XX單位網(wǎng)絡(luò)安全管理平臺(tái)建設(shè)規(guī)劃方案1

《XX單位網(wǎng)絡(luò)安全管理平臺(tái)建設(shè)規(guī)劃方案1》由會(huì)員分享，可在線閱讀，更多相關(guān)《XX單位網(wǎng)絡(luò)安全管理平臺(tái)建設(shè)規(guī)劃方案1（29頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、 XX單位信息安全管理平臺(tái)建設(shè) 解決方案 文檔信息 文檔名稱 XX單位信息安全管理平臺(tái)建設(shè)規(guī)劃方案 文檔編號(hào) 保密級(jí)別 商業(yè)機(jī)密 文檔版本號(hào) V1.0 制作人 王鐵成 制作日期 2008年8月20日 復(fù)審人 復(fù)審日期 擴(kuò)散范圍 XX單位、網(wǎng)御神州項(xiàng)目組 擴(kuò)散批準(zhǔn)人 王鐵成 文檔說(shuō)明 本文檔是網(wǎng)御神州科技（北京）有限公司（以下簡(jiǎn)稱網(wǎng)御神州）為XX單位提交的信息安全管理平臺(tái)建設(shè)解決方案，供XX單位信息安全管理相關(guān)人員閱讀。 版本變更記錄 時(shí)間 版本 說(shuō)明 修改人

2、 2008-8-20 1.0 文檔創(chuàng)建 王鐵成 安全源于管理 管理驅(qū)動(dòng)安全 第 28頁(yè) 共29頁(yè) 目 錄 一. 項(xiàng)目規(guī)劃綜述 4 二. 信息安全管理面臨的問(wèn)題 4 三. 信息安全管理平臺(tái)需求分析 5 四. 信息安全管理平臺(tái)建設(shè)解決方案 7 4.1 SecFox-SNI系統(tǒng)部署說(shuō)明 7 4.2 SecFox-SIM系統(tǒng)部署說(shuō)明 8 4.3 “SecFox-SNI”產(chǎn)品功能 9 4.3.1 資產(chǎn)管理 9 4.3.2 網(wǎng)

3、絡(luò)拓?fù)涔芾?9 4.3.3 機(jī)房機(jī)架視圖 10 4.3.4 集中監(jiān)控 10 4.3.5 網(wǎng)絡(luò)和安全設(shè)備監(jiān)控 11 4.3.6 主機(jī)監(jiān)控 11 4.3.7 應(yīng)用和業(yè)務(wù)監(jiān)控 12 4.3.8 機(jī)房環(huán)境監(jiān)控 13 4.3.9 終端接入監(jiān)控 14 4.3.10 設(shè)備配置信息監(jiān)控 14 4.3.11 配置與診斷工具 14 4.3.12 防火墻策略管理 15 4.3.13 日志安全審計(jì) 15 4.3.14 IP地址管理 16 4.3.15 集中認(rèn)證管理 16 4.3.16 告警和響應(yīng)管理 16 4.3.17 報(bào)表管理 17 4.3.18 權(quán)限管理 17 4.3.19 系統(tǒng)

4、管理 18 4.3.20 與外部系統(tǒng)集成 18 4.4 “SecFox-SIM”產(chǎn)品功能 18 4.4.1 智能監(jiān)控頻道 18 4.4.2 資產(chǎn)管理 19 4.4.3 工單管理 20 4.4.4 事件分析 20 4.4.5 趨勢(shì)分析 21 4.4.6 報(bào)表管理 22 4.4.7 知識(shí)管理 23 4.4.8 系統(tǒng)管理 24 4.4.9 權(quán)限管理 25 4.4.10 等級(jí)保護(hù)模塊 26 4.4.11 與外部系統(tǒng)集成 26 五. 實(shí)施效果價(jià)值分析 26 六. 方案優(yōu)勢(shì)總結(jié) 27 一. 項(xiàng)目規(guī)劃綜述 XX單位非常重視信息化建設(shè)，各類(lèi)相關(guān)業(yè)務(wù)都在朝著無(wú)紙化、網(wǎng)

5、絡(luò)化、智能化應(yīng)用的方向發(fā)展。依托網(wǎng)絡(luò)、借助信息化建設(shè)成果開(kāi)展工作，已經(jīng)成為XX單位提高辦公效率、服務(wù)內(nèi)部客戶的重要手段。 伴隨XX單位集團(tuán)信息化建設(shè)正不斷向基層延伸，網(wǎng)絡(luò)的互聯(lián)互通導(dǎo)致網(wǎng)絡(luò)病毒，木馬程序擴(kuò)散更為便利，波及范圍更廣。內(nèi)網(wǎng)辦公人員違規(guī)操作、濫用網(wǎng)絡(luò)資源的現(xiàn)象開(kāi)始抬頭。目前的情況是，XX單位早期采取的相關(guān)安全措施已經(jīng)無(wú)法應(yīng)對(duì)新一代的信息安全問(wèn)題，無(wú)法有效保障各類(lèi)業(yè)務(wù)的正常應(yīng)用。 二. 信息安全管理面臨的問(wèn)題 u 管理制度缺乏技術(shù)依據(jù)，安全策略無(wú)法有效落實(shí) 盡管安全管理制度早已制定，但只能依靠工作人員的工作責(zé)任心，無(wú)法有效地杜絕問(wèn)題；通過(guò)原始方式：貼封條、定期檢查等相對(duì)松散的

6、管理機(jī)制，沒(méi)有有效靈活實(shí)時(shí)的手段保障，無(wú)法使管理政策落實(shí)。 u 監(jiān)控和管理界面過(guò)多、管理員手忙腳亂 被管設(shè)備的多樣性，包括網(wǎng)絡(luò)設(shè)備，主機(jī)設(shè)備，安全設(shè)備，數(shù)據(jù)庫(kù)，中間件，機(jī)房環(huán)境控制系統(tǒng)等。各類(lèi)設(shè)備都有獨(dú)立的管理工具，操作不方便，信息無(wú)法共享。 u 無(wú)法迅速定位故障點(diǎn) 對(duì)于XX單位而言，IT計(jì)算環(huán)境的管理本身不是目標(biāo)，核心需求是要保障運(yùn)行的應(yīng)用的可用性、業(yè)務(wù)持續(xù)性，以及重要信息系統(tǒng)的安全性，因?yàn)閼?yīng)用和業(yè)務(wù)是企業(yè)和組織的生命線?，F(xiàn)有的一些應(yīng)用性能管理（Application Performance Management）系統(tǒng)或者業(yè)務(wù)服務(wù)管理（Business Service Managem

7、ent）系統(tǒng)雖然可以監(jiān)控客戶的應(yīng)用性能和工作狀態(tài)，但是卻沒(méi)有考慮到安全保障方面的因素。例如，一個(gè)應(yīng)用無(wú)法訪問(wèn)，可能是CPU利用率過(guò)高引起的，但是究其根源，可能是應(yīng)用負(fù)載過(guò)高，也可能是應(yīng)用服務(wù)器受到了蠕蟲(chóng)感染。傳統(tǒng)的應(yīng)用性能管理系統(tǒng)只能告訴客戶CPU利用率過(guò)高，卻不能再深入探究成因。 u 缺乏有效地基于等級(jí)保護(hù)要求，進(jìn)行綜合安全保護(hù)的支撐平臺(tái) 在等級(jí)保護(hù)的每一級(jí)都有對(duì)安全控制的要求，其中，從第三級(jí)開(kāi)始明確要求建立一個(gè)集中的安全監(jiān)控與管理中心，并且要求對(duì)流量進(jìn)行監(jiān)控，對(duì)物理環(huán)境進(jìn)行監(jiān)控。 而從第二級(jí)開(kāi)始，就要求進(jìn)行安全審計(jì)，尤其是日志審計(jì)，以及IP地址管理，還有設(shè)備和應(yīng)用的監(jiān)控?？梢园l(fā)現(xiàn)，為了

8、達(dá)成等級(jí)保護(hù)的諸多控制要求，即便部署了大量安全設(shè)備也是不夠的，依然難以有效把控整體網(wǎng)絡(luò)的安全性，依然說(shuō)不清當(dāng)前的安全保障體系是否確實(shí)達(dá)到了等級(jí)保護(hù)的要求。 u 網(wǎng)絡(luò)應(yīng)用缺乏監(jiān)控，工作效率無(wú)法提高 上網(wǎng)聊天、網(wǎng)絡(luò)游戲等行為嚴(yán)重影響工作效率，利用QQ，MSN，ICQ 這類(lèi)即時(shí)通訊工具來(lái)傳播病毒，已經(jīng)成為新病毒的流行趨勢(shì)；使用BitTorrent、電驢等工具瘋狂下載電影、游戲、軟件等大型文件，關(guān)鍵業(yè)務(wù)應(yīng)用系統(tǒng)帶寬無(wú)法保證。 u 缺少針對(duì)不同安全事件的關(guān)聯(lián)分析手段 外部入侵和內(nèi)部違規(guī)行為從來(lái)都不是單一的行為，都是有時(shí)序或者邏輯上的聯(lián)系的，黑客的攻擊一定是分為若干步驟的，每個(gè)步驟都會(huì)在不同的設(shè)備

9、和系統(tǒng)上留下蛛絲馬跡，單看某個(gè)設(shè)備的日志可能無(wú)法發(fā)現(xiàn)問(wèn)題 u 缺乏便捷、高效、可視的安全事件分析手段 大部分網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、數(shù)據(jù)庫(kù)產(chǎn)生的安全事件記錄都保存在文本格式的文件中，出現(xiàn)安全問(wèn)題時(shí)面對(duì)成千上萬(wàn)條日志記錄，無(wú)法快速、準(zhǔn)確的定位出現(xiàn)問(wèn)題的原因。 三. 信息安全管理平臺(tái)需求分析 從上面分析得出，XX單位網(wǎng)絡(luò)安全管理需求主要包括： l 全面的IT 計(jì)算環(huán)境運(yùn)行監(jiān)控 能夠管理IT計(jì)算環(huán)境中的所有網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)和服務(wù)器、服務(wù)和應(yīng)用系統(tǒng)，以及機(jī)房設(shè)備，為用戶提供一個(gè)全方位監(jiān)控的統(tǒng)一管理平臺(tái)，使得管理員通過(guò)一個(gè)單一控制臺(tái)就能夠進(jìn)行實(shí)時(shí)全網(wǎng)監(jiān)控，確保企業(yè)和組織IT計(jì)算環(huán)境基

10、礎(chǔ)設(shè)施的可用性，以及業(yè)務(wù)的持續(xù)性。 l 可視化的監(jiān)控管理手段 針對(duì)IT計(jì)算環(huán)境的統(tǒng)一監(jiān)控，必然會(huì)收集并呈現(xiàn)大量的信息。如果將這些信息進(jìn)行有效的組織，呈現(xiàn)給管理員，并真正提升他們的管理效率是十分關(guān)鍵的。 l 快速定位業(yè)務(wù)節(jié)點(diǎn)故障 網(wǎng)絡(luò)節(jié)點(diǎn)出現(xiàn)故障時(shí)，系統(tǒng)將會(huì)產(chǎn)生告警事件，同時(shí)拓?fù)鋱D中的設(shè)備圖標(biāo)也會(huì)顯示故障狀態(tài)；當(dāng)一個(gè)管理子圖發(fā)生設(shè)備故障時(shí)，子圖圖標(biāo)也會(huì)發(fā)生相應(yīng)改變，因此管理員可以根據(jù)子圖快速定位故障。 對(duì)于應(yīng)用系統(tǒng)和機(jī)房環(huán)境的監(jiān)控，管理員可以自定義監(jiān)控指標(biāo)的閾值，監(jiān)控的時(shí)間間隔，監(jiān)控的描述和告警方式，通過(guò)接收告警信息，管理員可以快速了解問(wèn)題所在，及時(shí)采取措施。 l 及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)流量異

11、常 管理員可以對(duì)重點(diǎn)設(shè)備的重點(diǎn)端口配置流量監(jiān)控，并且可以配置閾值告警，當(dāng)出現(xiàn)流量異常時(shí)及時(shí)通知管理員。 l 統(tǒng)一安全事件監(jiān)控、態(tài)勢(shì)感知 能夠?qū)崟r(shí)不間斷地將來(lái)自不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、用戶業(yè)務(wù)系統(tǒng)的日志、警報(bào)等信息匯集到管理中心，實(shí)現(xiàn)海量信息的集中分析，進(jìn)行統(tǒng)一的安全事態(tài)監(jiān)控和態(tài)勢(shì)感知，消除安全防御的孤島。 l 實(shí)時(shí)安全事件關(guān)聯(lián)分析 能夠?qū)崟r(shí)地對(duì)采集到的不同類(lèi)型的信息進(jìn)行關(guān)聯(lián)分析、最大程度地消除誤報(bào)和錯(cuò)報(bào)、找出漏報(bào)，協(xié)助安全管理人員迅速準(zhǔn)確地識(shí)別安全事故，消除了管理員在多個(gè)控制臺(tái)之間來(lái)回切換的煩惱，同時(shí)提高工作效率。通過(guò)事件關(guān)聯(lián)分析，客戶可以實(shí)現(xiàn)從單點(diǎn)被動(dòng)防御到全

12、面主動(dòng)防御的轉(zhuǎn)變。 l 便捷、高效、可視化的事件分析 l 符合等級(jí)保護(hù)的安全合規(guī)審計(jì)要求 提供一套基于信息系統(tǒng)等級(jí)保護(hù)基本要求的合規(guī)審計(jì)包。該審計(jì)包按照等級(jí)保護(hù)的基本技術(shù)要求，針對(duì)二級(jí)以上的系統(tǒng)建立了一套規(guī)則庫(kù)、合規(guī)檢查頻道和場(chǎng)景、報(bào)表模板。 四. 信息安全管理平臺(tái)建設(shè)解決方案 面對(duì)XX單位信息安全管理現(xiàn)狀與存在的問(wèn)題，本方案推薦使用網(wǎng)御神州“SecFox-SNI”計(jì)算環(huán)境綜合監(jiān)控平臺(tái)及“SecFox-SIM”安全信息管理系統(tǒng)來(lái)構(gòu)建XX單位的信息安全管理平臺(tái)。以實(shí)現(xiàn)統(tǒng)一的信息安全管理為出發(fā)點(diǎn)，從全面的IT 計(jì)算環(huán)境運(yùn)行監(jiān)控、快速定位業(yè)務(wù)節(jié)點(diǎn)故障、統(tǒng)一安全事件監(jiān)控、態(tài)勢(shì)感知、實(shí)時(shí)安全

13、事件關(guān)聯(lián)分析等多個(gè)角度構(gòu)建一套完整的信息安全管理平臺(tái)，通過(guò)技術(shù)手段全面貫徹落實(shí)單位的安全管理策略。 4.1 SecFox-SNI系統(tǒng)部署說(shuō)明 在XX單位省中心及管轄的各市州中心部署分別部署一套“SecFox-SNI”系統(tǒng)。 SecFox-SNI運(yùn)行的網(wǎng)絡(luò)環(huán)境有如下要求： l TCP/IP網(wǎng)絡(luò)環(huán)境。 l 網(wǎng)絡(luò)管理服務(wù)器需要開(kāi)放相關(guān)管理端口。 l 需要相關(guān)管理設(shè)備支持SNMP協(xié)議和Syslog協(xié)議。 SecFox-SNI可應(yīng)用于大中小各類(lèi)型企事業(yè)單位，其辦公地點(diǎn)可能分布在許多地方，他們的業(yè)務(wù)系統(tǒng)需要跨越不同的局域網(wǎng)段來(lái)部署。它可以將關(guān)鍵設(shè)備的運(yùn)行管理權(quán)利集中到一起，通過(guò)統(tǒng)一的安全

14、管理系統(tǒng)，將分散在各地區(qū)、不同業(yè)務(wù)網(wǎng)絡(luò)上面的各種設(shè)備節(jié)點(diǎn)有機(jī)的結(jié)成一個(gè)整體。 對(duì)于大型、全國(guó)性的、分級(jí)的網(wǎng)絡(luò)環(huán)境，SecFox-SNI可以進(jìn)行級(jí)聯(lián)部署，多個(gè)SecFox-SNI管理分支可以統(tǒng)一接入到一個(gè)主SecFox-SNI管理中心。 4.2 SecFox-SIM系統(tǒng)部署說(shuō)明 在XX單位省中心節(jié)點(diǎn)部署一套“SecFox-SIM”系統(tǒng) SecFox-SIM可應(yīng)用于大中小各類(lèi)型企事業(yè)單位，其辦公地點(diǎn)可能分布在許多地方，他們的業(yè)務(wù)系統(tǒng)需要跨越不同的局域網(wǎng)段來(lái)部署。典型的，SecFox-SIM管理中心服務(wù)器放置在網(wǎng)管中心或者安全中心，管理員通過(guò)瀏覽器可以從任何位置登錄管理中心服務(wù)器，進(jìn)行

15、各項(xiàng)操作，如下圖所示： 4.3 “SecFox-SNI”產(chǎn)品功能 4.3.1 資產(chǎn)管理 資產(chǎn)是IT計(jì)算環(huán)境的基本元素，是信息安全的保護(hù)對(duì)象，也是本系統(tǒng)的監(jiān)控對(duì)象。SecFox-SNI為管理員提供了一個(gè)管理各類(lèi)待監(jiān)控設(shè)備的資產(chǎn)庫(kù)。 資產(chǎn)管理可以標(biāo)明企業(yè)和組織關(guān)鍵業(yè)務(wù)路徑上的各資產(chǎn)等級(jí)，在對(duì)成百上千個(gè)監(jiān)控指標(biāo)進(jìn)行監(jiān)控時(shí)，可以分清告警信息處理的輕重緩急，按資產(chǎn)等級(jí)排列事件處理順序。 4.3.2 網(wǎng)絡(luò)拓?fù)涔芾? SecFox-SNI的拓?fù)浜头?wù)感知引擎（Topology and Service Awareness Engine）能夠針對(duì)不同拓?fù)浣Y(jié)構(gòu)類(lèi)型（大中型骨干網(wǎng)絡(luò)、中小型局域

16、網(wǎng)絡(luò)）采用相適應(yīng)的算法進(jìn)行快速自動(dòng)拓?fù)浒l(fā)現(xiàn)，并自動(dòng)繪制網(wǎng)絡(luò)拓?fù)鋱D。拓?fù)涔芾頌榭蛻籼峁┝艘环鵌T計(jì)算環(huán)境的總覽圖，直觀地給出了整個(gè)網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)設(shè)備的分布和連接情況。拓?fù)鋱D支持縮放，具有鳥(niǎo)瞰功能，支持自動(dòng)布局。 管理員可以通過(guò)拓?fù)鋱D進(jìn)行設(shè)備監(jiān)控、配置管理和策略管理，可以通過(guò)拓?fù)鋱D實(shí)施對(duì)某個(gè)設(shè)備的ping，telnet等，以及激活它的web管理界面。通過(guò)拓?fù)鋱D可以直觀的反映設(shè)備的實(shí)際運(yùn)行狀態(tài)，并根據(jù)設(shè)備的狀態(tài)變化而自動(dòng)閃爍，方便管理員快速定位故障點(diǎn)。 管理員選中拓?fù)鋱D中的某個(gè)設(shè)備，可以顯示出真實(shí)設(shè)備面板圖，形象化的展示出當(dāng)前監(jiān)控設(shè)備的端口面板，以及端口狀態(tài)信息。管理員可以對(duì)端

17、口進(jìn)行各種設(shè)置，也可以繼續(xù)查看端口的實(shí)時(shí)流量曲線。 4.3.3 機(jī)房機(jī)架視圖 SecFox-SNI能夠?qū)⒒A(chǔ)設(shè)施的物理位置呈現(xiàn)在機(jī)房機(jī)架視圖中。管理員可以清晰地獲悉每臺(tái)服務(wù)位于哪個(gè)機(jī)架，哪一層，還能夠看到機(jī)房環(huán)境動(dòng)力設(shè)備。管理員可以在邏輯拓?fù)浜臀锢硪晥D之間自由切換，點(diǎn)擊圖中的任何節(jié)點(diǎn)和連接線都能夠細(xì)致查看明細(xì)信息。 4.3.4 集中監(jiān)控 SecFox-SNI通過(guò)統(tǒng)一的界面對(duì)計(jì)算環(huán)境中的網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備進(jìn)行集中監(jiān)控，對(duì)整個(gè)計(jì)算環(huán)境中所有設(shè)備和應(yīng)用的運(yùn)行狀態(tài)及性能進(jìn)行分析，實(shí)時(shí)獲得告警，并采取應(yīng)急響應(yīng)行動(dòng)。 通過(guò)集中監(jiān)控，管理員可以同時(shí)實(shí)時(shí)查看多個(gè)監(jiān)控指標(biāo)項(xiàng)，進(jìn)行對(duì)比分析。 管理員可以

18、根據(jù)需要建立監(jiān)控任務(wù)，設(shè)定監(jiān)控和采集需要管理的參數(shù)。采集的數(shù)據(jù)可以保存，并可以生成相關(guān)報(bào)表。對(duì)于每個(gè)監(jiān)控?cái)?shù)值，可以定制監(jiān)控閾值，當(dāng)監(jiān)控的數(shù)據(jù)超過(guò)了閾值，將會(huì)觸發(fā)事件告警。 系統(tǒng)可以顯示每個(gè)監(jiān)控任務(wù)的監(jiān)控?cái)?shù)據(jù)，在同一界面上顯示最近7天，最近24小時(shí)數(shù)據(jù)，管理員可以清楚地了解任務(wù)的當(dāng)前狀況和歷史狀況。 系統(tǒng)支持配置存儲(chǔ)監(jiān)控?cái)?shù)據(jù)，根據(jù)用戶需求能夠提供監(jiān)控?cái)?shù)據(jù)實(shí)定制報(bào)表，例如日?qǐng)?bào)表，周報(bào)表，月報(bào)表和年報(bào)表，報(bào)表可以另存為HTML、EXCEL、文本、PDF等多種格式。 管理員可以通過(guò)修改配置文件支持添加新的設(shè)備類(lèi)型和設(shè)備監(jiān)控參數(shù)，方便地進(jìn)行擴(kuò)展。 4.3.5 網(wǎng)絡(luò)和安全設(shè)備監(jiān)控 SecFox

19、-SNI能夠?qū)χС諷NMP協(xié)議的網(wǎng)絡(luò)設(shè)備和安全設(shè)備進(jìn)行實(shí)時(shí)性能分析。主要分析參數(shù)包括：主機(jī)CPU利用率、主機(jī)存儲(chǔ)設(shè)備利用率、接口流量，等等。 SecFox-SNI能夠?qū)崟r(shí)顯示監(jiān)控的性能參數(shù)，采用形象的曲線圖顯示監(jiān)控信息，并且可以計(jì)算最大值，平均值和最小值。 SecFox-SNI還能夠收集來(lái)自網(wǎng)絡(luò)和安全設(shè)備的告警和日志信息，進(jìn)行統(tǒng)一的告警與響應(yīng)管理。 4.3.6 主機(jī)監(jiān)控 主機(jī)服務(wù)器是企業(yè)和組織IT應(yīng)用承載的基石，主機(jī)的性能直接影響了企業(yè)和組織IT應(yīng)用的性能，SecFox-SNI能夠?qū)χ鳈C(jī)的CPU利用率、內(nèi)存利用率、磁盤(pán)利用率、進(jìn)程等進(jìn)行全面的監(jiān)控，也可以配置閾值告警，當(dāng)出現(xiàn)性能異常時(shí)

20、及時(shí)通知管理員。對(duì)于這些性能指標(biāo)，管理員可以根據(jù)自定義的時(shí)間段生成報(bào)表，通過(guò)這些報(bào)表可以了解監(jiān)控主機(jī)的實(shí)際運(yùn)行負(fù)載情況，為主機(jī)管理和擴(kuò)展提供有價(jià)值的參考數(shù)據(jù)。例如發(fā)現(xiàn)某個(gè)主機(jī)的CPU的利用率在某個(gè)時(shí)間段長(zhǎng)時(shí)間處于比較高的狀態(tài)，那么管理員可以采取相應(yīng)的措施進(jìn)行調(diào)整。 對(duì)主機(jī)監(jiān)控提供監(jiān)控快照，實(shí)時(shí)分析和詳細(xì)的監(jiān)控指標(biāo)，不是孤立地查看單個(gè)指標(biāo)，可以在一個(gè)界面上查看所有的監(jiān)控信息，提供圖形和數(shù)據(jù)等多種方式，便于管理員全面的了解和分析主機(jī)的性能和故障。 4.3.7 應(yīng)用和業(yè)務(wù)監(jiān)控 應(yīng)用服務(wù)是企業(yè)和組織IT應(yīng)用核心，SecFox-SNI采用先進(jìn)的主動(dòng)探測(cè)的監(jiān)控方式，無(wú)需在應(yīng)用服務(wù)系統(tǒng)中安裝任何

21、代理或軟件，模擬應(yīng)用數(shù)據(jù)直接監(jiān)控這些應(yīng)用服務(wù)，一旦這些服務(wù)出現(xiàn)無(wú)法響應(yīng)或響應(yīng)太慢，將會(huì)觸發(fā)事件告警及時(shí)通知管理員，管理員可以迅速采取相應(yīng)的措施。管理員可以根據(jù)自定義的時(shí)間段生成監(jiān)控報(bào)表，通過(guò)這些報(bào)表可以了解應(yīng)用服務(wù)的實(shí)際運(yùn)行性能，幫助管理員制定相關(guān)應(yīng)變措施，幫助應(yīng)用開(kāi)發(fā)人員進(jìn)行調(diào)整優(yōu)化。 SecFox-SNI可以監(jiān)控企業(yè)和組織的各類(lèi)應(yīng)用服務(wù)，包括數(shù)據(jù)庫(kù)，中間件，Web服務(wù)，郵件服務(wù)，F(xiàn)TP，DHCP，DNS等，不但可以監(jiān)控這些服務(wù)的狀態(tài)和響應(yīng)時(shí)間，還可以監(jiān)控系統(tǒng)的詳細(xì)性能指標(biāo)，例如Oracle數(shù)據(jù)庫(kù)的表空間大小等，可以為管理員提供全面而詳實(shí)的參考信息。 對(duì)應(yīng)用系統(tǒng)的監(jiān)控也提供監(jiān)控快照，實(shí)時(shí)

22、分析和詳細(xì)的監(jiān)控指標(biāo)，不是孤立地查看單個(gè)指標(biāo)，可以在一個(gè)界面上查看所有的監(jiān)控信息，提供圖形和數(shù)據(jù)等多種方式，便于管理員全面的了解和分析應(yīng)用系統(tǒng)的整體狀態(tài)和性能。 4.3.8 機(jī)房環(huán)境監(jiān)控 對(duì)于IT計(jì)算環(huán)境監(jiān)控而言，物理的機(jī)房環(huán)境也是重要的組成部分。對(duì)物理機(jī)房的環(huán)境進(jìn)行監(jiān)控也有助于定位業(yè)務(wù)故障點(diǎn)，因?yàn)闃I(yè)務(wù)故障完全可能由于機(jī)房供電系統(tǒng)或者空調(diào)、UPS等設(shè)備出現(xiàn)問(wèn)題而癱瘓。 SecFox-SNI提供對(duì)機(jī)房環(huán)境的全面監(jiān)控，支持對(duì)UPS、空調(diào)、測(cè)漏水設(shè)備、溫濕度、配電柜等設(shè)備的工作指標(biāo)參數(shù)進(jìn)行統(tǒng)一監(jiān)控。 4.3.9 終端接入監(jiān)控 SecFox-SNI具備終端接入監(jiān)控的功能。通過(guò)

23、對(duì)邊緣交換機(jī)端口的監(jiān)控，清晰把握當(dāng)前交換機(jī)連接的終端設(shè)備狀況，發(fā)現(xiàn)是否有ARP攻擊，是否有非法（MAC匹配）接入，并能夠主動(dòng)阻斷端口，防止威脅入侵。 4.3.10 設(shè)備配置信息監(jiān)控 SecFox-SNI可以采集自動(dòng)地、定期地歸集網(wǎng)絡(luò)設(shè)備配置信息，進(jìn)行配置版本管理。通過(guò)不同版本的配置項(xiàng)信息的比較發(fā)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備配置的誤操作和惡意篡改。 4.3.11 配置與診斷工具 設(shè)備配置和診斷工具提供了一個(gè)批處理執(zhí)行命令的外殼工具，可以自動(dòng)調(diào)用自定義命令行腳本、TELNET或者SSH腳本，并可批量執(zhí)行，方便用戶進(jìn)行設(shè)備配置和故障診斷，而無(wú)需手工登陸到設(shè)備上。配置與診斷工具用途包括： l 設(shè)備的SN

24、MP協(xié)議功能有限，一般只支持查看信息，配置能力弱，此工具可以調(diào)用TELNET或SSH，自動(dòng)執(zhí)行設(shè)置的腳本，可以實(shí)現(xiàn)所有信息查看和進(jìn)行配置，例如自動(dòng)重啟設(shè)備。 l 某些設(shè)備和主機(jī)不支持SNMP協(xié)議，幾乎沒(méi)有辦法管理，例如UNIX，Linux主機(jī)和非網(wǎng)管設(shè)備，但是這些設(shè)備一般都支持TELNET或SSH，可以用工具進(jìn)行管理，把經(jīng)常需要使用的命令行做成腳本，需要管理時(shí)調(diào)用。 l 能夠方便地批量配置設(shè)備，例如對(duì)多臺(tái)設(shè)備配置同樣的策略，可以將策略配置做成腳本，配置多臺(tái)只需要執(zhí)行，無(wú)需登陸和手工配置，減少維護(hù)和配置的工作量。 4.3.12 防火墻策略管理 對(duì)于網(wǎng)御神州自有的SecGate系列防火墻

25、/VPN，SecFox-SNI允許用戶對(duì)這些防火墻/VPN進(jìn)行集中的策略管理，統(tǒng)一制定策略，批量下發(fā)，極大地方便防火墻管理員，降低他們的工作復(fù)雜度。 l 防火墻日志管理：充當(dāng)防火墻日志服務(wù)器，實(shí)現(xiàn)對(duì)防火墻日志的集中管理 l 策略管理：實(shí)現(xiàn)防火墻/VPN的集中策略定義和可視化發(fā)布 l 設(shè)備升級(jí)：實(shí)現(xiàn)防火墻/VPN設(shè)備的升級(jí) 4.3.13 日志安全審計(jì) SecFox-SNI具有強(qiáng)大的安全審計(jì)功能，為系統(tǒng)的使用者，包括網(wǎng)絡(luò)安全管理員，IT部門(mén)負(fù)責(zé)人，公司負(fù)責(zé)人等提供了解網(wǎng)絡(luò)安全狀況的直觀方式。 安全審計(jì)的主要功能是日志查詢、日志分析規(guī)則設(shè)置、安全審計(jì)報(bào)表。這些功能都具有在圖文顯示、文件

26、導(dǎo)出和打印等輸出方式。 SecFox-SNI的安全統(tǒng)計(jì)報(bào)表分類(lèi)的方式有多種，從反映網(wǎng)絡(luò)安全總體狀況的角度進(jìn)行統(tǒng)計(jì)和分析，得到網(wǎng)絡(luò)安全狀況報(bào)表；從所管理的安全設(shè)備的運(yùn)行狀況出發(fā)，可以得到設(shè)備安全信息報(bào)表。能夠根據(jù)用戶的需求生成日?qǐng)?bào)表，周報(bào)表，月報(bào)表和年報(bào)表等，報(bào)表可以另存為HTML、EXCEL、文本、PDF等多種格式。 主要報(bào)表包括： 安全管理信息Top10分析 l 主機(jī)訪問(wèn)流量TOP10：統(tǒng)計(jì)訪問(wèn)流量最大的前10位主機(jī) l 站點(diǎn)被訪問(wèn)流量TOP10：統(tǒng)計(jì)被訪問(wèn)流量最大的前10位站點(diǎn) l 拒絕訪問(wèn)類(lèi)型TOP10：統(tǒng)計(jì)被拒絕次數(shù)最多的前10種訪問(wèn)類(lèi)型 l 禁訪站點(diǎn)訪問(wèn)嘗試次數(shù)

27、TOP10：統(tǒng)計(jì)嘗試次數(shù)最多的前10位被禁止訪問(wèn)的站點(diǎn) l 用戶訪問(wèn)流量TOP10：統(tǒng)計(jì)訪問(wèn)流量最大的前10位用戶 安全管理信息統(tǒng)計(jì)分析 l 主機(jī)訪問(wèn)統(tǒng)計(jì)報(bào)表：統(tǒng)計(jì)所有主機(jī)的訪問(wèn)數(shù)據(jù) l 用戶訪問(wèn)統(tǒng)計(jì)報(bào)表：統(tǒng)計(jì)所有用戶的訪問(wèn)數(shù)據(jù) l 站點(diǎn)被訪問(wèn)統(tǒng)計(jì)報(bào)表：統(tǒng)計(jì)所有被訪問(wèn)站點(diǎn)的訪問(wèn)數(shù)據(jù) l 系統(tǒng)管理統(tǒng)計(jì)報(bào)表：統(tǒng)計(jì)管理員的所有系統(tǒng)操作數(shù)據(jù) l 系統(tǒng)模塊狀態(tài)統(tǒng)計(jì)報(bào)表：統(tǒng)計(jì)設(shè)備所有系統(tǒng)模塊的狀態(tài)數(shù)據(jù) 4.3.14 IP地址管理 SecFox-SNI可以管理企業(yè)和組織的IP地址資源，將企業(yè)和組織的IP地址按照子網(wǎng)分類(lèi)列表，便于查看；提供了IP地址查詢，IP地址掃描，可以方便地查找

28、和確定那些IP地址已經(jīng)使用或者尚未使用，方便管理員的管理工作；提供了圖形化的IP地址分布查詢，可以通過(guò)圖形一目了然查看IP地址分布狀況。 4.3.15 集中認(rèn)證管理 SecFox-SNI提供了監(jiān)控對(duì)象認(rèn)證集中管理，可以在一個(gè)界面集中管理所有監(jiān)控對(duì)象的認(rèn)證方式，例如SNMP設(shè)備的團(tuán)體字符串，數(shù)據(jù)庫(kù)的用戶密碼等，便于管理員進(jìn)行統(tǒng)一修改。 4.3.16 告警和響應(yīng)管理 告警管理可以針對(duì)事件進(jìn)行告警處理。這里，事件是指管理中心采集和偵聽(tīng)到的來(lái)自于被管理設(shè)備的信息。 對(duì)于產(chǎn)生的告警信息，系統(tǒng)可以通過(guò)多種方式進(jìn)行通知：彈出窗口、控制臺(tái)突出顯示、電子郵件、有聲報(bào)警、短信、電話響鈴。特別地，Se

29、cFox-SNI可以通過(guò)Telnet、SSH或者SSH2協(xié)議與第三方網(wǎng)絡(luò)設(shè)備和安全設(shè)備進(jìn)行策略聯(lián)動(dòng)，可以執(zhí)行任何預(yù)定義策略腳本，實(shí)現(xiàn)監(jiān)控管理的閉環(huán)。 4.3.17 報(bào)表管理 除了日志審計(jì)和設(shè)備監(jiān)控可以提供相關(guān)報(bào)表，SecFox-SNI提供了針對(duì)全網(wǎng)絡(luò)運(yùn)行狀態(tài)的分析報(bào)表。這是進(jìn)行綜合分析的數(shù)據(jù)報(bào)表，可以讓管理員了解和評(píng)估整個(gè)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)，報(bào)表具有如下特點(diǎn)： l 能夠根據(jù)用戶的需求定制時(shí)間，例如生成日?qǐng)?bào)表，周報(bào)表，月報(bào)表和年報(bào)表等； l 報(bào)表可以另存為HTML、EXCEL、文本、PDF等多種格式。 報(bào)表類(lèi)型包括實(shí)時(shí)分析最近5分鐘，最近1小時(shí)的網(wǎng)絡(luò)狀態(tài)，例如最近5分鐘設(shè)備運(yùn)行狀況統(tǒng)

30、計(jì)，不響應(yīng)設(shè)備列表，最近5分鐘流量最大的10個(gè)設(shè)備，最近5分鐘流量最大的10條鏈路，最近1小時(shí)告警最多的設(shè)備等等。 管理員可以根據(jù)自定義的時(shí)間段網(wǎng)絡(luò)運(yùn)行報(bào)表，性能分析報(bào)表和可用性報(bào)表，例如：設(shè)備運(yùn)行狀況統(tǒng)計(jì)，不響應(yīng)設(shè)備列表，設(shè)備流量統(tǒng)計(jì)，鏈路流量統(tǒng)計(jì)，設(shè)備告警次數(shù)統(tǒng)計(jì)，設(shè)備資產(chǎn)分類(lèi)統(tǒng)計(jì)，設(shè)備資產(chǎn)業(yè)務(wù)關(guān)注度分類(lèi)統(tǒng)計(jì)等等。 系統(tǒng)生成的報(bào)表可以自動(dòng)通過(guò)電子郵件定期投遞到管理員指定的地址。 4.3.18 權(quán)限管理 本系統(tǒng)實(shí)現(xiàn)基于角色的用戶訪問(wèn)控制機(jī)制。所有用戶（根用戶除外）都建立在角色之上。也就是說(shuō)，在創(chuàng)建用戶之前，需要先創(chuàng)建角色，即定義這個(gè)角色具備的權(quán)限；然后，再創(chuàng)建用戶，并將用戶置于一個(gè)

31、或者多個(gè)已經(jīng)創(chuàng)建的角色中。所有對(duì)本系統(tǒng)的訪問(wèn)都需要用戶帳號(hào)和口令；不同的用戶具有不同的系統(tǒng)使用權(quán)限，具體主要體現(xiàn)在用戶能夠使用的操作（功能）不同。 4.3.19 系統(tǒng)管理 完成對(duì)集中管理系統(tǒng)自身的各項(xiàng)配置工作。 4.3.19.1 系統(tǒng)設(shè)置 完成對(duì)集中管理系統(tǒng)自身的各項(xiàng)配置工作，包括系統(tǒng)的初始化配置、網(wǎng)絡(luò)拓?fù)涔芾硇枰膮?shù)、設(shè)備配置管理和策略管理需要的各種參數(shù)的配置（例如證書(shū)）、用戶使用許可證管理，等等。 4.3.19.2 系統(tǒng)日志 用戶對(duì)本軟件系統(tǒng)的操作都記錄日志并進(jìn)行持久化存儲(chǔ)，便于追蹤、審核和告警。系統(tǒng)日志格式的屬性包括：時(shí)間，源IP，用戶名，操作類(lèi)型，操作說(shuō)明，操作結(jié)果

32、（成功/失?。?。 用戶可以針對(duì)系統(tǒng)日志進(jìn)行各種查詢。 4.3.20 與外部系統(tǒng)集成 SecFox-SNI提供了豐富的API接口，能夠與廣大第三方管理平臺(tái)（包括IBM Tivoli，HP OpenView Operations，BMC等）和服務(wù)控制臺(tái)（Service Desk）集成，包括監(jiān)控信息的集成和告警信息的集成。 4.4 “SecFox-SIM”產(chǎn)品功能 4.4.1 智能監(jiān)控頻道 智能監(jiān)控頻道為用戶提供了一個(gè)從總體上把握企業(yè)和組織整體安全情況的界面。通過(guò)監(jiān)控頻道，用戶可以看到當(dāng)前企業(yè)和組織的整體安全等級(jí)。每個(gè)監(jiān)控頻道顯示某方面的安全信息，可以縮放、可以移動(dòng)換位、可以更

33、換布局、可以調(diào)臺(tái)，顯示管理員想看的內(nèi)容。SecFox-SIM提供豐富的頻道切換器，在不同的頻道間切換。用戶也可以自定義頻道。 4.4.2 資產(chǎn)管理 ISO17799-2005中對(duì)資產(chǎn)的定義是：“任何對(duì)組織和企業(yè)有價(jià)值的事務(wù)”。 資產(chǎn)是企業(yè)和組織的IT計(jì)算環(huán)境的核心，承載了當(dāng)今絕大部分企業(yè)和組織的業(yè)務(wù)。重要的資產(chǎn)的安全決定了企業(yè)和組織的核心競(jìng)爭(zhēng)力和命脈。企業(yè)安全管理的一個(gè)很重要的工作就是確保資產(chǎn)安全，評(píng)估和分析在遭受安全威脅的情況下資產(chǎn)的受影響程度，從而進(jìn)行企業(yè)和組織的安全風(fēng)險(xiǎn)管理。 SecFox-SIM按照資產(chǎn)重要程度和管理域的方式組織資產(chǎn)，提供便捷的添加、修改、刪除、查詢

34、與統(tǒng)計(jì)功能，便于安全管理和系統(tǒng)管理人員能方便地查找所需信息資產(chǎn)的信息，并對(duì)資產(chǎn)屬性進(jìn)行維護(hù)。 對(duì)于每個(gè)資產(chǎn)，用戶可以設(shè)置資產(chǎn)的地理位置，便于將來(lái)在世界地圖上顯示出該資產(chǎn)相關(guān)的事件。 基于SecFox-SIM的動(dòng)態(tài)資產(chǎn)屬性（Dynamic Asset Attribute）技術(shù)，用戶可以對(duì)資產(chǎn)屬性進(jìn)行無(wú)限擴(kuò)展，例如可以根據(jù)客戶自身的需要為資產(chǎn)增加業(yè)務(wù)重要性屬性、增加資產(chǎn)保護(hù)等級(jí)屬性、增加資產(chǎn)品牌、代號(hào)等任何信息。同時(shí)，所有這些附加資產(chǎn)屬性隨時(shí)都可以作為查詢條件進(jìn)行檢索，也可以作為事件關(guān)聯(lián)分析時(shí)的規(guī)則的一部分。 4.4.3 工單管理 SecFox-SIM工單管理參照ISO17799、

35、 ISO20000（ITIL規(guī)范），以及ISO18044，為安全管理人員建立了一套安全事故處理流程。通過(guò)工單，實(shí)現(xiàn)了安全事故記錄從創(chuàng)建、處理到關(guān)閉的安全事故生命周期管理。 工單管理是SecFox-SIM的核心流程，它的功能實(shí)現(xiàn)遵循ISO18044標(biāo)準(zhǔn)和ISO20000標(biāo)準(zhǔn)（ITIL）。處理過(guò)程中，派單人和責(zé)任人可以對(duì)現(xiàn)象描述、原因分析、處理意見(jiàn)、處理結(jié)果中增加內(nèi)容，但不能修改以前人輸入的內(nèi)容。系統(tǒng)需記錄增加的時(shí)間和增加人。在顯示工單時(shí)，會(huì)顯示所有的修改記錄。 管理員在創(chuàng)建工單后，可以由系統(tǒng)自動(dòng)發(fā)送郵件給指定的工單處理人，提醒其及時(shí)處理。 4.4.4 事件分析 事件分析是Sec

36、Fox-SIM的核心，監(jiān)控管理人員可以通過(guò)事件分析對(duì)來(lái)自企業(yè)和組織所有的事件，以及經(jīng)過(guò)SecFox-SIM規(guī)則關(guān)聯(lián)后產(chǎn)生的事件進(jìn)行可視化實(shí)時(shí)分析、歷史分析和事件統(tǒng)計(jì)，從而快速識(shí)別安全事故。SecFox-SIM采用基于場(chǎng)景的行為分析（Scenario-based Behavior Analysis）技術(shù)，將所有的事件分析都以分析場(chǎng)景的方式列舉出來(lái)，管理人員可以方便的在各種分析場(chǎng)景之間快速切換，就像切換電視頻道一樣，大大提高分析工作的效率。 針對(duì)每個(gè)場(chǎng)景，系統(tǒng)都會(huì)實(shí)時(shí)展示出該場(chǎng)景的事件列表，并且附上一副事件的動(dòng)態(tài)雷達(dá)圖（Dynamic Radar Diagram）。用戶可以實(shí)時(shí)觀察某個(gè)事件切片

37、內(nèi)的事件數(shù)量及其不同等級(jí)事件的時(shí)間分布。點(diǎn)擊每個(gè)時(shí)間切片上的事件方塊，可以查看該時(shí)切片的事件明細(xì)。 對(duì)于發(fā)現(xiàn)的攻擊和威脅，用戶可以借助SecFox-SIM的iGPS事件全球定位系統(tǒng)在世界地圖上可視化地展示出發(fā)起和遭受攻擊IP的所在地理位置。 用戶也可以對(duì)選中的事件生成可視化的實(shí)時(shí)主動(dòng)事件圖（Active Incident Diagram），形象地觀測(cè)到當(dāng)前事件的安全態(tài)勢(shì)。用戶點(diǎn)擊主動(dòng)事件圖上的IP節(jié)點(diǎn)，可以查看該節(jié)點(diǎn)的明細(xì)信息，點(diǎn)擊節(jié)點(diǎn)之間的連線可以查看事件的端口、協(xié)議等信息。主動(dòng)事件圖可以放大、縮小、自由拖動(dòng)。 在事件分析中，SecFox-SIM還為用戶提供了一套進(jìn)行深入的審計(jì)與

38、追蹤工具——事件調(diào)查工具。借助網(wǎng)御神州獨(dú)有的啟發(fā)式事件搜索技術(shù)（Heuristic Event Searching Technology），管理員通過(guò)事件調(diào)查工具可以對(duì)某條感興趣的事件中的源IP地址、目的IP地址、或者目的端口進(jìn)行相關(guān)性事件檢索。例如，管理員通過(guò)審計(jì)某條事件記錄發(fā)現(xiàn)某用戶違規(guī)訪問(wèn)一個(gè)敏感的外部IP地址，那么管理員可以通過(guò)事件調(diào)查工具查找最近5分鐘內(nèi)訪問(wèn)同一個(gè)敏感外部IP的其它用戶的事件記錄，從而追蹤違規(guī)行為；管理員也可以查找某個(gè)事件記錄中目的端口的含義，是MSN端口？還是BT端口？抑或是蠕蟲(chóng)端口？等等，從而快速了解當(dāng)前用戶的行為特征。 4.4.5 趨勢(shì)分析 Sec

39、Fox-SIM可以對(duì)設(shè)備的網(wǎng)絡(luò)連接數(shù)、網(wǎng)絡(luò)流量，以及時(shí)間數(shù)量等的趨勢(shì)進(jìn)行分析，并以圖標(biāo)的形式展示。 趨勢(shì)分析的時(shí)間段可以動(dòng)態(tài)調(diào)整，包括最近24小時(shí)、最近1天、最近1周，等等，用戶亦可自行設(shè)置。 4.4.6 報(bào)表管理 安全管理人員可以將事件分析的結(jié)果生成報(bào)表，作為工作內(nèi)容匯報(bào)的一部分提交給相關(guān)部門(mén)。 SecFox-SIM將報(bào)表分為系統(tǒng)預(yù)定義報(bào)表和用戶自定義報(bào)表兩大類(lèi)。 SecFox-SIM內(nèi)置大量預(yù)定義報(bào)表，例如： l 當(dāng)天，當(dāng)月，該季度，該年度的出現(xiàn)率最多的十種安全事件統(tǒng)計(jì)分析報(bào)表，既能夠圖文并茂地顯示著十種安全事件的統(tǒng)計(jì)值，也能夠選擇察看具體的安全事件明細(xì)表；

40、 l 當(dāng)天，當(dāng)月，該季度，該年度的出現(xiàn)率最多的十個(gè)源IP地址統(tǒng)計(jì)分析報(bào)表，既能夠圖文并茂地顯示著十個(gè)源IP地址的統(tǒng)計(jì)值，也能夠選擇察看出現(xiàn)該IP地址的具體的事件內(nèi)容； l 每月，每周事件告警嚴(yán)重程度級(jí)別趨勢(shì)表，分類(lèi)統(tǒng)計(jì)每個(gè)月所有的安全事件的嚴(yán)重程度級(jí)別，察看其發(fā)展趨勢(shì)； l 每天的安全事件統(tǒng)計(jì)表，統(tǒng)計(jì)每一天的所有安全事件發(fā)生的總數(shù)； l 可以指定源IP，目的IP，源端口，目的端口一項(xiàng)或者幾項(xiàng)內(nèi)容制作出對(duì)應(yīng)安全事件的詳細(xì)報(bào)表。 l 每天，每周，每月出現(xiàn)最多的十種病毒統(tǒng)計(jì)分析報(bào)表； l 每天，每周，每月的事故統(tǒng)計(jì)報(bào)表； l 每天，每周，每月的各種安全狀況的總覽表，在一張報(bào)表

41、上圖文并茂地展示這一天，這一周，或者這個(gè)月的，全網(wǎng)的安全狀況的多種指標(biāo)統(tǒng)計(jì)和趨勢(shì)圖表。 l SecFox-SIM具備強(qiáng)大的自定義報(bào)表功能。用戶可以通過(guò)報(bào)表編輯器，只需4步，即可方便地自己定義各種復(fù)雜的報(bào)表，包括報(bào)表的內(nèi)容、布局，以及運(yùn)行調(diào)度設(shè)置，滿足企業(yè)和組織自身不斷業(yè)務(wù)發(fā)展的需要。 4.4.7 知識(shí)管理 SecFox-SIM知識(shí)管理為用戶提供了一套面向業(yè)務(wù)的管理工具，方便用戶進(jìn)行安全事件的識(shí)別和應(yīng)急響應(yīng)處理。SecFox-SIM知識(shí)管理包括黑白名單管理和案例管理。 黑白名單管理 黑白名單，是指需要格外關(guān)注的事件屬性，比如某黑白名單定義為某些符合規(guī)則條件的事件的某個(gè)

42、屬性的列表。 黑白名單是一個(gè)非常靈活的信息收集工具，它可以基于事件屬性的任意組合或自定義字段組監(jiān)控活動(dòng)，而不僅僅是IP地址。在記錄可疑的或惡意的IP地址以及有可能已被攻擊成功的目標(biāo)方面，黑白名單非常有用。 用戶可以手動(dòng)增加黑白名單的內(nèi)容，也可以通過(guò)規(guī)則響應(yīng)動(dòng)態(tài)地增加或刪除黑白名單中的記錄。例如，我們?cè)诎l(fā)現(xiàn)一個(gè)惡意攻擊之后，可以將攻擊源添加到惡意列表中，并在以后嚴(yán)密監(jiān)控該 IP 的各種行為。 SecFox-SIM包含了大量預(yù)定義的黑白名單列表，比如惡意列表、可疑列表、受信任的列表、不受信任的列表、受威脅列表等等，用戶可以把它們作為模板使用。 案例管理 案例是由一組相關(guān)事件組

43、成的有意義的、值得借鑒的情景，用于安全信息管理經(jīng)驗(yàn)和知識(shí)的積累。 通過(guò)將安全信息管理運(yùn)維過(guò)程中遇到的具有典型性的事件放入案例庫(kù)中，并記錄下當(dāng)時(shí)事故的影響情況、采取的安全處理措施，為將來(lái)遇到類(lèi)似事故提供輔助策略的依據(jù)。 4.4.8 系統(tǒng)管理 4.4.8.1 系統(tǒng)配置 SecFox-SIM的系統(tǒng)管理員可以通過(guò)系統(tǒng)管理中的系統(tǒng)配置對(duì)SecFox-SIM系統(tǒng)自身進(jìn)行各種參數(shù)配置，包括數(shù)據(jù)的備份與恢復(fù)、系統(tǒng)自身運(yùn)行狀態(tài)的監(jiān)控，等等；通過(guò)系統(tǒng)管理中的事件傳感器管理連接到SecFox-SIM平臺(tái)的事件傳感器；在系統(tǒng)管理中還有過(guò)濾器和資源定義模塊。 事件傳感器是SecFox-SIM提供

44、的、用于安裝在企業(yè)和組織網(wǎng)絡(luò)中的目標(biāo)主機(jī)上的應(yīng)用程序。通過(guò)事件傳感器，SecFox-SIM可以主動(dòng)地采集目標(biāo)主機(jī)上的事件，在管理服務(wù)器上進(jìn)行事件分析。 過(guò)濾器是構(gòu)成規(guī)則的基本單位，也是進(jìn)行日志審計(jì)的條件選項(xiàng)。用戶定義了過(guò)濾器之后，可以進(jìn)行各種復(fù)雜的日志實(shí)時(shí)分析場(chǎng)景設(shè)置。 通過(guò)資源定義，用戶可以建立安全領(lǐng)域的知識(shí)庫(kù)，并建立業(yè)務(wù)相關(guān)的集合。例如可以定義辦公I(xiàn)P地址組、定義上班時(shí)間、定義BT常用端口集合或者常見(jiàn)的蠕蟲(chóng)端口集合，等等。在定義好資源后，用戶可以在過(guò)濾器和告警規(guī)則中任意引用，使得管理員的各種設(shè)置操作真正基于業(yè)務(wù)和領(lǐng)域知識(shí)，而不是基礎(chǔ)的端口、IP、時(shí)間等原始信息。 4.4.8.2

45、 系統(tǒng)自身健康監(jiān)控 SecFox-SIM具有完善的系統(tǒng)自身健康監(jiān)控功能（System Self Healthiness），能夠?qū)ο到y(tǒng)自身運(yùn)行狀態(tài)進(jìn)行監(jiān)控，包括系統(tǒng)CPU和內(nèi)存利用率，存儲(chǔ)可用容量，等等，遇到問(wèn)題自動(dòng)報(bào)警，確保安全管理平臺(tái)自身的可靠性。 4.4.9 權(quán)限管理 SecFox-SIM是一個(gè)多用戶系統(tǒng)，不同的用戶可以具備不同的權(quán)限。這意味著不同權(quán)限的用戶可以使用SecFox-SIM的全部或者部分功能。 SecFox-SIM采用基于角色的權(quán)限管理機(jī)制。通過(guò)權(quán)限管理，管理員可以為不同的用戶分配角色，指定該用戶能夠使用的功能。 4.4.10 等級(jí)保護(hù)模塊 S

46、ecFox-SIM能夠?qū)徲?jì)系統(tǒng)中管理的所有信息資產(chǎn)進(jìn)行統(tǒng)一的等級(jí)化保護(hù)管理，按照等級(jí)化保護(hù)2級(jí)到4級(jí)的基本要求提供實(shí)時(shí)審計(jì)的分析場(chǎng)景知識(shí)庫(kù)，以及針對(duì)等級(jí)化保護(hù)要求的報(bào)表模板。 4.4.11 與外部系統(tǒng)集成 SecFox-SIM提供了豐富的API接口，能夠與廣大第三方管理平臺(tái)（包括IBM Tivoli，HP OpenView Operations，BMC等）和服務(wù)控制臺(tái)（Service Desk）集成，包括事件和告警信息的集成，以及策略聯(lián)動(dòng)的集成。 五. 實(shí)施效果價(jià)值分析 本方案中信息安全管理平臺(tái)的實(shí)施可以從不同層面為XX單位的用戶帶來(lái)價(jià)值回報(bào)。 對(duì)于安全管理員、安全

47、分析員、安全運(yùn)維人員： l 明確工作職責(zé)，各類(lèi)安全管理人員各司其職，協(xié)同合作 l 提高工作效率，更加快速準(zhǔn)確的識(shí)別安全告警，發(fā)現(xiàn)違規(guī)行為，進(jìn)行應(yīng)急響應(yīng) l 發(fā)生安全問(wèn)題，事后調(diào)查有據(jù)可循 對(duì)于安全負(fù)責(zé)人，負(fù)責(zé)安全的高管： l 有助于建立一套可行的安全策略的執(zhí)行方針，并通過(guò)信息安全管理真正落實(shí) l 通過(guò)持續(xù)有效的安全事件分析識(shí)別安全事故、策略沖突、欺詐行為和操作行為 l 通過(guò)安全事件分析有助于進(jìn)行審計(jì)和取證分析、支持內(nèi)部調(diào)查、建立基線，以及進(jìn)行安全運(yùn)行趨勢(shì)預(yù)測(cè)，確保企業(yè)和組織的業(yè)務(wù)的持續(xù)性和可靠性 l 通過(guò)設(shè)備和系統(tǒng)的日志以及安全事件的統(tǒng)一存儲(chǔ)，符合企業(yè)和組織的需

48、要，符合國(guó)家和行業(yè)的法律法規(guī) l 自動(dòng)產(chǎn)生各種分析報(bào)表和報(bào)告，隨時(shí)掌控整個(gè)企業(yè)和組織的安全狀況 對(duì)單位領(lǐng)導(dǎo)層 l 隨時(shí)可以全局掌握單位的安全總體狀況，為領(lǐng)導(dǎo)層進(jìn)行安全建設(shè)決策提供依據(jù) l 從整體上提升了單位的安全防護(hù)水平 l 通過(guò)對(duì)信息管理平臺(tái)的投資發(fā)揮出原有各種安全設(shè)施的投資的潛在價(jià)值，從而使得企業(yè)和組織的成本效益最大化，降低總擁有成本（TCO），提升安全設(shè)施的投資回報(bào)率（ROI） 六. 方案優(yōu)勢(shì)總結(jié) 1、 提供了統(tǒng)一的信息安全管理平臺(tái)，全面直觀的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)能夠幫助用戶快速定位網(wǎng)絡(luò)故障，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)流量異常，能對(duì)網(wǎng)絡(luò)中的服務(wù)器主機(jī)性能提供全面監(jiān)控和告警，主動(dòng)監(jiān)控

49、應(yīng)用服務(wù)的狀態(tài)和性能。 2、 提供了完善的信息安全監(jiān)控功能，包括設(shè)備配置信息監(jiān)控、主機(jī)進(jìn)程黑/白名單監(jiān)控、終端接入監(jiān)控、日志審計(jì)、系統(tǒng)配置與診斷工具、WEB網(wǎng)頁(yè)防篡改、安全輔助工具包，等等。 3、 提升了XX單位網(wǎng)絡(luò)中各種設(shè)備和應(yīng)用的協(xié)同安全防御能力。 4、 實(shí)現(xiàn)了安全信息的集中管理，包括集中的數(shù)據(jù)采集和分析、統(tǒng)一的存儲(chǔ)、集中的應(yīng)急響應(yīng)和控制，有助于落實(shí)安全策略、實(shí)現(xiàn)企業(yè)和組織的安全目標(biāo)。 5、 有助于XX單位消除安全防御的孤島，同時(shí)不會(huì)造成新的孤島 6、 符合國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)制度中對(duì)于安全管理中心的建設(shè)要求，可以作為XX單位的安全總控中心（SOC/SMC）的基礎(chǔ)技術(shù)平臺(tái)。