XX单位网络安全管理平台建设规划方案1.docx

1、XX单位网络安全管理平台建设规划方案1XX单位信息安全管理平台建设解决方案2008年8月20日文档信息文档名称XX单位信息安全管理平台建设规划方案文档编号保密级别商业机密文档版本号V1.0制作人王铁成制作日期2008年8月20日复审人复审日期扩散范围XX单位、网御神州项目组扩散批准人王铁成文档说明 本文档是网御神州科技（北京）有限公司（以下简称网御神州）为XX单位提交的信息安全管理平台建设解决方案，供XX单位信息安全管理相关人员阅读。版本变更记录时间版本说明修改人2008-8-201.0文档创建王铁成目 录一. 项目规划综述 4二. 信息安全管理面临的问题 4三. 信息安全管理平台需求分析 5

2、四. 信息安全管理平台建设解决方案 74.1 SecFox-SNI系统部署说明 74.2 SecFox-SIM系统部署说明 84.3 “SecFox-SNI”产品功能 94.3.1 资产管理 94.3.2 网络拓扑管理 94.3.3 机房机架视图 104.3.4 集中监控 104.3.5 网络和安全设备监控 114.3.6 主机监控 114.3.7 应用和业务监控 124.3.8 机房环境监控 134.3.9 终端接入监控 144.3.10 设备配置信息监控 144.3.11 配置与诊断工具 144.3.12 防火墙策略管理 154.3.13 日志安全审计 154.3.14 IP地址管理 16

3、4.3.15 集中认证管理 164.3.16 告警和响应管理 164.3.17 报表管理 174.3.18 权限管理 174.3.19 系统管理 184.3.20 与外部系统集成 184.4 “SecFox-SIM”产品功能 184.4.1 智能监控频道 184.4.2 资产管理 194.4.3 工单管理 204.4.4 事件分析 204.4.5 趋势分析 214.4.6 报表管理 224.4.7 知识管理 234.4.8 系统管理 244.4.9 权限管理 254.4.10 等级保护模块 264.4.11 与外部系统集成 26五. 实施效果价值分析 26六. 方案优势总结 27一. 项目规划

4、综述XX单位非常重视信息化建设，各类相关业务都在朝着无纸化、网络化、智能化应用的方向发展。依托网络、借助信息化建设成果开展工作，已经成为XX单位提高办公效率、服务内部客户的重要手段。伴随XX单位集团信息化建设正不断向基层延伸，网络的互联互通导致网络病毒，木马程序扩散更为便利，波及范围更广。内网办公人员违规操作、滥用网络资源的现象开始抬头。目前的情况是，XX单位早期采取的相关安全措施已经无法应对新一代的信息安全问题，无法有效保障各类业务的正常应用。二. 信息安全管理面临的问题 管理制度缺乏技术依据，安全策略无法有效落实尽管安全管理制度早已制定，但只能依靠工作人员的工作责任心，无法有效地杜绝问题；

5、通过原始方式：贴封条、定期检查等相对松散的管理机制，没有有效灵活实时的手段保障，无法使管理政策落实。 监控和管理界面过多、管理员手忙脚乱被管设备的多样性，包括网络设备，主机设备，安全设备，数据库，中间件，机房环境控制系统等。各类设备都有独立的管理工具，操作不方便，信息无法共享。 无法迅速定位故障点对于XX单位而言，IT计算环境的管理本身不是目标，核心需求是要保障运行的应用的可用性、业务持续性，以及重要信息系统的安全性，因为应用和业务是企业和组织的生命线。现有的一些应用性能管理（Application Performance Management）系统或者业务服务管理（Business Serv

6、ice Management）系统虽然可以监控客户的应用性能和工作状态，但是却没有考虑到安全保障方面的因素。例如，一个应用无法访问，可能是CPU利用率过高引起的，但是究其根源，可能是应用负载过高，也可能是应用服务器受到了蠕虫感染。传统的应用性能管理系统只能告诉客户CPU利用率过高，却不能再深入探究成因。 缺乏有效地基于等级保护要求，进行综合安全保护的支撑平台在等级保护的每一级都有对安全控制的要求，其中，从第三级开始明确要求建立一个集中的安全监控与管理中心，并且要求对流量进行监控，对物理环境进行监控。 而从第二级开始，就要求进行安全审计，尤其是日志审计，以及IP地址管理，还有设备和应用的监控。可

7、以发现，为了达成等级保护的诸多控制要求，即便部署了大量安全设备也是不够的，依然难以有效把控整体网络的安全性，依然说不清当前的安全保障体系是否确实达到了等级保护的要求。 网络应用缺乏监控，工作效率无法提高上网聊天、网络游戏等行为严重影响工作效率，利用QQ，MSN，ICQ 这类即时通讯工具来传播病毒，已经成为新病毒的流行趋势；使用BitTorrent、电驴等工具疯狂下载电影、游戏、软件等大型文件，关键业务应用系统带宽无法保证。 缺少针对不同安全事件的关联分析手段外部入侵和内部违规行为从来都不是单一的行为，都是有时序或者逻辑上的联系的，黑客的攻击一定是分为若干步骤的，每个步骤都会在不同的设备和系统上

8、留下蛛丝马迹，单看某个设备的日志可能无法发现问题 缺乏便捷、高效、可视的安全事件分析手段 大部分网络设备、主机设备、数据库产生的安全事件记录都保存在文本格式的文件中，出现安全问题时面对成千上万条日志记录，无法快速、准确的定位出现问题的原因。三. 信息安全管理平台需求分析从上面分析得出，XX单位网络安全管理需求主要包括： 全面的IT 计算环境运行监控能够管理IT计算环境中的所有网络设备、安全设备、主机和服务器、服务和应用系统，以及机房设备，为用户提供一个全方位监控的统一管理平台，使得管理员通过一个单一控制台就能够进行实时全网监控，确保企业和组织IT计算环境基础设施的可用性，以及业务的持续性。 可

9、视化的监控管理手段针对IT计算环境的统一监控，必然会收集并呈现大量的信息。如果将这些信息进行有效的组织，呈现给管理员，并真正提升他们的管理效率是十分关键的。 快速定位业务节点故障网络节点出现故障时，系统将会产生告警事件，同时拓扑图中的设备图标也会显示故障状态；当一个管理子图发生设备故障时，子图图标也会发生相应改变，因此管理员可以根据子图快速定位故障。对于应用系统和机房环境的监控，管理员可以自定义监控指标的阈值，监控的时间间隔，监控的描述和告警方式，通过接收告警信息，管理员可以快速了解问题所在，及时采取措施。 及时发现网络流量异常管理员可以对重点设备的重点端口配置流量监控，并且可以配置阈值告警，

10、当出现流量异常时及时通知管理员。 统一安全事件监控、态势感知能够实时不间断地将来自不同厂商的安全设备、网络设备、主机、操作系统、用户业务系统的日志、警报等信息汇集到管理中心，实现海量信息的集中分析，进行统一的安全事态监控和态势感知，消除安全防御的孤岛。 实时安全事件关联分析能够实时地对采集到的不同类型的信息进行关联分析、最大程度地消除误报和错报、找出漏报，协助安全管理人员迅速准确地识别安全事故，消除了管理员在多个控制台之间来回切换的烦恼，同时提高工作效率。通过事件关联分析，客户可以实现从单点被动防御到全面主动防御的转变。 便捷、高效、可视化的事件分析 符合等级保护的安全合规审计要求提供一套基于

11、信息系统等级保护基本要求的合规审计包。该审计包按照等级保护的基本技术要求，针对二级以上的系统建立了一套规则库、合规检查频道和场景、报表模板。四. 信息安全管理平台建设解决方案面对XX单位信息安全管理现状与存在的问题，本方案推荐使用网御神州“SecFox-SNI”计算环境综合监控平台及“SecFox-SIM”安全信息管理系统来构建XX单位的信息安全管理平台。以实现统一的信息安全管理为出发点，从全面的IT 计算环境运行监控、快速定位业务节点故障、统一安全事件监控、态势感知、实时安全事件关联分析等多个角度构建一套完整的信息安全管理平台，通过技术手段全面贯彻落实单位的安全管理策略。五. SecFox-

12、SNI系统部署说明在XX单位省中心及管辖的各市州中心部署分别部署一套“SecFox-SNI”系统。SecFox-SNI运行的网络环境有如下要求： TCP/IP网络环境。 网络管理服务器需要开放相关管理端口。 需要相关管理设备支持SNMP协议和Syslog协议。SecFox-SNI可应用于大中小各类型企事业单位，其办公地点可能分布在许多地方，他们的业务系统需要跨越不同的局域网段来部署。它可以将关键设备的运行管理权利集中到一起，通过统一的安全管理系统，将分散在各地区、不同业务网络上面的各种设备节点有机的结成一个整体。对于大型、全国性的、分级的网络环境，SecFox-SNI可以进行级联部署，多个Se

13、cFox-SNI管理分支可以统一接入到一个主SecFox-SNI管理中心。六. SecFox-SIM系统部署说明在XX单位省中心节点部署一套“SecFox-SIM”系统SecFox-SIM可应用于大中小各类型企事业单位，其办公地点可能分布在许多地方，他们的业务系统需要跨越不同的局域网段来部署。典型的，SecFox-SIM管理中心服务器放置在网管中心或者安全中心，管理员通过浏览器可以从任何位置登录管理中心服务器，进行各项操作，如下图所示： 七. “SecFox-SNI”产品功能八. 资产管理资产是IT计算环境的基本元素，是信息安全的保护对象，也是本系统的监控对象。SecFox-SNI为管理员提供

14、了一个管理各类待监控设备的资产库。资产管理可以标明企业和组织关键业务路径上的各资产等级，在对成百上千个监控指标进行监控时，可以分清告警信息处理的轻重缓急，按资产等级排列事件处理顺序。九. 网络拓扑管理SecFox-SNI的拓扑和服务感知引擎（Topology and Service Awareness Engine）能够针对不同拓扑结构类型（大中型骨干网络、中小型局域网络）采用相适应的算法进行快速自动拓扑发现，并自动绘制网络拓扑图。拓扑管理为客户提供了一幅IT计算环境的总览图，直观地给出了整个网络中网络设备、安全设备、主机设备的分布和连接情况。拓扑图支持缩放，具有鸟瞰功能，支持自动布局。 管理

15、员可以通过拓扑图进行设备监控、配置管理和策略管理，可以通过拓扑图实施对某个设备的ping，telnet等，以及激活它的web管理界面。通过拓扑图可以直观的反映设备的实际运行状态，并根据设备的状态变化而自动闪烁，方便管理员快速定位故障点。管理员选中拓扑图中的某个设备，可以显示出真实设备面板图，形象化的展示出当前监控设备的端口面板，以及端口状态信息。管理员可以对端口进行各种设置，也可以继续查看端口的实时流量曲线。一十. 机房机架视图SecFox-SNI能够将基础设施的物理位置呈现在机房机架视图中。管理员可以清晰地获悉每台服务位于哪个机架，哪一层，还能够看到机房环境动力设备。管理员可以在逻辑拓扑和物

16、理视图之间自由切换，点击图中的任何节点和连接线都能够细致查看明细信息。一十一. 集中监控SecFox-SNI通过统一的界面对计算环境中的网络节点设备进行集中监控，对整个计算环境中所有设备和应用的运行状态及性能进行分析，实时获得告警，并采取应急响应行动。通过集中监控，管理员可以同时实时查看多个监控指标项，进行对比分析。管理员可以根据需要建立监控任务，设定监控和采集需要管理的参数。采集的数据可以保存，并可以生成相关报表。对于每个监控数值，可以定制监控阈值，当监控的数据超过了阈值，将会触发事件告警。系统可以显示每个监控任务的监控数据，在同一界面上显示最近7天，最近24小时数据，管理员可以清楚地了解任

17、务的当前状况和历史状况。系统支持配置存储监控数据，根据用户需求能够提供监控数据实定制报表，例如日报表，周报表，月报表和年报表，报表可以另存为HTML、EXCEL、文本、PDF等多种格式。管理员可以通过修改配置文件支持添加新的设备类型和设备监控参数，方便地进行扩展。一十二. 网络和安全设备监控SecFox-SNI能够对支持SNMP协议的网络设备和安全设备进行实时性能分析。主要分析参数包括：主机CPU利用率、主机存储设备利用率、接口流量，等等。SecFox-SNI能够实时显示监控的性能参数，采用形象的曲线图显示监控信息，并且可以计算最大值，平均值和最小值。SecFox-SNI还能够收集来自网络和安

18、全设备的告警和日志信息，进行统一的告警与响应管理。一十三. 主机监控主机服务器是企业和组织IT应用承载的基石，主机的性能直接影响了企业和组织IT应用的性能，SecFox-SNI能够对主机的CPU利用率、内存利用率、磁盘利用率、进程等进行全面的监控，也可以配置阈值告警，当出现性能异常时及时通知管理员。对于这些性能指标，管理员可以根据自定义的时间段生成报表，通过这些报表可以了解监控主机的实际运行负载情况，为主机管理和扩展提供有价值的参考数据。例如发现某个主机的CPU的利用率在某个时间段长时间处于比较高的状态，那么管理员可以采取相应的措施进行调整。对主机监控提供监控快照，实时分析和详细的监控指标，不

19、是孤立地查看单个指标，可以在一个界面上查看所有的监控信息，提供图形和数据等多种方式，便于管理员全面的了解和分析主机的性能和故障。一十四. 应用和业务监控应用服务是企业和组织IT应用核心，SecFox-SNI采用先进的主动探测的监控方式，无需在应用服务系统中安装任何代理或软件，模拟应用数据直接监控这些应用服务，一旦这些服务出现无法响应或响应太慢，将会触发事件告警及时通知管理员，管理员可以迅速采取相应的措施。管理员可以根据自定义的时间段生成监控报表，通过这些报表可以了解应用服务的实际运行性能，帮助管理员制定相关应变措施，帮助应用开发人员进行调整优化。SecFox-SNI可以监控企业和组织的各类应用

20、服务，包括数据库，中间件，Web服务，邮件服务，FTP，DHCP，DNS等，不但可以监控这些服务的状态和响应时间，还可以监控系统的详细性能指标，例如Oracle数据库的表空间大小等，可以为管理员提供全面而详实的参考信息。对应用系统的监控也提供监控快照，实时分析和详细的监控指标，不是孤立地查看单个指标，可以在一个界面上查看所有的监控信息，提供图形和数据等多种方式，便于管理员全面的了解和分析应用系统的整体状态和性能。一十五. 机房环境监控对于IT计算环境监控而言，物理的机房环境也是重要的组成部分。对物理机房的环境进行监控也有助于定位业务故障点，因为业务故障完全可能由于机房供电系统或者空调、UPS等

21、设备出现问题而瘫痪。SecFox-SNI提供对机房环境的全面监控，支持对UPS、空调、测漏水设备、温湿度、配电柜等设备的工作指标参数进行统一监控。 一十六. 终端接入监控SecFox-SNI具备终端接入监控的功能。通过对边缘交换机端口的监控，清晰把握当前交换机连接的终端设备状况，发现是否有ARP攻击，是否有非法（MAC匹配）接入，并能够主动阻断端口，防止威胁入侵。一十七. 设备配置信息监控SecFox-SNI可以采集自动地、定期地归集网络设备配置信息，进行配置版本管理。通过不同版本的配置项信息的比较发现对网络设备配置的误操作和恶意篡改。一十八. 配置与诊断工具设备配置和诊断工具提供了一个批处理

22、执行命令的外壳工具，可以自动调用自定义命令行脚本、TELNET或者SSH脚本，并可批量执行，方便用户进行设备配置和故障诊断，而无需手工登陆到设备上。配置与诊断工具用途包括： 设备的SNMP协议功能有限，一般只支持查看信息，配置能力弱，此工具可以调用TELNET或SSH，自动执行设置的脚本，可以实现所有信息查看和进行配置，例如自动重启设备。 某些设备和主机不支持SNMP协议，几乎没有办法管理，例如UNIX，Linux主机和非网管设备，但是这些设备一般都支持TELNET或SSH，可以用工具进行管理，把经常需要使用的命令行做成脚本，需要管理时调用。 能够方便地批量配置设备，例如对多台设备配置同样的策

23、略，可以将策略配置做成脚本，配置多台只需要执行，无需登陆和手工配置，减少维护和配置的工作量。一十九. 防火墙策略管理对于网御神州自有的SecGate系列防火墙/VPN，SecFox-SNI允许用户对这些防火墙/VPN进行集中的策略管理，统一制定策略，批量下发，极大地方便防火墙管理员，降低他们的工作复杂度。 防火墙日志管理：充当防火墙日志服务器，实现对防火墙日志的集中管理 策略管理：实现防火墙/VPN的集中策略定义和可视化发布 设备升级：实现防火墙/VPN设备的升级二十. 日志安全审计SecFox-SNI具有强大的安全审计功能，为系统的使用者，包括网络安全管理员，IT部门负责人，公司负责人等提供

24、了解网络安全状况的直观方式。安全审计的主要功能是日志查询、日志分析规则设置、安全审计报表。这些功能都具有在图文显示、文件导出和打印等输出方式。SecFox-SNI的安全统计报表分类的方式有多种，从反映网络安全总体状况的角度进行统计和分析，得到网络安全状况报表；从所管理的安全设备的运行状况出发，可以得到设备安全信息报表。能够根据用户的需求生成日报表，周报表，月报表和年报表等，报表可以另存为HTML、EXCEL、文本、PDF等多种格式。 主要报表包括：安全管理信息Top10分析 主机访问流量TOP10：统计访问流量最大的前10位主机 站点被访问流量TOP10：统计被访问流量最大的前10位站点 拒绝

25、访问类型TOP10：统计被拒绝次数最多的前10种访问类型 禁访站点访问尝试次数TOP10：统计尝试次数最多的前10位被禁止访问的站点 用户访问流量TOP10：统计访问流量最大的前10位用户 安全管理信息统计分析 主机访问统计报表：统计所有主机的访问数据 用户访问统计报表：统计所有用户的访问数据 站点被访问统计报表：统计所有被访问站点的访问数据 系统管理统计报表：统计管理员的所有系统操作数据 系统模块状态统计报表：统计设备所有系统模块的状态数据二十一. IP地址管理SecFox-SNI可以管理企业和组织的IP地址资源，将企业和组织的IP地址按照子网分类列表，便于查看；提供了IP地址查询，IP地址

26、扫描，可以方便地查找和确定那些IP地址已经使用或者尚未使用，方便管理员的管理工作；提供了图形化的IP地址分布查询，可以通过图形一目了然查看IP地址分布状况。二十二. 集中认证管理SecFox-SNI提供了监控对象认证集中管理，可以在一个界面集中管理所有监控对象的认证方式，例如SNMP设备的团体字符串，数据库的用户密码等，便于管理员进行统一修改。二十三. 告警和响应管理告警管理可以针对事件进行告警处理。这里，事件是指管理中心采集和侦听到的来自于被管理设备的信息。对于产生的告警信息，系统可以通过多种方式进行通知：弹出窗口、控制台突出显示、电子邮件、有声报警、短信、电话响铃。特别地，SecFox-S

27、NI可以通过Telnet、SSH或者SSH2协议与第三方网络设备和安全设备进行策略联动，可以执行任何预定义策略脚本，实现监控管理的闭环。二十四. 报表管理除了日志审计和设备监控可以提供相关报表，SecFox-SNI提供了针对全网络运行状态的分析报表。这是进行综合分析的数据报表，可以让管理员了解和评估整个网络系统的运行状态，报表具有如下特点： 能够根据用户的需求定制时间，例如生成日报表，周报表，月报表和年报表等； 报表可以另存为HTML、EXCEL、文本、PDF等多种格式。报表类型包括实时分析最近5分钟，最近1小时的网络状态，例如最近5分钟设备运行状况统计，不响应设备列表，最近5分钟流量最大的1

28、0个设备，最近5分钟流量最大的10条链路，最近1小时告警最多的设备等等。管理员可以根据自定义的时间段网络运行报表，性能分析报表和可用性报表，例如：设备运行状况统计，不响应设备列表，设备流量统计，链路流量统计，设备告警次数统计，设备资产分类统计，设备资产业务关注度分类统计等等。系统生成的报表可以自动通过电子邮件定期投递到管理员指定的地址。二十五. 权限管理本系统实现基于角色的用户访问控制机制。所有用户（根用户除外）都建立在角色之上。也就是说，在创建用户之前，需要先创建角色，即定义这个角色具备的权限；然后，再创建用户，并将用户置于一个或者多个已经创建的角色中。所有对本系统的访问都需要用户帐号和口令

29、；不同的用户具有不同的系统使用权限，具体主要体现在用户能够使用的操作（功能）不同。二十六. 系统管理完成对集中管理系统自身的各项配置工作。二十七. 系统设置完成对集中管理系统自身的各项配置工作，包括系统的初始化配置、网络拓扑管理需要的参数、设备配置管理和策略管理需要的各种参数的配置（例如证书）、用户使用许可证管理，等等。二十八. 系统日志用户对本软件系统的操作都记录日志并进行持久化存储，便于追踪、审核和告警。系统日志格式的属性包括：时间，源IP，用户名，操作类型，操作说明，操作结果（成功/失败）。用户可以针对系统日志进行各种查询。二十九. 与外部系统集成SecFox-SNI提供了丰富的API接

30、口，能够与广大第三方管理平台（包括IBM Tivoli，HP OpenView Operations，BMC等）和服务控制台（Service Desk）集成，包括监控信息的集成和告警信息的集成。三十. “SecFox-SIM”产品功能三十一. 智能监控频道 智能监控频道为用户提供了一个从总体上把握企业和组织整体安全情况的界面。通过监控频道，用户可以看到当前企业和组织的整体安全等级。每个监控频道显示某方面的安全信息，可以缩放、可以移动换位、可以更换布局、可以调台，显示管理员想看的内容。SecFox-SIM提供丰富的频道切换器，在不同的频道间切换。用户也可以自定义频道。三十二. 资产管理 ISO1

31、7799-2005中对资产的定义是：“任何对组织和企业有价值的事务”。 资产是企业和组织的IT计算环境的核心，承载了当今绝大部分企业和组织的业务。重要的资产的安全决定了企业和组织的核心竞争力和命脉。企业安全管理的一个很重要的工作就是确保资产安全，评估和分析在遭受安全威胁的情况下资产的受影响程度，从而进行企业和组织的安全风险管理。 SecFox-SIM按照资产重要程度和管理域的方式组织资产，提供便捷的添加、修改、删除、查询与统计功能，便于安全管理和系统管理人员能方便地查找所需信息资产的信息，并对资产属性进行维护。对于每个资产，用户可以设置资产的地理位置，便于将来在世界地图上显示出该资产相关的事件。 基于SecFox-SIM的动态资产属性（Dynamic Asset Attribute）技术，用户可以对资产属性进行无限扩展，例如可以根据客户自身的需要为资产增加业务重要性属性、增加资产保护等级属性、增加资产品牌、代号等任何信息。同时