CCTV安全管理与综合审计系统招标技术-v1.0.docx

中央电视台敏感信息 注意保密安全管理与综合审计产品招标技术要求2010年6月4 日服务商Logo安全管理与综合审计产品招标技术要求用户Logo目 录1项目背景12建设目标13建设原则14系统模块25技术指标35.1安全风险收集35.1.1日志信息收集35.1.2资产信息收集65.1.3漏洞信息收集75.2安全风险分析85.2.1关联分析机制85.2.2关联分析对象105.2.3关联分析策略115.3安全风险监控115.3.1管理方式115.3.2监控展现125.3.3安全报表145.4安全风险响应165.4.1安全工单管理165.4.2事件批注管理165.4.3安全通告管理165.4.4告警响应管理175.4.5响应程序管理175.4.6安全知识管理185.5综合日志管理185.5.1存储管理185.5.2查询分析185.5.3访问安全195.6系统支撑195.6.1部署方式195.6.2系统安全195.6.3数据存储205.6.4性能要求20 第 21 页 共 25 页1 项目背景2 建设目标u 建安全信息监管的功能框架u 实现信息系统安全相关日志的集中u 完成资产安全数据采集管理u 收集安全设备、网络设备、主机等资产的安全事件u 实现综合安全事件的关联分析u 实现安全风险的计算和综合呈现u 建立初步的安全知识体系和预警应急体系3 建设原则4 系统模块安全管理与综合审计系统由如下模块组成：模块名称说明数量备注安全事件收集模块负责收集各个设备和应用的日志，并完成事件的格式化和标准化等工作，实现广泛的设备支持。收集模块通过有效地传输、加密、压缩等控制机制，保证安全信息收集和传输的可靠性、完整性、安全性等。10支持SYSLOG、SNMP、文件、JDBC、ODBC、XML、LEA等常见日志收集方式，支持Windows、AIX、Linux、Unix等系统核心处理模块负责对收集的风险信息进行综合的分析和监控，提供资产管理、关联分析、风险展现、事故响应、报表统计等功能。1支持Windows、AIX、Linux、Unix等系统环境数据库模块集中存储所有收集的事件，以及所有安全管理配置信息，如系统用户、组、许可、定义的规则、域、资产、报告、显示和参数选择等1支持Windows、AIX、Linux、Unix等系统环境门户展现模块主要通过提供特定的HTTPS服务，以便授权的管理员或用户访问通过B/S方式监控系统的安全状况。1支持IE6以上浏览器控制台管理模块提供C/S管理方式，供一线监控人员使用。主要是对所监控的安全信息进行实时监控，同时负责对系统进行安全管理策略的调整。1支持Windows、Linux、MacOS等系统环境综合日志管理模块用户长期存储安全事件日志，供快速减速和报表统计1有效数据存储不低于10TB5 技术指标5.1 安全风险收集安全风险收集包括：日志信息收集、资产信息收集和漏洞信息收集。5.1.1 日志信息收集日志反应了安全事件的活动，因此日志是整个安全管理与综合审计系统的数据基础，要实现分析和审计，日志必须进行统一的格式化和标准化。该过程对风险分析的数据信息是否完整、是否清晰、是否影响原有网络性能等起到至关重要的作用，因此日志收集管理应具备如下功能或要求： 充分性.1 收集方式支持事件日志收集应支持以下收集方式：文本、UDP Syslog、TCP Syslog、SNMP Trap、JDBC/ODBC、XML、LEA等。.2 设备产品支持设备日志收集缺省应支持绝大多数主流厂商产品的日志收集，包括：路由器、交换机、IDS/IPS、防火墙、网络流量分析、操作系统、应用系统、应用交付、VPN、集成网关、数据库审计、操作行为审计、日志管理系统、漏洞评估系统和邮件系统等。 可读性.1 日志字段标准化为提高日志信息的可读性，便于日志监控分析、关联事件告警、安全分析查询和数据报表统计，原始的事件日志信息必须进行格式化。系统应使用一种统一的格式对日志信息进行描述。日志数据的可读性、可用性很大程度上取决于日志字段格式化的粒度。日志字段标准化果应至少包括：时间戳、网络会话、用户、资源和设备相关信息以及用户自定义的信息等。.2 日志分类标准化为进一步提高日志信息的“含金量”，系统应支持对日志信息进行知识分类日志分类标准化。经过标准化后的日志信息将大大降低关联分析对设备、产品品牌和型号的依赖性，为实现跨设备的异构事件分析提供重要数据基础。日志分类标准化结果应至少包含以下信息：信息产生源设备类型、安全事件所针对的对象、安全事件所描述的行为、攻击事件采用的技术手段、事件发生的结果、事件产生的影响等。 可靠性.1 带宽控制新增的日志收集和传输必定会对现有的网络和系统造成新的负担。系统不能因为进行安全事件分析而影响现有业务应用，因此日志收集和传输过程中必须采用有效的带宽控制技术，确保将日志传输对网络带宽的影响降到最低。日志收集模块应具备该技术以及相关控制参数的配置管理界面。.2 数据压缩数据压缩既能降低传输网络带宽占用，也能提高安全事件的传输速度；因此，除了具备相关的带宽控制技术以外，系统在日志传输到分析端的过程中还应具备数据压缩功能。.3 缓存机制当出现日志收集端和分析端网络连接异常或事件量短时间内突增的情况时，日志收集代理端应具备缓存日志信息的功能，以确保数据信息不会丢失。为保证审计数据的完整性、可靠性，日志收集模块应具备数据缓存机制及相关配置管理界面。.4 故障转移日志收集模块应具备故障转移技术和机制，即系统支持同时向多个目的地以多种方式发送数据。在监控分析端出现严重故障不能及时恢复时，日志收集模块应具备将安全事件信息发送到其他其他冗余目的地，如磁盘文件、SNMP目的地、专用日志存储系统等。.5 基于时间和优先级的日志传输策略在关键的服务器区或相关分支机构，业务系统度对网络带宽有极高的依赖性；此时通过网络发送大量日志信息明显会影响业务系统。因此日志收集模块应具备基于时间和优先级的日志传输策略。只有严重度极高的业务系统故障日志或安全日志才会被立即发送到服务端参与关联分析和告警，而绝大多数的事件日志可以延时发送，如业务系统不再繁忙的夜间。日志收集模块应具备该功能和相关配置管理界面。 有效性.1 事件过滤r 支持在日志收集端对事件进行条件过滤；r 支持过滤条件的逻辑组合；r 支持按照事件的风险级别进行过滤操作；.2 事件归并r 支持在收集端对日志进行日志归并；r 归并条件的归并时间窗值可配置；r 归并条件的归并日志数值可配置；r 归并条件的归并字段可配置，即日志的所有字段可以根据需要成为其归并字段；r 在事件归并的同时能针对特定的字段（如流量等信息的字段）值进行求和处理；.3 时间戳机制r 事件日志收集应具备发生时间、结束时间、记录时间、代理接收时间和入库时间等时间戳信息；r 应具备日志源设备时间戳能和收集代理的时间戳进行自动同步的功能；r 日志源设备时间戳时区可以根据实际情况能够进行调整的功能。 完整性.1 原始日志保存为满足相关法规标准的要求，日志信息收集模块完成日志格式化后，必须保存原始事件日志！.2 完整性校验日志收集模块应具备相关技术对发送到分析端的日志数据进行完整性校验，确保原始数据不被修改。 扩展性.1 新增设备日志支持二次开发CCTV信息系统除了现有的相关设备系统外，将来还会根据业务需求进行扩容。因此，事件日志收集模块应提供相关技术接口实现对新增设备的日志二次开发支持；且开发周期不能太长，开发结果必须能够满足监控分析要求。日志二次开发在格式化和标准化方面应有质量保证，应参考上述“事件日志格式化”和“事件日志标准化”进行二次开发。二次开发应最大限度挖掘日志信息，进行细粒度映射。5.1.2 资产信息收集安全资产管理是安全信息事件管理系统的基础，要实现对客户重要业务系统安全风险的有效监控管理，就需要对这些业务系统重要的设备资产进行集中有效的安全管理，如相关的服务器、网络设备、安全设备等。而安全资产管理的作用是通过统计发现这些资产的安全状况，从而为其风险分析和统计提供信息接口。因此安全资产管理应具备如下功能：.1 资产的信息内容r 资产的基本信息应包括但不限于资产名称、IP地址、MAC地址、主机名称、资产拥有者名称、资产创建信息、资产最近一次更新信息以及资产使用的描述说明等； r 资产的用途信息应包括但不限于组织信息、部门信息、设备类型、所存储的数据功能信息、所提供的IT服务功能信息、业务角色等；r 资产的安全信息应包括但不限于操作系统、开放服务和端口、安全影响的严重性、所存储数据的机密性等级、安全漏洞信息等。.2 资产的管理方式r 自动的设备发现功能：能自动检查到所监控的日志源设备资产，如：主机服务器等；r 能同步现有的资产管理系统：通过专用的技术接口实现对现有资产库的导入功能；r 能自动导入主机评估识别系统的资产数据，实现动态设备资产的自动管理；r 能手工批量导入人工资产识别数据，支持文件编辑的方式快速导入人工调查整理的数据；r 能手工进行图形界面管理，在授权的情况下可对资产进行增加、修改、删除等相关操作。5.1.3 漏洞信息收集r 除了系统自身提供的漏洞配置管理外，还应能够支持并集成主流安全漏洞评估系统的评估报告，如：Nessus、Nmap、ISS Internet Scanner等；r 支持对安全漏洞评估系统的结果数据进行导入，能自动和对应的资产进行映射，并能根据安全漏洞评估系统的定期扫描计划进行动态地更新其资产的漏洞和开放服务状况等。5.2 安全风险分析安全管理与综合审计系统所收集到的事件种类多，数量大，隐含的安全风险难以识别。为了更有效地对这些海量的事件进行分析和处理，确保能在第一时间发现和响应安全威胁，系统必须具有强大的关键风险识别能力。5.2.1 关联分析机制 基于优先级的风险计算模型为准确识别安全风险有效降低误报率，系统应按照不同的风险级别标识安全事件，并根据风险计算模型计算风险优先级。该模型能够基于事件的威胁级别、目标资产影响的严重度、目标资产的风险可信程度以及攻击者的历史威胁记录等对安全事件进行优先级计算和响应。同时，应支持用户自定义风险计算公式中计算元素的权重比例。 基于状态式关联场景的分析技术r 提供基于内存的状态式关联分析引擎，保证数据在入库同时就能进行实时的关联分析；r 关联对象包括威胁信息、目标资产模型和弱点信息等。其中威胁信息包括经格式化的原始日志信息、关联规则产生的告警信息、各种预警事件（如：网管的预警或其他安管的预警）以及活动历史状态信息；资产模型则包括目标资产对业务的影响严重度、资产相关的CIA属性、资产功能用途或业务角色等；而弱点信息则包括开放的服务端口、CVE漏洞以及客户所制定的安全策略基线等；r 活动的序列状态分析和多状态对比分析，能构建复杂的“与或非”活动关系的威胁场景；r 支持跨设备、多事件和异构系统之间的关联分析技术；r 关联历史活动的威胁信息或威胁状态，能满足客户大时间窗的综合关联分析要求和性能满足，时间窗在不影响正常运行的基础上能支持1年左右的管理需求；r 支持关联分析告警结果再次参与其他关联规则进行二次分析。r 多级预警的再次关联分析，如果存在二级分支或区域中心的层次架构，其二级分支或区域中心的安全预警能发送到总部进行关联分析，而总部产生的全局预警也能发送到二级分支或区域中心进行安全预警。 基于事件流异常对比的分析技术r 基于事件活动的趋势，采用数据统计算法（如：移动均值、峰值、居前值、状态灯等算法）对其进行异常判断，并在符合条件的基础上产生预警；r 支持对多个事件流进行特征比对从而发现其异常不一致的特点，并触发预警； 基于数据挖掘的场景分析技术基于数据挖掘的威胁发现功能用来检测到隐藏在事件流中的细微、专门或长期的威胁模式，能够建立并遮蔽正常的通信，以突出新的或异常的通信。使用此方法可以进行非常早期和细致的检测。该技术能够发现以前未识别到的模式，并且能够进行灵活的定制，具体要求如下：r 对所收集的事件活动进行数据挖掘，帮助建立客户的威胁活动模型；r 定制计划自动完成威胁模型的数据挖掘；r 符合异常数据模型时自动触发预警或创建关联规则；r 其产生的预警事件能直接加入到状态式关联分析中。 关联报表统计数据的分析技术报表统计是安全分析和发现的另一种有效手段。报表通过对大量或长期的数据进行统计、排名和图示，从而辅助安全人员发现潜在或长期的攻击事件、安全威胁。因此报表统计的数据具备极高的价值，此类数据应能够用于参与关联分析，即要求系统支持关联场景与报表统计数据进行关联。 基于用户活动及状态的分析技术为增强企业信息系统安全性有效降低内部威胁，系统应提供与身份管理系统IDM联动的接口，对用户活动及状态进行关联分析，如：从活动目录中提取身份、角色、雇佣类型、部门等信息，进而与安全事件中用户信息进行关联。r 基于角色的访问控制：通过监控实际分配给用户的角色和权限的情况，来审计用户被分配的角色和权限是否适当；r 基于角色的违规活动的监控：通过监控用户的访问行为，来审计用户访问的资产是不是他们应该访问的资产；r 通过监控用户对应用和业务系统的访问活动，来识别用户身份，从而实现统一、实时地监控用户活动；r 通过将用户的身份与网络活动进行关联分析，来审计哪些用户活动是可疑的，需要监控的；r 监控用户信息的变更情况，例如员工所属部门的变更，员工部门的变更通常会带来权限变更问题。5.2.2 关联分析对象关联分析的实现基于关联规则，参与关联规则分析的对象应包括：r 经格式化标准化的原始日志的所有字段信息；r 层次式（多级管理）的告警信息；r 目标资产漏洞信息；r 目标资产的服务端口；r 目标资产价值优先级；r 资产其它自定义属性；r 历史的安全风险状态；r 安全事件或攻击活动的历史信息；r 关联规则产生的告警信息；r 外部安全组织的预警或告警信息；r 要求支持对中文字符匹配的关联分析；5.2.3 关联分析策略r 系统缺省的关联规则应涉及涵盖外部威胁、内部威胁和平台自身健康运行等；r 基于合规要求的关联分析规则；r 支持关联规则的自定义配置或修改；r 支持定制不依赖设备厂商、产品的关联规则；r 关联分析的归并条件自定义功能，其自定义条件包括：归并的字段、归并的时窗值、归并事件数阀值和归并并应继承的字段等；r 触发告警的动作条件应包含：第一个事件、后续事件、每个事件、第一个阈值、后续阈值、每个阈值、时间单位、时窗过期；r 关联规则支持触发以下动作：产生告警信息、自定应告警信息内容、发送通知、执行命令、导出到外部系统、创建工单、将相关事件录入历史信息列表等；5.3 安全风险监控安全信息事件管理系统应具备丰富的展现功能，能够从多个视角进行丰富的可视化展现，要求功能如下：5.3.1 管理方式r 支持C/S的安全管理方式，客户端支持Windows、Linux、MacOS等操作系统；r 支持B/S的安全管理方式，应支持包括Mircrosoft IE等浏览器；r 支持安全管理通讯过程的传输加密；r 支持全中文的安全管理界面。5.3.2 监控展现 基于资产安全信息的监控r 支持基于资产类别属性统计的监控展现；r 支持基于资产属性变更的监控展现；r 支持基于资产网络信息、业务信息的监控展现；r 支持基于资产漏洞信息的监控展现；r 支持基于资产受风险影响的监控展现； 基于威胁活动影响的监控r 支持基于列表方式监控查看威胁活动，无论是收集的事件还是关联告警产生的信息；r 支持基于地理视图的风险监控展现，以辅助安全管理人员从地理视角迅速确定威胁产生的源和受影响的目标；r 支持基于网络拓扑图的风险监控展现，以便管理人员能够直观地从网络视角监控和分析安全风险活动；r 支持基于业务流视图的风险监控展现，以帮助管理人员从IT业务流程层面对受到风险影响的业务节点进行安全监控；r 支持用户根据自身网络拓扑和业务流程自定义监控展现视图；r 支持基于层级结构图的安全风险方式展现；r 支持基于居前值统计的安全风险展现方式；r 支持基于最近N个事件的安全风险展现方式；r 支持基于风险和互动趋势的安全风险展现方式；r 支持以图形方式追溯和查看关联事件触发的过程；r 支持以图形方式监控回放安全事件的攻击路径；r 为了方便用户查看和分析某一段时间内的事件 ，支持快照功能从而获取某一时刻的静态断面，如：启动、暂停、终止、刷新监控面板和视图；r 支持用户自定义信息展现的过滤条件，如时间、IP、严重度等所有事件相关的字段条件；r 允许管理维护人员制定过滤条件，也支持调用历史过滤条件；并能和其他操作维护人员共享过滤条件；r 监控视图支持列表、条形图、饼图、条形图、柱状图、雷达图等；r 允许自定义每个监控节点的可视化条件，并且能与登录人员的事件访问权限直接进行关联，保证只能看到权限允许的信息；r 多级的视图Drilldown功能，支持用户从一级视图跳转到二级视图进行安全事件查询和分析；r 支持多用户多窗口监控展现安全事件，不同显示窗口应可以分别指定过滤条件。 基于事故响应状态的监控r 支持动态监控展现安全工单的名称、类型和处理进展等信息；r 支持监控展现事故工单严重度及优先级；r 支持监控展现最新触发的事故工单信息；r 支持监控展现事故工单触发的活动趋势；r 支持监控展现等待时间最长的工单信息；r 支持监控展现安全管理人员平均工单处理时间； 基于平台自身性能的监控r 支持通过列表或视图方式监控日志收集代理的工作状态，如：启动、重启、暂停、停止等信息；r 支持通过列表或视图方式监控平台自身事件收集、处理的性能；r 支持实时监控平台自身数据库性能，如表空间、数据访问命中率、数据插入成功率等；r 支持实时监控平台自身CPU、内存等资源占用情况；r 支持实时监控平台自身报表统计、关联规则等资源占用情况；5.3.3 安全报表为了能有效地满足安全取证、策略优化、风险监控、服务质量改善和合规满足等安全要求，安全报表管理应满足如下功能： 统计的全面性r 支持定制适合各种类型用户的需求，不同的用户都可以查阅到相关的报表，如适合管理员的运行报表，反映系统各个侧面地分析报表，以及高层管理人员查阅的统计报表；r 支持对所收集的各种风险信息进行统计，包括资产信息、漏洞信息、威胁活动信息以及工单响应信息等； 统计的多样性r 报表支持表格和图形的方式展现，如直方图、曲线图、饼图、三维堆积图、折线图、雷达图等；r 可以产生日报表，周报表，月报表，季度报表和年报表，也可以按照选定的一段时间生成报表；r 生成的报表可以按照标准的通用的报表格式进行保存和打印，例如PDF、CSV、HTML、RTF和HML等格式；r 报表功能要求支持图文混排格式，方便分析和查看；r 支持中文字符的报表内容和报表标题，便于管理员的使用和查询；r 为了减少配置的复杂性，满足该项要求，报表应支持WEB浏览器方式；r 系统应内置报表的编辑器功能，如：创建、修改、删除和运行报表等；r 支持报表运行结束后按照指定方式进行通知管理员，如邮件等；r 报表可以即时手工生成，也可以按计划生成；同时对存档的报表使用期限进行设置，节省有限存储资源。r 支持基于报告的报表展现功能，即一份报告包含多个图、表、文字，展现多组数据。 统计的高效性r 支持趋势统计的报表功能，通过周期性的中间数据统计满足对长期数据进行快速有效的统计要求，如：安全分析所需的月报、季报和年报等；r 支持实时展现的报表功能，通过固定时间窗的数据统计将临时的报表结果进行列表或图形化的展现和更新，这样能很好地便于安全监控人员的监控风险的趋势状态；r 支持数据分享式统计的报表功能，允许用户基于已产生的报表数据结果进行二次统计，从而提高效率，节约时间；r 支持增量式统计的报表功能，允许比对相同报表多次运行的统计结果从而比较差异。 统计的灵活性r 支持对报表模板的内容和结构的自定义，能根据不同用户的最终报告要求，内置多个报表，并且能按照最终的报告格式进行预定义和排版，便于提高相关人员的使用效率；r 为增强报表灵活性和可移植性，系统应支持报表数据和报表展现方式（模板）独立配置；r 支持报表模板管理功能，报表系统能够对已经生成的报表模板进行分类管理，支持对报表模板类别和报表模板本身做增/删/改等操作。r 支持向第三方报表系统提供数据统计的访问接口，从而实现第三方报表系统对安全管理平台相关数据集中的查询、统计和展现等报表功能。5.4 安全风险响应5.4.1 安全工单管理安全工单管理主要是实现事故的流程化处理功能，从而提高用户在信息安全管理方面的工作效率。因此安全工单管理应具备如下功能：r 支持用户自定义安全规则自动触发工单；r 支持用户根据安全告警手工触发工单；r 工单流程应至少包括：开始、等待、处理、结束等阶段；r 工单处理状态信息发生变化时应及时通知相关人员。5.4.2 事件批注管理对产生的关联告警事件，能够进行批注（更复杂的响应可以通过工单系统实现），事件批注应满足：r 支持图形化事件批注管理界面；r 支持用户自定义事件批注阶段名称和先后关系，如排队、处理、结束、关闭等；r 事件批注状态能够在事件字段中进行标识；r 批注的事件状态可以通过报表等方式进行统计。5.4.3 安全通告管理安全通告管理将根据预定的事故处理流程、人员和时间要求，对其安全预警进行自动的及时通知，因此安全通告管理应具备如下功能：r 能按照不同的处理流程和处理时间要求设定不同的通知组；r 支持事件处理自动升级机制，如安全告警在规定时间未得到处理则自动提升级别，并通知高级别管理人员；r 安全通告的方式应包括邮件、管理界面提示等；r 对安全通告的确认方式能支持多种，应包括：基于C/S的界面确认、基于B/S的界面确认和邮件直接回复确认等；r 支持自定义通告的邮件模板内容，并且能根据告警的事件信息的内容进行邮件模板的选择。5.4.4 告警响应管理r 支持产生一个新的预警事件或转发给第三方管理系统进行分析；r 支持对预警信息的内容进行自定义修改；r 支持对预警的风险信息和数据进行状态表的维护，如：可新增一个信息记录，也可删除一个信息记录，同时还能对一个会话进行跟踪维护；r 支持发送一个安全通告给相关的处理用户组；r 支持触发和更新一个工单记录，同时也可发送到外部的工单处理系统，比如Remedy；r 支持外部的技术响应接口，如：调用外部程序联动交换机防火墙等。5.4.5 响应程序管理r 支持自定义的脚本或程序调用、URL调用和专用威胁响应安全工具的策略调用等技术响应接口；r 这些技术响应接口配置参数至少能在C/S管理监控界面进行集中管理的功能，应包括技术响应接口（如：自定义的脚本）配置的添加、修改和删除等功能；r 对这些技术响应接口配置参数进行权限管理功能，应保证只有授权的用户才能对这些配置参数进行管理、执行和查看，并且权限应能细分到不同的管理监控界面，从而保证技术响应接口调用的安全性。r 对响应程序和接口的调用，应有完整的安全审计记录，以确保在出现意外的情况下调查分析有据可依。5.4.6 安全知识管理r 支持系统提供知识库管理功能；r 支持用户编写知识库文章和链接外部URL参考文章；r 支持将工单、资产、漏洞、风险等与知识库关联。5.5 综合日志管理关联分析一般仅针对短期的数据进行分析，因此涉及到长期数据存储和检索时需要采用专用的日志管理技术。日志管理模块用来进行日志的集中存储和快速取证查询，应具备如下功能或要求：5.5.1 存储管理r 自动化的存储策略：能够将不同类型的日志按照不同的保存期限分别进行存储，以满足监管部门提出的数据保存期限的要求。配合归档数据到外部存储介质可以实现存储的最大灵活性和经济性。并且这些策略会自动执行，无需手动处理或干预；r 多种的存储方式：具备三级日志存储结构，即日志数据的在线存储、随时可载入/卸载的近线性归档和过期数据的安全废弃。除了本地存储外，同时支持CIFS、NFS、SAN等存储方式；5.5.2 查询分析r 查询：提供基于 Web 的搜索，界面简单易用，可执行Google-Like方式的搜索，也可以图形化的方式定制高级、灵活的查询条件；r 支持海量日志高速检索功能，至少每秒钟检索记录300万行以上；r 具备向下钻取（Drill-down）和钻过（Dr