东软安全运维管理平台V50详细技术介绍方案v12.doc

东软安全运维管理平台V5.0详细技术介绍方案东软公司2010年9月ii东软公司更改履历版本号更改时间章节号状态更改简要描述更改人批准人V1.0曹鹏V1.1曹鹏V1.22010-9-4曹鹏注：状态可以为N-新建、A-增加、M-更改、D-删除。2东软集团股份有限公司目 录一、产品选型方案11.1产品选型依据与原则11.1.1概述11.1.2建设需求11.1.3建设任务与目标21.1.4产品选型原则21.1.4.1标准性原则31.1.4.2安全性原则31.1.4.3扩展性原则31.1.4.4成熟性原则31.1.4.5稳定性原则31.1.4.6易管理易操作性31.1.4.7兼容性原则31.2综合信息安全管理平台选型建议31.2.1标准性41.2.2安全性41.2.3可扩展性41.2.4成熟稳定性51.2.5易管理易操作性71.2.6兼容性71.2.7先进性71.3产品技术方案101.3.1东软安全运维管理平台5.0系统概述101.3.1.1监控整体IT资源 全面采集数据111.3.1.2关联风险分析 高效精准响应111.3.1.3掌控整体安全 细化分析报告111.3.1.4软件定制开发 满足个性需求121.3.2系统总体规划设计概述131.3.2.1解读当前信息安全体系模型131.3.2.2安全运维管理平台在信息安全体系中的重要地位141.3.3东软安全运维管理平台的体系模型161.3.3.1监控数据信息的统一采集171.3.3.2集中信息安全风险监控管理171.3.3.3风险事件处置运维流程管理181.3.3.4统一信息库201.3.3.5集中展现层201.3.4资产管理模块201.3.4.1资产管理方式201.3.4.2可管理的资产类型231.3.5系统关键文件防篡改防护模块231.3.6桌面权限集成管理模块241.3.7安全事件管理模块251.3.7.1广泛的事件采集范围251.3.7.2灵活多样的数据采集方式261.3.7.3分布式可自定义的事件采集策略261.3.7.4采集模块的多重合理化工作设计271.3.7.5自主设计避免事件误告与漏告的核心关联分析框架介绍271.3.7.6基于统计的关联分析使告警事件信息更加准确281.3.7.7基于规则的关联分析完成告警事件信息的深度挖掘301.3.7.8基于资产的关联分析消除常见误报安全事件381.3.8进行直观展现的风险与预警管理模块401.3.9完整集成的脆弱性管理模块421.3.10符合国内运维习惯的事件响应与告警模块441.3.11面对不同运维人员需求设计的报表管理模块451.3.12可持续升级的安全知识库管理模块461.3.12.1漏洞库471.3.12.2技术知识库471.3.12.3工具软件库481.3.12.4政策法规库481.3.13自身系统与用户管理模块481.3.13.1用户与权限分立管理481.3.13.2丰富的系统配置与运行状态维护491.3.13.3可扩展的多引擎管理521.3.13.4自身平台操作行为日志管理521.3.14海量安全事件处理与存储功能521.3.15直观的网络设备管理功能531.3.15.1自动绘制网络拓扑监控531.3.15.2网络设备性能与流量信息细粒度监控571.3.16工单与工作流管理功能581.3.16.1工单的操作591.3.16.2工单的管理601.3.17数据处理模块611.3.17.1服务器主机系统数据处理611.3.17.2数据库系统的数据处理631.3.17.3中间件系统的数据处理661.3.18定制开发691.3.19运用NetEye安全运维平台可实现高效的信息安全运维管理691.3.19.1综合管理平台与运维管理平台的整合691.3.19.2安全事件信息与系统运行监控信息的融合度大大提升701.3.19.3统一传统网管人员与安管人员工作平台职责701.3.19.4实现综合安全管理平台的统一运维701.3.20产品所支持设备厂商列表711.3.20.1目前支持设备与产品列表711.3.20.2积极的后续设备与产品兼容性解决方案721.4产品部署731.4.1产品基本形态介绍731.4.2标准网络环境部署方案介绍731.4.3物理隔离双网环境下部署方案介绍74iii一、 产品选型方案1.1 产品选型依据与原则 NetEye安全运维平台系统的产品功能设计依据，主要参照国内信息安全建设情况以及常见运维组织架构中所要求建设内容、建设目标及任务以及产品基本技术要求实现。1.1.1 概述为了解决分布在网络中的各种安全问题，目前国内大部分行业用户已经逐步建立起来不同的安全系统，包括防病毒系统、防火墙系统、入侵检测系统、安全审计系统、非法外联监控系统、桌面安全管理系统等，然而，随着安全系统建设越来越大，安全防范技术越来越复杂，也出现了相应的问题：1） 首先是安全产品部署越多，需要的安全管理人员越多，但由于人员编制的原因是安全问 题无法完整和深入的解决。2） 其次是安全产品相对独立的部署方式使各个设备独立配置、各个引擎产生独立的事件报警，难以形成全局的安全风险监控，安全策略和配置难以统一协调。3） 再次是与安全相关的数据量越来越大，难以对海量数据集中储存和分析处理，从大量的、孤立的单条事件中无法准确的发现全局性的、整体的安全威胁行为4） 最后是难以实现全局的统一的网络安全设备综合监控、预警和安全响应处理等等。传统的信息安全系统的运行方式已经成为许多安全隐患形成的根源，信息安全应该是一个多层次、多因素、综合的动态过程，要求对信息系统和组织体系进行综合思考和统一规划，需要一种新的运行方式，能将不同位置、不同安全系统中分散且海量的单一安全事件进行汇总，统一规范和分析处理，从全局的角度分析安全问题，体现安全风险的状况，并形成安全事件处理决策，制定统一的处理流程规范，对安全问题进行统一响应和处理。1.1.2 建设需求1）已经部署的多种安全设备需要集中管理：2）需要分析网络系统资产和独立的安全系统（防病毒系统、非法外联监控系统、网管系统、漏洞扫描及入侵检测系统、审计系统及内网安全管理系统等，其他还包括相关的网络设备、主机系统）产生的事件之间的关系，得出综合的、有意义的结论：3）信息安全工作人员需要交流安全经验、共享安全信息，需要权威、更新及时的安全漏洞和事件知识库。4）当前的信息安全方针、工作流程、指南等正式文档需要发布平台。5）需求把当前已有信息系统资产的信息安全事件、资产弱点反应在业务风险上，加强领导、业务部门对信息安全风险的关注。1.1.3 建设任务与目标综合信息安全管理平台的建设任务，需要针对用户网络中已经部署的各厂商的设备与系统：l 主机系统：主流主机操作系统：windows/2000/XP/2003/Vista、支持主流LINUX系统和UNIX系统等；l 网络及网络安全系统：防火墙、入侵检测、入侵防御、网络版杀毒软件、非法外联行为监控系统、审计系统、准入控制移动存储介质的管理、补丁的分发系统、网络管理、桌面终端管理安全软件等。l 相关应用系统（由于行业性质不同不再一一举例）进行集中监控、风险评估、知识管理，对安全日志集中管理统一事件关联分析、建立统一安全事件处理流程。最终通过NetEye安全运维平台系统，将目前将各自为战、零散的安全产品串联起来，使安全事件可全局管理、全面考虑、降低安全事件误报，通过安全管理平台的管理界面将内网资产的信息安全事件与资产弱点直观的展示给领导与业务部门，加强领导对相关事件的重视。通过NetEye安全运维平台系统将IT技术体系中难以管理量化的无形资产，直观清晰的展现在界面中。将资产、威胁、弱点三者真正的融合在一起，实现了风险管理的最佳实践。为技术体系、管理体系、运维体系均提供了各自的操作环节。对不同厂家、不同类型的各种安全设备、网络设备进行统一的管理，最终建设成为一个真正的、强大综合运维管理平台。大大提高安全运维的工作效率。1.1.4 产品选型原则经过前期认真项目调研，东软认为在综合运维管理平台建设中，运维平台选型需要遵循以下建设原则：1.1.4.1 标准性原则在安全管理平台建设过程中，选用产品的工程设计必须选用符合国家有关技术标准的产品。1.1.4.2 安全性原则在安全管理平台建设过程中，采用成熟可靠的技术和产品，同时再配合以完善的项目控制规范和质量保证体系，从而保证IT综合运维管理平台开发和运行的安全性。1.1.4.3 扩展性原则 在安全管理平台设计过程中，选用产品的系统需要进行冗余设计，以便今后系统扩展需要。1.1.4.4 成熟性原则 在安全管理平台建设过程中，选用的产品需要具备，投入市场时间长、拥有大量应用于不同行业、不同规模的成功案例等特点。1.1.4.5 稳定性原则 在安全管理平台建设过程中，需要经过严格的功能、性能以及环境的测试，并具备第三方权威部门出具的检测报告，具备长时间无故障工作运行测试记录以及生产环境的无故障工作记录。1.1.4.6 易管理易操作性 在安全管理平台建设过程中，选用的产品需要具备统一的管理平台，支持将来平台扩展后的集中管理需求，同时需要拥有良好的人机交互界面。1.1.4.7 兼容性原则 系统各模块之间、系统与其他所管理的系统之间具备良好的互联互通、互操作性。1.2 综合信息安全管理平台选型建议NetEye安全运维平台系统采用先进的J2EE架构，可以基于B/S方式，对用户已经部署的各种重要主机服务器、重要网元设备、各种安全设备进行集中管理。NetEye安全运维平台系统可以作为用户的综合性安全运营平台，实现对安全设备进行统一安全日志集中管理、统一事件关联分析、统一安全事件处理流程。通过该平台可以对内网的资产管理、安全事件管理、风险与预警管理、脆弱性管理、响应与告警管理、报表管理、知识库管理、工单工作流管理等。NetEye安全运维平台系统的优势体现为：1.2.1 标准性在安全管理平台建设过程中，东软安全运维平台自身对于安全管理，风险评估，资产分级，事件处理以及工程实施方面都需要重点遵循国家主管单位相关的技术标准要求，力求体现合规性，可以直接在后续的信息安全检查工作中避免出现安全运维平台后续实际应用中的再次修改。1.2.2 安全性NetEye安全运维平台系统是东软自主创新自主研发，完全采用私有的专用安全操作系统平台，具有国内的完全的自主知识产权，核心代码完全由东软自主掌握，无系统漏洞和人为后门，安全性最高，杜绝了OEM产品、国外研发产品的不安全性。面对日益严峻的国内外网络安全形势，完全自主知识产权的NetEye安全运维平台系统可有力保障用户的网络安全和业务应用系统安全。东软从1995年成立的东北大学网络安全实验室开始，长期承担国家有关安全项目和安全产品的研发，迄今为止，累计投入9000万元。在东软，有600人专门从事网络安全产品的研发、生产和销售，其中技术开发人员达400人。强大的技术实力，保障了安全产品的长久、稳定、持续发展。NetEye安全运维平台系统的研制和生产过程规范化和标准化，产品符合国际和国家相关质量标准，获得了相关权威机构的认证。结合东软完善和高质量的售后服务，可以极大增强用户的使用信心，有力保障用户业务系统的高安全性。1.2.3 可扩展性NetEye安全运维平台系统的可扩展性体现：n 安全运维平台系统的系统采用模块化结构，以保证系统硬件可以按需及时进行内存、CPU及储存容量的扩展；n 安全运维平台系统配置的升级不会引起应用级软件的修改和开发；n 安全运维平台系统软件升级不会影响原有策略；n 安全运维平台系统应用软件的结构能保证功能的易于扩展和升级。为方便满足网络规模和安全功能的扩展，NetEye安全运维平台系统考虑了网络新技术和业务发展的扩充要求，采用东软公司专用的UniEAP通用企业应用平台，其具备可靠的平台稳定性、开放高效的标准化组件框架和成熟的兼容性，为系统针对一种新的功能、新的数据来源的定制开发和快速扩展提供了有力的基础。同时系统支持平滑升级，不需要重新启动。1.2.4 成熟稳定性（1）多年的研发经历，大量的市场验证东软从2005年起开始投入NetEye安全运维平台系统的自主研发和逐步产品化，迄今已经有5年的研发推广经验。经过多年的发展，NetEye安全运维平台系统稳定成熟，超过百套东软安全运维平台广泛应用于政府、电信、金融、社保、电力、烟草、军队等各行业，充分经历了市场的考验。用户包括人民银行清算系统、中国投资有限公司、中国建设银行、国家工信部下属国家计算机网络与安全管理中心、国家信息中心、中航集团下属全国所有分支核心节点、华能集团总部及下属公司、广西社保、中国海洋石油、辽宁网通、华东电网、四川电力、武汉地税、安徽电力、武警某部、中国武警学院、天津烟草、福建中烟公司、浙江海盐社保等。（2）成熟可靠的平台架构凭借十多年软件开发经验积累，东软设计出了一套业界领先“随需应变、绿色发展”的开发平台，NetEye 安全运维平台系统正是基于此平台开发设计出来的优秀成果之一，从而确保NetEye 安全运维平台系统的成熟可靠。（3）高可靠性的标准开发环境和测试实验室东软从创建初期就非常重视正规化的产品研发和服务，东软是较早通过ISO9001质量体系认证的软件企业，我们的标准化的开发服务体系是给予用户最好信心的可靠保证。东软长期致力于网络安全产品的开发设计，投入大量的资金和高技术人才从事网络安全产品的研究、开发设计工作。到目前为止，东软累积投资9000多万元人民币于信息安全解决方案的研发和验证推广，成立有自己的网络安全试验室，该实验室是东软面向信息安全核心技术的研究机构，研究方向包括安全运维平台系统、异常流量监控与防范、信息保密技术、信息安全专用芯片技术等领域，使得东软成为国内最大的一家为客户提供整套网络安全解决方案的网络安全厂商。目前，推向市场的产品已经得到广泛应用和用户的认可。（4）高可靠性的开发人员团队东软有一批稳定的团队，从事产品研发、为客户提供安全服务，东软禁止招安所谓“黑客”的做法，因为任何一个企业对黑客都很难构成完全的约束力，由于安全领域服务的特殊性，东软一般都是从学校里招一些优秀的应届生，这些人往往在学校里就是学生干部或者是老师们推荐的骨干，东软首先看重的是他们的人品。经过一年多的培养，由老员工带出来，“根正苗红”，经验丰富后，才让他们独立去做。这样的团队才会给客户带来安全可靠感！1.2.5 易管理易操作性NetEye安全运维平台系统设计之初走访大量用户，在全国范围进行过多行业用户实际需求和使用习惯的全面调研，完全为国内用户自主设计开发，其开发理念即借鉴了国内外当前主流安全标准制度也保留有国内使用者的使用习惯。运维平台用户界面采用B/S架构，从主界面的布置、菜单结构设计、登录程度设计、语言描述、策略结构设计、报警方式和报表结构等方面完全符合中国人的使用习惯。系统提供中文图形化管理界面，直观、易于理解和操作。提示信息通俗易懂，操作及选择键（热键、菜单选择等）的功能定义在全系统保持一致。对于查询/统计结果等，提供可选的打印功能，并提供电子文档的存储功能。1.2.6 兼容性NetEye安全运维平台系统采用行业通用的技术标准和接口标准，通过Syslog、SNMP、ODBC、XML等方式，可以支持国内外主流的主机服务器/网络设备/安全设备，主流的操作系统/数据库/应用系统，能够实现与各系统间良好的互联互通和互操作。东软作为国家漏洞库的发起与主要参与者，NetEye安全运维平台系统的漏洞库兼容国内国际的各种漏洞标准，如CNVD、BugTraq、CVE等。NetEye安全运维平台系统同时可以根据第三方厂商提供的接口程序，实现对新增安全设备或系统的定制开发。NetEye安全运维平台系统良好的兼容性可以很好地满足用户现在和将来安全运营管理的需要。1.2.7 先进性NetEye 安全运维平台系统为了更好地解决海量日志困扰、技术与管理割裂、维护工作效率低等目前的安全挑战，采用了很多先进的技术和理念。NetEye安全运维平台系统的各模块间具有良好的关联性，关联分析的实现方式包括：基于规则的关联，基于统计的关联，基于漏洞的关联，基于事件、资产等信息的关联分析、基于安全事件的横向/纵向关联分析等。先进的日志信息过滤机制NetEye安全运维平台系统具有一套先进科学的多层日志信息过滤机制，可以适应在大型复杂型骨干网络中的高速及大容量数据采集和分析，在不影响网络性能的前提下降低安全事件的误报率。资产与风险的关联的设计理念NetEye 安全运维平台系统不再割裂的考虑资产和风险，本系统的设计理念就是：以资产为核心，以风险管理为途径，建立主动安全防御体系。通过每个资产可以直接展示当时风险、历史风险、风险变化趋势，以及与风险有关的安全事件威胁、脆弱性等详细内容。事件综合关联分析安全管理系统将从主机系统、网络系统、业务系统、数据库系统、安全系统采集来的所有预警信息进行统一标准格式化，并结合信息资产的安全保护等级进行智能化的综合关联分析，科学合理的定义IT事件的性质和处理级别。关联分析有以下几种实现方式：基于规则的关联，基于统计的关联，基于漏洞的关联，基于事件、资产等信息的关联分析、基于安全事件的横向/纵向关联分析。网络管理和安全管理的结合安全管理系统针对“网络管理”和“安全管理”双管齐下。不仅针对安全事件进行收集、分类和处理，同时对主机系统、数据库系统、业务系统进行实时的监控，包括：运行状态、CPU分配、内存分配、系统进程、表空间等进行实时的监控。1.3 产品技术方案1.3.1 东软安全运维管理平台5.0系统概述 中国安全管理平台起源于国内高端用户的需求，发展于行业用户的应用，SOC市场也是一直被用户称为具有中国特色的安全细分市场。在这个细分市场中，拼的不是硬件，而是软件；搏的不仅仅是性能，更是功能。东软NetEye安全运维平台(SOC) V5.0版本恰恰充分利用了东软的“软”优势，凭借东软在中国IT界软件领军的技术实力，真正实现了让东软NetEye安全运维平台(SOC) V5.0版本的成功“软”着陆（这里的“软”指的是东软强大的自主软件研发能力）。2010年5月东软正式对外发布东软NetEye安全运维平台(SOC) V5.0版本。该新版本较之以前功能更强大，设计更新颖，更体现人性化。本次发布的东软SOC V5.0版本是东软自2005年发布SOC V1.0版本后，依靠连续5年在高端行业用户应用中所积累的实践经验而研发生产的。其中强大的监控整体IT资源及全面采集数据功能、智能的关联风险分析并可以高效精准快速响应机制功能、在掌控整体安全状况下提供细致分析的报告功能、定制开发快速实现用户个性需求的软件研发优势和东软安全14年的安全行业整体解决方案服务能力，逐一在东软NetEye安全运维平台(SOC) V5.0版本中予以实现。东软NetEye SOC已成功实施部署在金融、电信、电力、政府、能源、航空、烟草等高端行业用户的网络系统中，采用模块化的灵活部署方式，东软SOC4000系列为中小型企业提供量身定制的SOC解决方案，满足日渐提升的细分行业市场安全运维管理需求。而东软SOC4000系列则是将不同高端用户需求再次深度挖掘，细加工之后奉献给高端用户的一件接近完美的软件作品。1.3.1.1 监控整体IT资源 全面采集数据东软NetEye SOC V5.0系统不再单纯以安全产品告警作为唯一关注点，而是将监控落实到整体IT资源中的CIA三个层面上（CIA即信息安全系统的保密性、完整性和可用性）。东软NetEye SOC V5.0采集引擎可覆盖IT系统中的安全设备、网络设备、服务器系统、应用软件和数据库的安全事件、异常流量、性能告警、配置变更及故障事件等。东软NetEye SOC V5.0打破了传统监控类平台因采集到的数据无法互相沟通、彼此关联所造成的各司其职的尴尬状况，站在运维管理者关注资产风险变化的视角，将所有采集的数据统一整合并建立科学的时间轴前后关联分析策略，将安全监控与IT系统各种细微变化联系在一起，以至于将安全风险监控深入落到每个细节中。1.3.1.2 关联风险分析 高效精准响应面对今天动辄数万条的告警信息，传统的、单纯的日志事件集中展现令运维人员很难找到后续处理的工作重点。东软NetEye SOC V5.0系统可实现从资产管理角度出发进行关联风险分析，以SOC高速关联计算取代传统人员的经验分析，将重要资产告警事件进行优先处理，使运维管理者对关键事件与重要风险的把握更精准，处理更高效。例如，一条入侵检测告警事件出现在某台服务器上时，东软NetEye SOC V5.0系统会自动针对该系统的配置、性能、故障、流量及实时监控数据等多个角度进行分析，自动显示该事件对服务器风险变化的影响，同时结合资产重要度，进入相应处理阶段。协助信息安全管理者每天高效精准的关注资产风险最高的告警事件即可，避免逐条查看和分析无效风险事件，减少无用的重复性工作，提高整体工作效率。1.3.1.3 掌控整体安全 细化分析报告每逢总结工作或安全检查时，信息安全管理者最为挑战的工作就是撰写安全总结报告，因报告内容生成需依靠日常大量相关数据积累，并对海量数据进行复杂且专业的分析。东软NetEye SOC V5.0系统能够对IT系统底层CIA相关数据进行全面的监控和完整的关联风险分析，并且所有原始数据和分析结果都可被报表模块直接调用，生成全面、系统、多样化的专业信息安全分析总结报告，供管理者决策参考使用。1.3.1.4 软件定制开发 满足个性需求安全管理平台与传统安全产品最大的不同之处在于，它在应用的过程中会不断产生新的技术需求，而能否积极、快速应对这些新需求往往成为判断安全管理平台的实施应用成功与否的关键点。东软NetEye SOC V5.0系统采用东软核心底层开发设计通用平台UniEAP，该平台基于业界领先的J2EE平台构建，采用开放的三层体系架构，可以兼容多种操作系统和关系数据库系统，具有灵活部署能力、交互能力和应用定制能力，也是是东软集团19年行业应用技术积累形成的特有应用开发平台。面对用户各类SOC定制化开发设计需求，基于UniEAP平台之上的东软NetEye SOC V5.0比传统二次开发将为用户节省30%-50%的投入成本，实现降低项目成本和提速实施周期的双重目标，快速满足不同用户的个性化定制要求。东软NetEye安全运维平台（SOC）虽可解决多数行业大部分安全运维问题，但事实上，它不能全面且绝对解决所有问题，因为安全运维是一个系统工程，绝不是一个平台、一个产品或一个解决方案就能完全涵盖的。信息化建设至今，安全威胁与攻击手段随之不断演进、恶化；不同行业，不同业务系统更是千差万别，这些客观事实都给安全运维工作带来了超高的难度。基于现状，要想最大限度的满足用户之于安全运维管理的需求，必须有一支具备多年安全行业经验、强大软件技术开发功底、技高一筹的安全应急实施服务能力的团队。随时了解用户需求，并第一时间作出判断，给出合理化建议并确保实施，才可以逐步完善安全运维管理（SOC）产品面临的困惑、怀疑与挑战，达到广大用户的预期，而这些，正是东软安全从1996年一直走到今天，赖以生存的源动力，我们有理由相信，东软 NetEye SOC V5.0的表现不会让用户失望。1.3.2 系统总体规划设计概述1.3.2.1 解读当前信息安全体系模型信息安全体系包括技术体系、运维体系与管理体系，三大体系牢固的支撑起了今天的信息安全体系。在安全策略方面，应依据国家信息安全战略的方针政策、法律法规、制度，按照行业标准规范要求，结合自身的安全环境，制订完善的信息安全策略体系文件。信息安全策略体系文件应覆盖信息安全工作的各个方面，对管理、技术、运维体系中的各种安全控制措施和机制的部署提出目标和原则。在管理体系方面，应按照国家等级保护的有关要求，将“安全策略”提出的目标和原则形成具体的、可操作的信息安全管理制度，组建信息安全组织机构，加强对人员安全的管理，提高全行业的信息安全意识和人员的安全防护能力，形成一支过硬的信息安全人才队伍。在技术体系方面，应按照P2DR2模型，通过全面提升信息安全防护、检测、响应和恢复能力，保证信息系统保密性、完整性和可用性等安全目标的实现。在运维体系方面，应制订和完善各种流程规范，制订阶段性工作计划，开展信息安全风险评估，规范产品与服务采购流程，同时坚持做好日常维护管理、应急计划和事件响应等方面的工作，以保证安全管理措施和安全技术措施的有效执行。其中安全技术体系主要由众多成熟可靠的安全产品以及系统组件的安全功能得以实现，安全管理体系主要是通过对于管理组织建立以及配套的制度要求实现。运维体系稍显负责，其中心思想是如何将管理体系中的要求在技术体系中得以有效落实，运维体系是今天信息安全的核心重点也是整个体系建设中的难点。相对于直接购买回来的安全产品所构建的技术体系，以及通过编写配套文件建立起来的管理体系，运维体系是需要运维人员直接参与到其中，通过设定好的各项工作计划周而复始的进行系统维护工作，运维体系针对工作要求细致往往在人员相对较少的单位部门难以有效落地实现。这也是为什么最近几年众多信息安全专家总是在反复强调信息安全项目建设三分技术，七分管理运维的理由。 1.3.2.2 安全运维管理平台在信息安全体系中的重要地位安全体系的结构通常被定为为运维流程、技术职称以及人员管理三个直观角度，当安全体系由这三部分直接构成的时候往往最大的问题产生于其自身的功能衔接。众多安全体系在实际执行的过程中经常出现如下问题：1. 安全设备系统主机众多，需要维护的工作量也巨大，但运维人员数量与系统数量不成正比，导致人员出现即使24小时不间断工作也无法做完运维要求中的所有工作细节。2. 信息安全体系的主要目标是风险管控，但风险往往来自体系的不同环节，如果不能很好的将安全体系的三个支撑环节衔接，将会使得风险管理变得支离不全面。3. 体系中的三个支撑单元由于各自独立，容易出现现实落差，例如购买的安全产品往往可以直接实现较高的安全防护效果，但是设定好的部分安全奖惩管理要求可能因为种种原因而无人执行，很多运维流程可能由于人员出差或者其他工作忙导致被延误执行甚至直接被取消也无人过问。 所以安全体系不能分裂隔绝的来看单独某个环节，安全体系在实现自身的过程中也非常需要可以有平台化的某项技术将其进行统一的高层管理，这就是促成安全运维管理平台出现的最大契机。如果再往深来看，信息安全发展的历程里面，一直缺少一个真正统一体系的工具，将人、技术、管理和运维思想融合起来，以前人是人，技术是技术，制度是制度，制度是写好了锁在机房机柜里。人是单独管理模式，技术是产品叠加。没有一套动力将这三者融合起来。如果融合在一起，就提出了管理工具信息化平台化设想。安全运维管理平台化首先定位就像圆桌会议一样，在信息安全发展里，很多人听过专人专职，但信息安全专人专职，五年前说这句话有积极意义。但今天还强调的话可能就达不到管理目标的设想要求，例如某家单位的信息安全管理员指定让小王来担任，今天单位信息安全问题就是小王的事，小王一看这么多事情，那么多告警处理不过来可能索性就不去做了。这个时候就会发现信息安全只有一个人做的时候很难做，圆桌会议是将所有问题收集上来，摆在一个平台上，让大家都看到这个问题。遵循信息安全人人参与、共同维护。让问题摆开，所有人都看到，只有所有人都看到的时候，才能督促具体的责任人处理，为什么？如果以前这个问题是小王的事，小王到外面培训学习了，半个月都没回来，本来一个很严重的问题只有他自己知道，对其他人是不负责任的。但当大家都知道了，大家对这个问题有敏感度，督促小王解决，让责任人处理。将分析结果及时汇总报告，以前很多分析结果是自己分析完就停留在技术人员水平上了，没有得到上层决策层的重视。经常都是领导问我们，那个问题解决怎样了，做一份报告给我，下面没有手段将这些问题的结果定期分析跟汇总上去。如果我们把定期分析结果汇总上去下一步就很少实现了，用真实有效的数据指导未来安全规划和建设。传统信息安全规划的时候，往往根据现在市面上有什么产品成熟了，来决定是否去购买这个产品，是以产品成熟化为体系建设的导向，没有注意到真正的信息安全风险发生的问题，所以很多投入是有所偏差的。今天东软安全运维管理平台可以让理论转化为实践，为什么？因为人、技术、运维，当三者更好的结合在一起的时候，我们就发现制度不再是单纯的制度了，制度可以变成一种计算机的语言，把人、技术拉进来，让它们真正的动起来。所以信息安全利用平台，就强调信息安全先动手，再动嘴，我们实践的方法是先解决问题，再上升到理论，两者没有很好的结合。过去这段时间东软工程师和产品设计人员走访了很多用户，这些用户当中网络中每天看到的安全事件可能有的是告警、有的是审计结果，审计结果每天超过一百万条。结果是什么？很简单，谁也不会去看，把这一百万条信息记录提取出来后是根本不可能看过来。不要说一个人了，如果配备一个团队的话可能需要一百个人看一万条都是很难实现的。所以我们遇到很大的一个瓶颈，网络规模大、安全系统越来越细致，产生大量告警信息，架构上比较容易，但管理分析上最难的运维上是一片空白。利用安全运维平台化的产品可以解决哪些问题呢？第一不要让一个人在信息安全管理中承担过多的角色，还是避免专员专职。避免一个人成为安全事件处理的瓶颈，要实现大家一起参与，把大量事件收集好，展现给所有人。一个单位里有多少懂技术的运维人员呢？很多单位可能也就是5个人左右，一万个事件给这5个人是处理不过来的。所以安全运维管理平台不是简单的收集、发放，应该是收集，利用高效关联技术将信息进行大量关联，每天只把重要的事情，最需要处理的事情展现出来，这就是平台第二个好处。第三能够将传统的模型运转起来，而不是像以前只停留在纸面上。利用这种安全运维管理平台，可以很好将网络资产、威胁、事件三者关联一起，进行非常直观的风险展示，按照不同风险推送给不同人员，让大家真正关注、了解信息安全的水平，后面通过丰富报表等等可以更好的把信息安全做好。1.3.3 东软安全运维管理平台的体系模型东软安全运维管理平台管理系统主要结构包括：资产管理中心、监控管理中心、运维流程管理中心以及统一展示平台。1.3.3.1 监控数据信息的统一采集东软安全运维管理平台在IT基础资源信息数据采集实现对网络设备、安全设备、主机、数据库、中间件、应用、机房环境等的配置、性能、告警、日志以及各类安全事件的信息数据采集。数据采集层可以采用网络管理或安全管理的采集引擎实现各个事件日志、安全报警事件、告警信息、配置数据、性能参数以及各类事件数据的采集工作。根据运维监控平台管理系统的总体架构，为了提高系统的效率及成本控制，现有采集中存在的重复采集将不被允许。通过一次采集完成对整个被监管设备层面的性能、配置、告警等数据的监控，并将数据提交给统一信息库。1.3.3.2 集中信息安全风险监控管理集中信息安全风险监控管理实现对网络设备、安全设备、主机、数据库、中间件、应用、机房环境的运行状态、实时事件日志、告警信息、配置数据、性能参数以及各类事件数据进行标准化、归并压制、过滤、汇聚等预处理工作。如下图：东软安全运维管理平台信息采集功能结构图系统将性能数据、告警、网络、故障以及安全事件、配置等不同的信息数据采集后提交数据总线，数据总线经过汇聚和预先定义配置后将不同的数据分发给不同的数据处理组件进行处理，是为防止同一数据被不同的数据处理组件模块分别处理出现重复和多余、不同的告警和故障信息，是防止重复采集和重复告警、重复展示、误告、误报的重要手段之一。1.3.3.3 风险事件处置运维流程管理风险事件处置运维流程如下：1、统一监控管理将性能数据、告警、网络、故障以及安全事件、配置等不同的信息数据进行定义分配给不同的数据处理组件。2将性能数据、故障数据、网络信息、流量情况、风险信息、故障信息、告警信息、配置信息等处理后信息发送给流程运维管理中的统一信息库，同时将形成告警发送给IT流程运维管理组件。3、IT运维流程管理自动根据告警信息形成事件工单，并将流程信息和处理结果通过数据总线发送到统一信息库和展现平台。IT集中监控运维管理平台将基于事件不同需求的管理能力，通过数据关联处理过滤后形成的性能告警、网络告警以及安全告警、配置告警等提供事件工单、问题管理、变更管理、配置管理等管理支持，事件能够自动触发IT运维事件服务流程，实现闭环操作。协同调度层处理流程示意图：图 协同调度层处理流程示意图处理流程如下：1、 数据处理组件将处理的告警事件等通过流程控制分别可以提交给IT运维管理的服务台和事件管理，并将配置信息数据提交给配置管理。2、 服务台也接受用户业务部门的相关问题咨询和故障申报，同时服务台根据知识管理解决相关问题，并对相关问题形成事件提交给事件管理。3、 事件管理通过流程转化为问题，同时也可以引起变更管理。4、 问题管理根据事情特点发起变更，且IT用户和业务部门也可以直接发起变更请求。5、 变更后的信息提交给配置管理进行更新。6、 所有流程信息和产生数据都存储IT服务运行流程库中，同时将所有数据开放给统一信息库，以便进行及时的信息同步，满足集中展现要求。1.3.3.4 统一信息库统一信息库存储集中监控告警后的性能数据、配置数据、故障数据、告警数据、资产信息和运维工单信息等，包括历史数据和实时数据以及分析报告信息，是东软安全运维管理平台重要展现数据支撑。1.3.3.5 集中展现层集中展现平台提供一个图形化的显示界面，使得系统的展现可以通过统一平台进行实现。具体提供统一事件管理、网络状态监控、系统运行状态监控、安全状态监控、业务状态监控、拓扑管理、趋势预警分析、服务管理、系统维护、权限管理、报表管理、知识管理、故障管理、告警管理、审计管理等功能。集中展现需根据管理范围、需求以及不同级进行专业性的定制。1.3.4 资产管理模块保护信息资产是网络安全运维体系建设的核心目标，也是日常安全运维工作的核心环节。所有信息的存放，例如事件、漏洞等都应以资产的视角来查看，因此资产管理是NetEye安全运维平台系统的核心，是开展安全运维管理工作的基础。网络安全运维平台系统管理的资产包括：安全设备、网络设备、主机设备、业务系统（web服务及中间件）、数据库系统等所有与信息系统相关的资产。NetEye安全运维平台系统可帮助组织视觉化的直观掌控自己的资产，快速确定资产分布、资产的商业价值以及资产的重要性。组织可以根据资产价值及其重要性进行地域或者安全域的划分，或者根据信息资产的业务属性、设备类型、网段进行划分。平台系统支持资产保密性、完整性、可用性的分级评估，从而实施不同的安全防护等级。资产管理实现了对信息资产的描述和定义，并结合组织的基本情况进行资产的分类和登记，不仅可以协助安全人员有效管理信息资产的各类属性，同时也便于贯彻行业内相关的分级保护规范。1.3.4.1 资产管理方式NetEye安全运维平台系统提供灵活、方便的Web页面方式，供管理员将其所辖IP设备资产信息按业务属性、设备类型、网段、区域进行分类、登记和管理，为平台系统的其他模块提供信息基础。资产管理的主要功能是对资产进行管理，包括：资产归类，资产信息的录入，资产信息的批量导入和到处，资产赋值，资产属性编辑等功能。资产归类工作包括： 按照资产的地域进行归类，并且可以为每个地域指定一个管理员，将所在地域资产授权给相应的管理员； 按照资产的业务属性进行归类； 按照资产的设备类型进行归类； 按照资产的所属网段进行归类；资产信息的属性包括： 资产基本信息：资产编号、资产名称、资产类型、所属安全域、资产价值； 资产配置信息：资产的操作系统、接口数量、CPU、内存、硬盘、IP地址、MAC地址、资产开放的端口； 资产备注信息：生产厂家、资产负责人、购置时间等。资产管理模块通过与平台的其它模块，如风险管理、脆弱性管理、安全事件等模块关联后，进行资产风险变化趋势、脆弱性分析状况和安全事件统计的展示。1.3.4.2 可管理的资产类型NetEye安全运维平台系统目前支持广泛的资产类型，并可以直接从下列资产进行各种安全事件、系统配置、性能数据、故障事件以及脆弱性事件的获取，包括有： 主机系统，包括：Windows2000/2003/2008服务器系统、Windows2000/XP/VISTA终端系统、AIX服务器系统、Linux系统、Solaris服务器系统等； 安全设备，包括国内外主流的安全设备，包括：防火墙、入侵检测系统、防病毒系统、审计系统、反垃圾邮件系统、漏洞扫描系统、身份认证系统等； 业务系统，包括：IBM Websphere、Apache Tomcat、Microsoft IIS等； 数据库系统，包括：DB2、Oracle、SQL Server、MYSQL等。 网络设备，包括：CISCO、华为、Juniper、Foundry等。1.3.5 系统关键文件防篡改防护模块NetEye安全运维平台可以根据不同的操作系统类型，自动针对预先设定好的系统关键进程文件以及管理员指定的核心敏感文件进行重点监控防护，其本地采集进程会自动针对需要保护的敏感文件进行哈希安全效验，并且将效验结果远程保存在NetEye安全运维平台数据库中。系统会利用每次轮训周期针对文件列表中的文件进行重新哈希效验数值检查。一旦发现文件数值效验结果不符合的时候，会自动进行告警提示，提醒管理员特别注意关键敏感文件的差错信息。该功能针对近期一些服务器木马软件篡改系统核心进程，且木马进程与原有进程在大小、修改时间以及属性上完全一样，只有通过更加严密的哈希方法效验才可以将恶意代码显出原形。NetEye安全运维平台利用在服务器端进行实时监控的进程完成本项任务操作，拥有实时监控且可统一管理的技术优势。1.3.6 桌面权限集成管理模块NetEye安全运维平台可以实现完整的桌面安全管理模块，针对WINDOWS不同版本的操作系统通过安装桌面静默代理引擎，可以实现完整的桌面安全管理控制功能。终端桌面资产统计管理：a)提供自助注册和扫描相结合的资产信息统计方式，支持用户信息自注册和管理员审批流程；b)用户可从不同的角度对网络中的设备进行查询、分析、统计；硬件配置监控管理：a)可对内部网络所有终端硬件、系统信息的自动收集、统计、变更与报警管理；b)可自动收集计算机的主要硬件信息（CPU型号、内存、硬盘、Mac地址、操作系统、声卡、显卡等），并提供自动变更提示，后续更可以指定灵活策略进行对应的查询，使得攻击与违规事件的追踪可以直接定位到人。外设接入权限管理与监控管理：a)可对计算机的外部设备使用进行控制，至少包含：启用或禁用软驱、光驱、USB设备(存储设备)、Modem、串口、并口、红外端口、1394端口等；b)外设禁用不影响USB鼠标、键盘、Key等的使用；c)对USB存储设备进行登记注册管理，只有经管理员注册并分配的USB存储设备才能在指定终端上使用，防止非授权使用移动存储介质。d)支持对USB存储设备外传文件进行审计记录；e)支持对移动存储介质使用行为进行审计监控；f)支持数据单向导入，防止“摆渡”等窃密风险；g)实现对移动USB设备的加密管理，支持文件加密和磁盘加密两种模式。只有在允许使用且具有相同密钥的终端上才能解密读取文件或使用U盘；软件安装使用监控管理：a)可对内部网络所有终端软件、系统信息的自动收集、统计、变更与报警管理；b)可对终端用户软件安装情况进行审计，同时对应用软件的使用情况进行控制，明确各个软件与企业安全策略的符合情况；c)实现向终端计算机自动分发和安装软件，支持通过自定义脚本扩展软件安装的执行方式；进程监控管理：a)可按管理员定义的预案进行进程监控，监控特定进程的运行情况；b)可通过设定黑白名单的方式进行进程启用的控制；c)支持对终端进程异常的监视与控制，所有监控均可及时向管理员报警并可自动停止非法进程；进程监控管理：a)通过配置连接参考点和标准路由信息来对内网终端进行联网检测，以检测内网终端各种途径的非法外联事件及脱离内网的不安全操作等；b)能够快速检测计算机通过拨号、双网卡等手段连接其它网络的行为，并根据策略快速阻断其网络连接，外联监控阻断功能不影响网络其他性能，无需专门的外网监控服务器就可以实现该功能。1.3.7 安全事件管理模块1.3.7.1 广泛的事件采集范围事件采集层主要通过数据采集引擎来实现原始数据的获取。数据采集引擎负责从网络设备、安全设备、主机系统(主流主机操作系统：windowsNT/2000/XP/2003、支持主流LINUX系统、主流UNIX系统等；)、数据库系统、应用程序（主流应用程序：Web、Mail、DNS等）、网管系统和日志服务器系统等采集数据。因为多数据源的特点，导致采集引擎获取数据资源的方式各不相同。针对标准网络设备、网管系统和日志服务器系统等，数据采集层可以通过SYSLOG、SNMP、ODBC