類安全信息,進行關(guān)聯(lián)分析,實現(xiàn)IT資源的安全態(tài)勢感知,對內(nèi)部違規(guī)和外部入侵行為進行審計;然后,將IT資源的所有資產(chǎn)和威脅信息匯集到ー起,通過決策分析獲得可測量的安全風(fēng)險，并借助標(biāo)準(zhǔn)化的運維流程支撐平臺對!T資源實施有效的安全策略調(diào)整。整個監(jiān)控、審計和決策過程都統(tǒng)ー在一體化管理平臺之下,實現(xiàn)網(wǎng)絡(luò)、系統(tǒng)、安全、運維等集中式的綜合管理,整合現(xiàn)有的監(jiān)控和運維手段,消除信息孤島,有效的減少IT系統(tǒng)故障可能導(dǎo)致的損失,降低運維成本,提高運維效率和能力,提高服務(wù)質(zhì)量，建立科學(xué)合理、高效規(guī)范的業(yè)務(wù)流程,提高對安全事件的處理能力，滿足不同層面角色及時掌握其關(guān)心的信息,真正構(gòu)建起面向整體IT資源的全面可控安全管理體系。項目要求日志安全審計系統(tǒng)作為ー個統(tǒng)一日志監(jiān)控與審計平臺,能夠?qū)崟r不間斷地將企業(yè)和組織中來自不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機、操作系統(tǒng)、用戶業(yè)務(wù)系統(tǒng)的日志、警報等信息匯集到審計中心，實現(xiàn)全網(wǎng)綜合安全審計。要求能夠?qū)崟r地對采集到的不同類型的信息進行歸并和實時分析,通過統(tǒng)一的控N網(wǎng)神制臺界面進行實時、可視化的呈現(xiàn),協(xié)助安全管理人員迅速準(zhǔn)確地識別安全事故,消除了管理員在多個控制臺之間來回切換的煩惱,同時提高工作效率。要求能夠自動地或者在管理員人工干預(yù)的情況下對審計告警進行各種響應(yīng),并與包括各種類型的交換機、路由器、防火墻、IDS、主機系統(tǒng)等在內(nèi)的眾多第三方設(shè)備和系統(tǒng)進行預(yù)定義的策略聯(lián)動,實現(xiàn)安全審計的管理閉環(huán)。為客戶提供了豐富的報表,使得管理人員能夠從各個角度對企業(yè)和組織的安全狀況進行審計,并自動、定期地產(chǎn)生報表。要求緊扣信息系統(tǒng)等級保護中對安全審計的技術(shù)要求和對安全事件處置的管理要求,提供了一個面向等級保護的審計包。主要功能描述4.1網(wǎng)絡(luò)監(jiān)控功能需求遵循ISO-OSI定義的網(wǎng)絡(luò)管理功能，支持TCP/IP協(xié)議，SNMP、Telnet,SSH、JMX、JDBC、HTTP等相關(guān)的監(jiān)控標(biāo)準(zhǔn)協(xié)議。支持對設(shè)備廠商通用MIB的管理及主流廠家的私有MIB管理,支持對所有不同品牌不同類型網(wǎng)絡(luò)設(shè)備（資源）的管理功能。實現(xiàn)對網(wǎng)絡(luò)、主機、數(shù)據(jù)庫、應(yīng)用服務(wù)等的可用性進行監(jiān)控,能按網(wǎng)絡(luò)、業(yè)務(wù)等多種拓撲視圖方式展現(xiàn)給管理人員，對采集的信息進行關(guān)聯(lián)分析,實現(xiàn)智能化告警和故障定位。支持對IP進行管理,管理員可查看當(dāng)前已分配IP地址，掃描當(dāng)前占用的!P地址，發(fā)現(xiàn)未經(jīng)許可私自使用的IP,對IP地址的使用進行規(guī)范管理。.1.1拓撲監(jiān)控拓撲監(jiān)控應(yīng)分網(wǎng)絡(luò)視圖和業(yè)務(wù)視圖，分層次地呈現(xiàn)業(yè)務(wù)系統(tǒng)所涉及的所有被管理資源的拓撲結(jié)構(gòu)。提供靈活的瀏覽、監(jiān)視和編輯的功能，并能動態(tài)、實時的展現(xiàn)性能、告警、配置方面的數(shù)據(jù)。在拓撲圖上不但能察看選定節(jié)點的詳細配置信息,還包括基本數(shù)據(jù)和計算、匯總后的數(shù)據(jù)。網(wǎng)絡(luò)設(shè)備發(fā)生故障，或網(wǎng)絡(luò)拓撲發(fā)生變化，產(chǎn)生告警時間需小于5分鐘。1、網(wǎng)絡(luò)邏輯拓撲網(wǎng)絡(luò)拓撲視圖展現(xiàn)被管資源分布和關(guān)聯(lián)情況,視圖可分層展現(xiàn),如網(wǎng)絡(luò)核心層、匯聚層、接入層和功能區(qū)等。提供圖形化配置修改工具,允許管理維護人員靈活修改按地理或網(wǎng)段邏輯分布的相關(guān)聯(lián)資源等基本配置信息。網(wǎng)絡(luò)拓撲能自動發(fā)現(xiàn)和具有以下功能:1）能夠按照設(shè)定的ー個或多個條件的拓撲結(jié)構(gòu)自動發(fā)現(xiàn),例如指定網(wǎng)段、指定資源類型等條件。能夠自動區(qū)分網(wǎng)絡(luò)設(shè)備和主機,網(wǎng)絡(luò)設(shè)備以種子拓撲顯示,主機以子網(wǎng)方式顯示。種子拓撲和子網(wǎng)方式顯示可手工選擇和切換。2）發(fā)現(xiàn)路由器端口所在子網(wǎng)的主機分布情況，能夠按照子網(wǎng)的方式顯示。3）網(wǎng)絡(luò)拓撲結(jié)構(gòu)的顯示方式可以按照用戶的要求拖曳編排,從而以最方便直觀的方式展示網(wǎng)絡(luò)結(jié)構(gòu)。4）可以直接用已知設(shè)備的IP地址，對設(shè)備進行拓撲發(fā)現(xiàn),也可以通過網(wǎng)段或者種子節(jié)點進行拓撲。5）系統(tǒng)能通過多種方式自動發(fā)現(xiàn)和正確識別網(wǎng)絡(luò)中各種品牌的網(wǎng)絡(luò)設(shè)備，包括路由器、交換機、服務(wù)器網(wǎng)絡(luò)操作系統(tǒng)、防火墻等,并能通過配置實現(xiàn)自動發(fā)現(xiàn)并正確的顯示設(shè)備之間拓撲連接。6）可根據(jù)用戶輸入的某個IP地址直接定位,給出該地址連接于網(wǎng)絡(luò)何處，連接在網(wǎng)絡(luò)中哪臺設(shè)備的哪個端口（可結(jié)合設(shè)備面板管理功能）,以及給出該!P地址對應(yīng)的設(shè)備名（如用戶主機名）。7）對于所發(fā)現(xiàn)的設(shè)備,提供手工編輯功能,拓撲圖上的設(shè)備能夠根據(jù)用戶喜好,自由擺放;設(shè)備屬性提供刪除和修改功能，能夠從拓撲圖上將那些不在需要管理并且符合刪除條件的設(shè)備刪除掉。8）拓撲刷新功能，如有設(shè)備增減時,拓撲能自動發(fā)現(xiàn)和提醒管理員注意。9）拓撲編輯和拓撲發(fā)現(xiàn)的結(jié)果能夠保存下來。2、業(yè)務(wù)視圖拓撲根據(jù)應(yīng)用業(yè)務(wù)的邏輯，依據(jù)業(yè)務(wù)流程、流程環(huán)節(jié)、環(huán)節(jié)模塊的上下級關(guān)系創(chuàng)建業(yè)務(wù)視圖拓撲，在業(yè)務(wù)視圖拓撲中包含網(wǎng)絡(luò)節(jié)點,網(wǎng)絡(luò)連接,業(yè)務(wù)主機，應(yīng)用服務(wù),域名解析等,對業(yè)務(wù)的相關(guān)節(jié)點和應(yīng)用進行統(tǒng)ー監(jiān)控和關(guān)聯(lián)分析,當(dāng)出現(xiàn)業(yè)務(wù)不可用或性能告警時，可以快速定位業(yè)務(wù)故障的原因,確定到底是網(wǎng)絡(luò)故障，主機故障還是應(yīng)用故障，界定故障位置，分清維護責(zé)任。對于業(yè)務(wù)拓撲視圖,可以設(shè)置權(quán)限,開放給相關(guān)業(yè)務(wù)單位監(jiān)控使用。能夠根據(jù)設(shè)定條件自動發(fā)現(xiàn),并提供圖形化配置修改工具,允許管理維護人員靈活修改拓撲。3、路由拓撲可分析各種靜態(tài)和動態(tài)路由協(xié)議,對于指定任意兩點（IP）,或指定源IP和目標(biāo)IP,路由拓撲能自動發(fā)現(xiàn)IP路由信息,并以圖形展示,能穿透和顯示地址轉(zhuǎn)換設(shè)備。4、集成鏈路性能監(jiān)控上述拓撲視圖能實現(xiàn)鏈路性能監(jiān)控，在拓撲視圖上能直觀顯示鏈路性能和變化狀態(tài),監(jiān)控以下內(nèi)容:鏈路連通性鏈路延時鏈路總流量各類業(yè)務(wù)占總流量的比例發(fā)包率能夠設(shè)定監(jiān)控閥值,超出閥值進行告警,并提供上述數(shù)據(jù)統(tǒng)計查詢功能。5、拓撲瀏覽功能拓撲瀏覽應(yīng)具有以下功能:1）顯示已經(jīng)編輯好的網(wǎng)絡(luò)拓撲圖;2）可以根據(jù)需要構(gòu)造用戶所需的網(wǎng)絡(luò)視圖;3）可以根據(jù)需要切換到不同的網(wǎng)絡(luò)視圖;4）可在當(dāng)前視圖和其它視圖中，查找指定的被管資源;5）可以根據(jù)需要選擇顯示或隱藏某些類型的資源，支持資源顯示過濾;6）可通過拓撲圖查看節(jié)點對象配置屬性;7）拓撲圖應(yīng)能夠正確反映被管理資源間的關(guān)聯(lián);8）通過拓撲節(jié)點可以查看該節(jié)點相關(guān)的配置、性能、故障的信息；9）拓撲圖可靈活反映告警情況;10）任選拓撲圖中的某ー節(jié)點,可以啟動該節(jié)點相關(guān)的告警詳情和告警歷史信息的查詢統(tǒng)計的入口；11）拓撲圖中的節(jié)點和連線用易于區(qū)別的圖標(biāo)顯示，且能夠顯示該圖標(biāo)是否有子圖；12）拓撲圖中能顯示圖標(biāo)自身屬性;13）可通過點擊拓撲圖的網(wǎng)元,直接進行設(shè)備管理和簡單的測試,如telnet,ssh,http,https,設(shè)備面板管理,ping、traceroute等。.1.2IP地址管理需滿足以下管理功能:D提供圖形化的ip地址分布查詢和分配管理,可以通過圖形一目了然查看ip地址分布狀況,直接通過點擊圖形進行ip分配。2）將IP地址按照子網(wǎng)分類列表,便于查看和管理。3）可以方便查詢到IP地址的關(guān)聯(lián)信息,包括:IP地址,設(shè)備名稱,MAC地址,設(shè)備描述，位置,聯(lián)系人,狀態(tài)（是否使用）等。4）提供!P地址查詢，IP地址掃描，可以方便地查找和確定那些IP地址已經(jīng)使用或者尚未使用,方便管理員的管理工作;IP地址掃描采用異步ICMP技術(shù),可以快速掃描網(wǎng)段,節(jié)省管理時間。同時可根據(jù)網(wǎng)關(guān)設(shè)備ARP表,防止主機禁PING而發(fā)現(xiàn)不了IP。5）可將IP地址與MAC地址進行綁定，監(jiān)控IP和MAC地址對應(yīng)關(guān)系,防止IP地址沖突和IP地址盜用的情況出現(xiàn),并觸發(fā)相關(guān)告警提示用戶。.1.3設(shè)備面板管理可以通過點擊拓撲圖和設(shè)備列表查看網(wǎng)絡(luò)設(shè)備的端口面板圖,查看端口的狀態(tài),如綠色表示端口連通正常,紅色表示端口被阻斷,灰色表示端口未連通。點擊端口可以查看端口帶寬、端口發(fā)送接收數(shù)據(jù)包、錯誤率、丟包率等參數(shù),查看端口物理和邏輯連接信息（如下ー跳設(shè)備、連接單位和跳線信息等）?？梢詫Χ丝谶M行關(guān)閉阻斷和開通。.1.4主機和應(yīng)用集中監(jiān)控具體監(jiān)控指標(biāo)如下:1、網(wǎng)絡(luò)設(shè)備監(jiān)控指標(biāo)監(jiān)測參數(shù)指標(biāo)包括:CPU、內(nèi)存、端口流量、連接數(shù)、收發(fā)數(shù)據(jù)包等運行態(tài)狀參數(shù)。N網(wǎng)神SFCWORIn2、主機監(jiān)控指標(biāo)可監(jiān)測windows、Linux,Solaris,AIX、FreeBSD、HP-UX,可以從多角度多方面對服務(wù)器的運行狀態(tài)進行監(jiān)控。Windows主機監(jiān)測指標(biāo)CPU指標(biāo)CPU使用率(％)磁盤指標(biāo)Disk使用率(%)磁盤總量(MB)剩余空間(MB)內(nèi)存指標(biāo)Memory使用率(％)剩余空間(MB)內(nèi)存總量(MB)Windows進程進程總數(shù)(個)和名稱,變動告警接口流量接收速率(Kbit/s)發(fā)送速率(Kbit/s)接口丟包率接口輸入丟包率(％)接口輸出丟包率(％)指定服務(wù)器的狀況(Ping)包成功率(%)數(shù)據(jù)往返時間(ms)狀態(tài)值(200表示成功300表示出錯)監(jiān)測連接到指定TCPPort的狀況數(shù)據(jù)往返時間(ms)監(jiān)測指定網(wǎng)頁連接的狀況(URL)網(wǎng)頁返回碼狀態(tài)網(wǎng)頁的下載時間(S)文件大小(bytes)使用安全傳輸獲取指定網(wǎng)頁連接狀況(SSLHTTPS)網(wǎng)頁返回碼狀態(tài)網(wǎng)頁的下載時間(S)文件大小(bytes)Linux/Unix服務(wù)器監(jiān)測指標(biāo)CPU指標(biāo)CPU使用率(％)磁盤指標(biāo)Disk和文件系統(tǒng)使用率(%)剩余空間(MB)內(nèi)存指標(biāo)Memory使用率(％)剩余空間(MB)錯誤頁/秒(頁/秒)內(nèi)存總量(MB)監(jiān)測Linux/unix事件日志檢查的總行數(shù)(行)匹配行數(shù)(行)Linux/unix進程監(jiān)測運行實例個數(shù)(個)和名稱,變動告警驗證腳本程序是否正常運行往返時間(ms)字符串返回值數(shù)值返回值Linux/unix主機監(jiān)測命令執(zhí)行結(jié)果命令配備結(jié)果(0=匹配不成功;1=匹配成功)指定服務(wù)器的狀況(Ping)包成功率(%)數(shù)據(jù)往返時間(ms)狀態(tài)值(200表示成功300表示出錯)監(jiān)測連接到指定TCPPort的狀況數(shù)據(jù)往返時間(ms)監(jiān)測指定網(wǎng)頁連接的狀況(URL)網(wǎng)頁返回碼狀態(tài)網(wǎng)頁的下載時間(s)文件大小(bytes)使用安全傳輸獲取指定網(wǎng)頁連接狀況(SSLHTTPS)網(wǎng)頁返回碼狀態(tài)網(wǎng)頁的下載時間(S)文件大小(bytes)3、數(shù)據(jù)庫監(jiān)控指標(biāo)可監(jiān)測oracle、SQLServer,Sybase.Informix,DB2,Mysql等數(shù)據(jù)庫,具體監(jiān)控指標(biāo)如ド:通用數(shù)據(jù)庫狀態(tài)査詢數(shù)據(jù)庫SQL語句執(zhí)行情況返回狀態(tài)數(shù)據(jù)往返時間記錄個數(shù)數(shù)據(jù)庫監(jiān)測器監(jiān)測參數(shù)Oracle數(shù)據(jù)庫Oracle數(shù)據(jù)庫性能游標(biāo)數(shù)Session數(shù)每秒事務(wù)數(shù)數(shù)據(jù)庫鎖數(shù)量死鎖數(shù)量緩沖池命中率Cache命中率進程內(nèi)存利用率Oracle數(shù)據(jù)庫表空間表空間狀態(tài)使用率已用空間剩余率剩余空間總?cè)萘縊racle數(shù)據(jù)庫連接數(shù)連接數(shù)

I 「Oracle數(shù)據(jù)庫進程 「內(nèi)存使用率數(shù)據(jù)庫監(jiān)測器監(jiān)測參數(shù)SQLServerSQLMemoryManagerSQLServer使用的內(nèi)存總量維護連接的動態(tài)內(nèi)存每秒成功獲得一個工作空間內(nèi)存授權(quán)的進程總數(shù)查詢優(yōu)化的內(nèi)存總數(shù)動態(tài)SQL高速緩存的動態(tài)內(nèi)存總數(shù)頁若不被引用將在緩存區(qū)池中停留的秒數(shù)SQLUserManager用戶連接數(shù)每秒啟動的登錄數(shù)每秒開始的注銷操作總數(shù)SQLServerCacheManager高速緩存命中次數(shù)和查找次數(shù)的比率高速緩存對象所使用的8(KB)頁的數(shù)目高速緩存中高速緩存的對象數(shù)每類高速緩存對象已使用的次數(shù)SQLServerStaticManager每秒收到的Transact-SQL命令批數(shù)每秒的自動參數(shù)化嘗試數(shù)每秒SQL編譯數(shù)每秒SQL重新編譯數(shù)數(shù)據(jù)庫監(jiān)測器監(jiān)測參數(shù)Sybase數(shù)據(jù)庫Sybase性能每分鐘Sybase在讀取和寫入時遇到的錯誤數(shù)每分鐘在輸入和輸出上花費的時間每分鐘Sybase讀取的輸入數(shù)據(jù)包數(shù)每分鐘Sybase寫入的輸出數(shù)據(jù)包數(shù)每分鐘Sybase在讀取和寫入數(shù)據(jù)包時遇到的錯誤數(shù)每分鐘Sybase讀取的次數(shù)每分鐘Sybase寫入的次數(shù)服務(wù)器計算機的CPU每分鐘處理Sybase工作所用的時間每分鐘登錄或嘗試登錄Sybase的次數(shù)服務(wù)器計算機的CPU每分鐘空閑時間數(shù)據(jù)庫表空間使用率

已用空間剩余率剩余空間總?cè)萘縎ybase死鎖死鎖時間最長的進程ID最長死鎖時間死鎖數(shù)前十個死鎖信息數(shù)據(jù)庫監(jiān)測器監(jiān)測參數(shù)Informix數(shù)據(jù)庫Informix數(shù)據(jù)庫性能邏輯日志文件總數(shù)表總數(shù)表所用頁面總數(shù)邏輯文件所占空間塊總數(shù)塊空間總數(shù)塊剩余空間數(shù)據(jù)庫監(jiān)測器監(jiān)測參數(shù)DB2數(shù)據(jù)庫DB2連接狀態(tài)連接總數(shù)當(dāng)前連接數(shù)本地連接數(shù)DB2代理狀態(tài)ActiveAgentsIdleAgentsNumberofAgentsAgentsWaitingDB2緩存池狀態(tài)BufferPoolHitRatioIndexPageHitRatioDataPageHitRatioDirectReadsDirectWritesDB2cache緩存狀態(tài)PackageCacheHitRatioCatalogCacheHitRatioDB2數(shù)據(jù)庫性能信息當(dāng)前數(shù)據(jù)庫實例名DatabaseName主機名路徑DatabaseAliasDatabaseStatusConnectedTimeDeadlockRatePercentageofLogUtilization

總的有效Log數(shù)PercentageofSortsOverflowed排序總數(shù)DB2執(zhí)行狀態(tài)SuccessfulQueriesFailedQueriesUnitsofWorkDB2數(shù)據(jù)庫表空間ExtentsizePrefetchsizePagesizeCurBufferPoolIDNextBufferPoolID數(shù)據(jù)庫監(jiān)測器監(jiān)測參數(shù)Mysq!數(shù)據(jù)庫Mysql數(shù)據(jù)庫性能當(dāng)前活動線程總數(shù)上次監(jiān)測后已執(zhí)行查詢總數(shù)上次監(jiān)測后已執(zhí)行長時間查詢總數(shù)當(dāng)前打開的數(shù)據(jù)表總數(shù)4、中間件監(jiān)控指標(biāo)可監(jiān)測Weblogic、Lotus>WebSphere等中間件,具體監(jiān)控指標(biāo)如下:中間件監(jiān)測器監(jiān)測參數(shù)WeblogicWebLogic8.xStatusWebLogic8.x應(yīng)用服務(wù)器的運行狀態(tài)WebLogic8.xConnectionPool連接池的狀態(tài)Server連接池名稱當(dāng)前使用的連接數(shù)量等待池中連接的最大客戶數(shù)丟失的連接數(shù)連接池最大連接數(shù)WebLogic8.xJmsJMS的連接總數(shù)JMS當(dāng)前的連接總數(shù)JMS的最高連接數(shù)JMSServer總數(shù)當(dāng)前JMSServer總數(shù)JMSServer歷史中最高總數(shù)JMSSession的總數(shù)當(dāng)前的JMSSession數(shù)最高的JMSSession數(shù)已接收的Jms消息數(shù)未處理的Jms消息數(shù)Jms發(fā)送的消息數(shù)WebLogic8.x執(zhí)行線程的總數(shù)

ExecuteQueueexecuteQueueName當(dāng)前空閑的執(zhí)行線程數(shù)PendingRequestOldestTime隊列中未處理的請求數(shù)隊列已經(jīng)處理的請求數(shù)WebLogic8.xWebApp當(dāng)前打開的Session數(shù)WebAppName打開的Session最高數(shù)打開的Session的總數(shù)StatusmbeanNameWebLogic8.xCluster激活服務(wù)器的數(shù)量ClusterName丟失的消息數(shù)WebLogic8.xHeap當(dāng)前堆的總空間當(dāng)前堆已使用的空間NameWebLogic8.xServer當(dāng)前打開的Socket數(shù)量打開的Socket的總數(shù)當(dāng)前連接數(shù)RestartsTotalCount監(jiān)聽端口監(jiān)聽端口管理端口管理服務(wù)監(jiān)聽端口ListenAddressNameWeblogicVersion中間件監(jiān)測器監(jiān)測參數(shù)LotusLotusNotes內(nèi)存占用空間進程占用空間共享占用空間物理內(nèi)存內(nèi)存狀態(tài)LotusNotes磁盤剩余空間磁盤大小磁盤類型本地磁盤遠程磁盤LotusNotes服務(wù)器任務(wù)狀態(tài)任務(wù)數(shù)

復(fù)制任務(wù)狀態(tài)路由任務(wù)狀態(tài)事件任務(wù)狀態(tài)LotusNotes郵件系統(tǒng)Mail傳遞速率Mail傳輸速率Mail路由速率死信率總處理數(shù)Mail等待數(shù)復(fù)制等待數(shù)LotusNotes文件數(shù)據(jù)庫空間已用空間空閑空間剩余率響應(yīng)時間錯誤數(shù)中間件監(jiān)測器監(jiān)測參數(shù)WebSphereWebSphereServletSessions狀態(tài)開啟的對話無效的對話對話活動時間激活對話數(shù)存活對話數(shù)WebSphereTransaction狀態(tài)全局開始事務(wù)數(shù)有關(guān)全局事務(wù)數(shù)本地開始事務(wù)數(shù)激活全局事務(wù)數(shù)激活本地事務(wù)數(shù)持續(xù)全局事務(wù)數(shù)持續(xù)本地事務(wù)數(shù)全局持續(xù)完成之前的事務(wù)數(shù)持續(xù)等待的全局事務(wù)數(shù)持續(xù)提交的全局事務(wù)數(shù)本地持續(xù)完成之前的事務(wù)數(shù)持續(xù)提交的本地事務(wù)數(shù)最佳事務(wù)數(shù)提交的全局事務(wù)數(shù)提交的最佳本地事務(wù)數(shù)回滾的最佳全局事務(wù)數(shù)回滾的最佳本地事務(wù)數(shù)全局超時事務(wù)數(shù)

本地超時事務(wù)數(shù)WebSphereBean狀態(tài)創(chuàng)建數(shù)移走數(shù)活動數(shù)停頓數(shù)示例數(shù)破壞數(shù)裝載數(shù)存儲數(shù)并發(fā)激活數(shù)并發(fā)活動數(shù)總的調(diào)用方法avgMethodRt平均創(chuàng)建時間平均的移走時間激活的方法從池中獲取數(shù)取回數(shù)緩沖池返回數(shù)丟棄的返回數(shù)drainsFromPoolavgDrainSize緩沖池大小WebSpherePerformanceServlet活動線程數(shù)剩余內(nèi)存數(shù)使用內(nèi)存數(shù)創(chuàng)建線程數(shù)銷毀線程數(shù)內(nèi)存總數(shù)5、Web系統(tǒng)監(jiān)控1）監(jiān)測系統(tǒng)主機檢查CPU、內(nèi)存、磁盤I/O及磁盤空間使用情況,確保Web系統(tǒng)有一個良好的運行環(huán)境,如果CPU、內(nèi)存使用率過高、磁盤空間不足會導(dǎo)致系統(tǒng)崩潰,無法使用。2）監(jiān)測系統(tǒng)軟件檢查Web應(yīng)用進程占用的CPU、內(nèi)存,探測80端口是否有響應(yīng)。3）監(jiān)測業(yè)務(wù)運行情況訪問首頁和一些關(guān)鍵網(wǎng)頁,確保網(wǎng)頁可以正常瀏覽。4）監(jiān)測Web系統(tǒng)性能監(jiān)測參數(shù)有請求速率、錯誤請求數(shù)、當(dāng)前連接數(shù)、腳本運行錯誤數(shù)等。5）IIS、APACHE監(jiān)控指標(biāo)如下:WEB服務(wù)監(jiān)測器監(jiān)測參數(shù)msnsHttpWeb服務(wù)可用性Web服務(wù)的應(yīng)答時間當(dāng)前的連接數(shù)每秒傳送的字節(jié)數(shù)當(dāng)前的匿名用戶數(shù)目當(dāng)前的非匿名用戶數(shù)目APACHEHttpWeb服務(wù)可用性Web服務(wù)的應(yīng)答時間Apache被訪問的次數(shù)CPU負載Apache正常運行的持續(xù)時間每分鐘的請求數(shù)量每個請求傳輸?shù)淖止?jié)數(shù)量活動線程數(shù)非激活的線程數(shù)6、郵件系統(tǒng)監(jiān)控1）監(jiān)測郵件服務(wù)器主機監(jiān)測CPU、內(nèi)存、磁盤I/O及磁盤空間使用情況,確保Email系統(tǒng)有一個良好的運行環(huán)境,如果CPU、內(nèi)存使用率過高、磁盤空間不足會導(dǎo)致系統(tǒng)崩潰,無法使用。2）進程監(jiān)測檢查MailServer進程占用的CPU、內(nèi)存,探測25、110端口是否有響應(yīng)。3）可用性監(jiān)測模擬真實用戶用SMTP、POP3方式發(fā)送、接收郵件,檢查MailServer是否可用，發(fā)送、接收郵件速度是否正常。4）性能監(jiān)測監(jiān)測MailServer的性能指標(biāo),POP3當(dāng)前連接數(shù)、SMTP當(dāng)前連接數(shù)、POP3連接拒絕數(shù)、POP3驗證失敗數(shù)等。5）監(jiān)測系統(tǒng)和各種應(yīng)用服務(wù)日志7、FTP服務(wù)監(jiān)控1）檢查主機檢查CPU、內(nèi)存、磁盤I/O及磁盤空間使用情況,確保FTP系統(tǒng)有一個良好的運行環(huán)境,如果CPU、內(nèi)存使用率過高、磁盤空間不足會導(dǎo)致系統(tǒng)崩潰,無法使用。2）進程監(jiān)測檢查FTPServer進程占用的CPU、內(nèi)存。3）可用性監(jiān)測可以通過定期上傳或下載指定文件來驗證系統(tǒng)的FTP服務(wù)是否正常。8、DNS系統(tǒng)監(jiān)控1）檢查主機檢查CPU、內(nèi)存、磁盤I/O及磁盤空間使用情況,確保DNS系統(tǒng)有一個良好的運行環(huán)境,如果CPU、內(nèi)存使用率過高、磁盤空間不足會導(dǎo)致系統(tǒng)崩潰,無法使用。2）進程監(jiān)測檢查DNSServer進程占用的CPU、內(nèi)存。3）可用性監(jiān)測模擬真實用戶發(fā)送DNS請求,驗證DNSServer是否有響應(yīng),解析結(jié)果是否正確。4）監(jiān)測系統(tǒng)和各種應(yīng)用服務(wù)日志。9、網(wǎng)頁內(nèi)容監(jiān)控應(yīng)具備網(wǎng)頁內(nèi)容監(jiān)控功能，發(fā)現(xiàn)網(wǎng)頁無法訪問或網(wǎng)頁特定內(nèi)容被篡改時可向管理員發(fā)出告警。4.2安全事件管理功能需求支持對用戶方網(wǎng)絡(luò)環(huán)境中重要的設(shè)備和系統(tǒng)進行日志采集,統(tǒng)一分析和展現(xiàn),發(fā)現(xiàn)可疑事件時可及時進行告警,可利用歷史數(shù)據(jù)進行各類安全統(tǒng)計,提供安全統(tǒng)計報表和審計報告。數(shù)據(jù)采集和處理要求支持Sylsog、SNMPTrap,LogFile,JDBC,XML等事件格式,支持事件過濾、歸并和歸ー化處理，支持以下的數(shù)據(jù)源的數(shù)據(jù)采集:I）入侵檢測2）漏洞掃描3）審計系統(tǒng)4）流量分析5）防火墻日志6）網(wǎng)絡(luò)設(shè)備日志7）主機和應(yīng)用系統(tǒng)日志8）防病毒系統(tǒng)事件關(guān)聯(lián)分析關(guān)聯(lián)分析引擎應(yīng)具備以下功能:1）提供基于漏洞的關(guān)聯(lián)自動判斷當(dāng)前發(fā)生的信息安全事件是否真的對目標(biāo)資產(chǎn)構(gòu)成威脅,對于并不存在相關(guān)漏洞的事件,自動降低其優(yōu)先級,對于存在相關(guān)漏洞的事件則提升其優(yōu)先級,使得管理員可以更專注于真正會造成危害的事件。2）基于規(guī)則的關(guān)聯(lián)當(dāng)發(fā)生針對某目標(biāo)的安全事件時,各類安全設(shè)備會產(chǎn)生相應(yīng)的日志報警,如IDS、防火墻、交換機、主機等,系統(tǒng)可以采用基于規(guī)則的關(guān)聯(lián)（如攻擊目標(biāo)），把相關(guān)的報警日志壓縮過濾。3）基于統(tǒng)計的關(guān)聯(lián)采用基于時間和數(shù)量的統(tǒng)計關(guān)聯(lián),把一定時間內(nèi)大量的告警日志歸類合并,確定安全事件類型，如確認為某種攻擊行為。4）提供基于資產(chǎn)的關(guān)聯(lián)可以將當(dāng)前發(fā)生的信息安全事件與預(yù)先定義的資產(chǎn)進行相關(guān),針對警報嚴重程度和資產(chǎn)價值,有效判斷事件的優(yōu)先級,評估當(dāng)前資產(chǎn)遭到威脅的狀況。5）提供基于知識庫的關(guān)聯(lián)能夠?qū)⑿畔踩录c現(xiàn)有知識庫進行關(guān)聯(lián)，從而精確評估當(dāng)前事件對目標(biāo)資產(chǎn)造成的危害,及其可能會導(dǎo)致的后果。6）提供靈活的自定義關(guān)聯(lián)分析規(guī)則綜合風(fēng)險監(jiān)控管理將事件的威脅、資產(chǎn)價值與資產(chǎn)脆弱性進行關(guān)聯(lián)計算，得出資產(chǎn)的風(fēng)險值。同時,資產(chǎn)與資產(chǎn)的組合形成安全域,進而可以進行安全域的風(fēng)險評估。對風(fēng)險進行實時監(jiān)控,形成統(tǒng)一的風(fēng)險級別,進行安全預(yù)警,追溯風(fēng)險威脅源頭。1）可圖形化實時顯示整個系統(tǒng)的風(fēng)險狀況，可分別按以下分類展示:域脆弱性域風(fēng)險事件類別資產(chǎn)脆弱性資產(chǎn)風(fēng)險事件等級2）能夠根據(jù)風(fēng)險的狀況對資產(chǎn)和安全域進行評級,例如:紅色:表示資產(chǎn)處于高風(fēng)險狀態(tài),需要立即進行處理;橙色:表示資產(chǎn)處于較高風(fēng)險狀態(tài),需要及時進行處理;黃色:表示資產(chǎn)面臨一定的風(fēng)險，需要關(guān)注;藍色:表示資產(chǎn)處于較為安全的狀態(tài);綠色:表示資產(chǎn)幾乎未受到任何威脅,處于安全狀況。3）用戶可以從風(fēng)險監(jiān)控追蹤到相關(guān)的高風(fēng)險事件,從而有效判斷風(fēng)險的來源，并進行正確的處理。4）安全事件統(tǒng)一展現(xiàn)收集到的日志信息可被安管平臺統(tǒng)ー處理,按不同的安全事件分類,形成標(biāo)準(zhǔn)格式,以利于統(tǒng)一展現(xiàn)和后期的事件分析處理。這些事件類型應(yīng)包括常見的安全攻擊類型,例如：拒絕服務(wù)（DoS）、偵察、應(yīng)用利用、授權(quán)、躲避、病毒、系統(tǒng)狀態(tài)以及政策違反等。通過對范化后的事件進行同類合并和關(guān)聯(lián)分析,實現(xiàn)事件壓縮,精減數(shù)量。脆弱性管理脆弱性是指資產(chǎn)本身存在的，它可以被威脅利用、引起資產(chǎn)或目標(biāo)的損害。脆弱性包括資產(chǎn)的物理環(huán)境、組織、過程、人員、管理、配置、硬件、軟件和信息等。脆弱性也稱為漏洞,可以通過安裝在用戶企業(yè)被保護網(wǎng)絡(luò)中的漏洞掃描器等軟件運行獲得，也可以通過安全評估過程分析獲得。通過對!T資產(chǎn)的脆弱性管理，可以有效的預(yù)防安全風(fēng)險。對脆弱性的響應(yīng)可通過安全響應(yīng)流程管理,以達到持續(xù)改進的目的。N網(wǎng)神SFCWORIn脆弱性管理應(yīng)具備以下功能:1）脆弱性導(dǎo)入能將第三方漏洞掃描工具的掃描結(jié)果和人工脆弱性調(diào)查結(jié)果導(dǎo)入系統(tǒng),導(dǎo)入的脆弱性記錄以IP做為關(guān)聯(lián)字段關(guān)聯(lián)到相應(yīng)的資產(chǎn)上。2）脆弱性呈現(xiàn)可依據(jù)選中的資產(chǎn)記錄或安全域記錄列表顯示對應(yīng)的資產(chǎn)記錄或安全域下所有資產(chǎn)記錄的脆弱性記錄,可查看脆弱性的明細信息。3）脆弱性查詢用戶可以針對脆弱性信息的任意屬性進行任意組合的查詢。查詢結(jié)果可以導(dǎo)出為Excel和html格式。查詢結(jié)果分頁顯示,各個字段都可以進行排序操作。4）脆弱性變更一次評估（導(dǎo)入）之后,下一次評估（導(dǎo)入）之前,用戶可以修改脆弱性狀態(tài):將未消除改為己消除;將未消除改為不適用,并說明不適用的理由。5）脆弱性統(tǒng)計可以通過脆弱性信息獲得各種統(tǒng)計報表?？山y(tǒng)計指定資產(chǎn)的脆弱性信息,指定安全域所包含資產(chǎn)脆弱性列表和統(tǒng)計信息，依據(jù)嚴重程度等多種關(guān)鍵字進行脆弱性信息查詢統(tǒng)計，最嚴重、出現(xiàn)最多等多種條件的脆弱性統(tǒng)計,統(tǒng)計結(jié)果可導(dǎo)出為pdf、word、html格式文件。資產(chǎn)和安全域管理1、資產(chǎn)安全管理提供遵循BS7799/ISO17799和ISO13335的資產(chǎn)管理規(guī)范,允許對信息資產(chǎn)的價值進行有效評估,從而確定信息資產(chǎn)的安全需求（完整性需求、保密性需求和可用性需求），不僅可以協(xié)助用戶有效管理信息資產(chǎn)的各類屬性,同時也便于貫徹即將強制推行的公安部等級保護規(guī)范（ISO15408/GB17859）,為將來公安部的等級管理實施細則預(yù)留接口,同時也遵循政府行業(yè)安全管理規(guī)范。對用戶所關(guān)注的信息資產(chǎn)的各類信息進行統(tǒng)一管理，用戶可以錄入、修改、查詢信息資產(chǎn)的各類屬性,包括:資產(chǎn)名稱、描述、IP地址（支持同一資產(chǎn)擁有多個!P）、物理位置、管理人、操作系統(tǒng)、補丁版本、安裝的應(yīng)用軟件等。N網(wǎng)神SFCWORIn與本平臺總資產(chǎn)管理系統(tǒng)集成。2、安全域管理安全域是用戶根據(jù)業(yè)務(wù)特點、網(wǎng)絡(luò)劃分、信息資產(chǎn)重要程度等因素,劃分出的信息安全防護基本單元,貫徹安全域管理不僅可以協(xié)助用戶理清現(xiàn)有信息系統(tǒng)的結(jié)構(gòu)和安全需求,同時也簡化了實施安全保障措施的復(fù)雜度和難度。應(yīng)具備以下的安全域管理功能:1）允許用戶根據(jù)業(yè)務(wù)系統(tǒng)、網(wǎng)段等不同的屬性對信息系統(tǒng)進行安全域劃分;2）允許用戶將重要的信息資產(chǎn)與安全域進行關(guān)聯(lián);3）支持同一資產(chǎn)隸屬不同的安全域,支持多層次安全域管理;4）用戶可以對安全域進行重要性賦值;5）用戶可以對安全域進行風(fēng)險監(jiān)控和脆弱性評估,了解其安全狀況。安全預(yù)警和通告管理安全預(yù)警是ー種有效預(yù)防措施。結(jié)合安全漏洞的跟蹤和研究，及時發(fā)布有關(guān)的安全漏洞信息和解決方案，督促和指導(dǎo)各級安全管理部門及時做好安全防范工作,防患于未然。同時通過安全威脅管理模塊所掌握的全網(wǎng)安全動態(tài)，有針對性指導(dǎo)各級安全管理機構(gòu)做好安全防范工作,特別是針對當(dāng)前發(fā)生頻率較高的攻擊做好預(yù)警和防范エ作。安全預(yù)警是對來自于不同威脅事件和脆弱性模塊的資產(chǎn)漏洞狀態(tài)信息，根據(jù)規(guī)則的事件關(guān)聯(lián)分析、漏洞關(guān)聯(lián)分析和風(fēng)險評估的進行準(zhǔn)確分析計算,形成統(tǒng)一的風(fēng)險級另リ,為安全管理人員進行安全預(yù)警。風(fēng)險級別可按以下分類;紅色:表示高風(fēng)險狀態(tài)，需要立即進行處理；橙色：表示較高風(fēng)險狀態(tài)，需要及時進行處理;黃色:表示面臨一定的風(fēng)險,需要關(guān)注;藍色:表示較為安全的狀態(tài);綠色:表示幾乎未受到任何威脅,處于安全狀況。在接到新的漏洞通告時,本預(yù)警系統(tǒng)將調(diào)用關(guān)聯(lián)分析中的基于漏洞的關(guān)聯(lián)分析等模塊,計算出該漏洞所影響的設(shè)備、系統(tǒng)和業(yè)務(wù)情況,從而得到該漏洞的風(fēng)險等級。在接到新的威脅事件時,本預(yù)警系統(tǒng)將調(diào)用基于規(guī)則的事件關(guān)聯(lián)、基于統(tǒng)計的關(guān)聯(lián)分析等模塊,得到本威脅事件的影響范圍,從而指導(dǎo)管理人員做好有效的防范工作。安全通告管理的功能應(yīng)包含:1）通告發(fā)布管理員上傳安全通告,維護安全通告（修改、刪除、查詢等）。2）通告通知管理員可以指定某個通告信息以短信或者郵件的方式通知某些用戶。3）通告瀏覽用戶瀏覽通告;在登錄的時候首頁顯示通告、在每個頁面上都有定期刷新的欄目顯示通告。2.4.3告警管理告警數(shù)據(jù)管理針對數(shù)據(jù)分析處理后產(chǎn)生的告警事件,進行故障定位、告警過濾、告警升級、告警級別重定義、告警前轉(zhuǎn)、告警清除等操作。系統(tǒng)需提供告警信息的終端界面顯示外,還需提供多種其他方式的用戶通知，如短信、電話、e_mail等,并觸發(fā)業(yè)務(wù)處理層相應(yīng)的處理流程。告警管理需包括以下功能:1、告警分類與級別按照告警信息所屬資源的類別進行分類,如:網(wǎng)絡(luò)告警、主機告警、應(yīng)用系統(tǒng)告警、入侵告警等等。告警信息的嚴重程度、影響范圍以及與相應(yīng)考核指標(biāo)的關(guān)系確定告警級別,如：嚴重告警、重要告警、一般告警等。除了以上三種告警還存在ー種亞健康狀態(tài),指系統(tǒng)尚未到達告警狀態(tài),但是性能下降到達需要管理員密切關(guān)注的水平。通過對該狀態(tài)的監(jiān)控，系統(tǒng)管理員可以積極主動地對系統(tǒng)進行管理，避免系統(tǒng)故障的出現(xiàn)。2、告警信息格式告警內(nèi)容的格式應(yīng)遵循以下規(guī)則,即每條告警可包含有以下信息,并可自定義。名稱說明告警的序列號產(chǎn)生告警消息的序列號

性能標(biāo)識告警性能的標(biāo)識告警標(biāo)題性能的解釋設(shè)備/系統(tǒng)的識別名設(shè)備/系統(tǒng)的識別名告警發(fā)生時間告警發(fā)生時間（對于多次發(fā)生的告警，則指第一次告警發(fā)生的時間）告警確認時間告警確認時間告警清除時間告警清除時間告警級別告警級別告警最近一次發(fā)生時間告警最近一次發(fā)生時間（對于多次發(fā)生的告警而言）告警發(fā)生次數(shù)告警發(fā)生的次數(shù)活動狀態(tài)告警當(dāng)前狀態(tài)告警源告警發(fā)生源告警內(nèi)容告警內(nèi)容3、告警數(shù)據(jù)管理流程?告警重定義包含以下兩個含義由于故障信息采集方式較多,如Syslog、SNMPTrap,第三方網(wǎng)管平臺等,因此系統(tǒng)獲得的原始告警信息附帶的告警級別數(shù)據(jù)一般是依采集方式而不同，另外，原始采集告警信息附帶的告警級別是針對具體監(jiān)控對象的，而不是從整個業(yè)務(wù)系統(tǒng)來考慮的。因此,需要進行統(tǒng)ー規(guī)整、重新定義。根據(jù)系統(tǒng)平臺及應(yīng)用邏輯在結(jié)構(gòu)、功能等方面發(fā)生的變化,系統(tǒng)可適應(yīng)對告警數(shù)據(jù)所屬的類別和級別的重新定義，并通過參數(shù)配置的辦法，保證后續(xù)處理的一致性與正確性。?關(guān)聯(lián)分析完成事件的關(guān)聯(lián)分析處理,解決多個相關(guān)事件信息的合并、壓制、過濾、定位、根源確定等問題。通過關(guān)聯(lián)分析引擎和事件關(guān)聯(lián)規(guī)則進行處理,系統(tǒng)具備智能關(guān)聯(lián)規(guī)則并可由人工進行定義,對于系統(tǒng)接收到的事件信息,關(guān)聯(lián)分析引擎通過關(guān)聯(lián)規(guī)則,分析出關(guān)聯(lián)結(jié)果，通過處理結(jié)果的人工分析，進ー步豐富或優(yōu)化關(guān)聯(lián)規(guī)則。告警顯示以列表或拓撲等多種形式集中顯示全部被管對象的告警信息,方便運維人員監(jiān)控。告警前轉(zhuǎn)對監(jiān)控到的被管對象的故障信息,以手機短信、email、聲音的形式實時發(fā)送給管理員,讓管理人員或維護人員在第一時間內(nèi)獲得系統(tǒng)的故障信息,以便及時的對故障信息進行響應(yīng)處理。告警前轉(zhuǎn)具體功能描述如下:告警過濾條件設(shè)置:告警前轉(zhuǎn)提供給用戶靈活的告警條件設(shè)置功能，用戶靈活定制一定的網(wǎng)元、一定的時間范圍內(nèi)、一定的告警級別的告警信息進行實時前轉(zhuǎn)。用戶還可以靈活設(shè)置前轉(zhuǎn)的方式如email、手機短信還是聲音通告等，可以設(shè)置同一告警轉(zhuǎn)發(fā)給多個用戶,以便進行有效的督處。告警前轉(zhuǎn)功能需提供以下兩種前轉(zhuǎn)方式：自動前轉(zhuǎn)：一旦本系統(tǒng)接收到被管對象的告警信息,自動的根據(jù)告警前轉(zhuǎn)過濾條件進行過濾匹配,并根據(jù)設(shè)置的前轉(zhuǎn)方式，自動通過email,手機短信和聲音的形式發(fā)送給相應(yīng)的管理人員或維護人員,業(yè)務(wù)處理層可根據(jù)告警自動生成工單。手動前轉(zhuǎn)：手動前轉(zhuǎn)方式,提供給管理人員對發(fā)現(xiàn)的故障信息可以通過手動生成エ單、電話通知等形式,把故障信息發(fā)給網(wǎng)絡(luò)管理員。智能排障對于部份簡單的故障,能進行智能排障,通過對被管主機中應(yīng)用或系統(tǒng)軟件進程的啟、?？刂?。告警過濾針對單位時間內(nèi)發(fā)生大量告警的情況,按維護要求和管理部門的要求及實際管理情況,過濾從底層提取的告警信息中不重要的信息,減少輕微告警的干擾,以提高監(jiān)控與處理的效率。同時可以根據(jù)業(yè)務(wù)與平臺的關(guān)聯(lián)關(guān)系,對業(yè)務(wù)與平臺兩層面的告警數(shù)據(jù)進行關(guān)聯(lián)分析，定位主要告警、過濾掉關(guān)聯(lián)告警，提高告警的處理效率。告警過濾需要提供靈活的過濾規(guī)則，可按告警網(wǎng)元、告警級別、告警類別或告警標(biāo)題等設(shè)置過濾規(guī)則?？筛鶕?jù)告警信息的內(nèi)容,屏蔽掉ー些次要的字段。對已設(shè)定的過濾規(guī)則需要提供保存和修改功能,便于維護人員靈活選擇。告警過濾應(yīng)實現(xiàn)對以下告警的過濾:頻繁發(fā)送的同一告警由主要告警引起的相關(guān)大量的關(guān)聯(lián)告警已進入業(yè)務(wù)處理層進行處理,重復(fù)發(fā)送的告警特殊情況下,只需要記錄不需要展現(xiàn)的特殊資源的相關(guān)告警告警升級對于系統(tǒng)中持續(xù)出現(xiàn)以及超過規(guī)定處理時間仍未解決的告警,升級該告警的告警級別,以保證得到優(yōu)先及時的處理。狀態(tài)管理告警狀態(tài)應(yīng)分為有效、已查看、未確定告警和清除。4、告警確認與派エ收到告警提示后,提供友好的界面供維護人員進行告警確認,系統(tǒng)產(chǎn)生確認時間等確認信息。系統(tǒng)提供派發(fā)エ單功能,由值班維護人員向相關(guān)工作人員簽發(fā)派工單,進行告警的相應(yīng)處理。5、梯度告警提供梯度告警的功能。也就是兩個時間點的數(shù)據(jù)差值如果超過了門限,則應(yīng)該上報告警。這種告警不同于性能數(shù)據(jù)的超門限告警，性能數(shù)據(jù)的超門限告警只是對ー個時間點上的性能數(shù)據(jù)設(shè)定了門限,而梯度告警則是對兩個時間點的性能數(shù)據(jù)的差值設(shè)定了門限。梯度告警能夠迅速發(fā)現(xiàn)性能數(shù)據(jù)的異常變化。6、告警故障定位告警故障定位應(yīng)與系統(tǒng)配置數(shù)據(jù)和應(yīng)用邏輯相結(jié)合，根據(jù)設(shè)備廠商或應(yīng)用軟件開發(fā)商提供的最小粒度定位,如CPU、路由模塊、網(wǎng)絡(luò)接口卡、應(yīng)用關(guān)鍵點等。根據(jù)網(wǎng)管系統(tǒng)的業(yè)務(wù)關(guān)鍵點進行管理，對可能產(chǎn)生告警的業(yè)務(wù)關(guān)鍵點進行關(guān)聯(lián),通過保證定位到定位被管資源級或業(yè)務(wù)關(guān)鍵點3設(shè)計方案建設(shè)原則項目的建設(shè)應(yīng)遵循并體現(xiàn)如下設(shè)計原則:1）體系化設(shè)計原則設(shè)計系統(tǒng)應(yīng)用體系架構(gòu)時,遵循先進的網(wǎng)絡(luò)管理理念,提出科學(xué)的綜合管理體系和框架，并根據(jù)需求分析提出的各項要求,最大限度地解決系統(tǒng)面臨的運維保障問題。2）可擴展設(shè)計原則設(shè)計系統(tǒng)軟件體系架構(gòu)時,遵循網(wǎng)絡(luò)和安全管理規(guī)范,建立基于軟件組件的可擴展體系架構(gòu),可對多廠商設(shè)計的擴展支持需求及功能定制需求,最大限度地解決系統(tǒng)管理設(shè)備及管理功能靈活擴展的難題。3）可控性原則采取的技術(shù)手段需要達到安全可控的目的,技術(shù)解決方案涉及的工程實施具有可控性。4）可行性、可靠性原則保證在采用綜合網(wǎng)絡(luò)管理系統(tǒng)之后,不會對政務(wù)外網(wǎng)系統(tǒng)的現(xiàn)有網(wǎng)絡(luò)和應(yīng)用系統(tǒng)有影響。5）標(biāo)準(zhǔn)性原則方案的設(shè)計、實施以及產(chǎn)品的選擇以相關(guān)國際國內(nèi)及政府行業(yè)有關(guān)網(wǎng)絡(luò)管理、安全控制、運維規(guī)程為參考依據(jù)。6）保密原則對系統(tǒng)建設(shè)過程接觸到的數(shù)據(jù)嚴格保密,未經(jīng)授權(quán)確保不泄露給任何單位和個人。參考標(biāo)準(zhǔn)和政策3.2.1ISO17799信息安全管理體系該標(biāo)準(zhǔn)的總體要求說明企業(yè)應(yīng)在其整體業(yè)務(wù)活動和風(fēng)險的環(huán)境下建立、實施、維護和持續(xù)改進文件化的信息安全管理體系。識別適用于ISMS的風(fēng)險評估方法、業(yè)務(wù)信息安全要求和法律法規(guī)要求。為信息安全管理體系建立方針和目標(biāo)以降低風(fēng)險至可

接受的水平。確定接受風(fēng)險的準(zhǔn)則和識別可接受風(fēng)險的水平。具體的模型如下圖所示:該模型中主要體現(xiàn)了PDCA的思想,應(yīng)當(dāng)把風(fēng)險評估應(yīng)用到系統(tǒng)開發(fā)、維護和改進的各個階段,實現(xiàn)可持續(xù)化的信息安全管理體系。3.2.2ISO13335信息技術(shù)IT安全管理指南該標(biāo)準(zhǔn)中強調(diào)了信息安全控制中,風(fēng)險、脆弱性、威脅以及防護措施之間的對抗性，如下圖所示:安全要素及其關(guān)系某些防護措施在降低與多種威脅和/或多種脆弱性有關(guān)的風(fēng)險方面可以是有效的。有時,需要幾種防護措施使殘留風(fēng)險降低到可接受的級別。在某些情況中,當(dāng)認為風(fēng)險是可接受時,即使存在威脅也不實現(xiàn)防護措施。在其他ー些情況中,要是沒有已知的威脅利用脆弱性，可以存在這種脆弱性?？梢詫崿F(xiàn)ー些防護措施監(jiān)督威脅環(huán)境以保證威脅不至演變成能利用這種脆弱性。具體的以風(fēng)險為核心的安全管理模型如下圖所示:3.2.3ISO15408信息技術(shù)安全性評價準(zhǔn)則該標(biāo)準(zhǔn)利用用戶為出發(fā)點,說明了資產(chǎn)、弱點、威脅和風(fēng)險之間的關(guān)系,同時描述了引入對策后對于安全風(fēng)險的控制,本模型中強調(diào)了風(fēng)險的動態(tài)性,具體如下圖所示:

信息系統(tǒng)對于所有者來說是ー種資產(chǎn),為所有者創(chuàng)造價值,由于這個原因,所有者對信息資產(chǎn)進行關(guān)注?，F(xiàn)實的環(huán)境以及系統(tǒng)本身存在的問題都有可能對信息資產(chǎn)產(chǎn)生所有者不期望的后果,造成資產(chǎn)價值的降低,這也就是所有者所面臨的風(fēng)險。對于所有者來說希望降低這些不期望的事件對系統(tǒng)帶來的損失。3.2.4國家政策《信息安全風(fēng)險評估指南》我國關(guān)于信息安全風(fēng)險評估的研究和標(biāo)準(zhǔn)制定方面,已經(jīng)在2004年開始啟動，并于今年國信辦[2(X)6]9號文件中,要求建立風(fēng)險管理模式，并印發(fā)《信息安全風(fēng)險評估指南》作為各省信息化工作的參考,在本指南中對于風(fēng)險評估各要素關(guān)系如圖所示:方框部分的內(nèi)容為風(fēng)險評估的基本要素,橢圓部分的內(nèi)容是與這些要素相關(guān)的屬性,也是風(fēng)險評估要素的一部分。風(fēng)險評估的工作是圍繞其基本要素展開的,在對這些要素的評估過程中需要充分考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價值、安全事件、殘余風(fēng)險等與這些基本要素相關(guān)的各類因素。3.2.5國家政策《電子政務(wù)信息安全等級保護》信息安全等級保護是國家在國民經(jīng)濟和社會信息化的發(fā)展過程中,提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化健康發(fā)展的基本策略。27號文件對信息安全等級保護做出了系統(tǒng)的描述一片言息化發(fā)展的不同階段和不同的信息系統(tǒng)有著不同的安全需求,必須從實際出發(fā),綜合平衡安全成本和風(fēng)險,優(yōu)化信息安全資源的配置，確保重點。要重點保護基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)。”電子政務(wù)信息安全等級保護是根據(jù)電子政務(wù)系統(tǒng)在國家安全、經(jīng)濟安全、社會穩(wěn)定和保護公共利益等方面的重要程度,結(jié)合系統(tǒng)面臨的風(fēng)險、系統(tǒng)特定安全保護要求和成本開銷等因素，將其劃分成不同的安全保護等級,采取相應(yīng)的安全保護措施，以保障信息和信息系統(tǒng)的安全。電子政務(wù)等級保護工作分為管理層面和用戶層面兩個方面的工作。管理層的主要工作是制定電子政務(wù)信息安全等級保護的管理辦法、定級指南、基本安全要求、等級評估規(guī)范以及對電子政務(wù)等級保護工作的管理等。用戶層的

主要工作是依據(jù)管理層的要求對電子政務(wù)系統(tǒng)進行定級,確定系統(tǒng)應(yīng)采取的安全保障措施,進行系統(tǒng)安全設(shè)計與建設(shè),以及運行監(jiān)控與改進。安全規(guī)劃項目邏輯關(guān)系圖組蛆體系 _策略體系_安全組織體系和崗位職責(zé)安全培訓(xùn)與安全組織體系和崗位職責(zé)安全培訓(xùn)與責(zé)質(zhì)認證安全策4與流程推廣實施常年安全咨商與外包展務(wù)全網(wǎng)安全域劃分與邊界整合網(wǎng)堵安全性調(diào)享和改造安全體系枝査與改造項目技術(shù)體系安全支撐系統(tǒng)和基礎(chǔ)設(shè)施3.2.6IT服務(wù)管理的最佳實踐一ITILITIL提供了覆蓋“端到端”服務(wù)管理所有方面的全面的“最佳實踐”指南,并且覆蓋了人、過程、產(chǎn)品和合作伙伴的全部范疇。ITIL的開發(fā)和設(shè)計始于20世紀80年代,最近!TIL進行了改版更新以使其符合現(xiàn)代實踐、分布計算和互聯(lián)網(wǎng)的發(fā)展和需求。ITIL是世界范圍內(nèi)最廣泛使用的提供和支持IT服務(wù)以及基礎(chǔ)架構(gòu)的管理方案。ITIL及其組成模塊是在整體框架內(nèi)確定范圍和開發(fā)的。ITIL將IT服務(wù)管理分為十個核心流程和一項管理職能。這十個核心流程分別是服務(wù)級別管理、IT服務(wù)財務(wù)管理、能力管理、IT服務(wù)持續(xù)性管理、可用性管理、配置管理、變更管理、發(fā)布管理、事件管理和問題管理下圖的所示的七個模塊組成了!TIL的核心:?服務(wù)提供:覆蓋了規(guī)劃和提供高質(zhì)量IT服務(wù)所需的過程,并且著眼于改進所提供的!T服務(wù)的質(zhì)量相關(guān)的長期過程。?服務(wù)支持:服務(wù)支持描述了同所提供的IT服務(wù)日常支持和維護活動相關(guān)的過程。信息和通信技術(shù)基礎(chǔ)設(shè)施管理（ICTIM）:信息和通信技術(shù)基礎(chǔ)設(shè)施管理覆蓋了從標(biāo)識業(yè)務(wù)需求到招投標(biāo)過程、到信息和通信技術(shù)組件和!T服務(wù)的測試、安裝、部署以及后續(xù)運行和優(yōu)化的信息和通信技術(shù)基礎(chǔ)設(shè)施管理的所有方面。規(guī)劃實施服務(wù)管理:檢查組織機構(gòu)內(nèi)規(guī)劃、實施和改進服務(wù)管理過程中所涉及的問題和任務(wù)。它也考慮同解決文化和組織機構(gòu)變更、開發(fā)遠景和戰(zhàn)略以及方案的最合適方法等相關(guān)的問題。應(yīng)用管理：描述了如何管理應(yīng)用從最初的業(yè)務(wù)需求直至和包括應(yīng)用廢棄的應(yīng)用生命周期的所有階段。它將重點放在在應(yīng)用的整個生命周期內(nèi)確保IT項目和戰(zhàn)略同業(yè)務(wù)建立緊密的聯(lián)系,以確保業(yè)務(wù)從其投資中獲得最佳價值。業(yè)務(wù)視野:提供了建議和指南，以幫助!T人員理解他們?nèi)绾尾拍転闃I(yè)務(wù)目標(biāo)作出貢獻以及如何更好地聯(lián)系和挖掘其角色和服務(wù)以最大化其貢獻。安全管理:詳細描述了規(guī)劃和管理用于信息和IT服務(wù)的給定級別安全的過程，包括同響應(yīng)安全事故相關(guān)的所有方面。它也包括了風(fēng)險和脆弱性的評估和管理,以及成本有效的對策的實施。其中，服務(wù)支持（下圖所示）描述了同所提供的IT服務(wù)日常支持和維護活動相關(guān)的過程。是在實現(xiàn)運維支撐平臺中最常用到的模塊。

服務(wù)報吿事爾統(tǒng)計出計報告管理工具變更管理發(fā)布管理業(yè)務(wù)、問選統(tǒng)計趨會分圻何尊投吿向理田樓診斷輔助審計報吿交火望度CAB各忘

錄變更統(tǒng)計受更審核由ハ報至「發(fā)小國度發(fā)仙瓏計［發(fā)化由橫I安個年服務(wù)報吿事爾統(tǒng)計出計報告管理工具變更管理發(fā)布管理業(yè)務(wù)、問選統(tǒng)計趨會分圻何尊投吿向理田樓診斷輔助審計報吿交火望度CAB各忘

錄變更統(tǒng)計受更審核由ハ報至「發(fā)小國度發(fā)仙瓏計［發(fā)化由橫I安個年費試は準(zhǔn)配置管理CMDB日吿CMDB統(tǒng)計策略標(biāo)準(zhǔn)審計報告?服務(wù)臺是組織機構(gòu)內(nèi)為所有!T用戶所提供的單ー、集中的聯(lián)系點,它處理所有事故、查詢和請求。它為所有其它服務(wù)支持過程提供了一個接口。?事件管理負責(zé)管理所有事故從檢測和記錄到解決和完成的所有內(nèi)容。事故管理的目標(biāo)是在最小化業(yè)務(wù)中斷的情況下盡可能快地恢復(fù)正常服務(wù)。?問題管理的目標(biāo)是最小化事故和問題對業(yè)務(wù)的負面影響。為了達到這個目標(biāo),問題管理通過管理所有主要事故和問題來輔助事故管理,問題管理盡力記錄所有的工作環(huán)境并對相應(yīng)已知錯誤進行“快速修補”,并且在可能時產(chǎn)生變更以實施持久的結(jié)構(gòu)性的解決方案。問題管理也對事故和問題進行分析和趨勢分析，以預(yù)見性的預(yù)防進ー步事故和問題的發(fā)生。?ー個單ー的集中化的有效和高效地處理變更的變更管理過程,是任何IT機構(gòu)成功運營的關(guān)鍵。在變更從啟動和記錄到過濾、評估、分類、授權(quán)、調(diào)度、建設(shè)、測試、實施以及最終的審核和收尾的整個生命周期中,必須謹慎仔細地對其進行管理。此過程的ー個關(guān)鍵成果是前向變更調(diào)度(FSC-ForwardScheduleofChange),它是基于業(yè)務(wù)影響和緊急性的所有領(lǐng)域都同意的變更的ー個中央程序。?發(fā)布管理過程采用了對IT服務(wù)變更的整體全局視野,它考慮發(fā)布的所有技術(shù)和非技術(shù)方面。發(fā)布管理負責(zé)組織機構(gòu)內(nèi)所使用的所有硬件和軟件的所有法律和合同義務(wù)。為了實現(xiàn)此目標(biāo)并保護IT資產(chǎn),發(fā)布管理為定義硬件庫（DHSDefinitiveHardwareStore）中的硬件和定義軟件庫（DSL-DefinitiveSoftwareLibrary）中的軟件建立了一個安全的環(huán)境。?配置管理提供了成功的!T服務(wù)管理的基礎(chǔ),它支持著所有其它過程。其基礎(chǔ)成果是配置管理數(shù)據(jù)庫（CMDB）,在數(shù)據(jù)庫中包含了一個或多個綜合數(shù)據(jù)庫詳細描述了組織機構(gòu)中的所有IT基礎(chǔ)設(shè)施組件以及其它重要的相關(guān)的資產(chǎn)。就是這些資產(chǎn)提供了!T服務(wù),它們也被稱之為配置項（Cis）。CMDB同普通的資產(chǎn)注冊所不同之處在于那些關(guān)系、或鏈接,它們定義了每個配置項（CI）如何互連以及如何同其鄰居相互依賴。這些關(guān)系允許執(zhí)行例如影響分析和“如果??將會...”等的活動。理想情況下,CMDB也包含了同每個CI相關(guān)的所有事故、問題、已知錯誤和變更的細節(jié)。系統(tǒng)總體架構(gòu)設(shè)計系統(tǒng)將企業(yè)和組織的IT計算環(huán)境中部署的各類安全設(shè)備、安全系統(tǒng)、主機操作系統(tǒng)、數(shù)據(jù)庫以及各種應(yīng)用系統(tǒng)的日志、事件、告警全部匯集起來，使得用戶通過單一的管理界面對!T計算環(huán)境的安全信息進行統(tǒng)一管理。借助統(tǒng)一管理,用戶不必時常在多個控制臺軟件之間來回切換、浪費時間。與此同時，由于企業(yè)和組織的所有安全信息都匯聚到ー起,使得用戶可以全面掌控IT計算環(huán)境的安全狀況，對安全威脅作出更加準(zhǔn)確的判斷。企業(yè)和組織部署統(tǒng)一管理平臺后,將有助于優(yōu)化其安全管理的體系和流程。通過系統(tǒng)可以清晰界定不同管理人員之間的工作職責(zé),使得在監(jiān)控管理的時候各司其職,提高協(xié)同工作的效率,降低維護成本。系統(tǒng)采用三層分布式體系架構(gòu),分為數(shù)據(jù)采集層、集中管理層、界面展示層,主要包括核心服務(wù)器、WEB應(yīng)用服務(wù)器、數(shù)據(jù)庫。系統(tǒng)各組成部分具體為:＞核心服務(wù)器:負責(zé)實現(xiàn)管理、關(guān)聯(lián)分析、過濾和處理!T計算環(huán)境中所有發(fā)生的安全事件,它是ー個高性能的引擎。它是系統(tǒng)的核心,作為WEB客戶端、數(shù)據(jù)庫和事件傳感器之間的連接。在核心服務(wù)器的控制下,事件服務(wù)負責(zé)采集日志和事件,并由事件分析模塊進行安全分析,然后這些數(shù)據(jù)被送到其余功能模塊,最后以一種標(biāo)準(zhǔn)化的格式存儲在數(shù)據(jù)庫中。＞W(wǎng)EB應(yīng)用服務(wù)器:負責(zé)生成用戶操作的展示邏輯，并接收用戶的請求和控制,將其轉(zhuǎn)化為核心服務(wù)器的內(nèi)部調(diào)用。WEB應(yīng)用服務(wù)器還負責(zé)與工單系統(tǒng)、運維系統(tǒng)、OA系統(tǒng)、企業(yè)門戶接口等等。＞數(shù)據(jù)庫：集中存儲所有收集的事件，以及所有安全信息管理配置信息,比如系統(tǒng)用戶、關(guān)聯(lián)規(guī)則、管理域、資產(chǎn)、報告、顯示和系統(tǒng)參數(shù)等。＞事件傳感器：在某些情況下,IT設(shè)施的日志和事件無法發(fā)送給管理服務(wù)器,此時,就需要通過事件傳感器進行中介。＞W(wǎng)eb客戶端：它提供集中實時查看企業(yè)和組織的安全事件、深入調(diào)查分析以及對事件的自動響應(yīng)的能力等。N網(wǎng)神系統(tǒng)安全設(shè)計4.1系統(tǒng)安全需求系統(tǒng)應(yīng)保證只有被授權(quán)的人員才能夠訪問合法的資源。歸結(jié)起來,安全需求主要如下:＞身份認證和訪問控制:如果系統(tǒng)不能識別用戶的真正身份,業(yè)務(wù)是無法開展的。身份認證是實現(xiàn)訪問控制的前提條件，通過身份認證結(jié)合應(yīng)用系統(tǒng)的授權(quán)機制,才能提供訪問控制功能。＞機密性：在網(wǎng)絡(luò)上傳輸?shù)男畔⒉荒鼙桓`取;＞數(shù)據(jù)完整性:在網(wǎng)絡(luò)上傳輸?shù)男畔⒉荒鼙粣阂飧Z改;4.2系統(tǒng)采用的安全技術(shù)基于Java2的安全體系在系統(tǒng)實際的運行過程中,首先瀏覽器客戶端通過URL的認證,在網(wǎng)絡(luò)的傳輸中使用SSL加密傳輸，從而保證數(shù)據(jù)在網(wǎng)絡(luò)上傳輸不能被其他人截獲明文。進入應(yīng)用服務(wù)器后,服務(wù)器根據(jù)URL的認證結(jié)果判斷該用戶是否有權(quán)訪問HTML、JSP或Servlet。立足于J2EE的標(biāo)準(zhǔn)，開發(fā)分布式應(yīng)用系統(tǒng)的數(shù)據(jù)安全應(yīng)用。整個應(yīng)用可以構(gòu)建于企業(yè)內(nèi)部網(wǎng)、Internet等廣泛的領(lǐng)域。我們數(shù)據(jù)安全體系完全遵循SUN公司發(fā)布的JAVA2安全開放標(biāo)準(zhǔn)。整個數(shù)據(jù)安全的實施對于用戶而言是完全透明的，用戶完全無須了解其內(nèi)部構(gòu)造。用戶認證與授權(quán)系統(tǒng)定義角色,根據(jù)需要為每類角色賦予相應(yīng)的權(quán)限，根據(jù)實際需要創(chuàng)建系統(tǒng)用戶賬號,為每個用戶賦予相應(yīng)的角色,從而用戶獲得該角色被賦予的操作權(quán)限。用戶通過在登錄界面輸入用戶名和口令字進行登錄,系統(tǒng)會對ロ令字的安全強度進行檢查,不允許使用弱ロ令,以保證用戶認證的安全。用戶名和口令字加密后保存在數(shù)據(jù)庫中。基于JSSE標(biāo)準(zhǔn)的SSUTLS安全套接字網(wǎng)絡(luò)傳輸加密JSSE（JavaSecureSocketExtension）是用于網(wǎng)絡(luò)傳輸加密的擴展包。它支持SSL3.0以及TLSL0協(xié)議,包括數(shù)據(jù)加密、服務(wù)器認證以及客戶端認證等。JSSE簡化了以往的三次“握手”的機制,并使數(shù)據(jù)加密變成透明的API調(diào)用,使Java的應(yīng)用構(gòu)建于安全的通訊通道上。目前版本的JSSE已經(jīng)支持HTTPS、RSA數(shù)據(jù)加密算法（如RSA、RC4）OJSSE可以廣泛地應(yīng)用到基于TCP/IP的網(wǎng)絡(luò)傳輸應(yīng)用中,可以應(yīng)用于安全套接字的應(yīng)用開發(fā);開發(fā)應(yīng)用HTTPS傳輸協(xié)議的應(yīng)用。應(yīng)用攻擊的防止對應(yīng)用系統(tǒng)中，操作敏感數(shù)據(jù)的模塊，其授權(quán)應(yīng)該嚴密，并能得到有效的權(quán)限策略的驗證。從應(yīng)用管理的角度考慮,將敏感信息的錄入模塊、敏感數(shù)據(jù)管理模塊、敏感數(shù)據(jù)的傳輸模塊分開進行設(shè)計，并進行分開授權(quán)和審計。對敏感數(shù)據(jù)的操作,除具有完整的操作日志外,還需要有完全的審計能力,操作日志的管理權(quán)限不授予相應(yīng)模塊的操作人員（只能授予系統(tǒng)管理員或數(shù)據(jù)庫管理員）。敏感數(shù)據(jù)采用加密存儲和傳輸。日志管理建立完善的日志管理機制。一方面可以記錄用戶所有操作,做到有據(jù)可查,另ー方面可以根據(jù)需要通過多種方式對記錄的操作日志進行檢索和查詢，進ー步分析生成統(tǒng)計信息。日志管理由具有日志管理操作權(quán)限的用戶或系統(tǒng)管理員操作。管控方式管理監(jiān)控方式大致可分為主動管控和被動管控兩種方式。具體實現(xiàn)手段包括:大屏幕顯示、遠程桌面監(jiān)控、手機短信、電話呼叫。其中大屏幕顯示和遠程桌面監(jiān)控為主動管控方式,手機短信,電話和郵件為被動管控方式。管控方式如下圖所示:

心/大屏幕7y遠程監(jiān)控＞大屏幕顯示:各信息系統(tǒng)運行情況及報警信息均可直接輸出到大屏幕顯示系統(tǒng)上。＞遠程桌面監(jiān)控:各信息系統(tǒng)運行情況及報警信息均可直接輸出到管理員遠程桌面上,管理員也可通過遠端管理機進行管理。＞手機短信:如有報警則向預(yù)先設(shè)定的管理員手機號碼自動發(fā)送短信。＞電話呼叫：如有報警則自動撥打預(yù)先設(shè)定的管理員電話號碼。性能指標(biāo)我們提供給用戶的性能能達到：＞能夠集中管理1000個網(wǎng)絡(luò)節(jié)點;＞能夠?qū)崟r處理5000條/秒的安全事件;＞能夠達到10億條規(guī)模的數(shù)據(jù)管理和分析能力;＞支持365天歷史數(shù)據(jù)存儲;＞日志分析響應(yīng)時間;＜=15秒；＞客戶端登錄管理服務(wù)器的用戶最大并發(fā)連接數(shù):30個。y系統(tǒng)接口本系統(tǒng)涉及到各個方面的接口,其中包括與業(yè)務(wù)系統(tǒng)的接口、與其它應(yīng)用系統(tǒng)的接口以及與現(xiàn)有三方監(jiān)控軟件之間的接口等。7.1接口類型平臺部件接口:平臺部件接口支持對象有主機、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、中間件、存儲與備份設(shè)備。除了提供采集接口,也保留控制接口。應(yīng)用部件接口:應(yīng)用部件接口支持的應(yīng)用有郵件、網(wǎng)站等。除了提供采集接口,也可保留控制接口。事件管理接口:事件管理接口是實現(xiàn)監(jiān)控管理平臺中的告警事件信息傳輸給服務(wù)管理平臺，并且在事件處理結(jié)束后,能夠反饋給監(jiān)控管理平臺。配置信息接口：配置信息接口完成服務(wù)管理平臺的配置變更與監(jiān)控管理平臺中的配置信息部分同步。服務(wù)管理平臺接口:服務(wù)管理平臺接口支持與其它服務(wù)系統(tǒng)（如呼叫中心等）進行工單的轉(zhuǎn)派。7.2接口設(shè)計原則系統(tǒng)應(yīng)按照以下原則設(shè)計接口：接口可以靈活配置,并且可擴展;具有可靠的接口數(shù)據(jù)出錯處理機制。使用簡單、快捷的方式實現(xiàn)與其它相關(guān)系統(tǒng)的接口;接口數(shù)據(jù)操作應(yīng)保證在規(guī)定的響應(yīng)時間內(nèi)完成,同時還要保證各相關(guān)業(yè)務(wù)系統(tǒng)的運行效率不受影響;保證接口數(shù)據(jù)在兩側(cè)系統(tǒng)的一致性;接口數(shù)據(jù)能夠方便的形成,并能在被接口方順利地導(dǎo)入；在接口數(shù)據(jù)交互過程中,應(yīng)具有數(shù)據(jù)傳送和接收傳送后的確認過程；在滿足要求的前提下,使接口數(shù)據(jù)量最少；接口數(shù)據(jù)傳輸控制策略可靠且完善;利用開放標(biāo)準(zhǔn)；N網(wǎng)神SFCWORIn提供適當(dāng)?shù)陌踩刂啤?.3接口實現(xiàn)機制接口具體實現(xiàn)機制應(yīng)包括:基于消息中間件、基于過程調(diào)用和共享數(shù)據(jù)表、基于FTP和基于自定義協(xié)議的方式。系統(tǒng)的接口應(yīng)該適應(yīng)外部系統(tǒng)等現(xiàn)有系統(tǒng)的提供接口,保持現(xiàn)有系統(tǒng)穩(wěn)定,變化小,應(yīng)提供如下接口方式:＞應(yīng)用程序接口(API)＞過程調(diào)用＞共享數(shù)據(jù)表＞文件傳輸或文件共享＞Socket數(shù)據(jù)流方式＞W(wǎng)eb鏈接方式3.8方案技術(shù)特點系統(tǒng)具有以下技術(shù)特點:＞采用跨平臺的軟件技術(shù)框架＞快速定位故障節(jié)點和性能瓶頸＞海量異構(gòu)事件的采集和歸ー化＞強大的智能事件關(guān)聯(lián)分析引擎＞基于場景的事件分析可視化＞開放的安全信息管理平臺＞緊扣信息系統(tǒng)等級保護要求的安全監(jiān)控3.8.1采用跨平臺的軟件技術(shù)框架系統(tǒng)采用了基于J2EE的技術(shù)框架,可以跨數(shù)據(jù)庫平臺和跨硬件操作系統(tǒng)平臺;后臺數(shù)據(jù)庫可以使用MSSQLServer、MYSQL等,也可以運行在Liunx、Windows＞Unix系統(tǒng)上。3.8.2快速定位故障節(jié)點和性能瓶頸管理系統(tǒng)能夠自動采用!CMP和SNMP協(xié)議監(jiān)控網(wǎng)絡(luò)拓撲的所有節(jié)點,當(dāng)這些網(wǎng)絡(luò)節(jié)點出現(xiàn)故障時,系統(tǒng)將會產(chǎn)生告警事件,同時拓撲圖中的設(shè)備圖標(biāo)也會顯示故障狀態(tài);當(dāng)ー個管理子圖發(fā)生設(shè)備故障時,子圖圖標(biāo)也會發(fā)生相應(yīng)改變,因此管理員可以根據(jù)子圖快速定位故障。對于主機,數(shù)據(jù)庫,中間件,服務(wù),應(yīng)用系統(tǒng)的監(jiān)控,管理員可以自定義監(jiān)控指標(biāo)的閾值,監(jiān)控的時間間隔,監(jiān)控的描述和告警方式,通過接收告警信息,管理員可以快速了解問題所在,及時采取措施。3.8.3海量異構(gòu)事件的采集和歸ー化為了實現(xiàn)企業(yè)和組織網(wǎng)絡(luò)全部的安全事件集中管理，必須采集來自網(wǎng)絡(luò)中各種設(shè)備和系統(tǒng)的日志、告警、事件。事件服務(wù)器的接收信息量十分龐大,僅僅一臺防火墻,一天產(chǎn)生的日志量可能超過1G;而ー個大規(guī)模的網(wǎng)絡(luò)中所有的事件產(chǎn)生頻率可能高達6000條每秒。對于企業(yè)和組織的IT計算環(huán)境而言,有的設(shè)備或者系統(tǒng)能夠產(chǎn)生并發(fā)送事件給系統(tǒng)，同時,發(fā)送事件所采用的協(xié)議各不相同;而有的設(shè)備或者系統(tǒng)無法發(fā)送事件，甚至就不能產(chǎn)生事件。為此,系統(tǒng)提供了一套靈活有效的機制使得無論在何種情況下,都能確保事件被匯集到管理服務(wù)器。對于能夠發(fā)出事件的設(shè)備或者系統(tǒng),支持以SNMPTrap,Syslog協(xié)議的方式接收。而對于其他協(xié)議，可以通過定制ー個協(xié)議轉(zhuǎn)換器實現(xiàn)事件的接收。對于不能產(chǎn)生或者發(fā)送事件的設(shè)備和系統(tǒng),如果事件存儲在數(shù)據(jù)庫中，系統(tǒng)可以通過標(biāo)準(zhǔn)的ODBC接口進行事件采集。如果事件存儲在本地文件中,系統(tǒng)提供事件傳感器,可以讀取本地文件并發(fā)送給管理系統(tǒng)。如下圖所示,顯示了靈活的事件采集能力:管理屮心WEB應(yīng)川眼多?器系統(tǒng)在實時接收海量事件的同時,需要對每個接收到的事件進行歸ー化處理。來自不同設(shè)備和系統(tǒng)的事件千差萬別,只有將這些大量的異構(gòu)數(shù)據(jù)轉(zhuǎn)化為內(nèi)部統(tǒng)ー的數(shù)據(jù)格式才能進行后續(xù)的關(guān)聯(lián)事件分析,才能為用戶提供ー個全局統(tǒng)ー的事件監(jiān)控界面。系統(tǒng)采用事件映射的方式進行歸ー化，提供了廣泛和靈活的事件映射，消除了需要學(xué)習(xí)來自不同廠商的同類產(chǎn)品（例如防火墻或IDS）的信息差別的過程。事件歸ー化為用戶提供ー系列能滿足過濾器和關(guān)聯(lián)規(guī)則定義的豐富信息。同時,即使用戶日后擴容部署了新的安全設(shè)備和系統(tǒng)，它的事件也很容易納入到整個系統(tǒng)中來,而無需更改相應(yīng)關(guān)聯(lián)規(guī)則、過濾器等。3.8.4強大的智能事件關(guān)聯(lián)引擎作為企業(yè)和組織計算環(huán)境中安全事件集中管理平臺,系統(tǒng)最重要的一個任務(wù)就是消除計算環(huán)境產(chǎn)生的過多的誤報和錯報,發(fā)現(xiàn)潛在的威脅，讓安全管理人員將注意力集中在真正的威脅和攻擊上，避免分析麻痹。

0Q 0uFiDAmsKu,即g:而Sybase“網(wǎng)“慟鮎物ORACLe0Q 0uFiDAmsKu,即g:而Sybase“網(wǎng)“慟鮎物ORACLeMicmstfxSQLServarjDOcisco系統(tǒng)具有一個強大的智能事件關(guān)聯(lián)分析引擎,實現(xiàn)了多種關(guān)聯(lián)方式:＞基于規(guī)則的關(guān)聯(lián)＞統(tǒng)計關(guān)聯(lián)＞基于時序的關(guān)聯(lián)＞資產(chǎn)關(guān)聯(lián):資產(chǎn)的屬性任意擴展＞弱點關(guān)聯(lián)＞業(yè)務(wù)關(guān)聯(lián):黑白名單、案例系統(tǒng)的關(guān)聯(lián)是實時發(fā)生的,管理服務(wù)器在收到事件后立刻開始在內(nèi)存中進行關(guān)聯(lián)分析,同時存入數(shù)據(jù)庫。系統(tǒng)的關(guān)聯(lián)引擎采用了“內(nèi)存快速符號表檢索”專利技術(shù)。系統(tǒng)同時內(nèi)置了多種關(guān)聯(lián)規(guī)則,用戶也可以根據(jù)自己的實際情況很容易地自定義規(guī)則,具有極好的靈活性和可擴展性。3.8.5基于場景的事件分析可視化作為ー個集中的安全事件管理系統(tǒng)，接收了大量的事件信息,盡管通過事件歸ー化、聚合和關(guān)聯(lián)能夠大幅減少無效事件,但是對于ー個ー線的安全監(jiān)控人員而言,仍然必須面對相當(dāng)數(shù)量的安全事件。設(shè)想一下,如果每秒收到6000條事件,而這個單位的安全級別又比較高,要求24x7的實時監(jiān)控。那么,ー個管理員在監(jiān)控事件的時候很容易產(chǎn)生視覺疲勞，隨著時間的推移，工作效率直線下降。為此，系統(tǒng)使用場景的方式將事件分門別類,使得用戶在ー個時間僅僅關(guān)注某個主題的事件集合,從而大大降低視覺疲勞產(chǎn)生的幾率。

場景,是指用戶感興趣或必須指定需要實時觀察的符合要求的事件序列。通過基于場景的事件分析方式,迅速將分析視角定位到用戶關(guān)注的事件,并能夠快速進行場景切換,提高工作效率。系統(tǒng)預(yù)置了大量的場景，包括實時分析場景、歷史分析場景和統(tǒng)計分析場景，用戶也可以自己根據(jù)需求隨意定義和擴展。3.8.6開放的安全管理平臺系統(tǒng)從設(shè)計伊始,就十分強調(diào)整個產(chǎn)品的開放性,因為只有開放性才能滿足用戶不斷優(yōu)化的IT計算環(huán)境和不斷提升的安全需求。系統(tǒng)的開放性體現(xiàn)在以下四個方面:＞通過添加配置文件的方式實現(xiàn)對新設(shè)備的支持，不需要修改代碼，方便快捷＞企業(yè)級的分布能力,可伸縮性的安全信息管理平臺＞可以和外部的其他應(yīng)用系統(tǒng)進行集成,將安全管理集成到整個企業(yè)統(tǒng)一管理流程之中＞基于SOA開發(fā)的安全信息管理平臺可以集成到企業(yè)的信息總線中,成為企業(yè)信息系統(tǒng)的ー環(huán)，更加有效的保障信息系