XX單位網(wǎng)絡(luò)安全管理平臺(tái)建設(shè)規(guī)劃方案1

《XX單位網(wǎng)絡(luò)安全管理平臺(tái)建設(shè)規(guī)劃方案1》由會(huì)員分享，可在線閱讀，更多相關(guān)《XX單位網(wǎng)絡(luò)安全管理平臺(tái)建設(shè)規(guī)劃方案1（29頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、XX單位信息安全管理平臺(tái)建設(shè)解決方案文檔信息文檔名稱XX單位信息安全管理平臺(tái)建設(shè)規(guī)劃方案文檔編號(hào)保密級(jí)別商業(yè)機(jī)密文檔版本號(hào)V1.0制作人王鐵成制作日期2008年8月20日復(fù)審人復(fù)審日期擴(kuò)散范圍XX單位、網(wǎng)御神州項(xiàng)目組擴(kuò)散批準(zhǔn)人王鐵成文檔說明 本文檔是網(wǎng)御神州科技（北京）有限公司（以下簡(jiǎn)稱網(wǎng)御神州）為XX單位提交的信息安全管理平臺(tái)建設(shè)解決方案，供XX單位信息安全管理相關(guān)人員閱讀。版本變更記錄時(shí)間版本說明修改人2008-8-201.0文檔創(chuàng)建王鐵成安全源于管理 管理驅(qū)動(dòng)安全 第 28頁(yè) 共29頁(yè)目 錄一. 項(xiàng)目規(guī)劃綜述4二. 信息安全管理面臨的問題4三. 信息安全管理平臺(tái)需求分析5四. 信息安全管

2、理平臺(tái)建設(shè)解決方案74.1 SecFox-SNI系統(tǒng)部署說明74.2 SecFox-SIM系統(tǒng)部署說明84.3 “SecFox-SNI”產(chǎn)品功能94.3.1 資產(chǎn)管理94.3.2 網(wǎng)絡(luò)拓?fù)涔芾?4.3.3 機(jī)房機(jī)架視圖104.3.4 集中監(jiān)控104.3.5 網(wǎng)絡(luò)和安全設(shè)備監(jiān)控114.3.6 主機(jī)監(jiān)控114.3.7 應(yīng)用和業(yè)務(wù)監(jiān)控124.3.8 機(jī)房環(huán)境監(jiān)控134.3.9 終端接入監(jiān)控144.3.10 設(shè)備配置信息監(jiān)控144.3.11 配置與診斷工具144.3.12 防火墻策略管理154.3.13 日志安全審計(jì)154.3.14 IP地址管理164.3.15 集中認(rèn)證管理164.3.16 告警和響

3、應(yīng)管理164.3.17 報(bào)表管理174.3.18 權(quán)限管理174.3.19 系統(tǒng)管理184.3.20 與外部系統(tǒng)集成184.4 “SecFox-SIM”產(chǎn)品功能184.4.1 智能監(jiān)控頻道184.4.2 資產(chǎn)管理194.4.3 工單管理204.4.4 事件分析204.4.5 趨勢(shì)分析214.4.6 報(bào)表管理224.4.7 知識(shí)管理234.4.8 系統(tǒng)管理244.4.9 權(quán)限管理254.4.10 等級(jí)保護(hù)模塊264.4.11 與外部系統(tǒng)集成26五. 實(shí)施效果價(jià)值分析26六. 方案優(yōu)勢(shì)總結(jié)27一. 項(xiàng)目規(guī)劃綜述XX單位非常重視信息化建設(shè)，各類相關(guān)業(yè)務(wù)都在朝著無(wú)紙化、網(wǎng)絡(luò)化、智能化應(yīng)用的方向發(fā)展。依

4、托網(wǎng)絡(luò)、借助信息化建設(shè)成果開展工作，已經(jīng)成為XX單位提高辦公效率、服務(wù)內(nèi)部客戶的重要手段。伴隨XX單位集團(tuán)信息化建設(shè)正不斷向基層延伸，網(wǎng)絡(luò)的互聯(lián)互通導(dǎo)致網(wǎng)絡(luò)病毒，木馬程序擴(kuò)散更為便利，波及范圍更廣。內(nèi)網(wǎng)辦公人員違規(guī)操作、濫用網(wǎng)絡(luò)資源的現(xiàn)象開始抬頭。目前的情況是，XX單位早期采取的相關(guān)安全措施已經(jīng)無(wú)法應(yīng)對(duì)新一代的信息安全問題，無(wú)法有效保障各類業(yè)務(wù)的正常應(yīng)用。二. 信息安全管理面臨的問題u 管理制度缺乏技術(shù)依據(jù)，安全策略無(wú)法有效落實(shí)盡管安全管理制度早已制定，但只能依靠工作人員的工作責(zé)任心，無(wú)法有效地杜絕問題；通過原始方式：貼封條、定期檢查等相對(duì)松散的管理機(jī)制，沒有有效靈活實(shí)時(shí)的手段保障，無(wú)法使管理

5、政策落實(shí)。u 監(jiān)控和管理界面過多、管理員手忙腳亂被管設(shè)備的多樣性，包括網(wǎng)絡(luò)設(shè)備，主機(jī)設(shè)備，安全設(shè)備，數(shù)據(jù)庫(kù)，中間件，機(jī)房環(huán)境控制系統(tǒng)等。各類設(shè)備都有獨(dú)立的管理工具，操作不方便，信息無(wú)法共享。u 無(wú)法迅速定位故障點(diǎn)對(duì)于XX單位而言，IT計(jì)算環(huán)境的管理本身不是目標(biāo)，核心需求是要保障運(yùn)行的應(yīng)用的可用性、業(yè)務(wù)持續(xù)性，以及重要信息系統(tǒng)的安全性，因?yàn)閼?yīng)用和業(yè)務(wù)是企業(yè)和組織的生命線?，F(xiàn)有的一些應(yīng)用性能管理（Application Performance Management）系統(tǒng)或者業(yè)務(wù)服務(wù)管理（Business Service Management）系統(tǒng)雖然可以監(jiān)控客戶的應(yīng)用性能和工作狀態(tài)，但是卻沒有考慮

6、到安全保障方面的因素。例如，一個(gè)應(yīng)用無(wú)法訪問，可能是CPU利用率過高引起的，但是究其根源，可能是應(yīng)用負(fù)載過高，也可能是應(yīng)用服務(wù)器受到了蠕蟲感染。傳統(tǒng)的應(yīng)用性能管理系統(tǒng)只能告訴客戶CPU利用率過高，卻不能再深入探究成因。u 缺乏有效地基于等級(jí)保護(hù)要求，進(jìn)行綜合安全保護(hù)的支撐平臺(tái)在等級(jí)保護(hù)的每一級(jí)都有對(duì)安全控制的要求，其中，從第三級(jí)開始明確要求建立一個(gè)集中的安全監(jiān)控與管理中心，并且要求對(duì)流量進(jìn)行監(jiān)控，對(duì)物理環(huán)境進(jìn)行監(jiān)控。 而從第二級(jí)開始，就要求進(jìn)行安全審計(jì)，尤其是日志審計(jì)，以及IP地址管理，還有設(shè)備和應(yīng)用的監(jiān)控?？梢园l(fā)現(xiàn)，為了達(dá)成等級(jí)保護(hù)的諸多控制要求，即便部署了大量安全設(shè)備也是不夠的，依然難以有

7、效把控整體網(wǎng)絡(luò)的安全性，依然說不清當(dāng)前的安全保障體系是否確實(shí)達(dá)到了等級(jí)保護(hù)的要求。u 網(wǎng)絡(luò)應(yīng)用缺乏監(jiān)控，工作效率無(wú)法提高上網(wǎng)聊天、網(wǎng)絡(luò)游戲等行為嚴(yán)重影響工作效率，利用QQ，MSN，ICQ 這類即時(shí)通訊工具來傳播病毒，已經(jīng)成為新病毒的流行趨勢(shì)；使用BitTorrent、電驢等工具瘋狂下載電影、游戲、軟件等大型文件，關(guān)鍵業(yè)務(wù)應(yīng)用系統(tǒng)帶寬無(wú)法保證。u 缺少針對(duì)不同安全事件的關(guān)聯(lián)分析手段外部入侵和內(nèi)部違規(guī)行為從來都不是單一的行為，都是有時(shí)序或者邏輯上的聯(lián)系的，黑客的攻擊一定是分為若干步驟的，每個(gè)步驟都會(huì)在不同的設(shè)備和系統(tǒng)上留下蛛絲馬跡，單看某個(gè)設(shè)備的日志可能無(wú)法發(fā)現(xiàn)問題u 缺乏便捷、高效、可視的安全事

8、件分析手段 大部分網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、數(shù)據(jù)庫(kù)產(chǎn)生的安全事件記錄都保存在文本格式的文件中，出現(xiàn)安全問題時(shí)面對(duì)成千上萬(wàn)條日志記錄，無(wú)法快速、準(zhǔn)確的定位出現(xiàn)問題的原因。三. 信息安全管理平臺(tái)需求分析從上面分析得出，XX單位網(wǎng)絡(luò)安全管理需求主要包括：l 全面的IT 計(jì)算環(huán)境運(yùn)行監(jiān)控能夠管理IT計(jì)算環(huán)境中的所有網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)和服務(wù)器、服務(wù)和應(yīng)用系統(tǒng)，以及機(jī)房設(shè)備，為用戶提供一個(gè)全方位監(jiān)控的統(tǒng)一管理平臺(tái)，使得管理員通過一個(gè)單一控制臺(tái)就能夠進(jìn)行實(shí)時(shí)全網(wǎng)監(jiān)控，確保企業(yè)和組織IT計(jì)算環(huán)境基礎(chǔ)設(shè)施的可用性，以及業(yè)務(wù)的持續(xù)性。l 可視化的監(jiān)控管理手段針對(duì)IT計(jì)算環(huán)境的統(tǒng)一監(jiān)控，必然會(huì)收集并呈現(xiàn)大量的信息。

9、如果將這些信息進(jìn)行有效的組織，呈現(xiàn)給管理員，并真正提升他們的管理效率是十分關(guān)鍵的。l 快速定位業(yè)務(wù)節(jié)點(diǎn)故障網(wǎng)絡(luò)節(jié)點(diǎn)出現(xiàn)故障時(shí)，系統(tǒng)將會(huì)產(chǎn)生告警事件，同時(shí)拓?fù)鋱D中的設(shè)備圖標(biāo)也會(huì)顯示故障狀態(tài)；當(dāng)一個(gè)管理子圖發(fā)生設(shè)備故障時(shí)，子圖圖標(biāo)也會(huì)發(fā)生相應(yīng)改變，因此管理員可以根據(jù)子圖快速定位故障。對(duì)于應(yīng)用系統(tǒng)和機(jī)房環(huán)境的監(jiān)控，管理員可以自定義監(jiān)控指標(biāo)的閾值，監(jiān)控的時(shí)間間隔，監(jiān)控的描述和告警方式，通過接收告警信息，管理員可以快速了解問題所在，及時(shí)采取措施。l 及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)流量異常管理員可以對(duì)重點(diǎn)設(shè)備的重點(diǎn)端口配置流量監(jiān)控，并且可以配置閾值告警，當(dāng)出現(xiàn)流量異常時(shí)及時(shí)通知管理員。l 統(tǒng)一安全事件監(jiān)控、態(tài)勢(shì)感知能夠?qū)崟r(shí)

10、不間斷地將來自不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、用戶業(yè)務(wù)系統(tǒng)的日志、警報(bào)等信息匯集到管理中心，實(shí)現(xiàn)海量信息的集中分析，進(jìn)行統(tǒng)一的安全事態(tài)監(jiān)控和態(tài)勢(shì)感知，消除安全防御的孤島。l 實(shí)時(shí)安全事件關(guān)聯(lián)分析能夠?qū)崟r(shí)地對(duì)采集到的不同類型的信息進(jìn)行關(guān)聯(lián)分析、最大程度地消除誤報(bào)和錯(cuò)報(bào)、找出漏報(bào)，協(xié)助安全管理人員迅速準(zhǔn)確地識(shí)別安全事故，消除了管理員在多個(gè)控制臺(tái)之間來回切換的煩惱，同時(shí)提高工作效率。通過事件關(guān)聯(lián)分析，客戶可以實(shí)現(xiàn)從單點(diǎn)被動(dòng)防御到全面主動(dòng)防御的轉(zhuǎn)變。l 便捷、高效、可視化的事件分析l 符合等級(jí)保護(hù)的安全合規(guī)審計(jì)要求提供一套基于信息系統(tǒng)等級(jí)保護(hù)基本要求的合規(guī)審計(jì)包。該審計(jì)包按照等級(jí)保護(hù)的基

11、本技術(shù)要求，針對(duì)二級(jí)以上的系統(tǒng)建立了一套規(guī)則庫(kù)、合規(guī)檢查頻道和場(chǎng)景、報(bào)表模板。四. 信息安全管理平臺(tái)建設(shè)解決方案面對(duì)XX單位信息安全管理現(xiàn)狀與存在的問題，本方案推薦使用網(wǎng)御神州“SecFox-SNI”計(jì)算環(huán)境綜合監(jiān)控平臺(tái)及“SecFox-SIM”安全信息管理系統(tǒng)來構(gòu)建XX單位的信息安全管理平臺(tái)。以實(shí)現(xiàn)統(tǒng)一的信息安全管理為出發(fā)點(diǎn)，從全面的IT 計(jì)算環(huán)境運(yùn)行監(jiān)控、快速定位業(yè)務(wù)節(jié)點(diǎn)故障、統(tǒng)一安全事件監(jiān)控、態(tài)勢(shì)感知、實(shí)時(shí)安全事件關(guān)聯(lián)分析等多個(gè)角度構(gòu)建一套完整的信息安全管理平臺(tái)，通過技術(shù)手段全面貫徹落實(shí)單位的安全管理策略。4.1 SecFox-SNI系統(tǒng)部署說明在XX單位省中心及管轄的各市州中心部署分別

12、部署一套“SecFox-SNI”系統(tǒng)。SecFox-SNI運(yùn)行的網(wǎng)絡(luò)環(huán)境有如下要求：l TCP/IP網(wǎng)絡(luò)環(huán)境。l 網(wǎng)絡(luò)管理服務(wù)器需要開放相關(guān)管理端口。 l 需要相關(guān)管理設(shè)備支持SNMP協(xié)議和Syslog協(xié)議。SecFox-SNI可應(yīng)用于大中小各類型企事業(yè)單位，其辦公地點(diǎn)可能分布在許多地方，他們的業(yè)務(wù)系統(tǒng)需要跨越不同的局域網(wǎng)段來部署。它可以將關(guān)鍵設(shè)備的運(yùn)行管理權(quán)利集中到一起，通過統(tǒng)一的安全管理系統(tǒng)，將分散在各地區(qū)、不同業(yè)務(wù)網(wǎng)絡(luò)上面的各種設(shè)備節(jié)點(diǎn)有機(jī)的結(jié)成一個(gè)整體。對(duì)于大型、全國(guó)性的、分級(jí)的網(wǎng)絡(luò)環(huán)境，SecFox-SNI可以進(jìn)行級(jí)聯(lián)部署，多個(gè)SecFox-SNI管理分支可以統(tǒng)一接入到一個(gè)主SecF

13、ox-SNI管理中心。4.2 SecFox-SIM系統(tǒng)部署說明在XX單位省中心節(jié)點(diǎn)部署一套“SecFox-SIM”系統(tǒng)SecFox-SIM可應(yīng)用于大中小各類型企事業(yè)單位，其辦公地點(diǎn)可能分布在許多地方，他們的業(yè)務(wù)系統(tǒng)需要跨越不同的局域網(wǎng)段來部署。典型的，SecFox-SIM管理中心服務(wù)器放置在網(wǎng)管中心或者安全中心，管理員通過瀏覽器可以從任何位置登錄管理中心服務(wù)器，進(jìn)行各項(xiàng)操作，如下圖所示： 4.3 “SecFox-SNI”產(chǎn)品功能4.3.1 資產(chǎn)管理資產(chǎn)是IT計(jì)算環(huán)境的基本元素，是信息安全的保護(hù)對(duì)象，也是本系統(tǒng)的監(jiān)控對(duì)象。SecFox-SNI為管理員提供了一個(gè)管理各類待監(jiān)控設(shè)備的資產(chǎn)庫(kù)。資產(chǎn)管理

14、可以標(biāo)明企業(yè)和組織關(guān)鍵業(yè)務(wù)路徑上的各資產(chǎn)等級(jí)，在對(duì)成百上千個(gè)監(jiān)控指標(biāo)進(jìn)行監(jiān)控時(shí)，可以分清告警信息處理的輕重緩急，按資產(chǎn)等級(jí)排列事件處理順序。4.3.2 網(wǎng)絡(luò)拓?fù)涔芾鞸ecFox-SNI的拓?fù)浜头?wù)感知引擎（Topology and Service Awareness Engine）能夠針對(duì)不同拓?fù)浣Y(jié)構(gòu)類型（大中型骨干網(wǎng)絡(luò)、中小型局域網(wǎng)絡(luò)）采用相適應(yīng)的算法進(jìn)行快速自動(dòng)拓?fù)浒l(fā)現(xiàn)，并自動(dòng)繪制網(wǎng)絡(luò)拓?fù)鋱D。拓?fù)涔芾頌榭蛻籼峁┝艘环鵌T計(jì)算環(huán)境的總覽圖，直觀地給出了整個(gè)網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)設(shè)備的分布和連接情況。拓?fù)鋱D支持縮放，具有鳥瞰功能，支持自動(dòng)布局。 管理員可以通過拓?fù)鋱D進(jìn)行設(shè)備監(jiān)控、配置管

15、理和策略管理，可以通過拓?fù)鋱D實(shí)施對(duì)某個(gè)設(shè)備的ping，telnet等，以及激活它的web管理界面。通過拓?fù)鋱D可以直觀的反映設(shè)備的實(shí)際運(yùn)行狀態(tài)，并根據(jù)設(shè)備的狀態(tài)變化而自動(dòng)閃爍，方便管理員快速定位故障點(diǎn)。管理員選中拓?fù)鋱D中的某個(gè)設(shè)備，可以顯示出真實(shí)設(shè)備面板圖，形象化的展示出當(dāng)前監(jiān)控設(shè)備的端口面板，以及端口狀態(tài)信息。管理員可以對(duì)端口進(jìn)行各種設(shè)置，也可以繼續(xù)查看端口的實(shí)時(shí)流量曲線。4.3.3 機(jī)房機(jī)架視圖SecFox-SNI能夠?qū)⒒A(chǔ)設(shè)施的物理位置呈現(xiàn)在機(jī)房機(jī)架視圖中。管理員可以清晰地獲悉每臺(tái)服務(wù)位于哪個(gè)機(jī)架，哪一層，還能夠看到機(jī)房環(huán)境動(dòng)力設(shè)備。管理員可以在邏輯拓?fù)浜臀锢硪晥D之間自由切換，點(diǎn)擊圖中的任

16、何節(jié)點(diǎn)和連接線都能夠細(xì)致查看明細(xì)信息。4.3.4 集中監(jiān)控SecFox-SNI通過統(tǒng)一的界面對(duì)計(jì)算環(huán)境中的網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備進(jìn)行集中監(jiān)控，對(duì)整個(gè)計(jì)算環(huán)境中所有設(shè)備和應(yīng)用的運(yùn)行狀態(tài)及性能進(jìn)行分析，實(shí)時(shí)獲得告警，并采取應(yīng)急響應(yīng)行動(dòng)。通過集中監(jiān)控，管理員可以同時(shí)實(shí)時(shí)查看多個(gè)監(jiān)控指標(biāo)項(xiàng)，進(jìn)行對(duì)比分析。管理員可以根據(jù)需要建立監(jiān)控任務(wù)，設(shè)定監(jiān)控和采集需要管理的參數(shù)。采集的數(shù)據(jù)可以保存，并可以生成相關(guān)報(bào)表。對(duì)于每個(gè)監(jiān)控?cái)?shù)值，可以定制監(jiān)控閾值，當(dāng)監(jiān)控的數(shù)據(jù)超過了閾值，將會(huì)觸發(fā)事件告警。系統(tǒng)可以顯示每個(gè)監(jiān)控任務(wù)的監(jiān)控?cái)?shù)據(jù)，在同一界面上顯示最近7天，最近24小時(shí)數(shù)據(jù)，管理員可以清楚地了解任務(wù)的當(dāng)前狀況和歷史狀況。系統(tǒng)支

17、持配置存儲(chǔ)監(jiān)控?cái)?shù)據(jù)，根據(jù)用戶需求能夠提供監(jiān)控?cái)?shù)據(jù)實(shí)定制報(bào)表，例如日?qǐng)?bào)表，周報(bào)表，月報(bào)表和年報(bào)表，報(bào)表可以另存為HTML、EXCEL、文本、PDF等多種格式。管理員可以通過修改配置文件支持添加新的設(shè)備類型和設(shè)備監(jiān)控參數(shù)，方便地進(jìn)行擴(kuò)展。4.3.5 網(wǎng)絡(luò)和安全設(shè)備監(jiān)控SecFox-SNI能夠?qū)χС諷NMP協(xié)議的網(wǎng)絡(luò)設(shè)備和安全設(shè)備進(jìn)行實(shí)時(shí)性能分析。主要分析參數(shù)包括：主機(jī)CPU利用率、主機(jī)存儲(chǔ)設(shè)備利用率、接口流量，等等。SecFox-SNI能夠?qū)崟r(shí)顯示監(jiān)控的性能參數(shù)，采用形象的曲線圖顯示監(jiān)控信息，并且可以計(jì)算最大值，平均值和最小值。SecFox-SNI還能夠收集來自網(wǎng)絡(luò)和安全設(shè)備的告警和日志信息，進(jìn)行

18、統(tǒng)一的告警與響應(yīng)管理。4.3.6 主機(jī)監(jiān)控主機(jī)服務(wù)器是企業(yè)和組織IT應(yīng)用承載的基石，主機(jī)的性能直接影響了企業(yè)和組織IT應(yīng)用的性能，SecFox-SNI能夠?qū)χ鳈C(jī)的CPU利用率、內(nèi)存利用率、磁盤利用率、進(jìn)程等進(jìn)行全面的監(jiān)控，也可以配置閾值告警，當(dāng)出現(xiàn)性能異常時(shí)及時(shí)通知管理員。對(duì)于這些性能指標(biāo)，管理員可以根據(jù)自定義的時(shí)間段生成報(bào)表，通過這些報(bào)表可以了解監(jiān)控主機(jī)的實(shí)際運(yùn)行負(fù)載情況，為主機(jī)管理和擴(kuò)展提供有價(jià)值的參考數(shù)據(jù)。例如發(fā)現(xiàn)某個(gè)主機(jī)的CPU的利用率在某個(gè)時(shí)間段長(zhǎng)時(shí)間處于比較高的狀態(tài)，那么管理員可以采取相應(yīng)的措施進(jìn)行調(diào)整。對(duì)主機(jī)監(jiān)控提供監(jiān)控快照，實(shí)時(shí)分析和詳細(xì)的監(jiān)控指標(biāo)，不是孤立地查看單個(gè)指標(biāo)，可以

19、在一個(gè)界面上查看所有的監(jiān)控信息，提供圖形和數(shù)據(jù)等多種方式，便于管理員全面的了解和分析主機(jī)的性能和故障。4.3.7 應(yīng)用和業(yè)務(wù)監(jiān)控應(yīng)用服務(wù)是企業(yè)和組織IT應(yīng)用核心，SecFox-SNI采用先進(jìn)的主動(dòng)探測(cè)的監(jiān)控方式，無(wú)需在應(yīng)用服務(wù)系統(tǒng)中安裝任何代理或軟件，模擬應(yīng)用數(shù)據(jù)直接監(jiān)控這些應(yīng)用服務(wù)，一旦這些服務(wù)出現(xiàn)無(wú)法響應(yīng)或響應(yīng)太慢，將會(huì)觸發(fā)事件告警及時(shí)通知管理員，管理員可以迅速采取相應(yīng)的措施。管理員可以根據(jù)自定義的時(shí)間段生成監(jiān)控報(bào)表，通過這些報(bào)表可以了解應(yīng)用服務(wù)的實(shí)際運(yùn)行性能，幫助管理員制定相關(guān)應(yīng)變措施，幫助應(yīng)用開發(fā)人員進(jìn)行調(diào)整優(yōu)化。SecFox-SNI可以監(jiān)控企業(yè)和組織的各類應(yīng)用服務(wù)，包括數(shù)據(jù)庫(kù)，中間件

20、，Web服務(wù)，郵件服務(wù)，F(xiàn)TP，DHCP，DNS等，不但可以監(jiān)控這些服務(wù)的狀態(tài)和響應(yīng)時(shí)間，還可以監(jiān)控系統(tǒng)的詳細(xì)性能指標(biāo)，例如Oracle數(shù)據(jù)庫(kù)的表空間大小等，可以為管理員提供全面而詳實(shí)的參考信息。對(duì)應(yīng)用系統(tǒng)的監(jiān)控也提供監(jiān)控快照，實(shí)時(shí)分析和詳細(xì)的監(jiān)控指標(biāo)，不是孤立地查看單個(gè)指標(biāo)，可以在一個(gè)界面上查看所有的監(jiān)控信息，提供圖形和數(shù)據(jù)等多種方式，便于管理員全面的了解和分析應(yīng)用系統(tǒng)的整體狀態(tài)和性能。4.3.8 機(jī)房環(huán)境監(jiān)控對(duì)于IT計(jì)算環(huán)境監(jiān)控而言，物理的機(jī)房環(huán)境也是重要的組成部分。對(duì)物理機(jī)房的環(huán)境進(jìn)行監(jiān)控也有助于定位業(yè)務(wù)故障點(diǎn)，因?yàn)闃I(yè)務(wù)故障完全可能由于機(jī)房供電系統(tǒng)或者空調(diào)、UPS等設(shè)備出現(xiàn)問題而癱瘓。S

21、ecFox-SNI提供對(duì)機(jī)房環(huán)境的全面監(jiān)控，支持對(duì)UPS、空調(diào)、測(cè)漏水設(shè)備、溫濕度、配電柜等設(shè)備的工作指標(biāo)參數(shù)進(jìn)行統(tǒng)一監(jiān)控。 4.3.9 終端接入監(jiān)控SecFox-SNI具備終端接入監(jiān)控的功能。通過對(duì)邊緣交換機(jī)端口的監(jiān)控，清晰把握當(dāng)前交換機(jī)連接的終端設(shè)備狀況，發(fā)現(xiàn)是否有ARP攻擊，是否有非法（MAC匹配）接入，并能夠主動(dòng)阻斷端口，防止威脅入侵。4.3.10 設(shè)備配置信息監(jiān)控SecFox-SNI可以采集自動(dòng)地、定期地歸集網(wǎng)絡(luò)設(shè)備配置信息，進(jìn)行配置版本管理。通過不同版本的配置項(xiàng)信息的比較發(fā)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備配置的誤操作和惡意篡改。4.3.11 配置與診斷工具設(shè)備配置和診斷工具提供了一個(gè)批處理執(zhí)行命令的外

22、殼工具，可以自動(dòng)調(diào)用自定義命令行腳本、TELNET或者SSH腳本，并可批量執(zhí)行，方便用戶進(jìn)行設(shè)備配置和故障診斷，而無(wú)需手工登陸到設(shè)備上。配置與診斷工具用途包括：l 設(shè)備的SNMP協(xié)議功能有限，一般只支持查看信息，配置能力弱，此工具可以調(diào)用TELNET或SSH，自動(dòng)執(zhí)行設(shè)置的腳本，可以實(shí)現(xiàn)所有信息查看和進(jìn)行配置，例如自動(dòng)重啟設(shè)備。l 某些設(shè)備和主機(jī)不支持SNMP協(xié)議，幾乎沒有辦法管理，例如UNIX，Linux主機(jī)和非網(wǎng)管設(shè)備，但是這些設(shè)備一般都支持TELNET或SSH，可以用工具進(jìn)行管理，把經(jīng)常需要使用的命令行做成腳本，需要管理時(shí)調(diào)用。l 能夠方便地批量配置設(shè)備，例如對(duì)多臺(tái)設(shè)備配置同樣的策略，可

23、以將策略配置做成腳本，配置多臺(tái)只需要執(zhí)行，無(wú)需登陸和手工配置，減少維護(hù)和配置的工作量。4.3.12 防火墻策略管理對(duì)于網(wǎng)御神州自有的SecGate系列防火墻/VPN，SecFox-SNI允許用戶對(duì)這些防火墻/VPN進(jìn)行集中的策略管理，統(tǒng)一制定策略，批量下發(fā)，極大地方便防火墻管理員，降低他們的工作復(fù)雜度。l 防火墻日志管理：充當(dāng)防火墻日志服務(wù)器，實(shí)現(xiàn)對(duì)防火墻日志的集中管理l 策略管理：實(shí)現(xiàn)防火墻/VPN的集中策略定義和可視化發(fā)布l 設(shè)備升級(jí)：實(shí)現(xiàn)防火墻/VPN設(shè)備的升級(jí)4.3.13 日志安全審計(jì)SecFox-SNI具有強(qiáng)大的安全審計(jì)功能，為系統(tǒng)的使用者，包括網(wǎng)絡(luò)安全管理員，IT部門負(fù)責(zé)人，公司負(fù)

24、責(zé)人等提供了解網(wǎng)絡(luò)安全狀況的直觀方式。安全審計(jì)的主要功能是日志查詢、日志分析規(guī)則設(shè)置、安全審計(jì)報(bào)表。這些功能都具有在圖文顯示、文件導(dǎo)出和打印等輸出方式。SecFox-SNI的安全統(tǒng)計(jì)報(bào)表分類的方式有多種，從反映網(wǎng)絡(luò)安全總體狀況的角度進(jìn)行統(tǒng)計(jì)和分析，得到網(wǎng)絡(luò)安全狀況報(bào)表；從所管理的安全設(shè)備的運(yùn)行狀況出發(fā)，可以得到設(shè)備安全信息報(bào)表。能夠根據(jù)用戶的需求生成日?qǐng)?bào)表，周報(bào)表，月報(bào)表和年報(bào)表等，報(bào)表可以另存為HTML、EXCEL、文本、PDF等多種格式。 主要報(bào)表包括：安全管理信息Top10分析l 主機(jī)訪問流量TOP10：統(tǒng)計(jì)訪問流量最大的前10位主機(jī)l 站點(diǎn)被訪問流量TOP10：統(tǒng)計(jì)被訪問流量最大的前1

25、0位站點(diǎn)l 拒絕訪問類型TOP10：統(tǒng)計(jì)被拒絕次數(shù)最多的前10種訪問類型l 禁訪站點(diǎn)訪問嘗試次數(shù)TOP10：統(tǒng)計(jì)嘗試次數(shù)最多的前10位被禁止訪問的站點(diǎn)l 用戶訪問流量TOP10：統(tǒng)計(jì)訪問流量最大的前10位用戶 安全管理信息統(tǒng)計(jì)分析l 主機(jī)訪問統(tǒng)計(jì)報(bào)表：統(tǒng)計(jì)所有主機(jī)的訪問數(shù)據(jù)l 用戶訪問統(tǒng)計(jì)報(bào)表：統(tǒng)計(jì)所有用戶的訪問數(shù)據(jù)l 站點(diǎn)被訪問統(tǒng)計(jì)報(bào)表：統(tǒng)計(jì)所有被訪問站點(diǎn)的訪問數(shù)據(jù)l 系統(tǒng)管理統(tǒng)計(jì)報(bào)表：統(tǒng)計(jì)管理員的所有系統(tǒng)操作數(shù)據(jù)l 系統(tǒng)模塊狀態(tài)統(tǒng)計(jì)報(bào)表：統(tǒng)計(jì)設(shè)備所有系統(tǒng)模塊的狀態(tài)數(shù)據(jù)4.3.14 IP地址管理SecFox-SNI可以管理企業(yè)和組織的IP地址資源，將企業(yè)和組織的IP地址按照子網(wǎng)分類列表，便于

26、查看；提供了IP地址查詢，IP地址掃描，可以方便地查找和確定那些IP地址已經(jīng)使用或者尚未使用，方便管理員的管理工作；提供了圖形化的IP地址分布查詢，可以通過圖形一目了然查看IP地址分布狀況。4.3.15 集中認(rèn)證管理SecFox-SNI提供了監(jiān)控對(duì)象認(rèn)證集中管理，可以在一個(gè)界面集中管理所有監(jiān)控對(duì)象的認(rèn)證方式，例如SNMP設(shè)備的團(tuán)體字符串，數(shù)據(jù)庫(kù)的用戶密碼等，便于管理員進(jìn)行統(tǒng)一修改。4.3.16 告警和響應(yīng)管理告警管理可以針對(duì)事件進(jìn)行告警處理。這里，事件是指管理中心采集和偵聽到的來自于被管理設(shè)備的信息。對(duì)于產(chǎn)生的告警信息，系統(tǒng)可以通過多種方式進(jìn)行通知：彈出窗口、控制臺(tái)突出顯示、電子郵件、有聲報(bào)警

27、、短信、電話響鈴。特別地，SecFox-SNI可以通過Telnet、SSH或者SSH2協(xié)議與第三方網(wǎng)絡(luò)設(shè)備和安全設(shè)備進(jìn)行策略聯(lián)動(dòng)，可以執(zhí)行任何預(yù)定義策略腳本，實(shí)現(xiàn)監(jiān)控管理的閉環(huán)。4.3.17 報(bào)表管理除了日志審計(jì)和設(shè)備監(jiān)控可以提供相關(guān)報(bào)表，SecFox-SNI提供了針對(duì)全網(wǎng)絡(luò)運(yùn)行狀態(tài)的分析報(bào)表。這是進(jìn)行綜合分析的數(shù)據(jù)報(bào)表，可以讓管理員了解和評(píng)估整個(gè)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)，報(bào)表具有如下特點(diǎn)：l 能夠根據(jù)用戶的需求定制時(shí)間，例如生成日?qǐng)?bào)表，周報(bào)表，月報(bào)表和年報(bào)表等；l 報(bào)表可以另存為HTML、EXCEL、文本、PDF等多種格式。報(bào)表類型包括實(shí)時(shí)分析最近5分鐘，最近1小時(shí)的網(wǎng)絡(luò)狀態(tài)，例如最近5分鐘設(shè)備運(yùn)

28、行狀況統(tǒng)計(jì)，不響應(yīng)設(shè)備列表，最近5分鐘流量最大的10個(gè)設(shè)備，最近5分鐘流量最大的10條鏈路，最近1小時(shí)告警最多的設(shè)備等等。管理員可以根據(jù)自定義的時(shí)間段網(wǎng)絡(luò)運(yùn)行報(bào)表，性能分析報(bào)表和可用性報(bào)表，例如：設(shè)備運(yùn)行狀況統(tǒng)計(jì)，不響應(yīng)設(shè)備列表，設(shè)備流量統(tǒng)計(jì)，鏈路流量統(tǒng)計(jì)，設(shè)備告警次數(shù)統(tǒng)計(jì)，設(shè)備資產(chǎn)分類統(tǒng)計(jì)，設(shè)備資產(chǎn)業(yè)務(wù)關(guān)注度分類統(tǒng)計(jì)等等。系統(tǒng)生成的報(bào)表可以自動(dòng)通過電子郵件定期投遞到管理員指定的地址。4.3.18 權(quán)限管理本系統(tǒng)實(shí)現(xiàn)基于角色的用戶訪問控制機(jī)制。所有用戶（根用戶除外）都建立在角色之上。也就是說，在創(chuàng)建用戶之前，需要先創(chuàng)建角色，即定義這個(gè)角色具備的權(quán)限；然后，再創(chuàng)建用戶，并將用戶置于一個(gè)或者多個(gè)已

29、經(jīng)創(chuàng)建的角色中。所有對(duì)本系統(tǒng)的訪問都需要用戶帳號(hào)和口令；不同的用戶具有不同的系統(tǒng)使用權(quán)限，具體主要體現(xiàn)在用戶能夠使用的操作（功能）不同。4.3.19 系統(tǒng)管理完成對(duì)集中管理系統(tǒng)自身的各項(xiàng)配置工作。4.3.19.1 系統(tǒng)設(shè)置完成對(duì)集中管理系統(tǒng)自身的各項(xiàng)配置工作，包括系統(tǒng)的初始化配置、網(wǎng)絡(luò)拓?fù)涔芾硇枰膮?shù)、設(shè)備配置管理和策略管理需要的各種參數(shù)的配置（例如證書）、用戶使用許可證管理，等等。4.3.19.2 系統(tǒng)日志用戶對(duì)本軟件系統(tǒng)的操作都記錄日志并進(jìn)行持久化存儲(chǔ)，便于追蹤、審核和告警。系統(tǒng)日志格式的屬性包括：時(shí)間，源IP，用戶名，操作類型，操作說明，操作結(jié)果（成功/失?。?。用戶可以針對(duì)系統(tǒng)日志進(jìn)行

30、各種查詢。4.3.20 與外部系統(tǒng)集成SecFox-SNI提供了豐富的API接口，能夠與廣大第三方管理平臺(tái)（包括IBM Tivoli，HP OpenView Operations，BMC等）和服務(wù)控制臺(tái)（Service Desk）集成，包括監(jiān)控信息的集成和告警信息的集成。4.4 “SecFox-SIM”產(chǎn)品功能4.4.1 智能監(jiān)控頻道 智能監(jiān)控頻道為用戶提供了一個(gè)從總體上把握企業(yè)和組織整體安全情況的界面。通過監(jiān)控頻道，用戶可以看到當(dāng)前企業(yè)和組織的整體安全等級(jí)。每個(gè)監(jiān)控頻道顯示某方面的安全信息，可以縮放、可以移動(dòng)換位、可以更換布局、可以調(diào)臺(tái)，顯示管理員想看的內(nèi)容。SecFox-SIM提供豐富的頻

31、道切換器，在不同的頻道間切換。用戶也可以自定義頻道。4.4.2 資產(chǎn)管理 ISO17799-2005中對(duì)資產(chǎn)的定義是：“任何對(duì)組織和企業(yè)有價(jià)值的事務(wù)”。 資產(chǎn)是企業(yè)和組織的IT計(jì)算環(huán)境的核心，承載了當(dāng)今絕大部分企業(yè)和組織的業(yè)務(wù)。重要的資產(chǎn)的安全決定了企業(yè)和組織的核心競(jìng)爭(zhēng)力和命脈。企業(yè)安全管理的一個(gè)很重要的工作就是確保資產(chǎn)安全，評(píng)估和分析在遭受安全威脅的情況下資產(chǎn)的受影響程度，從而進(jìn)行企業(yè)和組織的安全風(fēng)險(xiǎn)管理。 SecFox-SIM按照資產(chǎn)重要程度和管理域的方式組織資產(chǎn)，提供便捷的添加、修改、刪除、查詢與統(tǒng)計(jì)功能，便于安全管理和系統(tǒng)管理人員能方便地查找所需信息資產(chǎn)的信息，并對(duì)資產(chǎn)屬性進(jìn)行維護(hù)。對(duì)

32、于每個(gè)資產(chǎn)，用戶可以設(shè)置資產(chǎn)的地理位置，便于將來在世界地圖上顯示出該資產(chǎn)相關(guān)的事件。 基于SecFox-SIM的動(dòng)態(tài)資產(chǎn)屬性（Dynamic Asset Attribute）技術(shù)，用戶可以對(duì)資產(chǎn)屬性進(jìn)行無(wú)限擴(kuò)展，例如可以根據(jù)客戶自身的需要為資產(chǎn)增加業(yè)務(wù)重要性屬性、增加資產(chǎn)保護(hù)等級(jí)屬性、增加資產(chǎn)品牌、代號(hào)等任何信息。同時(shí)，所有這些附加資產(chǎn)屬性隨時(shí)都可以作為查詢條件進(jìn)行檢索，也可以作為事件關(guān)聯(lián)分析時(shí)的規(guī)則的一部分。 4.4.3 工單管理 SecFox-SIM工單管理參照ISO17799、 ISO20000（ITIL規(guī)范），以及ISO18044，為安全管理人員建立了一套安全事故處理流程。通過工單，實(shí)

33、現(xiàn)了安全事故記錄從創(chuàng)建、處理到關(guān)閉的安全事故生命周期管理。 工單管理是SecFox-SIM的核心流程，它的功能實(shí)現(xiàn)遵循ISO18044標(biāo)準(zhǔn)和ISO20000標(biāo)準(zhǔn)（ITIL）。處理過程中，派單人和責(zé)任人可以對(duì)現(xiàn)象描述、原因分析、處理意見、處理結(jié)果中增加內(nèi)容，但不能修改以前人輸入的內(nèi)容。系統(tǒng)需記錄增加的時(shí)間和增加人。在顯示工單時(shí)，會(huì)顯示所有的修改記錄。 管理員在創(chuàng)建工單后，可以由系統(tǒng)自動(dòng)發(fā)送郵件給指定的工單處理人，提醒其及時(shí)處理。 4.4.4 事件分析 事件分析是SecFox-SIM的核心，監(jiān)控管理人員可以通過事件分析對(duì)來自企業(yè)和組織所有的事件，以及經(jīng)過SecFox-SIM規(guī)則關(guān)聯(lián)后產(chǎn)生的事件進(jìn)行

34、可視化實(shí)時(shí)分析、歷史分析和事件統(tǒng)計(jì)，從而快速識(shí)別安全事故。SecFox-SIM采用基于場(chǎng)景的行為分析（Scenario-based Behavior Analysis）技術(shù)，將所有的事件分析都以分析場(chǎng)景的方式列舉出來，管理人員可以方便的在各種分析場(chǎng)景之間快速切換，就像切換電視頻道一樣，大大提高分析工作的效率。 針對(duì)每個(gè)場(chǎng)景，系統(tǒng)都會(huì)實(shí)時(shí)展示出該場(chǎng)景的事件列表，并且附上一副事件的動(dòng)態(tài)雷達(dá)圖（Dynamic Radar Diagram）。用戶可以實(shí)時(shí)觀察某個(gè)事件切片內(nèi)的事件數(shù)量及其不同等級(jí)事件的時(shí)間分布。點(diǎn)擊每個(gè)時(shí)間切片上的事件方塊，可以查看該時(shí)切片的事件明細(xì)。 對(duì)于發(fā)現(xiàn)的攻擊和威脅，用戶可以借助

35、SecFox-SIM的iGPS事件全球定位系統(tǒng)在世界地圖上可視化地展示出發(fā)起和遭受攻擊IP的所在地理位置。 用戶也可以對(duì)選中的事件生成可視化的實(shí)時(shí)主動(dòng)事件圖（Active Incident Diagram），形象地觀測(cè)到當(dāng)前事件的安全態(tài)勢(shì)。用戶點(diǎn)擊主動(dòng)事件圖上的IP節(jié)點(diǎn)，可以查看該節(jié)點(diǎn)的明細(xì)信息，點(diǎn)擊節(jié)點(diǎn)之間的連線可以查看事件的端口、協(xié)議等信息。主動(dòng)事件圖可以放大、縮小、自由拖動(dòng)。 在事件分析中，SecFox-SIM還為用戶提供了一套進(jìn)行深入的審計(jì)與追蹤工具事件調(diào)查工具。借助網(wǎng)御神州獨(dú)有的啟發(fā)式事件搜索技術(shù)（Heuristic Event Searching Technology），管理員通過

36、事件調(diào)查工具可以對(duì)某條感興趣的事件中的源IP地址、目的IP地址、或者目的端口進(jìn)行相關(guān)性事件檢索。例如，管理員通過審計(jì)某條事件記錄發(fā)現(xiàn)某用戶違規(guī)訪問一個(gè)敏感的外部IP地址，那么管理員可以通過事件調(diào)查工具查找最近5分鐘內(nèi)訪問同一個(gè)敏感外部IP的其它用戶的事件記錄，從而追蹤違規(guī)行為；管理員也可以查找某個(gè)事件記錄中目的端口的含義，是MSN端口？還是BT端口？抑或是蠕蟲端口？等等，從而快速了解當(dāng)前用戶的行為特征。 4.4.5 趨勢(shì)分析 SecFox-SIM可以對(duì)設(shè)備的網(wǎng)絡(luò)連接數(shù)、網(wǎng)絡(luò)流量，以及時(shí)間數(shù)量等的趨勢(shì)進(jìn)行分析，并以圖標(biāo)的形式展示。 趨勢(shì)分析的時(shí)間段可以動(dòng)態(tài)調(diào)整，包括最近24小時(shí)、最近1天、最近1

37、周，等等，用戶亦可自行設(shè)置。4.4.6 報(bào)表管理 安全管理人員可以將事件分析的結(jié)果生成報(bào)表，作為工作內(nèi)容匯報(bào)的一部分提交給相關(guān)部門。 SecFox-SIM將報(bào)表分為系統(tǒng)預(yù)定義報(bào)表和用戶自定義報(bào)表兩大類。 SecFox-SIM內(nèi)置大量預(yù)定義報(bào)表，例如： l 當(dāng)天，當(dāng)月，該季度，該年度的出現(xiàn)率最多的十種安全事件統(tǒng)計(jì)分析報(bào)表，既能夠圖文并茂地顯示著十種安全事件的統(tǒng)計(jì)值，也能夠選擇察看具體的安全事件明細(xì)表； l 當(dāng)天，當(dāng)月，該季度，該年度的出現(xiàn)率最多的十個(gè)源IP地址統(tǒng)計(jì)分析報(bào)表，既能夠圖文并茂地顯示著十個(gè)源IP地址的統(tǒng)計(jì)值，也能夠選擇察看出現(xiàn)該IP地址的具體的事件內(nèi)容； l 每月，每周事件告警嚴(yán)重程度

38、級(jí)別趨勢(shì)表，分類統(tǒng)計(jì)每個(gè)月所有的安全事件的嚴(yán)重程度級(jí)別，察看其發(fā)展趨勢(shì)； l 每天的安全事件統(tǒng)計(jì)表，統(tǒng)計(jì)每一天的所有安全事件發(fā)生的總數(shù)； l 可以指定源IP，目的IP，源端口，目的端口一項(xiàng)或者幾項(xiàng)內(nèi)容制作出對(duì)應(yīng)安全事件的詳細(xì)報(bào)表。 l 每天，每周，每月出現(xiàn)最多的十種病毒統(tǒng)計(jì)分析報(bào)表； l 每天，每周，每月的事故統(tǒng)計(jì)報(bào)表； l 每天，每周，每月的各種安全狀況的總覽表，在一張報(bào)表上圖文并茂地展示這一天，這一周，或者這個(gè)月的，全網(wǎng)的安全狀況的多種指標(biāo)統(tǒng)計(jì)和趨勢(shì)圖表。l SecFox-SIM具備強(qiáng)大的自定義報(bào)表功能。用戶可以通過報(bào)表編輯器，只需4步，即可方便地自己定義各種復(fù)雜的報(bào)表，包括報(bào)表的內(nèi)容、布

39、局，以及運(yùn)行調(diào)度設(shè)置，滿足企業(yè)和組織自身不斷業(yè)務(wù)發(fā)展的需要。4.4.7 知識(shí)管理 SecFox-SIM知識(shí)管理為用戶提供了一套面向業(yè)務(wù)的管理工具，方便用戶進(jìn)行安全事件的識(shí)別和應(yīng)急響應(yīng)處理。SecFox-SIM知識(shí)管理包括黑白名單管理和案例管理。 黑白名單管理 黑白名單，是指需要格外關(guān)注的事件屬性，比如某黑白名單定義為某些符合規(guī)則條件的事件的某個(gè)屬性的列表。 黑白名單是一個(gè)非常靈活的信息收集工具，它可以基于事件屬性的任意組合或自定義字段組監(jiān)控活動(dòng)，而不僅僅是IP地址。在記錄可疑的或惡意的IP地址以及有可能已被攻擊成功的目標(biāo)方面，黑白名單非常有用。 用戶可以手動(dòng)增加黑白名單的內(nèi)容，也可以通過規(guī)則響

40、應(yīng)動(dòng)態(tài)地增加或刪除黑白名單中的記錄。例如，我們?cè)诎l(fā)現(xiàn)一個(gè)惡意攻擊之后，可以將攻擊源添加到惡意列表中，并在以后嚴(yán)密監(jiān)控該 IP 的各種行為。 SecFox-SIM包含了大量預(yù)定義的黑白名單列表，比如惡意列表、可疑列表、受信任的列表、不受信任的列表、受威脅列表等等，用戶可以把它們作為模板使用。 案例管理 案例是由一組相關(guān)事件組成的有意義的、值得借鑒的情景，用于安全信息管理經(jīng)驗(yàn)和知識(shí)的積累。 通過將安全信息管理運(yùn)維過程中遇到的具有典型性的事件放入案例庫(kù)中，并記錄下當(dāng)時(shí)事故的影響情況、采取的安全處理措施，為將來遇到類似事故提供輔助策略的依據(jù)。 4.4.8 系統(tǒng)管理 4.4.8.1 系統(tǒng)配置 SecFo

41、x-SIM的系統(tǒng)管理員可以通過系統(tǒng)管理中的系統(tǒng)配置對(duì)SecFox-SIM系統(tǒng)自身進(jìn)行各種參數(shù)配置，包括數(shù)據(jù)的備份與恢復(fù)、系統(tǒng)自身運(yùn)行狀態(tài)的監(jiān)控，等等；通過系統(tǒng)管理中的事件傳感器管理連接到SecFox-SIM平臺(tái)的事件傳感器；在系統(tǒng)管理中還有過濾器和資源定義模塊。 事件傳感器是SecFox-SIM提供的、用于安裝在企業(yè)和組織網(wǎng)絡(luò)中的目標(biāo)主機(jī)上的應(yīng)用程序。通過事件傳感器，SecFox-SIM可以主動(dòng)地采集目標(biāo)主機(jī)上的事件，在管理服務(wù)器上進(jìn)行事件分析。 過濾器是構(gòu)成規(guī)則的基本單位，也是進(jìn)行日志審計(jì)的條件選項(xiàng)。用戶定義了過濾器之后，可以進(jìn)行各種復(fù)雜的日志實(shí)時(shí)分析場(chǎng)景設(shè)置。 通過資源定義，用戶可以建立安

42、全領(lǐng)域的知識(shí)庫(kù)，并建立業(yè)務(wù)相關(guān)的集合。例如可以定義辦公I(xiàn)P地址組、定義上班時(shí)間、定義BT常用端口集合或者常見的蠕蟲端口集合，等等。在定義好資源后，用戶可以在過濾器和告警規(guī)則中任意引用，使得管理員的各種設(shè)置操作真正基于業(yè)務(wù)和領(lǐng)域知識(shí)，而不是基礎(chǔ)的端口、IP、時(shí)間等原始信息。 4.4.8.2 系統(tǒng)自身健康監(jiān)控 SecFox-SIM具有完善的系統(tǒng)自身健康監(jiān)控功能（System Self Healthiness），能夠?qū)ο到y(tǒng)自身運(yùn)行狀態(tài)進(jìn)行監(jiān)控，包括系統(tǒng)CPU和內(nèi)存利用率，存儲(chǔ)可用容量，等等，遇到問題自動(dòng)報(bào)警，確保安全管理平臺(tái)自身的可靠性。 4.4.9 權(quán)限管理 SecFox-SIM是一個(gè)多用戶系統(tǒng)，

43、不同的用戶可以具備不同的權(quán)限。這意味著不同權(quán)限的用戶可以使用SecFox-SIM的全部或者部分功能。 SecFox-SIM采用基于角色的權(quán)限管理機(jī)制。通過權(quán)限管理，管理員可以為不同的用戶分配角色，指定該用戶能夠使用的功能。 4.4.10 等級(jí)保護(hù)模塊 SecFox-SIM能夠?qū)徲?jì)系統(tǒng)中管理的所有信息資產(chǎn)進(jìn)行統(tǒng)一的等級(jí)化保護(hù)管理，按照等級(jí)化保護(hù)2級(jí)到4級(jí)的基本要求提供實(shí)時(shí)審計(jì)的分析場(chǎng)景知識(shí)庫(kù)，以及針對(duì)等級(jí)化保護(hù)要求的報(bào)表模板。 4.4.11 與外部系統(tǒng)集成 SecFox-SIM提供了豐富的API接口，能夠與廣大第三方管理平臺(tái)（包括IBM Tivoli，HP OpenView Operation

44、s，BMC等）和服務(wù)控制臺(tái)（Service Desk）集成，包括事件和告警信息的集成，以及策略聯(lián)動(dòng)的集成。 五. 實(shí)施效果價(jià)值分析本方案中信息安全管理平臺(tái)的實(shí)施可以從不同層面為XX單位的用戶帶來價(jià)值回報(bào)。 對(duì)于安全管理員、安全分析員、安全運(yùn)維人員： l 明確工作職責(zé)，各類安全管理人員各司其職，協(xié)同合作 l 提高工作效率，更加快速準(zhǔn)確的識(shí)別安全告警，發(fā)現(xiàn)違規(guī)行為，進(jìn)行應(yīng)急響應(yīng) l 發(fā)生安全問題，事后調(diào)查有據(jù)可循 對(duì)于安全負(fù)責(zé)人，負(fù)責(zé)安全的高管： l 有助于建立一套可行的安全策略的執(zhí)行方針，并通過信息安全管理真正落實(shí) l 通過持續(xù)有效的安全事件分析識(shí)別安全事故、策略沖突、欺詐行為和操作行為 l 通

45、過安全事件分析有助于進(jìn)行審計(jì)和取證分析、支持內(nèi)部調(diào)查、建立基線，以及進(jìn)行安全運(yùn)行趨勢(shì)預(yù)測(cè)，確保企業(yè)和組織的業(yè)務(wù)的持續(xù)性和可靠性 l 通過設(shè)備和系統(tǒng)的日志以及安全事件的統(tǒng)一存儲(chǔ)，符合企業(yè)和組織的需要，符合國(guó)家和行業(yè)的法律法規(guī) l 自動(dòng)產(chǎn)生各種分析報(bào)表和報(bào)告，隨時(shí)掌控整個(gè)企業(yè)和組織的安全狀況 對(duì)單位領(lǐng)導(dǎo)層 l 隨時(shí)可以全局掌握單位的安全總體狀況，為領(lǐng)導(dǎo)層進(jìn)行安全建設(shè)決策提供依據(jù) l 從整體上提升了單位的安全防護(hù)水平 l 通過對(duì)信息管理平臺(tái)的投資發(fā)揮出原有各種安全設(shè)施的投資的潛在價(jià)值，從而使得企業(yè)和組織的成本效益最大化，降低總擁有成本（TCO），提升安全設(shè)施的投資回報(bào)率（ROI） 六. 方案優(yōu)勢(shì)總結(jié)

46、1、 提供了統(tǒng)一的信息安全管理平臺(tái)，全面直觀的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)能夠幫助用戶快速定位網(wǎng)絡(luò)故障，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)流量異常，能對(duì)網(wǎng)絡(luò)中的服務(wù)器主機(jī)性能提供全面監(jiān)控和告警，主動(dòng)監(jiān)控應(yīng)用服務(wù)的狀態(tài)和性能。2、 提供了完善的信息安全監(jiān)控功能，包括設(shè)備配置信息監(jiān)控、主機(jī)進(jìn)程黑/白名單監(jiān)控、終端接入監(jiān)控、日志審計(jì)、系統(tǒng)配置與診斷工具、WEB網(wǎng)頁(yè)防篡改、安全輔助工具包，等等。3、 提升了XX單位網(wǎng)絡(luò)中各種設(shè)備和應(yīng)用的協(xié)同安全防御能力。4、 實(shí)現(xiàn)了安全信息的集中管理，包括集中的數(shù)據(jù)采集和分析、統(tǒng)一的存儲(chǔ)、集中的應(yīng)急響應(yīng)和控制，有助于落實(shí)安全策略、實(shí)現(xiàn)企業(yè)和組織的安全目標(biāo)。 5、 有助于XX單位消除安全防御的孤島，同時(shí)不會(huì)造成新的孤島6、 符合國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)制度中對(duì)于安全管理中心的建設(shè)要求，可以作為XX單位的安全總控中心（SOC/SMC）的基礎(chǔ)技術(shù)平臺(tái)。