上海东方CJ内控管理、内网监控及数据库审计平台技术解决方案

上海东方上海东方 CJCJ 内控管理 内网监控及数据库审计平台内控管理 内网监控及数据库审计平台 技术解决方案技术解决方案 上海络安信息技术有限公司上海络安信息技术有限公司 20122012 年年 0202 月月 版权声明 上海络安信息技术有限公司是一家提供全面网络安全解决方案的咨询与服务为主的高科 技企业 为中国广大的行业用户提供具有国际标准 如 ISO17799 ISO15408 BS7799 等 的网络安全全面解决方案及咨询服务 并向客户提供全面安全解决方案中所需的各 项安全工具 及提供安全解决方案管理所需的管理决策平台 安全咨询 教育培训以及 卓越的售后服务 上海络安信息技术有限公司保留此文档的所有电子 纸张类文件资料和相关软件等的所 有版权 任何单位和个人未经许可不得复制 转载或用于任何商业目的 上海络安信息 技术有限公司保留追究法律责任的权利 文档修改日志文档修改日志 日期日期修改理由修改理由修改章节修改章节版本版本 2012 02 07 原始版本 1 0 目 录 第一章第一章项目综述项目综述 9 1 1项目背景项目背景 9 1 2络安简介络安简介 10 第二章第二章项目需求分析项目需求分析 2 2 1内控管理需求分析内控管理需求分析 2 2 1 1维护管理困难 2 2 1 2使用共享帐号的安全隐患 2 2 1 3密码策略无法有效执行 2 2 1 4用户授权不清晰 3 2 1 5访问控制策略不严格 3 2 1 6用户操作无法有效审计 3 2 2内网监控需求分析内网监控需求分析 3 2 2 1功能需求分析 3 2 2 2项目建设目标 5 2 2 3项目效益分析 6 2 3数据库审计需求分析数据库审计需求分析 6 2 3 1数据库管理 7 2 3 2技术风险 7 2 3 3审计风险 8 2 4平台性能需求分析平台性能需求分析 8 2 5自身安全性需求分析自身安全性需求分析 9 第三章第三章WEBCARE 智能网络监控软件解决方案智能网络监控软件解决方案 10 3 1系统架构设计系统架构设计 10 3 2关键功能简介关键功能简介 12 3 2 1集中式监控平台 12 3 2 2统一资源配置平台 13 3 2 3统一展现平台 14 3 2 4告警事件管理 14 产品功能介绍产品功能介绍 16 3 3基础设施监控基础设施监控 16 3 3 1多种监测手段 16 3 3 2监测器一览表 18 3 4业务系统监控业务系统监控 19 3 4 1面向业务可用性的监测 19 3 5统一事件平台统一事件平台 20 3 5 1故障管理 20 3 5 2故障信息的采集 20 3 5 3统一的事件处理平台 21 3 5 4事件的自动通知 21 3 5 5规范的告警处理机制 21 3 6统一运行展现统一运行展现 22 3 6 1IP 拓扑视图 22 3 6 2设备视图 23 3 6 3业务视图 23 3 6 4自定义视图 24 3 7系统安全性设计系统安全性设计 24 3 7 1用户权限管理 24 3 7 2系统状态监测 25 3 7 3系统数据管理 25 系统技术指标系统技术指标 26 3 8网络管理功能性网络管理功能性 26 3 9服务器监测服务器监测 28 3 10数据库监测数据库监测 29 3 11应用服务监测应用服务监测 30 3 12扩展接口扩展接口 31 3 13系统影响评估系统影响评估 31 3 13 1对网络带宽的影响 31 3 13 2对采用 SNMP 监测的主机系统 32 3 13 3对采用 Agent 监测的 Windows 服务器 32 3 13 4对采用 Agent 监测的 UNIX 服务器 32 3 14定制和客户化方案定制和客户化方案 33 3 14 1二次开发必要性 33 3 14 2二次开发能力和优势 33 第四章第四章LANSECS 内控堡垒主机解决方案内控堡垒主机解决方案 35 4 1方案目标方案目标 35 4 2方案内容方案内容 35 4 2 1设备集中管理 36 4 2 2解决共享账户隐患 36 4 2 3密码策略有效执行 36 4 2 4解决客户授权不清晰 37 4 2 5访问控制策略严格执行 38 4 2 6操作审计可追踪 39 4 3产品设计概要说明产品设计概要说明 40 4 3 1整体设计 40 4 3 2工作流程 40 产品功能介绍产品功能介绍 40 4 4系统架构系统架构 40 4 5功能描述功能描述 41 4 5 1统一资源管理 42 4 6用户管理用户管理 43 4 6 1用户生命周期管理 43 4 6 2主账号管理 44 4 6 3账号管理 45 4 6 4用户角色管理 45 4 6 5账号同步 45 4 6 6账号策略管理 46 4 6 7资源管理 47 4 6 8密码策略 47 4 7授权管理授权管理 48 4 7 1集中授权 48 4 7 2授权审批 49 4 7 3资源授权 49 4 7 4角色授权 49 4 7 5细粒度授权 50 4 7 6集中访问控制 51 4 7 7单点登陆 52 4 7 8B S 单点登录 53 4 7 9C S 单点登录 53 4 7 10动态短信口令 54 4 8审计管理审计管理 55 4 8 1内部的审计 55 4 8 2审计范围 55 4 8 3审计内容 56 4 8 4审计查询 56 4 8 5审计报表 56 4 8 6还原审计 57 4 8 7智能告警 57 4 9集中管理平台集中管理平台 58 4 9 1子系统管理 58 4 9 2账号管理 58 4 9 3用户自管理 59 4 9 4单点登录 59 4 9 5权限管理 59 4 9 6数据查询 59 4 9 7访问审计 59 4 9 8系统自管理 59 产品优势及部署产品优势及部署 62 4 10LANSECS 堡垒主机特色堡垒主机特色 62 4 11LANSECS 产品功能优势产品功能优势 63 4 11 1可定制性 63 4 11 2可扩展性 63 4 11 3高安全性 64 4 11 4高可靠性 64 4 11 5易用性 64 4 12LANSECS 内控堡垒主机典型部署内控堡垒主机典型部署 65 4 12 1单区域堡垒机部署 65 4 12 2多区域堡垒机部署 66 第五章第五章IMPERVA 数据库安全审计解决方案数据库安全审计解决方案 67 5 1IMPERVA公司数据库安全解决方案公司数据库安全解决方案 67 5 1 1SecureSphere Database Activity Monitoring Gateway 67 5 1 2SecureSphere Database Firewall Gateway 67 5 1 3SecureSphere Discovery and Assessment Server 67 5 1 4SecureSphere MX Management Server 68 5 1 5Imperva Application Defence Centre ADC 68 5 1 6SecureSphere 优势 专利 技术 69 5 2技术实现技术实现 69 5 2 1SecureSphere 专用硬件平台 69 5 2 2数据库代理 Agent 71 5 2 3集中管理架构 72 5 3部署方案部署方案 72 5 3 1嗅探部署方案 72 5 3 2桥接部署方案 73 5 3 3代理部署方案 74 5 4工作原理图工作原理图 75 5 5SECURESPHERE 逻辑架构层次逻辑架构层次 76 5 5 1用户界面层 User Interface Layer 76 5 5 2管理和报告层 Management Reporting Layer 76 5 5 3分析层 Analysis Layer 77 5 5 4存储层 Storage Layer 77 5 5 5收集层 Collection Layer 77 5 5 6数据库访问层 DB Access Layer 77 5 6数据捕获数据捕获 77 5 7SECURESPHERE 多层安全检查机制多层安全检查机制 78 5 7 1数据库 IPS 79 5 7 2集成防火墙功能 80 5 7 3动态建模 80 5 7 4数据库协议验证 80 5 8IMPERVA数据库安全方案的优势数据库安全方案的优势 81 第一章第一章 项目综述项目综述 1 1 项目背景项目背景 随着信息技术的不断发展和信息化建设的不断进步 办公系统 商务平台的不断推出 和投入运行 信息系统在金融行业内部的运营中全面渗透 而目前大部分企业系统管理员 人数较少 不仅管理和维护费时费力 而且帐号或密码外泄 违规访问和操作 人为误操 作等安全事件时有发生 也无法对安全事件进行有效的责任定位 这些都会对部门或者企 业声誉造成重大影响 并严重影响其经济运行效能 如何提高系统运维管理水平 满足国 家或企业内部相关标准要求 防止内部或外部的违规行为 降低运维成本 提供控制和审 计依据 越来越成为企业关心的问题 通过自动化的技术手段分别从物理层 网络层 应用层三个方面对公司内网的核心服 务器群 网络及应用系统进行 7 24 小时全天候监测预警 通过持续对各项资源运行状况 的监控 建立性能基线 发现系统中的异常并且及时告警 以便快速作出应对措施 有力 提高应用服务保障水平 数据库的应用已经十分广泛 深入到各个领域 但随之而来也产生了很多数据的安全 问题 各种应用系统的数据库中大量数据的安全问题 敏感数据的防窃取和防篡改问题 越来越引起人们的高度重视 数据库系统作为信息的聚集体 是计算机信息系统的核心部 件 其安全性至关重要 关系到企业兴衰 成败 因此 如何保证数据库自身的安全 已 成为现代数据库系统的主要评测指标之一 上海东方希杰商务有限公司是做电子商务业务的 电子商务 电子贸易的着眼点集中 于 WEB 服务器 Java 和其它新技术的同时 应该记住这些以用户为导向和企业对企业的 系统都是以 Web 服务器后的关系数据库为基础的 它们的安全直接关系到系统的有效性 数据和交易的完整性 保密性 系统拖延效率欠佳 不仅影响商业活动 还会影响公司的 信誉 不可避免地 这些系统受到入侵的可能性更大 但是并未对商业伙伴和客户敏感信 息的保密性加以更有效的防范 此外 ERP 和管理系统 如 ASPR 3 和 PeopleSoft 等 都是建立在相同标准的数据库系统中 无人管理的安全漏洞与时间拖延 系统完整性问题 和客户信任等有直接的关系 所以 如何有效地保证数据库系统的安全 实现数据的保密 性 完整性和有效性 已经成为业界人士探索研究的重要课题之一 1 2 络安简介络安简介 上海络安的一站式运维服务立足于 ITIL ISO27001 国际管理标准 集网络安全技术 产 品和资深工程师为一体 向客户 合作伙伴提供增值 全面 完整的安全托管服务 服 务范围包括全面的整体安全策略制定 定期 性能监控 流量监控 数据备份与复原 系统加固 白客 攻击测试 安全配置 紧急响应 7 24 365 安全监控服务等 依托 于上海络安为 IDC 托管用户提供的高质代维服务 企业可专注于网站主要业务的运营 上海络安致力于为企事业单位提供长远的 有效的信息服务解决方案 按需求提供一站 式网络运维服务 不断降低企业运营风险水平和长期运营成本 上海络安是以提供全面 IT 咨询与网络运维服务为主的高科技企业 具有自主知识产权的安全监控软件 为各行业用户提供具有国际标准的网络安全全 面解决方案及咨询服务 拥有强大的后端技术支持平台 严格的服务流程专业的工程队伍 完善的监控体系 本公司优势 本公司优势 具完整咨询 设计 实施经验的服务能力 BCP 业务持续性计划 和 DRP 灾难恢复计划 咨询服务能力 量身订作的业务持续性计划咨询及实施计划 企业容灾系统的架构设计 客户应用系统数据移植 数据优化和数据管理 大型容灾项目的实施经验 跨平台的系统集成能力 高素质的运维外包项目管理经验 上海络安金桥 IDC 机房 提供专业 IDC 服务 服务资质 服务资质 2008 年公司获得高新技术企业和双软件企业的证书 2009 年获得工信部 工信部协 2009 42 号 互联网安全接入试点工作的上海市 试点工作任务承担单位 2009 年获得上海世博会信息安全保障应急响应支撑单位 2010 年获得工信部颁发的计算机信息系统集成资质 2010 年荣获上海世博会信息安全保障工作优秀集体 唯一一家企业单位 2010 年公司荣获上海市创新型企业称号 2010 年公司获得工信部颁发的信息安全应急处理服务资质 2010 年公司获得中国信息安全测评中心颁发的信息安全服务 第二章第二章 项目需求分析项目需求分析 2 1 内控管理需求分析内控管理需求分析 上海东方希杰商务有限公司是一家电子商务公司 使用在线网上银行交易 系统 所以对数据库的安全性较高 企业数据中心拥有数量众多的 Unix Linux Windows 主机 网络设备 数据库服务器及必要的安全设备 用来 支撑和保障电子商务 数据库应用 ERP 和协同工作群件等的稳定 安全运行 信息安全管理部门在对以上各种设备进行维护和管理的过程中 面临着如 下问题 2 1 12 1 1 维护管理困难维护管理困难 大量设备和系统的维护管理常常使得系统管理人员忙碌不堪 不同的 IP 地 址登录 繁杂的帐号和密码记忆等 经常导致维护管理混乱 不到位和误操作 等问题出现 出现问题后 也无法及时发现和处理 维护管理效率低下 因此 需要借助技术平台对设备和系统进行维护管理 以提高管理效能 缓解系统管 理人员压力 2 1 22 1 2 使用共享帐号的安全隐患使用共享帐号的安全隐患 企业的支撑系统中的大量网络设备 主机系统和应用系统 分别属于不同 的部门和不同的业务系统 各系统都有一套独立的帐号体系 用户为了方便登 录 经常出现多人共用帐号的情况 多人共用一个帐号在带来方便的同时 也导致了用户身份唯一性无法确定 发生问题后 无法准确定位恶意操作或误操作的责任人 如果其中有人离职或 者将帐号信息外泄给其他无关人员 会使这个帐号的安全性无法保证 此外 如果更改密码 则需要通知所有需要使用此帐号的人员 使密码的管理工作复 杂化 2 1 32 1 3 密码策略无法有效执行密码策略无法有效执行 为了保证密码的安全性 安全管理员制定了严格的密码策略 如密码要定 期修改 密码要保证足够的长度和复杂度等 但是由于管理的机器数量和帐号 数量太多 往往导致密码策略的实施流于形式 2 1 42 1 4 用户授权不清晰用户授权不清晰 设备多维护人员少是目前大部分企业面临的一个共同问题 一个维护人员 可能会同时维护管理多台设备 也就会同时兼任各种系统角色 这就造成了用 户权限分配的混乱性和不合理性 不合理和不清晰的用户授权使得系统的安全 性无法得到充分保证 2 1 52 1 5 访问控制策略不严格访问控制策略不严格 目前 在网络管理中没有一个清晰的访问控制列表 无法一目了然看到哪 个用户能够以何种身份访问哪些关键设备 同时缺少有效的技术手段来保证访 问控制策略被有效执行 2 1 62 1 6 用户操作无法有效审计用户操作无法有效审计 各系统独立运行 维护和管理 所以各系统的审计信息也是相互独立的 每个网络设备 每个主机系统分别进行审计 安全事故发生后需要排查各设备 系统的日志 费时费力 即使审计日志找到了 也很难定位到行为人 另外 各系统的日志记录能力各不相同 日记记录功能也都存在着一定的 缺陷 例如对于 Unix 系统来说 日志记录功能就存在以下问题 Unix 系统中 用户在服务器上的操作有一个历史命令记录的文件 但 是用户可以随意更改和删除自己的记录 root 用户不仅仅可以修改自己的历史记录 还可以修改他人的历史记 录 系统本身的历史记录文件已经变的不可信 记录的命令数量有限制 无法记录操作人员 操作时间 操作结果等详细内容 2 2 内网监控需求分析内网监控需求分析 2 2 12 2 1 功能需求分析功能需求分析 上海东方希杰商务有限公司内网监测预警平台是针对主机 网络 应用 数据库的运行性能及安全状态进行监测的应用系统 必须满足如下要求 1 集中运行管理 集中运行管理 信息系统管理人员面对的往往是异构的管理对象和多种管理需求 如果没 有一套统一 集成的管理系统 需要花费很长时间和精力学习管理技能 导致 管理效率无法有效的提升 因此需具备统一监测 集中管理功能 1 解放人力 依靠智能化技术化的管理手段 降低故障发生率 降低 维护成本 并同时提高维护效率 2 IT 资源监测结果综合展现 消除各个监控工具之间各自为政 系 统管理员在各个界面间频繁切换的情况 并通过统一的展现界面进 行展现 3 统一的告警平台 建立性能基线 发现系统异常并及时告警 将所 有告警纳入监测管理平台 并通过短信 邮件统一告警 4 以业务的角度将传统的技术设备的管理整合到基于业务的管理平台 上来 不仅能完成对设备监控的需求同时能满足根据业务的组成定 位问题根源 定位性能瓶颈 预测业务发展趋势和稳定性 5 提供各种报表和视图 呈现 IT 资源的运行状况和运行趋势 6 统一的中文界面 浏览器管理方式 可以多人同时通过浏览器进行 访问和操作 2 网络监测 网络监测 监测预警平台针对网络故障和性能瓶颈等各种问题能实现网络流量 网络 质量和网络拓扑管理功能 1 自动 准确地发现网络的拓扑结构 2 可持续地监视 报告网络的运行情况 3 提供网络运行状态和性能的多角度分析与统计 4 对网络 安全设备告警事件进行采集和跨类型 跨厂商的分析 3 主机系统监测 主机系统监测 监测预警平台能够实现对各种服务器 Linux AIX Windows2003 等 的 监测管理 包括主机硬件 操作系统 文件系统 进程和应用等 监测的重点 是对操作系统关键指标 如 CPU 内存 进程 文件系统等进行全面的监控管 理 要求不仅能够在状态改变或性能指标超越门限时生成告警 同时还应该提 供实时和历史的性能数据展现 并能够保存历史性能数据 以形成统计分析报 表 4 应用监测 应用监测 监测预警平台可以全面智能的监测各种与 Web 应用相关的服务 如 Apache Server MS IIS Server FTP DNS News Weblogic 等 该监测 基于 TCP IP 协议族中的各种应用层协议 HTTP FTP DNS 等 不需要对 被监测服务进行配置 组合使用它们可以对 WEB Email DNS FTP ERP CRM 中间件等从应用可用性 系统资源 占用和性能指标三个层面进行全面深入的监测管理 保证服务的可用性和性能 5 数据库监测 数据库监测 监测预警平台能对 Oracle MS SQL MySQL DB2 等多种数据库从应用 可用性 系统资源占用和数据库性能指标三个方面提供全面的监测管理策略 确保数据库的运行正常 数据库监测主要是对关键参数 例如文件存储空间 系统资源使用率 配 置情况 当前的各种锁资源情况 进程状态 进程所占内存空间 缓冲区命中 率 可用性等实现监测 监测预警平台可以在数据库运行服务中断时捕获问题 信息 并且自动发送到告警控制台 使系统管理员能够及时采取措施 避免灾 难性的事故 2 2 22 2 2 项目建设目标项目建设目标 通过上海东方希杰商务有限公司内网监测预警平台的建设 将做到 IT 系统 故障早发现 早解决 确保计算机系统 网络和应用的连续 可靠 安全运行 降低发生故障的可能性 提高 IT 系统运行管理水平和服务保障能力 实现对各业务系统 应用程序 服务器 存储设备 网络系统 网络设备 以及安全系统等的监测和管理 直接提供与应用相关的集中监测的能力 手段 和工具 具体目标如下 1 面向基础设施的管理 1 全面管理系统资源 提供对网络 主机 存储设备 安全设备 数据库 中间件及应用软件等 IT 资源的全面管理 2 智能化故障管理 自动收集各种管理功能产生的故障事件 完成故障事 件收集和自动告警等工作 以实现对故障的快速定位 处理 3 性能管理与优化 对网络和应用等性能进行监控 定期提供性能报表和 趋势表 为网络性能优化提供科学依据 2 面向维护管理者 1 运维服务管理 实现日常运维工作的自动化 2 智能总控中心 实时展现当前 IT 系统的运行状态及趋势 帮助管理人 员快速发现问题 分析故障问题所在 3 面向决策者 综合报表 对系统运行状况信息进行汇总 帮助领导更全面的了解网络系 统的运行状况和趋势 为领导决策提供科学依据 2 2 32 2 3 项目效益分析项目效益分析 通过预警监测平台建设和部署 可以实现如下积极和有益的目标 建成提前预警 快速定位故障的综合监控系统 监测各种业务系统基 础资源 如网络设备 数据库 服务器 中间件等 通过设定各个基础资 源性能阀值 一旦触发性能阀值 就发出告警 并且以短信 声音 邮件 等即时方式通知管理员 让管理员可以在众多的资源中提前定位故障源 把故障扼杀在萌芽之中 减少业务系统的故障风险 建成规范 科学 灵活 符合用户使用习惯的运维电子流程 转变过 去手工无序的运维模式为主动可控有序的运维服务模式 让运维过程可以 跟踪 审计 量化 通过规范的流程服务 减少运维成本的投入 提高运 维效率 提升信息部门的运维形象 增强运维工作的影响力 建成针对业务系统可用性的状态监控机制 对业务系统可用性进行实 时监控 通过醒目颜色图标表示业务系统状况 起到直观整体掌控业务的 状态 提高管理员运维的效率和提高业务系统无故障率 让业务系统真正 无忧运行 建成通过集中的管理平台 集中展现各种视图 如网络拓扑视图 业 务拓扑视图 机房视图等等 可以起到管理多系统展现目的 2 3 数据库审计需求分析数据库审计需求分析 上海东方希杰商务有限公司目前的业务系统中大多数关键数据均存储在数 据库服务器中 这些关键的数据库系统也成为了公司信息系统和业务系统的心 脏 这些数据库中储存着诸如银行账户 订单信息 客户信息 生产或交易明 细 产品资料等极其重要和敏感的信息 针对上海东方希杰商务有限公司的现状 我们总结了以下主要风险和需求 分析 2 3 12 3 1 数据库管理数据库管理 内部人员误操作 违规操作 越权操作 损害业务系统安全运行 内部人员的误操作 违规操作 越权操作缺少实时告警和阻拦机制 通常 在事件发生后并造成严重后果后才能被发现 这时可能已经对业务系统造成严 重影响 因此 我们希望能够建立一套完善的实时告警机制 能对上述情况进 行实时告警 能够第一时间消除潜在风险 多人公用一个帐号 责任难以分清 目前 只能通过简单的数据库访问日志查看相关人员的操作记录 但是 因为维护人员多使用相同维护账号 很难区分责任 我们需要更为强大的审计 工具 能够记录源地址 源应用程序 远程登录的 OS 主机名 OS 主机账号等 信息区分责任 第三方维护人员的误操作 恶意操作和篡改 第三方人员的误操作 恶意操作 篡改 数据窃取也需要有系统能够监管 目前缺乏对这些人员的监管 超级管理员用户操作难以监管和审计 超级管理员 特权用户都有着非常大的权限 目前缺少监管手段 而且 有很多数据库数据库管理员还可以访问和管理审计日志 这就明显违反了审计 中权责分离的要求 数据库权限分配问题 数据库用户权限分配混乱 随着应用的不断增加和时间的推移 存在大量 赋予过高权限的数据库用户和长期没有人使用的数据库账号 我们需要定期对 这些数据库账号进行清理 严格遵照 业务必须知道 的最小原则来进行数据 库账号分配 2 3 22 3 2 技术风险技术风险 数据库服务器操作系统漏洞攻击 我们需要定期针对数据库服务器操作系统进行安全漏洞扫描 确认其是否 存在安全漏洞 并及时修补或者通过安全系统防护 数据库系统漏洞攻击 数据库系统本身的漏洞以及不安全 不合理的配置也需要定期进行扫描 并修补 或者通过安全系统防护 离职员工留下后门 需要对用户权限进行及时管理 对异常的数据库访问进行及时分析和处理 2 3 32 3 3 审计风险审计风险 审计日志缺失或不完整 目前只有部分数据库系统可以提供的审计日志 而这些审计日志非常不完 整 例如 缺少源程序的记录 数据库返回信息的记录 Bind 参数的记录 等 等 而且因为在数据库系统上启用审计功能会大大影响现有数据库系统的性能 因此 大多数数据库系统并没有都启用审计功能 不同数据库的审计 目前公司内数据库系统越来越多 数据库的类型也不断增加 这为数据库 系统审计的集中管理带来了相当大的挑战 因为 数据库种类不同 自身的审 计功能也不同 这为审计日志的查看带来相当大的困难 同时 数据库数量的 增加 又无法集中进行统一查看 因此 我们需要采用更为集中的 独立的 可以同时支持多种数据库平台 多个数据库的审计系统 审计独立性的问题 启用数据库自身的审计功能 既影响自身性能 又存在了严重的审计独立 性问题 审计规范中要求数据库管理员和审计人员必须权责分离 安全事件难以追查和定位 目前的公司现状根本无法准确定位和最终相关数据库安全事件 需要进行 技术方案的优化和改进 因此 我们建议上海东方希杰商务有限公司采用 Imperva 专业的数据库安全方案 可以完满的应对上述风险和场景 2 4 平台性能需求分析平台性能需求分析 作为对企业内部各种服务器 网络设备和安全设备等核心资产的综合管理 平台 除需要强大技术功能支撑外 系统本身也需要具有良好的性能 以保障 正常 安全的对被管资源进行维护和管理 2 5 自身安全性需求分析自身安全性需求分析 作为内部服务器和网络设备的统一入口和集中管理平台 系统会成为非法 用户攻击的重点 无论是系统的登录认证还是数据的传输 都需要进行严格的 控制和保护 防止恶意用户通过各种非法手段进入系统或篡改数据 同时 也 需要对进入系统的用户行为进行详细的审计 并对审计记录进行安全保护 防 止篡改审计记录的情况发生 以保证审计数据的有效性 第三章第三章 Webcare 智能网络监控软件解决智能网络监控软件解决 方案方案 3 1 系统架构设计系统架构设计 上海络安提供的 Webcare 智能网络监控软件解决方案 能解决已往对网络 服务器 数据库 中间件 应用系统等的分割化管理 将各类资源进行统一监 控与预警 从而实现对资源的集中 统一 全面的管控 以满足规划 维护 管理 审计的多方面要求的整合 实现规范化 细颗粒 标准化 流程化的统 一业务信息监控管理平台能力 提升管理效率和服务水平 上海络安的 Webcare 智能网络监控软件整体方案设计框架如下图 图 1 系统架构 如上图 整个管理平台在保持技术的先进性 扩展性的基础上 采用系统 化 层次化 模块化的设计理念 提供和主流管理厂商产品的对接 通过开放 的接口来持续集成 同时解决方案对系统的实用性 合理性进行完善 通过合 理的层次和角色来降低系统的使用难度 提高运维的效率 推动项目的生命周 期管理 从整个系统层次上看 系统按照逻辑层次上划分为 基础设施与业务系统 数据采集层 监控制数据代理与传输层和监控数据处理服务层 通过综合事件 库将所有采集上来的各种性能数据 故障告警以及各种事件信息进行统一的分 析 处理和存储 基础设施与业务系统数据采集层主要针对各类信息资源 包括基础架构的 网络设备 服务器 操作系统 数据库 中间件 应用 文件系统以及各业务 系统等基本实体 监控数据代理与传输主要完成监控数据的上传和动态指令的下发 能够将 基础设施监控系统所采集到的网络 IT 资源和业务系统的运行信息 故障告警 信息以及其他事件信息上传至综合事件库进行统一分析 整理 归类和存储 而事件处理服务层实际完成基础设施和业务系统的数据分析 归并 处理 存储和展现功能 监控系统采集网络设备 服务器 操作系统 数据库 中间 件 各种应用系统等性能 告警信息 通过各自的监控数据采集接口 通过代 理与传输层上传给数据归并统计模块 通过统一性能分析和统一事件分析处理 引擎 配置数据管理跟踪等功能模块 经过数据处理后 再为统一展现和处理 提供数据支持 统一事件分析引擎是大型管理平台的处理核心 是真正体现管理价值 提 供完善运行服务的基础 系统应具备接入不同的基础监测系统的事件 利用事 件规则库进行事件的过滤压缩 关联分析 大大压缩告警数量 定位真正故障 原因 提供事件处理的策略 完成真正告警的通知和自动化处理 并且在此基 础上提供业务关联性分析 通过全面的展现和通知手段 使运行值班人员掌控各类 IT 系统运行状况 保障业务的稳定运行 通过集中化的各种视图 为不同角色的人员提供完整的 运维监控界面 事件处理服务层具备事件接口 将从底层采集到告警数据与运维服务流程 管理实现双向数据操作 从监控管理系统 可以将告警事件信息传输给 IT 服务 管理系统中的管理流程 由相应管理流程进行事件处理 事件处理完成之后 可通过接口传递给监控管理系统 对相应的事件状态进行同步 上海络安根据多年管理系统的设计开发 项目实施和系统集成经验 在充 分了解用户的现状 遵循了高度模块化设计 数据的采集与数据的分析分离 表示逻辑和处理逻辑分离 各个模块之间通过接口完成等最优设计原则 所采 用的解决方案设计原则完全贴合用户需求 3 2 关键功能简介关键功能简介 上海络安为本次项目提供的 Webcare 智能网络监控软件遵循 IT 综合运维平 台一体化 标准化 高效性 扩展性等指导原则 采用先进的模块化建设理念 来组织系统逻辑架构 使得系统间关系明确 流程清晰 功能界定准确 衔接 紧密 图 2 Webcare 智能网络监控软件操作界面 3 2 13 2 1 集中式监控平台集中式监控平台 Webcare 智能网络监控软件能够实现对 IT 基础设施的所有监控 包含有 基础架构的网络设备 服务器 操作系统 数据库 中间件 各种应用系统的 监控管理 实现所有 IT 基础设施的集中式监控管理等功能 做到 有故障 早 发现 早解决 的建设思路 Webcare 智能网络监控软件定位于对网络和业务应用实施深入而全面的监 控 提供高细粒度的全方位监控方案 保障业务应用健康有序的运行 对监控对象提供基于 性能基线 的阀值告警机制 通过根据一段时间的运 行参数采集 系统自动掌握信息系统在 忙时 和 闲时 的负荷情况 自动生成性 能负荷基线 在超过 或低于 基线一定比例 如 15 为告警阀值 实现性 能与故障监控的智能化 显著降低告警的误报比例 在为管理员提供了工具的 同时 也提供了经验 同时 以业务应用系统为主线 对业务应用提供 人工感知式 的可用性监 测 系统自动模拟人工访问被监控的应用系统 从网站用户登陆 模拟操作 结束提出 全程掌控系统的可用性 服务响应时延等信息 从业务角度 端 到端 的保证服务的可用性 通过底层监控平台 实现对 IT 基础设施的故障 性能 运行状态及服务可 用性的监控 并提供统一的运行展现和故障告警 实现资源的集中监控 通过统一事件平台处理机制 实现对各类告警的标准化 识别 过滤和关 联分析 去伪存真 快速定位故障根源 并通过指定的告警方式 如手机短信 邮件等 及时通知到相关人员 系统同时具备独立的告警通知平台 支持以短信猫或者短信接入平台的方 式 实现以手机短信的方式故障告警发送 3 2 23 2 2 统一资源配置平台统一资源配置平台 Webcare 智能网络监控软件的资源库 ResourceDB 采用自动收集的手段 在提供设备实时 CPU 内存 流量等性能数据的同时 还能提供设备的型号 厂商 责任人 联系方式 部门信息等等 Webcare 智能网络监控软件提供编辑工具 用户通过编辑工具 即可按照 需建立资源与业务的关联关系 形成直观 易懂的资源展现视图 通过自定义 的漂亮动态图表 客户能够根据实际需要实时关注网络系统运行情况 为用户 带来非常实用的客户体验 3 2 33 2 3 统一展现平台统一展现平台 Webcare 智能网络监控软件为运维管理员提供了一个集中的展现与恢复处 理的平台 管理员不需要跳转到各个不同的模块中进行相关操作 在设计上采 用先进的可视化展现模型编辑器 以统一的资源配置为基础 基于 FLEX 展现 技术 显示了动态的 变化的数据和图形 提高了技术人员在 WEB 平台上的 交互式操作能力 Webcare 智能网络监控软件在展现内容上 基于先进的 WEB Portal 技术 提供模块化 可定义的 Portal 浏览视窗 为用户提供了灵活定制的工作平台 Webcare 智能网络监控软件提供访问认证的控制机制 采用灵活的角色和 权限控制 保障了系统访问安全性的同时 兼顾了系统访问的便捷性 3 2 43 2 4 告警事件管理告警事件管理 Webcare 智能网络监控软件支持多种告警信息的采集方式 如 SNMP Trap Syslog 主机监控 Agent 配置变更触发以及性能阀值告警等 系统能 够自动能够自动获得整个 IT 环境的各种事件 包括网络设备的故障 性能的过 载 流量的异常 服务器的异常性能 各类应用的故障 各类终端的变更等等 平台能够集中呈现所有的网络 系统 应用 安全等告警信息 包含告警 的时间 告警源 告警类型 告警描述 当前处理情况等 可以根据告警类型 分类浏览所有的告警信息以及查看详细的告警信息 包括 故障的名称 故障 来源 故障的等级 故障发生的时间 故障的具体描述 故障当前的处理状态 Webcare 智能网络监控软件针对检测到的告警事件有一些处理过程 1 故障定位于相关性分析故障定位于相关性分析 Webcare 智能网络监控软件提供的业务拓扑中的有向连接即直观地表现出 了资源之间的影响依赖关系 沿着依赖关系链 追溯事件影响 直至发现问题 根源 以提高统一事件管理平台的效率 图 3 事件的影响视图 2 告警通知 确认与清除告警通知 确认与清除 系统提供了丰富的故障通知方法 包括 声音 EMAIL 短信等方法 如 果用户已经有自身的短信平台 可采用接入短信通知平台 实现告警通知自动 化 系统能够根据设定的规则自动对已经恢复正常的告警事件进行标记确认 支持手工标记确认系统告警事件 对已经标记确认告警事件 系统自动将告警 事件退出告警视图 将其加入历史告警记录中 产品功能介绍产品功能介绍 3 3 基础设施监控基础设施监控 Webcare 智能网络监控软件的监测器负责从各种设备 主机 数据库及其 它可达的软硬件资源中采集状态和性能数据 Webcare 智能网络监控软件丰富 灵活的监测器几乎能够支持所有通用的 IT 架构环境 Webcare 智能网络监控软件采用面向对象的开放体系 每一种监测器都是 一个相对独立的小插件 这种基于以插件形式的监测器体系旨在适应复杂异构 的网络环境 不断发展的网络技术 IT 基础架构的频繁升级改造 新型监测 器能够不断 插入 系统 易于扩展 伸缩自如 3 3 13 3 1 多种监测手段多种监测手段 Webcare 智能网络监控软件监测器的主要监测手段是基于 SNMP 协议实现的 同时也充分考虑到实际网络中复杂异构的设备类型和用户业务的不同要求 对 于不支持或者不开放 SNMP 协议的被管理对象 提供基于 SSH 和 Agent 代理模 块 WMI 脚本等监测方式 当用户创建一个监测器的时候 可以选择适合自 己的监测方式 Webcare智能网络监控软件 对被管资源的数据采集支持 自动发现 和手 工输入两种方式配置被监测对象的配置参数 并通过主动轮巡机制 使用 SNMP Agent等多种采集方式来实现性能数据的采集 主主要要的的监监测测方方式式 系统能够依据管理的需要 定时向需要监测的管理对象 可以是一个 设备或者一项服务 发出监测请求 并将记录返回数据作为告警和性能的 依据 具体的数据采集方式有以下几种 支持SNMP轮巡的数据采集 支持在被管服务器上使用代理程序Agent的采集方式 Agent方式应 能够支持主流的Unix Linux Windows服务器平台 并且支持单一 Agent模式 当主机服务器上的被监测应用项目发生变更或增加时 无需更换或添加额外Agent程序 使用Agent数据采集方式 可以对被管服务器进行文件扫描 目录 检测 接口调用等方法来扩展监测的范围 并可以实现对业务系统 自身关键性能点的自定义监测 系统还支持其他Socket方式 如TCP端口监测 JDBC数据源 HTTP 协议等方式进行数据采集 其中 系统提供SNMP SSH Agent三种主动监测方式可以互为补充 充分满足不同设备和监测对象的实际情况 a a SNMPSNMP方式方式 通过 SNMP get trap work scan 等多种手段获取监测数据 系统还 能够支持用户创建指定 OID 参数的通用 SNMP 监测器 优点是 配置简单 即插即用 可直接获取准确的各项参数 能够 自动发现被监测的设备和设备上的服务 缺点是 无法监测用户自行开发的非标准应用产生的可管理数据 有些非主流操作系统对 SNMP 协议支持不够 但对网络设备监测 必须采用 SNMP 方式监测 也是目前业界对网 络设备监测的唯一途径 各网络设备厂商对 SNMP 协议的支持也相对规 范 b b SSHSSH方式方式 SSH 方式的监测 是基于 SSH 协议的监测手段 Webcare 智能网络 监控软件通过 SSH 协议远程登陆到被管理网元 并自动下发和执行监 测器中定义好的脚本 并接收脚本返回的数据信息 优点是 能够补充 SNMP 监测方式不能实现的监测点 基于脚本获 取监测数据 大大扩展了可监测的范围和类型 能够支持任何用户自定 义的脚本监测 缺点是 配置时需要提供被管理网元的登录密码 SSH 登录认证的 效率比较低 一般仅用于测试实施 而不推荐作为正式实施的采集方式 c c AgentAgent方式方式 安装代理模块 Agent 的监测方式 需要在被管理的网元上安装 轻量级的代理小模块 Agent Webcare 智能网络监控软件监测器能 够向 Agent 下发定义好的内嵌脚本 Agent 负责响应 Webcare 智能网 络监控软件的通讯请求 执行脚本 并返回执行结果 优点是 执行效率是三种监测方式中最高的一种 对被管理网元和 网络通讯的影响最小 能够补充 SNMP 监测方式 基于脚本获取监测数 据 大大扩展了可监测的范围和类型 能够集成任何用户自定义的应用 监测 缺点是 需要在被管理的网元上安装代理小模块 图 4 Webcare 智能网络监控软件采集图 3 3 23 3 2 监测器一览表监测器一览表 通过上述多种监测手段和丰富的监测器 Webcare 智能网络监控软件能够 适应于对各种异构的网络环境和系统应用的管理 Webcare 智能网络监控软件采用开放平台的体系结构 能以模块化插件方 式引入任何新的监测器 不断扩展其管理的范围和深度 始终适应不断升级和 改造的网络环境 下面列出 Webcare 智能网络监控软件支持的监测器列表 网络监测器网络监测器系统监测器系统监测器应用监测器应用监测器互联网互联网 服务服务 监测器监测器 可扩展的通用监测可扩展的通用监测 器器 Checkpoin 防火墙 Topsec 防火墙 Cisco 防火墙 NetScreen 防火墙 Cisco 设备 Nortel 设备 HuaWei 设备 RadWare 设备 F5 Big IP 设备 Juniper 设备 NOKIA 设备 Veritas 设备 TCP 端口 RADIUS PING Interface IP 端口 Time DayTime FINGER CharGen WHOIS Echo 平均负载 磁盘空间 CPU 日志文件 内存使用 系统脚本 远程 PING IO 状态 NetStat Paging Space 交换空间 NT 服务 虚拟内存 文件 系统进程 文件目录 Win Registry AIX 系统 数据库 JDBC Informix 数据库 MYSQL 数据库 MS SQL 数据库 Oracle 数据库 Sybase 数据库 DB2 数据库 Tuxedo WebLogic Websphere JBOSS Resin Apache MS IIS LDAP IBM CICS IBM GMD Device IBM HACMP IBM TSM Lotus Dnomino server MSExchange server IMAP DNS EMAIL NEWS URL TFTP POP3 SMTP FTP 自定义 Shell 脚本监测器 自定义 WMI 脚本监测器 自定义 SNMP 监测器 自定义 TCP 端口监测器 3 4 业务系统监控业务系统监控 3 4 13 4 1 面向业务可用性的监测面向业务可用性的监测 用户 IT 架构中从网络 系统 应用到业务的每个环节 每个节点 每个 应用的性能好坏都直接影响到网络和业务的正常运行 所以 采集孤立 IT 元素 的数据并不是 Webcare 智能网络监控软件的目的 而是保障企业 IT 业务的可 用性 正是基于前面介绍的丰富灵活的监测器机制 使得 Webcare 智能网络监控 软件能够集成包括网络 系统 应用到业务的各个层次的完整 IT 架构管理 而正是具备这样的统一性和完整性 才可能全面综合的分析各个 IT 元素的可 用性和性能数据 并最终通过 SLA 机制和业务视图科学的映射出用户业务的可 用性和健康性 3 5 统一事件平台统一事件平台 3 5 13 5 1 故障管理故障管理 Webcare 智能网络监控软件能够对用户网络及系统发出的预警信息和故障 信息进行整合和自动化的处理 利用不同类型的监测器采集系统级和应用级可 用性信息 并在监测器指标测量失败时发送告警事件 Webcare 智能网络监控 软件将上述告警信息进行统一格式化后实现集中统一的监测和管理 图 5 告警事件截图 3 5 23 5 2 故障信息的采集故障信息的采集 Webcare 智能网络监控软件其底层的事件接收器 可以对网络设备进行直 接的采集和状态监测 从而了解网络设备的运行情况 故障信息的采集包括以 下几种方式 利用 Syslog 接收器获取相关设备或系统转发的 Syslog 信息 发送给 告警管理模块 利用 SNMP Trap 接收器获取设备或系统转发的的 Trap 事件信息 发送 给告警管理模块 系统内部监测器将每次轮询采集到的数据与监测器中配置的阀值进行比 对 当违反阀值时依据告警规则向告警模块发送告警事件 3 5 33 5 3 统一的事件处理平台统一的事件处理平台 Webcare 智能网络监控软件在同一告警管理窗口集中显示来自不同信息源 的事件信息 告警控制台同时提供灵活的分类过滤工具 可依据告警中的任一 信息进行匹配分类 管理员可以从告警浏览器中选中一条或多条告警 以对其执行各种管理操 作 如查看详细信息 确认告警 延后处理 添加注释 添加专家意见 取消 确认 删除告警 指定负责人 创建告警过滤条件等 通过点击告警的 详细信息 可以对告警的详细信息进行查看和修改 告 警的详细信息包括 发出告警的对象 具体问题描述 告警发生的历史记录 附加信息等等 3 5 43 5 4 事件的自动通知事件的自动通知 当新发生的事件信息满足预先定制