东软itil解决方案

ITIL详细解决方案目 录1项目概述41.1项目背景41.2方案设计原则51.3方案建设目标62方案设计思路63IT综合运维管理平台体系架构74信息资产监控管理94.1主机设备监控管理104.2安全设备监控管理114.3业务系统监控管理114.4数据库系统监控管理125网络系统监控管理135.1网络拓扑自动发现135.2网络拓扑管理145.3网络设备监控管理155.4网络异常流量监控和分析155.5上网行为监控管理196网络安全综合监控管理196.1漏洞状态监控管理196.2补丁更新监控管理216.3安全事件信息监控226.4事件综合关联分析247IT运维管理系统267.1事件处理流程管理267.2安全策略管理287.3风险预警展示307.4综合报表系统328知识库系统338.1漏洞库338.2补丁库338.3技术知识库338.4工具软件库348.5政策法规库349用户与权限管理3410系统性能指标3510.1处理能力3510.2扩展性3510.3易操作性3510.4可靠性3610.5可维护性3610.6时间同步3611产品规格3612产品部署381 项目概述1.1 项目背景公司在市局公司领导的高度重视下，近年来，在加速信息化建设方面取得了显著的成效，并已走到了同行业前列，目前，公司的整个生产经营均已和信息化平台紧密相联，无论是营销专卖、日常办公、财务管理、还是宏观决策等等。随着未来信息化建设的不断深入和扩展，如何进一步加强信息化平台的稳定性、可靠性和安全性，将成为未来信息化建设需要考虑的重点问题。公司近年来在保障信息安全方面的建设也取得了积极的进展，目前已在全网部署了防火墙、VPN、以及防病毒系统等安全控制措施，在市局核心区域还部署了IDS、漏洞扫描等安全状态监控工具，另外还实施了专业的安全服务，为确保全市及各区局信息化平台的稳定高效运行提供了有力的基础保障。但是，近年来的几次大规模蠕虫病毒爆发事件，让我们深刻感受到目前公司信息安全的建设仍然存在有不足，具体表现为：1) 单靠防病毒软件的事后查杀，无法防御大规模爆发的恶性蠕虫病毒。2) 终端主机零乱繁多，缺乏清晰统一的安全管理。3) 全市（含各区县）公司的网络及异常流量状况缺少有效的集中监控管理手段。4) 目前已在全市（含各区县）公司部署了防病毒、防火墙、VPN、IDS、漏洞扫描等多种安全设备系统，如何加强集中统一的监控管理已成为一个头疼问题。5) 对于突发安全事件的处理，缺乏快速有效的工作流程和操作指导，一旦发生重大安全事故，很难有针对性的迅速解决。针对上述问题的解决，需要进一步加强网络状况及网络流量的监控管理、加强终端主机的安全管理、以及加强网络安全体系的综合监控管理，并建立起合理有效的网络安全运维处理流程和机制。这也正是本次IT综合运维管理平台建设项目所要实现的目标。1.2 方案设计原则在本次IT综合运维管理平台项目的方案设计中，我们遵循了以下的原则：n 先进性原则以成熟的IT安全子系统为基础，提出最新的IT综合运维管理平台的概念，将安全管理和安全技术有效衔接，并根据客户需求，与客户业务网络深入结合，从而保证系统的先进性，以适应未来数据发展的需要。n 整体安全和全网统一的原则IT综合运维管理平台系统设计从一个完整的安全体系结构出发，综合考虑信息网络的各种实体和各个环节，综合使用不同层次的不同安全手段，为信息网络和安全业务提供全方位的管理和服务。n 标准化原则参考国内外权威的安全技术与管理体系的相关标准进行方案的设计和产品的选型。整个系统安全地互联互通。n 技术和管理相结合原则各种安全技术应该与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合，从社会工程学的角度综合考虑。n 安全性原则在IT综合运维管理平台建设中，系统平台采用成熟可靠的技术和产品，同时再配合以完善的项目控制规范和质量保证体系，从而保证IT综合运维管理平台开发和运行的安全性。n 可扩展性原则为方便满足网络规模和安全功能的扩展，本设计方案考虑了网络新技术和业务发展的扩充要求，本方案所设计的平台系统具有灵活的扩展能力，并且能够具备定期升级，不中断业务应用服务的能力。n 开放性原则IT综合运维管理平台的运行需要与多种设备协调，如：主机设备、网络设备、安全设备等等，该平台提供了一定的开放性以适应与相关设备和系统的适应。1.3 方案建设目标依托NetEye IT运维管理平台为基础，融合内网综合管理系统、入侵防御系统、防病毒网关、上网行为管理系统等，构成统一的IT综合运维管理平台。通过该平台进行统一的网络状况及网络流量的监控管理、终端主机的安全管理、网络安全体系的综合监控管理，并基于该平台建立起完善的网络安全运维处理流程和机制。2 方案设计思路根据的实际需求，并借鉴和吸收其它省公司的建设经验，通过构建一套先进、完善的综合IT安全运维管理平台，集中采集信息系统的日志信息、配置信息、性能信息、流量信息、安全信息等，实时监控主机系统、网络系统、业务系统、数据库系统、安全系统的运行状况，并进行智能化的关联分析，找出IT威胁事件的根本原因，同时还可自动触发IT工单系统，督促相关责任人进行快速处理。IT综合运维管理平台以NetEyeIT运维管理平台为基础进行建设。该平台以信息资产为核心，以风险管理为主要途径，通过技术手段提升网络安全管理成熟度，建立主动安全防御体系、有效降低安全风险。1). 此平台是一个以资产为核心的管理体系，首先需要完成包括主机设备、网络设备、业务系统、数据库系统在内的资产调查，建立资产数据库，进行资产管理，通过对信息资产进行风险评估，可以清楚的展示出组织当前的安全状况和安全风险。2). 此平台是为网管人员提供检测和管理组织网络安全的技术手段，其通过风险管理展示了组织当前的网络安全风险状况，同时给出降低安全风险的方法，驱动IT维护人员进行降低安全风险、解决安全问题的工作，使得管理员能够将降低安全风险在安全事件发生之前，在日常工作中有效的完成，并且可以降低组织的管理成本。3). 此平台为组织提供了完善的工单流程，能够高效的协调IT人员。平台通过验证和审核安全维护的行为（包括IT维护人员，信息资产的相关责任人的行为），防止人员在安全方面的疏忽，强调每个人都要遵守的安全规则，确保组织的安全策略得到落实。4). 此平台特有的异常流量检测功能，支持多种方式从多种骨干网络设备采取骨干链路的流量，实时展示和监控全网网络流量状况，并及时对DDOS攻击、大规模蠕虫爆发、垃圾邮件、P2P应用等严重消耗网络带宽资源的非法流量进行识别和报警。3 IT综合运维管理平台体系架构为了充分满足的实际需求，本方案所设计的IT综合运维管理平台从体系架构上可分为数据采集平台、监控管理平台、运维管理平台三个层面，各个层面包括了多个功能模块或子系统，从而共同组成IT综合运维管理平台。IT综合运维管理平台的整体架构示意图如下：IT综合运维管理平台运维管理平台运维管理系统知识库系统安全策略管理政策法规库风险预警展示漏洞库工单处理流程管理补丁库技术知识库综合报表管理软件工具库监控管理平台安全事件信息监控事件综合关联分析网络设备监控管理网络异常流量监控网络拓扑自动发现主机设备监控管理漏洞状况监控管理数据库系统监控管理补丁更新监控管理业务系统监控管理信息资产监控管理安全设备监控管理网络系统监控管理网络安全综合监控管理上网行为监控管理安全信息采集日志采集性能采集配置采集流量采集数据采集平台n 数据采集平台：根据系统指定的策略负责从网络设备、安全设备、主机系统等数据来源采集各种安全告警、日志信息。n 监控管理平台：将采集到的原始安全信息根据策略进行整理、归类和统一标准格式化，并结合信息资产的安全保护等级进行智能化的综合关联分析，科学合理的定义IT事件的性质和处理级别。n 运维管理平台：实现NetEye IT运维管理平台的统一界面展示和运维管理。通过统一的图形化管理界面，NetEye IT运维管理平台实现了安全监控、维护、管理、展示的全部功能。4 信息资产监控管理保护信息资产是安全管理体系建设的核心目标，所有信息的存放，例如事件、漏洞都是以资产的视角来查看的，因此资产管理是IT运维管理平台的核心，是开展安全运维管理工作的基础。NetEyeIT运维管理平台管理的资产包括主机设备、网络设备、业务系统、数据库系统等在内所有资产。NetEyeIT运维管理平台可帮助组织视觉化的直观掌控自己的资产，快速确定资产分布、资产的商业价值以及资产的重要性，组织可以根据资产价值及其重要性进行安全域的划分，或者根据信息资产的类别进行类别划分，进而进行相应的保护等级保护。资产管理功能参照了ISO 17799对信息资产的描述和定义，并结合组织的基本情况进行资产的分类和登记，不仅可以协助安全人员有效管理信息资产的各类属性，同时也便于贯彻即将强制推行的公安部等级保护规范。NetEye IT运维管理平台提供灵活、方便的Web方式，供管理员它将其所辖IP设备资产信息按其重要程度进行分类和登记入库，为其他安全管理模块提供信息接口。资产信息管理的主要功能是对资产的分类管理、资产信息的录入和导入、资产信息赋值、资产属性的编辑等功能。资产信息的属性包括：资产编号、资产名称、资产类型、所属安全域、操作系统、资产价值、生产厂家、资产负责人、接口数目、接口详细信息、IP地址、MAC地址、资产关注人、资产开放的端口情况等。资产信息的来源包括自动、手工和由其他系统导入等多种方式，资产管理模块通过与平台的其它模块，如风险管理、脆弱性分析、安全事件等模块关联后，进行资产风险变化趋势、脆弱性分析状况和安全事件统计的展示。4.1 主机设备监控管理登记和显示全市（含各区县）所有服务器和终端主机的资产信息，形成主机系统资产信息库，方便管理人员确认主机系统的资产状况。通过在每个前端设备上部署Agent实现主机设备信息的采集。Agent负责实时采集前端设备的资源指标，包括CPU使用情况，内存的使用情况，网络连接使用情况和磁盘空间使用情况，汇总到统一管理平台。统一管理平台通过程序接口访问数据库获取主要监测数据，进行数据入库和展现。统一管理平台实时监控主机系统的运行状况，当主机系统出现异常时，及时产生预警信息，并可自动触发工单系统督促相关责任人进行快速处理。支持AIX服务器系统、Windows2000/2003服务器系统、Windows2000/XP终端系统、Linux系统、Solaris服务器系统等。4.2 安全设备监控管理登记和显示全市（含各区县）所有安全设备的资产信息，形成安全设备资产信息库，方便管理人员确认安全设备的资产状况。实时监控安全设备的运行状况，当安全设备出现异常时，及时产生告警信息，并可自动触发工单系统督促相关责任人进行快速处理。支持东软NetEye防火墙、NetEye VPN、NetEye 入侵检测、东软-诺基亚防火墙、天融信FW4000防火墙、榕基RJ-iTOP漏洞扫描系统、趋势OfficeScan防病毒系统等。支持SNMP、Syslog、日志文件、ODBC/JDBC等信息收集方式，并可自定义信息收集条件。4.3 业务系统监控管理登记和显示所有业务系统信息，包括：营销管理系统、专卖管理系统、宏观管理系统、客户关系管理系统、领导查询系统、OA系统等，形成业务系统资产信息库，包括业务系统运行软硬件平台、业务系统运行和维护责任人等。同时，结合国家等级保护政策要求，清晰划分业务系统的安全保护等级。业务系统模块主要是监测当前业务系统的功能是否正常，功能访问排行，在设定的时间段内执行的各种操作的次数、每个操作的总时间消耗和在系统各部件的时间消耗、不同客户端执行同样操作完成时间的比较等。n 监测系统功能是否正常通过采集 Agent的探测实现。Agent定期进行各个关键功能的访问，并把探测的数据发送到统一管理平台。由统一管理平台的接收程序进行入库，同时在界面进行展现。n 系统运行日志监测通过程序访问业务系统的数据库和相关日志实现，对业务系统运行过程中的关键情况、运行错误情况进行数据采集和监测。n 业务系统模拟测试对业务应用系统能进行模拟测试，及时了解业务应用系统的当前可用性，同时通过模拟用户测试，及时了解当前业务应用系统的性能瓶径，避免业务应用系统出现重大应用问题。当业务系统出现异常时，及时产生告警信息，并可自动触发工单系统督促相关责任人进行快速处理。4.4 数据库系统监控管理登记和显示所有数据库系统的信息，形成数据库资产信息库，包括数据库运行的软硬件平台、数据库运行和维护责任人等。通过在数据库所在机器上部署Agent和数据库访问接口方式实现，Agent定期发送数据库的性能情况到运维平台。其中发送的内容包括数据库进程启动情况，日常运行日志，表空间的使用情况，数据库Session情况，数据库系统设计的文件存储空间、系统资源的使用率、配置情况、数据库当前的各种锁资源情况、监控数据库进程的状态、进程所占内存空间等。当数据库系统出现异常时，及时产生告警信息，并可自动触发工单系统督促相关责任人进行快速处理。支持DB2、SQL等数据库系统。5 网络系统监控管理5.1 网络拓扑自动发现自动发现是系统拓扑中非常重要的一个功能，它能够自动识别设备类型，包括各种服务器类型、路由器、交换机、等等，以及它们之间的关系，并且自动将它们存储到公用对象库中对应的类中。网络管理人员通过图形管理界面能够直观的查询网络拓扑关系。自动发现顺序有三种发现方式，包括ICMP、SNMP、CDP、其中ICMP是按照IP地址，将子网内的各个主机节点逐一发现，它的发现内容最全面，但是耗时也是最长，视子网内主机数量而定。SNMP和CDP主要是用来搜索网络内的路由器、交换机等网络设备。拓扑自动发现可以分为两个阶段。系统拓扑自动发现第一阶段是勾勒整个网络基本框架阶段从某一路由器出发，将与该路由器相连接的子网和其他路由器搜索出来，构建出网络框架。系统拓扑自动发现第二阶段丰富完善网络结构阶段从已经搜索出的网络设备继续延伸搜索，包括子网中的主机，直至将整个网络拓扑图搜索完整，全面呈现网络拓扑结构，时实显示网络设备、服务器和PC机的运行状况和资源状况。通过对网络设备的运行状况进行监测，网络管理人员可及时了解设备资源使用情况，并可通过设备面板图对网络设备进行远程操作。系统全面支持SNMP V1、V2和V3，轮询代理每隔一定的时间就向每一发现的设备发出IP Ping请求。在设备作出响应或停止响应时，轮询代理将向系统服务器发送信息报告设备的状态变化。轮询代理也可以轮询任何SNMP变量的值以确定有响应设备的内部状态。系统通过自动发现和轮循，可自动生成网络拓扑图，完整展现其网络的拓扑结构。通过自动拓扑图，管理人员可直接查看服务器或网络设备的运行状态、性能状况，对网络的资源状况有一个总体全面的了解。5.2 网络拓扑管理拓扑管理作为网络管理的基本功能，是网管中最基本的也是最重要的组成部分之一。一般情况下，网络管理系统首先都要进行必要的拓扑发现、拓扑监控、拓扑操作，从而充分了解网络系统的运行情况。拓扑管理实现如下具体功能：1）自动发现网络设备及其连接，获取最初的网络信息；网络设备的初始发现。系统能够自动发现网络节点 （包括路由器，交换机和第二层的交换设备等），检测网络设备连接，生成和保持TCP/IP网络图。在网络拓扑发现过程中不需要人工干预；2）自动发现轮询间隔灵活设定用户可以根据管理需要自行设定网络设备自动发现轮询时间间隔，最小时间间隔1分钟。这样当网络设备变化时，系统自动发现，并变更视图；3）提供各类网络监控视图，使管理员可以直观的了解网络当前运行状况；通过多种角度的监控视图，管理员可以从不同视角、不同深度了解网络的运行状况，从而发现潜在问题，了解网络运行情况。当网络出现异常时，可以调用详细的网络扩展监控视图，实现网络故障的诊断。4）网络拓扑展现n 自动生成网络拓扑结构n 网络拓扑监控、节点健康状况监控；监控时间间隔用户根据管理需要来分别设定。n 可对网络发现、拓扑结构和网络地图设置过滤器。n 拖放功能n 放大和缩小功能n 持续监控网络的工作状况n 新节点增加n 节点状态变化n 网络连接变化n 定制视图（自定义地图）5.3 网络设备监控管理登记和显示全市（含各区县）所有网络设备的软硬件信息，形成网络设备资产信息库，方便管理人员确认网络设备的资产状况。通过SNMP数据采集方式，采集用户关心的网络设备的MIB数据，实时监控网络设备的运行情况。同时能及时接收到网络的各类告警信息。另外，采用轮巡巡检的方式，了解当前各网络设备及端口的通断情况。当网络设备出现异常时，及时产生告警信息，并可自动触发工单系统督促相关责任人进行快速处理。支持思科、华为全系列路由器及交换机系统等。5.4 网络异常流量监控和分析异常流量管理模块采用NetEye NTars作为流量分析检测引擎，对系统网络流量信息或系统信息的进行提取、收集、整理、归类、分析，实时监控、检测系统网络中DOS/DDOS攻击、蠕虫病毒、垃圾邮件及其他网络滥用事件，提取异常特征，并启动报警和响应系统进行阻断和防御。异常流量管理模块面向管理员提供流量分布、流量异常特征、攻击响应、应用层服务等各类网络运行状况的统计分析数据，从而有效帮助管理员更好地监控和掌握系统网络的使用情况。异常流量模块通过分光/分路、镜像、探针等方式从系统网络中采集网络流量，对系统网通信状况进行实时监控，利用特征知识库，采用流量分析、攻击检测、协议分析、行为分析、内容分析等技术，检测网络异常和网络攻击，并把相应统计分析数据汇总到数据中心，备份存储，面向管理员，提供流量趋势、网络状况、事件报告等的网络信息审计。如果发现攻击和网络异常，启动响应组件。响应组件根据相应策略，对DOS/DDOS攻击、蠕虫与病毒攻击、垃圾邮件、非法访问等进行阻断和防御。检测引擎工作原理分析引擎组件的主要功能包括流量数据采集，流量监控和分析，报警报告，启动响应组件等。分析引擎采用旁路工作，TCP/IP协议第四层（L4）以下分析与L4以上深度分析相结合的工作方式。旁路工作在网络中，尤其大型链路，进行“串接型”的网络接入实现检测控制往往是得不偿失的，单个故障点的出现以及线路吞吐速率的降低将直接影响到整个网络系统的可用性和稳定性。因此，NetEye分析引擎主要采用旁路接入的方式进行部署，通过分光/分路、镜像、探针等方式实现对NetFlow、SNMP等的网络流量和原始数据采集。旁路部署的工作方式对原有网络拓扑/设备稳定性影响最小，充分保证重要网络的高可用性要求。传输层以下分析传输层以下分析主要是基于NetFlow(cflowd，Sflow，NetStream)或SNMP的流量分析技术，即通过NetFlow/SNMP协议采集网络设备上的数据流量信息，进行分析。基于NetFlow的流量分析技术。NetFlow流量信息采集是基于网络设备提供的Netflow机制实现的网络流量信息采集。NetFlow是一种数据交换方式，其工作原理是：NetFlow利用标准的交换模式处理数据流的第一个IP包数据，记录下IP协议类型、服务种类（ToS）、接口标识等信息，生成NetFlow缓存，随后同样的数据基于缓存信息在同一个数据流中进行传输，不再匹配相关的访问控制等策略，NetFlow缓存同时包含了随后数据流的统计信息。一个NetFlow流定义为在一个源IP地址和目的IP地址间传输的单向数据包流，且所有数据包具有共同的传输层源、目的端口号。基于SNMP的流量信息采集，实质上是通过提取网络设备Agent提供的MIB（管理对象信息库）中收集一些具体设备及流量信息有关的变量。基于SNMP收集的网络流量信息包括：输入字节数、输入非广播包数、输入广播包数、输入包丢弃数、输入包错误数、输入未知协议包数、输出字节数、输出非广播包数、输出广播包数、输出包丢弃数、输出包错误数、输出队长等。 深度分析对于通过NetFlow/Sflow等采集的数据主要是一些流量的TCP/IP协议第四层以下的信息，一般只包括包头等信息。为了能够更准确的分析异常流量的种类、进行应用分析，需要获取数据包的全部内容（原始的数据包）。深度分析主要是基于网络原始数据包的流量分析技术，即通过网络流量的全镜像采集网络设备上的原始数据包的流量信息，进行分析。深度分析的原理是通过路由器/交换机等网络设备的端口镜像或者通过分光/分路器、网络探针等附加设备，实现网络流量的无损复制和镜像采集。和其它两种流量采集方式相比，流量镜像采集的最大特点是能够提供丰富的应用层信息。在流量分析基础上，通过对原始数据包进行应用层的信息检测，包括蠕虫病毒、垃圾邮件、应用类型等检测，找到攻击或异常流量源头的网络接口信息、路由信息直至发起的通信源目的地址等。异常流量实时分析实时检测因大量数据包的泛滥式攻击造成的网络流量异常，包括网络中的DOS/DDOS攻击、蠕虫病毒、大量的垃圾邮件等异常流量。对于已经建立流量基线数据的情况，在当前流量与基线数据的差别超过设置的阈值时，会被认为可能是异常流量，将会产生相应级别的告警信息，通知管理员；对于还没有建立流量基线数据的情况，对通信流量排名前10位的（用户可以更改，也可以根据某类应用的数据流量排名）通知管理员。同时系统将进行深度检测，获取潜在异常流量产生的源、目的通信的原始数据包，以进行深度的检测，通过攻击检测查看是否是垃圾邮件、拒绝服务攻击、病毒等异常流量。流量趋势预警实时监控、分析网络的通信流量情况，及时提供关于流量变化趋势的报表，显示网络运行状况，为网络优化和网络安全检测提供数据支持。用户可以根据自身的网络情况及其关注的主要内容，设置相应的监控参数，包括可以指定监控的源、目的IP地址，源、目的端口、数据包的传输速率等信息，并可以设置组合条件。系统内建数据库，可以进行长期监控，方便管理员了解网络的流量模型，建立流量基线数据，为深度的安全检测提供数据基础，并为网络的优化提供依据。流量异常预警，即通过设置预警的阈值，当流量超过阈值的时候及时报警并通知管理员。阈值可以设置成绝对流量，也可以设置成相对流量。攻击检测采用数据流智能重组，以数据流为对象，根据强大的攻击特征库，可以对多种DOS/DDOS攻击、蠕虫和病毒攻击、垃圾邮件进行检测，提供攻击报告和建议措施，包括各类攻击的详细内容和可采取的安全措施。通信行为分析采用应用层内容检测、协议解码分析、行为分析等多种检测技术，实现对网络通信行为的检测分析。提供攻击报告和建议措施，包括各类攻击的详细内容和可采取的安全措施。n 内容检测：针对网络应用协议，如HTTP、FTP、SMTP、POP3、TELNET、NNTP、IMAP、DNS、Rlogin、Rsh、MSN、Yahoo MSG等，进行通信过程和内容的分析，便于了解攻击过程、监控网络资源的滥用、发现未知攻击；n 协议解码分析：通过对数据包的捕获和协议解码分析，实现对通信行为的深度检测。通过深度解码分析，可以检测异常协议，从而检测隐秘式攻击；n 行为分析：通过对网络通信的行为、方式、特征等进行统计学分析，建立行为分析模型，基于模型对异常通信情况进行识别。通信服务质量实时监控通过对网络流量的实时监控，提供多种详细的实时流量分析报表信息，显示网络通信和运行状况，便于管理员掌握全网运行状况和通信服务质量，发现对网络资源的滥用，并在必要时，及时做出调整和优化的策略，有效保证关键业务安全稳定的正常运营。攻击实时响应对于检测到的异常流量，将会产生相应级别的告警信息及建议措施，通知管理员；同时对异常流量进行隔离，与合法流量分开，代表正常业务的合法流量继续转发到目的地，而异常流量则进一步重点监控，通过对原始数据包的深度检测，分析获取DOS/DDOS攻击、蠕虫病毒、垃圾邮件等的信息，并根据安全策略，启动分布式部署的DDOS Blocker、防火墙、防垃圾邮件系统等安全设备对各种异常流量进行防御，包括阻断、删除等。网络信息审计强大的网络信息审计功能，可以全面收集网络系统信息，详细记录网络活动和应用连接的历史信息。攻击报告提供识别到的异常流量和各类攻击的详细内容，包括攻击特征、异常流量特征等。通过数据挖掘和数据仓库，对于异常流量的监控、检测、分析和响应均形成完整的网络审计日志，便于管理员对系统网络的运行和使用情况进行全面地监控、记录、审计和重放，为进一步审核和调整安全策略提供依据。5.5 上网行为监控管理可以将上网行为监控管理系统的管理配置信息等集成到IT综合运维管理平台展示界面中，实时展示上网行为监控信息。当发现有违反安全策略的行为时，可及时产生告警信息，并可自动触发工单系统督促相关责任人进行快速查处。6 网络安全综合监控管理6.1 漏洞状态监控管理本模块主要是针对重要的主机、网络和终端设备资产存在的安全脆弱性和可用脆弱性进行管理。脆弱性管理是针对资产存在的安全脆弱性和可用脆弱性脆弱漏洞而设定的收集和管理的功能。该模块具备漏洞扫描功能，实现对网络中主机系统和网络设备安全脆弱性信息的收集和管理，及时掌握网络中重要主机系统和网络设备的最新的脆弱性。脆弱性信息经过标准化后存放在相应数据库中，同时与资产信息直接关联，使得管理员对于每个资产的脆弱性一目了然。支持的扫描软件该平台支持以本地脚本方式的脆弱性采集，即：通过脚本自定义扫描任务计划驱动漏洞扫描软件按计划执行脆弱性收集工作，将扫描结果保存到关系型数据库，提供对扫描结果的查询，并展现到平台界面上。扫描软件支持：榕基RJ-iTOP漏洞扫描器、启明漏洞扫描器、Nessus等。扫描策略该平台支持制定多种扫描策略，策略内容包括：扫描周期、扫描范围、扫描详细策略等，亦可通过其它安全事件的监控信息自动生成扫描策略，来随时触发扫描动作。与工单系统关联通过制定策略，当扫描发现有高风险漏洞时，可及时产生告警信息，并可自动触发工单系统督促相关责任人进行快速处理。脆弱性展示该平台根据漏洞名称、漏洞等级、IP地址、资产名称等关键字对扫描结果进行统计分析, 从而在验证检测结果正确性的同时，将资产属性与其扫描结果结合起来，进行脆弱性展示。脆弱性信息包括：n 资产基本属性：资产名称、所属安全域、操作系统、IP地址、资产负责人；n 脆弱性信息：漏洞编号、漏洞名称、风险级别、受影响的操作系统、CVE编号、BugTraq编号、发现时间、漏洞描述、针对此漏洞的解决方案。脆弱性信息的统计展示，可通过以下方式实现：n 以坐标方式展示：横轴为脆弱性名称，纵轴为脆弱性发现的次数，不同的脆弱性用不同的颜色表示。n 以列表方式展示：显示TOP N脆弱性列表，以及每个脆弱性的详细信息。n 按风险级别展示：按照脆弱性的风险级别，分别显示：很高、高、中、低、很低，或者所有级别全部显示。n 脆弱性统计结果的输出，可以输出为： xls、pdf、txt、html等格式，或者直接通过输出为打印。6.2 补丁更新监控管理可以将内网综合管理系统的管理配置信息等集成到IT综合运维管理平台展示界面中，实时监控展示全网主机系统、网络系统、业务系统的补丁更新状况，当发现有违反补丁更新安全策略的系统存在时，可及时产生告警信息，并可自动触发工单系统督促相关责任人进行快速查处。6.3 安全事件信息监控安全事件信息监控管理实现了对安全事件的集中收集、管理和分析。主要的功能包括事件收集、事件集中处理和实时关联分析。支持的IT系统类型该平台的负责从网络中的各类IT系统中收集安全信息和日志信息，作为事件关联分析的数据基础。支持的IT系统类型包括：n 支持的路由和交换设备品牌包括：Cisco、Juniper、北电、华为等；n 支持的主机系统包括：Windows 系列、Sun Solaris系列、HP UX 系列、IBM AIX系列、LINUX、OpenBSD、FreeBSD、SCO UNIX等；n 支持的防火墙品牌包括：Cisco PIX、东软、天融信、东软-诺基亚防火墙等；n 支持的VPN品牌包括：东软等；n 支持的IDS品牌包括：东软、启明等；n 支持的防病毒品牌包括：Symantec、趋势OfficeScan等；n 支持的漏洞扫描系统品牌包括：榕基RJ-iTOP、启明等；n 支持的数据采集体系该平台充分考虑网络设备管理信息的通用性，所部署的事件收集引擎通过通用协议或应用服务收集设备信息，包括：n SNMP v1 / v2 / v3 Trap；n SysLog；n ODBC；n HTTP/XML；n 其他扩充方式。事件格式的统一标准化处理NetEye IT运维管理平台解决了各个IT系统造成的海量数据和信息孤岛的困扰，整体上简化了安全管理的数据模型。该平台将从包括主机系统、网络系统、业务系统、数据库系统、安全系统在内的各IT系统收到的安全事件按照统一格式进行标准化处理，存储到一个通用数据库中，为平台后期根据定制的安全策略分析数据提供基础。该平台存储安全信息的数据库支持DB2、Oracle等大型关系数据库。格式化后的安全事件的基本内容包括：该平台对安全信息经过标准化后的内容包括：n 事件编号：产生安全事件的序列号；n 事件名称：该事件的名称；n 资产名称：发现事件的资产名称；n 事件类别：安全事件的所属类别，如：拒绝服务、非授权访问、缓冲区溢出、网络协议等；n 紧急程度：该事件的严重级别；n 事件内容：该事件的具体内容；n 事件发生时间：该事件发生的具体时间；n 协议：该事件所使用的协议；n 源IP/源端口：发生该事件相关的源IP/源端口；n 目的IP/目的端口：发生该事件相关的目的IP/目的端口；n 保留字段：可扩充的其他内容。6.4 事件综合关联分析NetEye IT运维管理平台将从主机系统、网络系统、业务系统、数据库系统、安全系统采集来的所有预警信息进行统一标准格式化，并结合信息资产的安全保护等级进行智能化的综合关联分析，科学合理的定义IT事件的性质和处理级别。关联分析有以下几种实现方式：基于规则的关联，基于统计的关联，基于漏洞的关联，基于事件、资产等信息的关联分析、基于安全事件的横向/纵向关联分析。基于规则的关联：系统已经预定义了一系列网络安全攻击行为规则，满足这些行为规则定义的事件信息都出现了，就会生成安全事件；支持根据安全事件发生的因果关系，进行逻辑上或、与的关联分析（如日志信息分析策略进行逻辑或分析，安全信息分析策略进行逻辑与分析）；提供界面，支持用户自定义创建关联规则；关联规则表达式支持规则的多级嵌套，以及规则之间的并集和交集处理；关联规则具有良好的移植性，可以按照特定的文件格式，进行导入导出操作。这些网络安全攻击事件至少包括：DDOS攻击、缓冲区溢出攻击、网络蠕虫、邮件病毒、垃圾邮件、Spoofing、非授权访问、企图入侵行为、木马、非法扫描、可疑URL等百余种安全事件，安全人员可以根据需要自定义其他安全事件类型。基于统计的关联分析：定义一系列的安全事件类别，将出现的事件先归类，然后再根据事件的安全级别和数量来估计发生的攻击，实现了基于统计学的事件关联。系统将在某一时间段内的信息进行统一，并参照一个阀值进行判断，最终得出对安全态势的一种判断。基于漏洞的关联：将扫描软件模块扫描获取的漏洞信息，或者第三方扫描设备获取的漏洞信息，与资产属性进行关联的同时，按照一定的脆弱性分析策略进行关联分析。基于事件、资产、脆弱性和知识库的关联分析：将安全事件中包含的端口、CVE、Bugtraq与相关资产的端口、脆弱性信息的CVE和Bugtraq进行关联分析，从而形成真正的安全事件。基于安全事件的横向关联分析：即可以根据同一时间里，发生的安全事件进行聚合，有效保证告警风暴等。至少包括针对如下条件的聚合：n 根据攻击源进行信息聚合分析；n 根据攻击目标进行信息聚合分析；n 根据受攻击的设备类型进行信息聚合分析；n 根据受攻击的操作系统类型及版本信息进行聚合分析；n 根据安全事件类型进行聚合分析；n 根据用户的策略定制；n 根据特定时间要求和用户策略进行横向事后关联分析。基于安全事件的纵向关联分析：即可以根据安全事件的发生因果关系，进行逻辑上关联分析。具体要求如下： n 支持根据安全事件发生的因果关系，进行逻辑上或、与的关联分析（如日志信息分析策略进行逻辑或分析，安全信息分析策略进行逻辑与分析）；提供界面，支持用户自定义创建关联规则；关联规则表达式支持规则的多级嵌套，以及规则之间的并集和交集处理；n 具备常见网络攻击行为分析数据库，包括DDOS攻击、网络信息嗅探、漏洞扫描、网络蠕虫、木马攻击等常见网络攻击行为的纵向逻辑分析；n 具备自定义网络攻击行为功能，可以通过可视化的流程图定义某种网络攻击行为；n 可根据网络安全的动态情况，自适应过滤相关度较低的事件；n 可根据用户过滤策略，过滤事件。事件溯源实现机制通过综合关联分析IT事件的相关属性，帮助IT维护人员定位IT事件发生的根源，并清晰展示事件的威胁范围。与工单系统关联安全事件是产生告警信息和触发工单系统的来源之一。该平台可根据IT事件的不同性质和类别，及时产生告警信息，并可自动触发工单系统督促相关责任人进行快速查处。7 IT运维管理系统7.1 事件处理流程管理安全事件处理模块是整个NetEye IT运维管理平台的核心响应模块，其指导思想是：以工单为保证，以评价为考核。定义事件处理流程根据IT事件的不同性质和类别，并结合的实际运维管理模式，灵活定义相应的事件处理流程和规范，包括主机系统故障处理流程和规范、网络系统故障处理流程和规范、安全事件系统故障处理流程和规范等等。安全事件（工单）的来源安全事件处理是以工单为保证的，而安全事件的来源，便成为工单任务的开始。安全事件有以下两种方式生成：n 安全信息监控管理模块经过对安全信息的分析后，生成的安全事件；n 脆弱性管理模块经过对扫描到的脆弱性信息的分析后，生成的安全事件。与知识库系统关联工单处理模块与知识库关联。即：运维人员在处理IT事件工单时，可根据处理内容的关键字信息查询知识库中符合该事件类型的事件原因分析、事件处理步骤等信息，获得相应的处理经验。工单执行和监控流程当发现有安全事件发生时，NetEye IT运维管理平台自动生成安全事件处理工单，此时不需要人工干预，系统自动调用服务程序通过声音、图形、短信、邮件、代理程序等方式及时通知负责处理此安全事件工单的安全人员。此时也启动安全事件进入其相应的处理流程。工单的执行和流程具有下列特征：n 工单具有一定的时限性，必须在规定的时限内处理完毕，如果在规定的时间内未处理完毕，系统会自动修改工单状态，并负责向相关人员发送超时通知；n 当某个工单不能被接受此工单的安全人员正确处理时（因为技术人员水平或者时间的原因），可提前终止对工单的处理，并声明终止工单的原因。安全监督人员负责核实终止原因，同时将工单重新派发给其他能够处理此工单的安全人员，以充分保证工单能够被正常处理；n 工单处理与经验库关联。即：安全人员在处理安全事件工单时，可根据处理内容的关键字信息查询工单处理经验库中符合该事件类型的事件原因分析、事件处理步骤等信息，获得相应的处理经验；n 安全监督人员可随时监督工单生成进程和处理进程，如：系统目前有多少待处理的工单，有多少正在处理中，多少已经处理完毕。n 系统自动记录每个工单从生成，到接受处理，到处理完毕，以及处理确认的全部过程，此记录过程成为评价考核安全人员的依据。7.2 安全策略管理安全策略管理旨在控制NetEye IT运维管理平台的整体策略，指导该平台如何运作，并且根据运行的情况不断地调整相应的策略。安全策略管理分为资产信息管理策略、安全信息收集策略、安全信息分析策略、脆弱性管理策略、安全事件处理策略、安全知识管理策略和安全状况评估策略。该策略模块中的所有策略均支持多维度的查询。安全信息收集策略负责制定安全信息的收集策略，可定制的内容包含如下：1) 针对不同的收集引擎可以配置不同的策略。2) 可自定义的定制收集范围，包括：监控对象、事件类型、紧急程度（事件级别）、发生时间、攻击事件的发生源地址、攻击事件的发生源端口、攻击事件的目标地址、攻击事件的发生目标端口、通信协议类型、应用层协议类型、事件刷新的时间间隔（事件发生的时间）、设备的唯一识别号或者名称、事件级别、厂家、用户自定义等。安全信息分析策略负责从传输的安全信息中选取满足条件的信息进行分析，可定制的内容包含：安全信息的过滤条件以及运用的分析方法。脆弱性管理策略负责在定制的事件对系统的部分或整体进行脆弱性分析的策略，可定制的内容包含：分析的事件范围（起始，终止时间，时间间隔等）、分析的系统范围、分析采用的方法等。安全事件处理策略安全事件处理策略用于制定安全事件处理的流程策略。安全事件处理策略中，可定制的内容包括：n 工作流模板：系统内置了多种工作流模板以对应不同的安全事件，可随意选择内置的模板； n 处理时限：安全事件必须处理的时间限制；n 通知管理员方式：当选择“E-mail”时，则按照所选工作流模板中指定的管理员E-mail地址，将处理安全事件通知发给相应的管理员；当选择“即时通知”时，则按照工作流模板中指定的管理员，将处理安全事件通知发给相应的管理员；n IP地址范围；n 事件优先级；n 事件危害；n 备注信息。安全知识管理策略控制对安全知识的访问控制，可定制的内容包括：安全知识的访问控制策略（针对用户、地址等）、安全知识的发送列表。安全状况评估策略控制评估的周期，范围，内容。可定制的内容包括：安全状况评估的触发条件（支持周期和事件）、安全状况评估的范围、安全状况评估的内容、安全状况评估的投递列表。7.3 风险预警展示NetEye IT运维管理平台的风险管理模块采用了以ISO 17799和ISO13335等规范为指导，经过多年考验的东软安全服务的风险计算方法作为经典风险计算方法。风险的计算是以资产为基础，结合资产的价值及信息资产的安全属性、脆弱性进行计算而得，是安全人员进行风险监控的有力依据。统一的风险预警展示具备集中统一的预警和展示平台界面，可以将所有主机系统、网络系统、安全系统、业务系统、数据库系统、IT工单管理系统、知识库系统的采集和处理信息通过集中统一的平台界面进行实时预警和展示。多种风险预警展示方式该平台提供了多种类型实时风险预警展示功能：n 实时显示全局的风险预警n 分地域实时显示风险预警n 分类别实时显示风险预警该平台以图标闪烁方式显示风险预警，包括：n 一定时间内的风险变化趋势n 待处理安全事件的变化趋势n 引起风险变化的资产信息安全统计预警图示包括：n 安全事件等级图n 脆弱性等级图n 安全事件类型图n 脆弱性名称图n 安全事件统计图n 脆弱性统计图等。NetEye IT运维管理平台结合资产的当前风险情况和以往风险情况，展示资产的风险预警变化趋势。每个安全事件的风险均与某个特定的资产进行关联。管理员可以随时查看所有资产的风险状况；随时根据资产的风险状况进行排序，集中关注高风险的资产清单。降低风险和转移风险，都属于安全事件处理过程，由风险管理模块输出到安全事件处理模块。支持根据资产价值、脆弱性、安全等级等条件生成相应的风险评估报告，并将报告保存为word、Excel、pdf、html等文件格式，并支持打印，方便报告的提交和存档。多种预警通知方式NetEye IT运维管理平台提供了多种预警通知方式：特殊显示、声音、短信、邮件、电话等多种方式。7.4 综合报表系统报表是网络管理和安全管理系统的日常工作。该平台多个功能模块（如：资产信息管理模块、安全信息监控模块、脆弱性管理模块、风险管理模块、安全事件处理模块、安全状况评估模块）都能产生一定的报表。而传统的报表方式常常花费管理员很多时间和精力，尤其是面对这么多报表，如果报表不够直观和通俗易懂，势必失去报表展示的意义。NetEye IT运维管理平台的综合报表系统提供了多种报表功能：n 提供了14种不同安全层面的图形统计功能；n 4种针对业务设计的报表功能；n 2种针对安全事件分析的综合统计功能；n 根据用户的不同需求系统可以定制不同的统计报表；n 报表的数据，可以根据特定的时间段或者时间周期生成；n 根据不同人员（技术人员、业务主管、领导）的需要，提供了灵活的定制报表的内容和格式，格式和内容的定制均通过界面方便、直观地执行；n 内置了多种报表模板；n 报表输出的文件格式支持Excel、Doc、PDF、HTML等多种标准格式。8 知识库系统知识库系统实现了安全知识的收集和共享。它将安全漏洞、安全案例、安全标准以及安全工具等资源集中起来，形成一个知识共享平台，该知识库的数据以数据库的方式存储及管理，并为培养高素质网络安全技术人员提供培训资源。8.1 漏洞库内建国际权威的CVE、BugTraq漏洞库信息，和国内NetEye漏洞库，支持定期升级，以随时了解各个漏洞的详细信息。8.2 补丁库内建补丁库系统，集中收集和存储与所有主机系统、网络系统、业务系统相关的