软件开发及集成技术方案共86页.docx

1、软件开发及集成技术方案共86页信息安全集中(jzhng)展现系统应用软件及集成项目(xingm)目录(ml)1项目(xingm)背景经过(jnggu)多年规划和建设，XXX公司已形成(xngchng)由信息安全监控系统（包括垃圾短信监控系统、垃圾彩信监控系统、骚扰电话监控系统、不良信息监测系统等）、网络安全专业系统（安全xxx、合规平台、安全管理平台、防火墙、防病毒、流量清洗系统、网页防篡改系统等）组成的多重安全防护技术手段，这些技术手段的建设和应用，为保障网络和系统安全运行以及业务健康发展起到了有力的支撑作用。由于目前安全防护技术手段都是独立建设且种类和作用各不相同，现网还缺乏能够采集各类安

2、全防护技术手段相关运行数据，提炼出有价值信息进行集中展现，以帮助安全工作人员全面掌握现网信息安全整体态势的平台。2建设原则（1）标准化和规范化：在设计时遵循标准和规范，内部实现中按照标准化模版和规范来进行设计和实现。同时遵循xxxXXX的规范和相关国际规范。（2）良好的开放性、互联性：网络体系结构的通信协议，应符合国际标准和xxxXXX的组网要求及相关规定，便于异构机的互联及其所属节点不同结构的子网间的互联。（3）高可靠性：应采用成熟的先进技术，关键部件要求有足够的备份，要有必要的冗余容错能力，如果出现故障，要能及时指出故障点及故障原因。（4）可持续(chx)发展：XXX网络的规模将越来越大，

3、设备类型将越来越多，应用和业务也越来越广，系统建设过程中采用软件层次体系结构，采用模块化的功能分区，在中间件和分层架构的基础上，支持功能模块动态插入、支持系统规模动态扩展，有利于提高软件的质量(zhling)，满足系统快速成长的基本要求，同时充分保护已有投资，有利于降低继续发展(fzhn)的软硬件成本。（5）资源重用：公司在网络建设上进行了大量的投资，积累了一定规模的软件和数据资源，对于一些通用的软件（如数据库软件、中间件等），应该考虑再利用。同时，必须规划系统的硬件体系结构和网络资源，提高硬件系统的使用率和总体性能，实现系统自身的硬件资源统一分配和管理。（6）良好的安全保密措施：在系统环境的

4、各个环节应尽可能多地提供安全保密措施，需要在系统建设过程中提供必要的加密功能以及为用户设置权限等，同时系统中需要有必要的防病毒能力及防非法入侵能力。3现状1）xxx管理平台xxx管理是xxx（XXX）的模块之一，xxx管理利用网络安全xxx模块掌握的设备资产信息与帐号信息，并利用网络安全xxx进行设备资产访问的通路，以登录设备资产采集配置信息的方式进行xxx状况分析。实现业务系统xxx率的计算，明确具体不合规内容，用于督促和指导业务系统管理部门与合作厂家加强设备资产配置合规的技术平台。2）XXX平台xxx系统已经经过了四期工程的建设。2005年底根据网络安全评估的结果进行了xxx的建设，建立了

5、包括防火墙、入侵检测、防病毒、集中认证、终端管理、安全信息库等在内的专业安全系统，形成了比较完善的基础安全防护体系。2007年在安全评估和安全一期的基础上完成了安全二期的规划和建设。安全二期以集团公司的安全规范为依据，侧重于安全审计和安全监控，建成了数据中心、网管中心和运维中心的日志(rzh)监控、行为审计和监管平台，在网管中心部署了账号口令统一管理和审计系统。2008年进行了三期工程，对网管及数据网安全系统进行升级，形成网管及数据网系统安全管理平台，主要(zhyo)将以网管中心为立足点，辐射范围涵盖了运维中心、数据业务中心的各大业务系统，对各个业务系统的安全(nqun)设备、网络设备和服务器

6、进行安全监控，并将各个业务系统安全事件纳入安全管理平台进行集中统一管理。2010年进行了四期工程，平台升级至4.0总线架构，增加完整性检查管理模块、异常流量管理模块、IP事件管理模块、等级保护管理模块、网页监控模块、系统自管理功能模块；将网管中心、数据中心、运维中心、传动中心相关业务系统全部纳入监测范围；升级xxx监控模块，定制xxx监控集中展示页面，新增报表定制优化模块，实现对重点xxx业务系统的安全保障；对系统的各种数据接口统一进行封装，以服务的形式提供给企业服务总线（ESB），以满足综合展现系统以及相关系统的数据需求。3）信息安全集中xxx信息安全集中xxx一期工程主要是对骚扰电话、垃圾

7、短信、虚假主叫这三方面进行监控，提升信息安全水平能力。各个监控子系统采用集中管控模式进行组网建设，集中管控模式采用“两级共管”模式，由中央管理平台承担全网统一管理职责，由监控平台承担监控执行和辅助管理职责。4）xxx系统xxx系统总体系统架构分为门户层、功能层、采集控制层、外部接口层。业务支撑系统安全管理平台体系框架，以资产安全风险为导向、以安全策略管控为核心，包含安全运营管理门户、安全策略管控中心、安全资产管理、安全作业管理、安全事件管理、安全符合性管理、采集控制平台等功能模块。经过多年规划和建设，公司已形成多重安全防护技术手段，这些技术手段为保障网络和系统安全运行以及业务健康发展起到了有力

8、的支撑作用。但是，由于这些技术手段都是独立建设且种类和作用各不相同，现网还缺乏能够采集各类安全防护技术手段相关运行数据，并通过分析手段和数据挖掘手段提炼出有价值信息进行集中展现的平台，来帮助安全工作人员全面掌握现网信息安全整体态势。5)xxx虚拟化资源(zyun)池现状XXX网管资源(zyun)池采用vmware虚拟化软件，资源池内管理960CPU Core/2560GB内存，其中核心区480CPU Core/2048GB内存，外联DMZ区192CPU Core/512GB内存，内联DMZ区288CPU Core/1536GB内存。小型机资源池包括4台IBM P750，共112CPU core

9、/1280G内存。本期工程中核心区资源池为本系统(xtng)预留18CPU Core/36GB内存资源。网管资源池的具体拓扑图如下所示：图 3.8-1网管虚拟化资源池组网拓扑图4建设目标本期工程目标是建设信息安全集中展现系统，通过采集各类安全防护技术手段相关运行数据，提炼出有价值的信息进行集中展现，以帮助安全工作人员全面掌握公司网络安全、xxx、信息安全三个大纬度的安全态势。信息安全态势集中展现系统，主要是从安全管理平台、安全xxx、xxx平台及信息安全专业子系统中抽取数据或手工录入数据，并基于索引技术进行动态、多维度的视图展示，实现网络安全态势、信息安全态势、xxx情况态势三个方面集中展现整

10、体视图，每个展示视图中所展示的视图信息可依据条件进行有选择的组合展示。本次项目提供的为集中展现系统，系统满足100个注册用户及20个并发用户数量。系统将满足至2015年年底信息安全集中展现需求。5建设(jinsh)依据本方案设计依据(yj)如下： xxxXXX应用(yngyng)资源与xxx系统集成接口技术规范 V1.1.0 xxxXXX网络安全xxx程序调用接口技术规范v2 xxxXXX日志集中管理与审计系统功能及 技术规范 v1.0.0 xxxXXX帐号口令集中管理系统功能及技术规范 v1.0.0 xxxXXX综合维护接入平台功能及技术规范 V1.0.0xxxXXX网络安全xxx统一用户目

11、录模式技术规范xxxXXX网络安全xxx用户界面规范v1.0xxxXXX网络安全xxx账号口令修改保障技术要求V1.0xxxXXX网络部网络安全xxx应急技术规范v1xxxXXXxxx（XXX）技术规范 第三分册合规管理 界面设计要求（V1.0）xxxXXX安全域流量监控系统技术要求（2013年试点版）xxxXXXxxx（XXX）技术规范 第六分册安全域管理功能技术要求（V1.0）xxxXXX网络安全xxx报表规范V1.5xxxXXXxxx（XXX）技术规范 总册功能需求-v2.0xxxXXXxxx（XXX）技术规范 总册功能技术框架（V1.0）xxxXXX安全运行管理系统(XXX)技术规范

12、第六分册 安全域管理功能技术要求xxxXXX安全运行管理系统 (XXX)技术规范 第三分册：合规管理弱口令核查子功能技术要求xxxXXXxxx（XXX）技术规范 第三分册合规管理（V1.0）6建设(jinsh)方案6.1系统(xtng)架构6.1.1整体(zhngt)功能架构系统功能架构如下图所示：图 3.21信息安全集中展现系统功能架构信息安全集中展现系统主要实现网络安全态势、信息安全态势、xxx情况态势三个方面集中展现。其中网络安全包括外部态势、系统安全、人员安全、应用安全、合作伙伴、重大漏洞；信息安全包括垃圾短信、垃圾彩信、不良网站、骚扰电话、客户信息；xxx情况包括xxx的信息。整个系

13、统通过与外围系统接口对接采集数据信息，并经过分析处理后进行数据展现，实现指标统计、趋势分析、风险预警、态势报告输出、安全故障处理流程管理等功能。6.1.2技术架构1）数据采集层：采用ESB总线技术的webservice+ftp方式从网络安全管理平台、xxx、合规平台、信息安全监控系统采集基础数据，也支持从互联网搜索引擎以及安全资讯网站自动获取外部安全态势情报；同时考虑到信息安全很多数据需要手工录入，系统还需提供各类信息安全数据填报模版，方便数据录入；2）数据存储及计算处理层：由于信息安全数据格式种类多且根据工作需要变化大，数据处理层使用NoSQL和索引技术实现，可以快速实现数据索引、对采集到的

14、数据进行过滤提取、分析、格式化成可读文本，索引结果可以快速存入索引库；3）数据应用及分析层：使用搜索引擎技术实现，搜索引擎技术是沿用NoSQL架构的功能，通过搜索引擎可以快速从索引库中通过搜索运算算法提取出应用展现态势分析所需的数据字段、数据内容，使得展现内容、维度更灵活、快速；4）集中展现层：基于信息安全态势集中展现的设计需求，集中展现层为一级视图、二级视图提供展示视图能力、报表统计能力，同时还提供详细数据的快速检索能力，还可以扩展为基于监控大屏、电脑屏、手机(shu j)屏，对信息安全态势进行集中展示。6.2展示(zhnsh)视图设计信息安全态势(tish)集中展现系统，主要是从安全管理平

15、台、安全xxx、xxx平台及信息安全专业子系统中抽取数据或手工录入数据，并基于索引技术进行动态、多维度的视图展示，实现网络安全态势、信息安全态势、xxx情况态势三个方面集中展现整体视图，每个展示视图中所展示的视图信息可依据条件进行有选择的组合展示。系统在三级功能点中对界面类功能使用次数进行统计。6.2.1一级态势视图信息安全态势集中展现一级视图主要包括从“网络安全、xxx、信息安全”三个当前态势的整体量化展示，同时还包括网络安全和信息安全细分的11个纬度的专业态势展示。细分的外部态势、系统安全、应用安全、骚扰电话、垃圾彩信、人员安全、合作伙伴、重大漏洞、垃圾短信、不良网站、客户信息这11个纬度

16、可以以量化的方式直接展现，也可以以不同的颜色来表示不同纬度所在的数值区间，标明优（90-100）、良（80-89）、中（60-79）、差（50-59）、危（0-49）不同的等级。在信息安全xxx集中展现一级视图中，点击各模块，可以打开各专业的二级视图，二级视图可展示系统细节指标和变化趋势等信息。信息安全xxx集中展现一级视图以量化的方式说明当前或过去一段时间各纬度的指标状态。此外，外部态势应选择部分国内外安全厂商当前给出的重大安全漏洞、安全攻击事件等数据，可以以自动采集也可以手工录入的方式，给出权重并计算级别。同时针对外部态势的重点播报，可在一级态势中的安全资讯进行滚动形成预先展示。6.2.2

17、二级态势(tish)视图信息安全态势二级视图可以以视图统计方式展示，同时还需提供详情(xingqng)页面，以方便展示更详细的统计数据、查询数据的展示页面及详细的数据全文。本次项目除了提供信息安全态势集中(jzhng)展示的视图之外，还应提供详细的信息安全态势可以展示详细的数据查看能力。6.2.3详情检索页面信息安全态势集中展现系统所设计的每个安全态势展示页面应提供详细数据并能满足基于关键字检索功能。具体的需求如下所示：支持全文搜索，单一关键字可以覆盖原始信息的所有字段属性；支持跨类型事件全文搜索，指定关键字后可以从所有原始信息中获得匹配的结果；支持按指定字段的精确搜索；支持分词搜索和精确匹配

18、；支持基于布尔表达式的搜索，例如支持AND OR等表达式，支持（）操作；支持基于正则表达式的搜索；支持高亮显示匹配文本摘要；支持分类导航；支持查询结果的导出；支持以表格方式或者全文摘要方式实现查询结果搜索结果的展示，应以事件来源类型具备的字段自定义展示。信息安全态势集中展现平台提供单独根据各种计算纬度及展示指标的详细数据呈现独立子页面的功能；拥有合适权限的用户才可以经过登录查看详细展示数据；安全态势详细信息可以根据操作人员需要，在实际检索的结果页面中自动化、自定义的保存为报表。6.3指标(zhbio)设计指标设计体系要求覆盖所有接口并重新分类，可以按照三个总体大纬度、11个子纬度提供算法和具体

19、指标展示方法(fngf)、具体指标量化说明。6.3.1指标说明(shumng)示意信息安全态势集中展现系统要求通过量化的方式、状态颜色的标示直观展示信息安全整体态势。指标设计量化数值总体要求100为满分，0为最低分，分别表明安全态势的好到坏的状态；在视图中显示时，用颜色来代表优、良、中、差、危五个级别直观展示，例如：红色（0-49）、紫色（50-59）、浅蓝（60-79）、深蓝（80-89）、绿色（90-100）。6.3.2指标采集要求1）指标所需数据源有自动采集、手工录入等方式，所以平台应提供自动化及手工配置导入功能；2）垃圾短信、垃圾彩信、骚扰电话等不良信息治理数据主要依赖于手工整理的报表

20、数据，系统设计中应提供按照数据来源格式字段要求的模板，并随时可以调整格式；3）指标的信息输入和输出应随着展示视图中每个视图所选择的展示纬度不同而自动化完成指标的计算；4）指标的提取应可以在数据采集环节中完成，不应在数据采集完成之后还需要复杂的解析脚本机制，同时指标提取应通过简单配置即可；6.4安全预警及故障流程管理信息安全态势集中展现系统能通过对外部和内部安全信息的分析，当关键指标超过预先定义的告警阀值后进行安全预警。告警及预警功能在设计态势视图中自行设计。通过态势分析计算，当关键指标超过预先定义的故障阀值后，将触发安全故障处理流程。信息安全态势集中展现系统将故障信息、指标计算方法、指标数据来

21、源、故障责任人等信息通过(tnggu)ESB的webservice接口发送给故障管理系统，故障管理系统按其内部流程进行故障跟踪和处理。故障管理系统将故障处理结果信息通过ESB的webservice接口发送给态势展现系统，展现系统对安全故障的处理结果进行记录和标记、展示。6.5外部(wib)系统接口6.5.1自动(zdng)采集本期信息安全集中展现系统共需与安全xxx、绿盟漏扫管理平台、WAF系统、xxx管理平台、故障管理系统、短信发布平台、运维门户、垃圾短信监控平台发端系统、WMS系统、经分系统建立自动采集接口，接口描述如下表所示。表 3.71 外部系统接口表以上接口（xxx接口、运维门户除外

22、）要求接入网管ESB平台。6.5.2人工采集6.63性能指标本期工程系统性能如下表所示。3.8-1系统性能要求表6.7系统管理6.7.1配置管理配置管理主要是对平台的各功能组件和相关参数等进行设置，并提供统一的配置入口(r ku)。主要功能要求如下：1、组件管理：提供(tgng)对平台相关模块启动、停止的控制管理；2、参数配置：提供对平台(pngti)相关组件的运行参数的配置。6.7.2备份管理备份管理主要是为平台提供风险预防机制和灾难恢复措施。主要功能如下：1、人工备份：平台支持在前台手工制定和管理备份任务，并记录任务执行情况。2、自动备份：可以预定义自动备份策略并由系统自动执行备份任务。3

23、、备份日志：平台需要对备份工作进行日志记录，并提供日志查询功能。4、恢复功能：根据备份恢复策略方便快捷地恢复应用程序文件、配置文件等。6.7.3运行监控运行监控是指对平台的运行和使用情况进行实时展示的功能。主要功能如下：运行状态监控：对平台的各功能组件和后台服务的状态等进行实时展示，如各日志采集点的状态、各类接口的状态、数据同步任务状态等。6.7.4统计报表统计报表功能包括平台性能的报表统计、生成、发布及前端展示。1、能按报表需求格式读取报表统计数据生成定制报表，并在报表生成过程中实现对统计要素的灵活组合，支持对统计报表结果的保存、打印、查询。2、提供统计要素、统计规则(guz)的维护管理功能

24、(gngnng)，可以(ky)定义、生成新的统计要素与规则，可以对已有统计要素与规则进行修改。3、提供人性化的报表访问和展示界面，支持以多种方式展示和保存提取的数据。例如页面、Excel、Word、文本文件、各类图表等。6.8系统安全作为重要的安全管理、生产运维支撑系统，XXX是xxxXXX最重要的IT系统之一，需要进行最高级别的安全防护，需要从网络安全、系统安全、应用安全、数据安全、传输安全五个层面进行保护。在网络安全层面，系统应按照xxxXXX网管系统安全域划分及安全防护技术要求，实现严格的边界防护。应将采集机、portal等服务器设备与后台数据库、应用服务器进行逻辑隔离，以部署在不同的安

25、全子域。在系统安全层面，系统应按照xxxXXX设备通用安全功能和配置规范要求，对与XXX相关的服务器操作系统、数据库、网络设备、中间件等进行安全加固，在帐号安全、口令安全、配置安全、日志安全、IP协议安全等方面满足配置规范要求。在应用安全方面，作为基于WEB技术实现的平台，XXX应符合xxxXXXWEB类应用系统安全防护技术要求V1.0（发布版）的要求。在数据安全方面，系统平台必须有明确的数据安全访问机制和数据备份机制。对XXX配置进行修改等操作必须有相应的审计记录，能准确地找到相关操作人员。XXX系统中的敏感性数据，如用户信息、密码信息、审计信息等支持加密方式存储，加密算法可以采用对称加密如

26、3DES、AES算法、非对称加密如RSA等。在传输安全方面，XXX系统内部组件之间的通讯连接应采用加密方式，密钥强度不低于128位；XXX与其他系统之间的通讯，也应采用安全的加密通讯连接。6.9软件功能清单6.10系统(xtng)部署架构6.10.1部署(b sh)拓扑根据(gnj)XXX实际情况，本次项目所有硬件采用现网虚拟资源池配置，系统部署拓扑如下图所示： 如上图所示，本次项目所有硬件设备均部署在网管安全服务域中。6.10.2HA配置1、主服务器：主服务器主要承载B/S应用，采用网管现有的负载均衡器实现HA配置。2、数据库服务器：采用XXX数据库自带的HA功能实现高可用性配置。3、采集服

27、务器：采集服务器可采用双机冷被配置，手动切换ip地址，实现HA配置。6.11服务器处理能力测算1、存储计算12个月在线存储：2T，考虑Raid5，按照1.3倍计算约要3T的存储裸盘。2、服务器性能计算 主服务器2台，配置要求：2核心2.0GHZ*2CPU，内存16GB，硬盘200G； 数据库服务器2台，配置要求：2核心2.0GHZ*2CPU，内存48GB，硬盘200G； 采集服务器2台，配置要求：2核心2.0GHZ*2CPU，内存16GB，硬盘200G；7技术文件(wnjin)清单7.1系统(xtng)说明文件项目阶段工程实施文档名称平台说明文档.doc文档说明说明日志采集分析平台的整体架构，

28、业务流程，数据流程等。介质及套数纸质3份 光盘1份7.2技术(jsh)手册项目阶段工程实施文档名称安装配置文档文档说明指导各地实施人员在日志采集分析平台部署时注意事项和本地化配置的指导介质及套数提供纸质3份、光盘1份项目阶段工程实施文档名称使用手册文档说明指导用户、测试人员和工程维护人员参考使用本系统。介质及套数提供纸质3份、光盘1份7.3项目(xingm)文档项目阶段工程实施文档名称软件需求说明书文档说明在xxx签订后，由XXX派资深需求分析专家至XXX进行业务需求分析及整理，并形成软件需求，提交系统设计部门，初验前连同设计说明书，操作手册等系统文件一并提交最终用户。同时需求说明书（业务需求

29、及软件需求书）需最终用户与开发商共同签字确认，并可做为验收时依据。介质及套数提供纸质3份、光盘1份项目阶段工程实施文档名称系统总体设计说明书文档说明说明日志采集分析平台的总体设计介质及套数提供纸质3份、光盘1份项目阶段工程实施文档名称应用软件功能清单文档说明详细罗列出日志采集分析平台所具备的功能介质及套数提供纸质3份、光盘1份8工程(gngchng)安排(npi)8.1实施计划根据xxxXXXxxx有限公司要求，并结合XXX安全网管产品目前的开发情况以及网管建设经验，制订了如下工程进度计划：8.2组织(zzh)机构图根据(gnj)xxxXXXxxx有限公司(yu xin n s)建设目标与实际

30、需求，XXX安全针对本期工程成立工程项目经理部，项目以实现本期工程建设目标为项目目标，因此，项目实施过程中，本项目采取XXX安全网络技术事业部成立工程建设项目经理部，项目组的组织结构如下图所示：图1 项目组织机构图8.3成员组成与职责由于要求快速地开发出适合本期工程的建设要求，因此，组建一支高效、高素质项目开发团队，对本项目成功实施具有极其重要性，为此，XXX安全为本项目作出以下的项目各组成机构（成员）相关人员组成及责任分工。8.3.1项目经理部8.3.1.1人员组成为了保证项目正常进行，项目经理部主要由XXX安全指派项目经理和XXX公司现场项目经理组成组成。8.3.1.2主要职责对工程建设项

31、目负责；统一制订工程管理计划，并实施工程管理；统一协调并负责调度各方资源满足工程建设的需要；统一协调解决项目实施过程中出现的各种问题；负责项目进度计划与控制；负责项目质量计划与控制；负责项目资源计划(jhu)与控制；负责项目(xingm)成本计划与控制；保证项目按照工程建设要求，高质高效(o xio)地按计划完成；确定安装调试计划。8.3.2项目质量控制组8.3.2.1人员组成为了保证项目开发过程进行有效质量控制，达到并实现项目过程的可重现性与可量化过程，使得质量保证体系贯穿于整个工程实施过程中并监督工程正常实施。为此，项目质量控制组将由对软件开发质量保证体系（ISO9001）、对项目及项目产品最新技术规范