啟明星辰天玥實施方案

PAGE啟明星辰第1頁地址：北京市海淀區(qū)東北旺西路8號中關(guān)村軟件園21號樓啟明星辰大廈電話真：82779151啟明星辰天玥實施方案2013年2月

文檔信息文檔名稱啟明星辰天玥實施方案(V60100)_20130309保密級別公開文檔版本編號V1.1擬定人擬定日期復(fù)審人復(fù)審日期批準人批準日期更改記錄日期修改章節(jié)類型*修改描述修改人2011-3-31C模板建立張雷2013-3-19M模板修改田雷*修改類型分為C-CREATEDM-MODIFIEDD-DELETED

目錄1 項目概述 41.1 項目背景 41.2 建設(shè)目標 42 項目管理 42.1 項目組織 42.2 分工界面 52.3 實施計劃 53 項目實施 63.1 基本網(wǎng)絡(luò)架構(gòu) 63.2 實施需求 63.2.1 設(shè)備需求 63.2.2 網(wǎng)絡(luò)需求 63.2.3 人員需求 73.2.4 策略需求 83.3 系統(tǒng)部署示意 83.4 安裝部署規(guī)劃 83.4.1 IP地址規(guī)劃 83.4.2 端口連接規(guī)劃 83.4.3 設(shè)備物理位置規(guī)劃 83.4.4 設(shè)備電源規(guī)劃 94 實施步驟 94.1 確認實施環(huán)境 94.2 到貨及加電驗收 94.3 安裝調(diào)試 104.3.1 交換機端口鏡像 104.3.2 引擎設(shè)備的安裝 114.3.3 數(shù)據(jù)中心的安裝與配置 154.3.4 審計系統(tǒng)配置 194.4 現(xiàn)場培訓(xùn) 254.5 系統(tǒng)聯(lián)調(diào) 254.6 項目初驗 254.7 項目終驗 255 項目實施風(fēng)險及常見問題 265.1 風(fēng)險應(yīng)對 265.2 常見問題及解決方法 265.2.1 問：天玥引擎在初次安裝部署時需要做哪些配置？ 265.2.2 問：天玥Web頁面在哪些瀏覽器上瀏覽效果較好？ 265.2.3 問：系統(tǒng)初次安裝后，實時日志是否能立刻上報事件？ 265.2.4 問：初次使用天玥系統(tǒng)制定審計策略時，是否有方便簡潔的辦法？ 276 附件 276.1 附件一 276.2 附件二 30

項目概述項目背景天玥網(wǎng)絡(luò)安全審計系統(tǒng)……建設(shè)目標通過本次項目實施，原來使用的xx系統(tǒng)替換為啟明星辰的天玥系統(tǒng)，并將其納入到現(xiàn)有的內(nèi)聯(lián)網(wǎng)管理體系中來。項目管理項目組織本項目的實施組織工作由XX領(lǐng)導(dǎo)組統(tǒng)一領(lǐng)導(dǎo)，項目領(lǐng)導(dǎo)組由科技司牽頭成立，相關(guān)單位領(lǐng)導(dǎo)作為組成成員，主要負責(zé)指導(dǎo)整個項目的實施工作；用戶方項目實施組由XX具體負責(zé)，主要組織、協(xié)調(diào)項目實施工作。本項目中天玥產(chǎn)品的實施工作主要由廠商實施小組負責(zé)，用戶方項目實施組配合。項目領(lǐng)導(dǎo)小組成員如下：職責(zé)姓名單位職務(wù)電話用戶方項目實施組：職責(zé)姓名單位電話手機廠商項目實施組：廠商名稱姓名職責(zé)手機分工界面本項目實施過程中有用戶方和廠商參與該項目。把整個項目實施過程細分成多個子任務(wù)，明確每一項子任務(wù)中各方的分工、職責(zé)。如下表所示：工作內(nèi)容廠商用戶實施環(huán)境調(diào)查PA貨品到貨驗收PA安裝天玥審計引擎PA安裝天玥數(shù)據(jù)中心PA審計策略配置和調(diào)試PA產(chǎn)品現(xiàn)場培訓(xùn)PA項目測試PA項目驗收PAP＝主要責(zé)任、A＝協(xié)助完成實施計劃項目實施工作計劃如下(根據(jù)具體情況寫):時間工作內(nèi)容實施環(huán)境調(diào)查貨品到貨驗收網(wǎng)絡(luò)布線硬件設(shè)備上架硬件設(shè)備接入網(wǎng)絡(luò)安裝管理控制中心設(shè)備配置和調(diào)試審計策略配置和調(diào)試產(chǎn)品現(xiàn)場培訓(xùn)項目測試項目驗收項目實施基本網(wǎng)絡(luò)架構(gòu)實施需求設(shè)備需求實施過程中所需要的工具等設(shè)備管理調(diào)試PC1臺；網(wǎng)線、串口線各1根；螺絲刀1把；現(xiàn)場到貨的天玥設(shè)備及相關(guān)配件。網(wǎng)絡(luò)需求XX網(wǎng)絡(luò)上部署X臺天玥檢測引擎和數(shù)據(jù)中心X臺，需要以下的網(wǎng)絡(luò)環(huán)境支持：IP地址分配：需要X個空閑IP地址。IP地址應(yīng)用設(shè)備數(shù)量IP數(shù)量IP說明天玥審計引擎天玥數(shù)據(jù)中心共計交換機：與審計引擎連接的交換機具有多對一的鏡像功能。防火墻：在審計引擎和數(shù)據(jù)中心之間如果有防火墻，應(yīng)該保證引擎和數(shù)據(jù)中心之間雙向通信端口能正常通信。具體端口見下表：序號源IP→目的IP目的端口協(xié)議用途備注1PC客戶端→數(shù)據(jù)中心80TCPhttp訪問web必選2PC客戶端→數(shù)據(jù)中心443TCPhttps訪問web必選3審計引擎→數(shù)據(jù)中心30061TCP數(shù)據(jù)中心接收引擎發(fā)送的審計日志必選4數(shù)據(jù)中心→審計引擎30061TCP引擎接收數(shù)據(jù)中心下發(fā)的策略及配置必選5審計引擎→SYSLOG服務(wù)器514UDP發(fā)syslog信息可選6網(wǎng)管主機→審計引擎161UDPSNMP管理可選7數(shù)據(jù)中心→SNMP接收工具162UDPSNMP管理可選8PC客戶端→數(shù)據(jù)中心22TCPSSH遠程管理可選9PC客戶端→審計引擎22TCPSSH遠程管理可選10數(shù)據(jù)中心→郵件服務(wù)器25TCP發(fā)送郵件報警可選機架：為X臺審計引擎提供足夠的機架位置。人員需求在實施過程中，XX單位至少需要兩名技術(shù)人員配合完成工程實施。一名為負責(zé)項目實施的主管處長，一名為技術(shù)骨干，分別負責(zé)項目實施的管理、控制，并及時協(xié)商解決所轄實施節(jié)點在項目實施中的各種問題。策略需求系統(tǒng)部署示意添加實施部署網(wǎng)絡(luò)拓撲安裝部署規(guī)劃IP地址規(guī)劃接口IP地址模式ETH050路由口端口連接規(guī)劃本端接口對端接口ETH1SW2950_G0/1設(shè)備物理位置規(guī)劃設(shè)備名物理位置USG_主A3機柜_1USG_備B3機柜_1設(shè)備電源規(guī)劃主電源備電源機架電源1-1PDU2-1實施步驟確認實施環(huán)境在項目開始實施之前，需要XX單位的技術(shù)人員配合啟明星辰的實施人員對實施的環(huán)境進行檢查，確認是否具備項目實施條件。實施環(huán)境確認表格式請參考HYPERLINK附件一。到貨及加電驗收根據(jù)合同要求，需要對送達現(xiàn)場的產(chǎn)品進行到貨驗收，保證送達產(chǎn)品符合合同要求。產(chǎn)品在各地接收后，保持外包裝的完整性。在廠商的工程師到達現(xiàn)場后，共同進行產(chǎn)品的到貨驗收。設(shè)備到貨驗收標準如下：開箱前，檢查產(chǎn)品外包裝是否良好;開箱檢查產(chǎn)品外觀是否良好;產(chǎn)品型號是否正確;產(chǎn)品數(shù)量是否正確;產(chǎn)品配件是否齊全;產(chǎn)品版本是否正確。到貨驗收完成后，按照產(chǎn)品安裝要求，將產(chǎn)品安裝至機架，并連接電源進行設(shè)備加電驗收。加電驗收標準如下：設(shè)備加電是否運行正常；設(shè)備指示燈是否正常；設(shè)備配置是否達到說明書要求。文檔要求：各節(jié)點工程負責(zé)人員根據(jù)設(shè)備加電驗收標準，確認設(shè)備加電驗收準確，雙方共同簽署《貨品驗收報告》(參考HYPERLINK428*320*44.5mm凈重:6KG毛重：9.8KGAC110-220V

60-50Hz180W審計引擎2U19"

440*500*89mm凈重:15KG毛重18.5KGAC110-220V

60-50Hz350W數(shù)據(jù)中心2U19"

440*390*88.8mm凈重:13KG毛重16.5KGAC110-220V

60-50Hz350W引擎串口配置通過超級終端或CRT軟件登錄，開始配置引擎，如下圖所示：輸入用戶名config，密碼sec.ca即可進入配置頁面，如圖，注意，登錄密碼建議管理員修改后妥善保管，以防止非授權(quán)用戶對系統(tǒng)的訪問和配置。登錄成功后，進入到引擎的功能配置頁面，在這里可以對引擎進行網(wǎng)絡(luò)配置、功能參數(shù)配置等，如下圖所示：一般實施基本配置中的功能即可，高級配置一般使用默認即可，如果需要更改高級配置中的選項，請具體參考使用手冊。顯示所有配置引擎授權(quán)引擎授權(quán)內(nèi)容是此引擎的監(jiān)聽網(wǎng)卡數(shù)量，如果用戶購買了更多的監(jiān)聽口，選擇2顯示和修改引擎授權(quán)。在這里輸入授權(quán)碼，為引擎增加監(jiān)聽口。如下圖所示：授權(quán)碼不能重復(fù)使用，否則系統(tǒng)會提示錯誤。配置系統(tǒng)IP選擇3，配置引擎IP地址。系統(tǒng)顯示可以被修改地址的網(wǎng)卡，默認的通信網(wǎng)卡是第一塊網(wǎng)卡（序號為0），選擇0修改它的地址，輸入IP和掩碼后系統(tǒng)提示確認，選擇1確認修改（2取消修改），注意，如果修改前后IP地址不在同一個網(wǎng)段，系統(tǒng)會自動刪除路由信息，用戶需要重新配置路由。如下圖所示：設(shè)置系統(tǒng)路由如果引擎系統(tǒng)需要跨網(wǎng)段通信，選擇4，為引擎配置路由，假設(shè)用戶需要添加一條路由，則輸入路由總條數(shù)1，然后寫入目的子網(wǎng)網(wǎng)絡(luò)地址和掩碼，輸入網(wǎng)關(guān)地址。如下圖所示：設(shè)置數(shù)據(jù)中心的IP地址物理部署和連接后，需要在引擎指定要連接的數(shù)據(jù)中心，使得引擎能夠?qū)⑵鋵徲嫷氖录蜁捝蠄蠼o數(shù)據(jù)中心。選擇5，設(shè)置要連接的數(shù)據(jù)中心的IP地址，如下圖所示。修改完配置后保存重啟系統(tǒng)，配置生效數(shù)據(jù)中心的安裝與配置設(shè)備上架根據(jù)設(shè)備型號，安排合適的機柜進行設(shè)備上架，具體型號及相關(guān)機房參考下表。型號外形尺寸重量電源功率審計引擎1U19"

428*320*44.5mm凈重:6KG毛重：9.8KGAC110-220V

60-50Hz180W審計引擎2U19"

440*500*89mm凈重:15KG毛重18.5KGAC110-220V

60-50Hz350W數(shù)據(jù)中心2U19"

440*390*88.8mm凈重:13KG毛重16.5KGAC110-220V

60-50Hz350W數(shù)據(jù)中心串口配置用配件盒中的串口線一端連接數(shù)據(jù)中心，另一段連接一臺計算機的RS232接口。計算機上啟動超級終端，超級終端的設(shè)置和連接引擎類似。連接成功后，即可進入數(shù)據(jù)中心串口程序登錄頁面，輸入用戶名venus，密碼venus.ca，頁面顯示所有的串口功能配置選項，如下圖所示。一般實施基本配置中的功能即可，高級配置一般使用默認即可，如果需要更改高級配置中的選項，請具體參考使用手冊。顯示所有配置選擇1，顯示數(shù)據(jù)中心當(dāng)前的配置，如下圖所示。數(shù)據(jù)中心授權(quán)數(shù)據(jù)中心授權(quán)內(nèi)容包括，審計服務(wù)數(shù)、管理引擎數(shù)、認證功能、會話回放功能、三層關(guān)聯(lián)功能。如果用戶購買了更多的審計服務(wù)數(shù)等授權(quán)，可以在這里導(dǎo)入。導(dǎo)入方法和引擎類似。設(shè)置系統(tǒng)IP選擇3，設(shè)置數(shù)據(jù)中心的IP和掩碼，默認日志口是第一塊網(wǎng)卡（序號0），地址為01。管理口是第二塊網(wǎng)卡（序號1），無地址。首先配置網(wǎng)卡0的地址，和引擎的IP配置過程類似（引擎配置的數(shù)據(jù)中心的地址要和此處相同）。如果采用引擎和數(shù)據(jù)中心直連的方式部署，那么還需要配置網(wǎng)卡1的地址，以便web瀏覽器的訪問。如下圖所示。設(shè)置系統(tǒng)路由如果數(shù)據(jù)中心系統(tǒng)需要跨網(wǎng)段通信，選擇4，為數(shù)據(jù)中心配置路由，假設(shè)用戶需要添加一條路由，則輸入路由總條數(shù)1，然后寫入目的子網(wǎng)網(wǎng)絡(luò)地址和掩碼，輸入網(wǎng)關(guān)地址。如下圖所示。修改完配置后保存重啟系統(tǒng)，配置生效審計系統(tǒng)配置登錄審計系統(tǒng)連接好通信線路，在瀏覽器輸入數(shù)據(jù)中心的地址就可以對系統(tǒng)進行訪問了，例如，訪問18，出現(xiàn)登錄頁面。系統(tǒng)自帶的操作員用戶名admin，密碼venus.ca。注意：請用戶配置完成后立刻修改admin的密碼，并妥善保管修改后的密碼。登錄成功后，進入系統(tǒng)配置管理的頁面，首頁顯示系統(tǒng)整體狀態(tài)，如下圖所示。添加引擎進入系統(tǒng)管理>引擎管理>配置，點擊，填寫引擎名稱、描述、IP地址和引擎的類型，點擊就為系統(tǒng)添加了一個可以管理的引擎。如果用戶有多個引擎，依次添加即可。如下圖所示。串行引擎的網(wǎng)絡(luò)配置串行引擎在部署的時候，需要串聯(lián)到用戶網(wǎng)絡(luò)鏈路中，作為一個網(wǎng)絡(luò)節(jié)點使用，其支持路由模式、透明橋模式等部署方式，串行引擎的網(wǎng)絡(luò)配置詳見用戶手冊。添加對象天玥的每條策略都包含如下基本信息：審計引擎、業(yè)務(wù)主機、業(yè)務(wù)用戶、策略生效時間、服務(wù)、規(guī)則集、動作（放行或阻斷）、響應(yīng)方式、是否生效，另外還包括認證帳號和資源帳號兩個高級信息（允許不選）。其中業(yè)務(wù)主機、業(yè)務(wù)用戶、策略生效時間、服務(wù)、規(guī)則集、響應(yīng)方式、認證帳號、資源帳號屬于對象信息，在定制策略的時候均從對象列表中選擇，這些列表對象需要在定義策略之前添加到系統(tǒng)中，所以配置策略的第一步是添加系統(tǒng)需要的各種對象。其中業(yè)務(wù)主機是需要用戶定義的，系統(tǒng)提供了預(yù)定義的各種服務(wù)和響應(yīng)方式，如果不符合用戶網(wǎng)絡(luò)特征，用戶可以自定義，其他對象系統(tǒng)默認提供了Any或者Always等對象。下面介紹如何添加業(yè)務(wù)主機。添加業(yè)務(wù)主機：進入對象管理>業(yè)務(wù)主機，點擊新建按鈕，填寫主機的名稱、描述和IP地址，提交后就為系統(tǒng)添加了一個主機或者主機網(wǎng)段。如下圖所示。配置策略進入審計策略>審計策略>審計策略，點擊，為系統(tǒng)添加一條審計策略，并行引擎如下圖所示。串行引擎如下圖所示?？梢钥吹剑枰脩暨x擇審計引擎，如果沒有要選擇的引擎，也可以選擇“新建引擎”來添加一個。默認內(nèi)容為“請選擇”字樣的屬性必須選擇一個，其他屬性可以定義，也可以用系統(tǒng)默認值。規(guī)則集系統(tǒng)默認為ANY，對每個常用協(xié)議系統(tǒng)自帶了幾個規(guī)則集模版供選擇。定義完成后點擊即可為引擎增加了一條策略，其他策略類似增加即可。此處只是配置事件的審計策略，對于會話的策略，可以進入審計策略>審計策略>會話策略進行配置。下發(fā)策略因為策略尚未下發(fā)到引擎，引擎還沒有按照定義的策略進行工作，請點擊頁面右上角的下發(fā)策略按鈕，在調(diào)整的下發(fā)策略窗口，選擇所要下發(fā)策略的引擎，把策略下發(fā)給引擎。查看審計信息策略配置完成后，系統(tǒng)開始工作，用戶可以在日志頁面查看當(dāng)前正在上報的事件。進入日志報告->實時日志，可以實時的查看每條事件和會話的詳細信息。如下圖所示。現(xiàn)場培訓(xùn)安裝調(diào)試結(jié)束后，啟明星辰的工程師為XX單位的技術(shù)人員培訓(xùn)本次項目中涉及的天玥安全審計產(chǎn)品的原理、功能、日常維護。通過培訓(xùn)讓各單位天玥審計系統(tǒng)管理員了解天玥審計系統(tǒng)的相關(guān)知識，更好的與實施工程師共同制定合理的安全策略。系統(tǒng)聯(lián)調(diào)各地市節(jié)點完成安裝調(diào)試后，進行與所在單位的上級單位進行聯(lián)調(diào)，保證各節(jié)點天玥審計系統(tǒng)的通信、監(jiān)控、管理配置的正常進行，以完成整體聯(lián)調(diào)。XX單位和和上級單位聯(lián)調(diào)后，在總局的統(tǒng)一安排下，按要求進行全網(wǎng)范圍的分布式系統(tǒng)聯(lián)調(diào)，實現(xiàn)上級單位與下級單位的正常通信，總局監(jiān)控中心策略定制分發(fā)、預(yù)警信息的上傳等功能。項目初驗先由XX單位進行工程初驗的前期工作，主要工作內(nèi)容有：產(chǎn)品功能驗收、文檔簽署。驗收標準：產(chǎn)品功能測試是否正常；系統(tǒng)運行是否正常。項目終驗在初驗完成后，XX單位根據(jù)《XX文檔》進行天玥審計系統(tǒng)的日常管理維護，在試運行結(jié)束提交各節(jié)點試運行記錄報告并形成終驗報告，經(jīng)由與啟明星辰公司共同簽署確認后，出具項目終驗報告。驗收標準：試運行期間系統(tǒng)運行是否正常；是否發(fā)揮網(wǎng)絡(luò)審計的作用。項目實施風(fēng)險及常見問題風(fēng)險應(yīng)對風(fēng)險事例應(yīng)對措施實施過程中可能需要網(wǎng)絡(luò)管理員配合進行交換機鏡像或其他方面的調(diào)試實施過程中各分支機構(gòu)應(yīng)派相關(guān)的網(wǎng)絡(luò)管理員員做技術(shù)保障。運輸設(shè)備途中遇到設(shè)備擠壓或變形等物理損傷或設(shè)備開箱加電后無法正常運行準備備機，一旦出現(xiàn)設(shè)備損壞或不能運行的情況，以最快速度更換備機，并安裝實施。由于技術(shù)問題引起的引擎及數(shù)據(jù)中心問題，如引擎不報警，數(shù)據(jù)中心顯示引擎不上線問題等。提供常見問題處理辦法，并且工程師提供技術(shù)支持常見問題及解決方法問：天玥引擎在初次安裝部署時需要做哪些配置？答：天玥引擎在初次安裝時需要的配置如下：通過串口登錄配置引擎和數(shù)據(jù)中心IP地址，配置后需要重啟生效。在引擎上指定連接的數(shù)據(jù)中心IP，配置后需要重啟生效。登錄Web管理頁面配置策略并下發(fā)。問：天玥Web頁面在哪些瀏覽器上瀏覽效果較好？答：在IE6.0、IE7.0、IE8.0上的瀏覽器上效果較好。問：系統(tǒng)初次安裝后，實時日志是否能立刻上報事件？答：初次安裝系統(tǒng)，配置IP后，需要用瀏覽器登錄Web管理系統(tǒng)，進行策略配置并下發(fā)，引擎根據(jù)安全策略產(chǎn)生事件后才可以上報實時日志。問：初次使用天玥系統(tǒng)制定審計策略時，是否有方便簡潔的辦法？答：天玥系統(tǒng)出廠時對常用協(xié)議都內(nèi)置了規(guī)則集，包括FTP、TELNET、RLOGIN、各類數(shù)據(jù)庫的規(guī)則集。配置安全策略的時候，可以使用ANY（此協(xié)議任何操作都上報）作為規(guī)則集，也可以使用這些內(nèi)置規(guī)則集。附件附件一實施環(huán)境確認表序號安裝條件條件參數(shù)是否符合條件備注機房的相對濕度和溫度標準相對濕度：8%至90%溫度：0至+40