信息安全综合管理与监控平台技术规范

1、信息安全综合管理与监控平台技术规范i目录 HYPERLINK l _TOC_250037 概述1 HYPERLINK l _TOC_250036 信息安全综合管理与监控平台监控管理范围1 HYPERLINK l _TOC_250035 信息安全综合管理与监控平台功能要求1 HYPERLINK l _TOC_250034 安全事件管理2 HYPERLINK l _TOC_250033 安全事件采集2 HYPERLINK l _TOC_250032 安全事件过滤3 HYPERLINK l _TOC_250031 安全事件关联3 HYPERLINK l _TOC_250030 安全事件实时告警4 H

2、YPERLINK l _TOC_250029 安全事件告警处理4 HYPERLINK l _TOC_250028 安全事件统计与分析5 HYPERLINK l _TOC_250027 设备集中管理6 HYPERLINK l _TOC_250026 设备状态集中监控6 HYPERLINK l _TOC_250025 流量管理6 HYPERLINK l _TOC_250024 安全策略集中管理6 HYPERLINK l _TOC_250023 主机设备集中管理6 HYPERLINK l _TOC_250022 查询统计分析6 HYPERLINK l _TOC_250021 信息安全风险管理7 HY

3、PERLINK l _TOC_250020 资产管理7 HYPERLINK l _TOC_250019 脆弱性管理7 HYPERLINK l _TOC_250018 威胁管理7 HYPERLINK l _TOC_250017 风险分析7 HYPERLINK l _TOC_250016 安全预警管理7 HYPERLINK l _TOC_250015 查询统计分析7 HYPERLINK l _TOC_250014 安全任务单管理8 HYPERLINK l _TOC_250013 安全任务单产生8 HYPERLINK l _TOC_250012 安全任务单处理8 HYPERLINK l _TOC_2

4、50011 安全任务单管理与其它系统接口8 HYPERLINK l _TOC_250010 工作考核8 HYPERLINK l _TOC_250009 查询统计8 HYPERLINK l _TOC_250008 安全知识管理8 HYPERLINK l _TOC_250007 补丁知识库8 HYPERLINK l _TOC_250006 病毒知识库8 HYPERLINK l _TOC_250005 安全事件分类定级9 HYPERLINK l _TOC_250004 安全事件公告9 HYPERLINK l _TOC_250003 安全事件处理经验库9 HYPERLINK l _TOC_250002

5、 安全技术和管理知识库9 HYPERLINK l _TOC_250001 系统接口9 HYPERLINK l _TOC_250000 信息安全综合管理与监控平台性能要求9信息安全综合管理与监控平台技术规范 V1.0第 PAGE 9 页 共 9 页概述信息安全综合管理与监控平台能够采集来自所有安全产品和非安全产品的事件信息，对安全事件进行过滤、关联分析和告警，并为企业提供风险管理的自动化手段。信息安全综合管理与监控平台将安全运行管理和安全技术进行结合，能够规范安全管理工作，全面掌握安全状况。信息安全综合管理与监控平台逻辑结构如下：信息安全综合管理与监控平台监控管理范围信息安全综合管理与监控平台监

6、控管理的范围包括：系统内部署的各种安全产品、主机与网络设备、数据库系统与应用系统、桌面系统等，其中各种安全产品和系统包括防火墙、IDS、安全文件网关、VPN、防病毒系统、审计系统、访问控制系统、用户集中管理和认证系统等安全设备/软件。信息安全综合管理与监控平台功能要求信息安全综合管理与监控平台功能要求定义了对信息安全综合管理与监控平台功能上的要求，分为安全事件管理、设备集中管理、信息安全风险管理、安全任务单管理、安全知识管理等几个部分。. 安全事件管理通过采集、过滤、汇聚、关联分析等手段充分缩减大型信息系统中海量的安全事件信息， 并对安全事件进行严重性排序，优先呈现和处理严重性级别较高的安全事

7、件，以便了解系统实时的安全事件状况。关注的事件类型主要是攻击行为、异常活动和状态、病毒以及安全告警等。安全事件采集安全事件采集包括对环境安全事件采集、安全设备/软件事件采集、网络设备安全事件采集、主机事件采集、应用系统安全事件采集、数据库系统安全事件采集等。环境监控物理环境安全是信息安全的一个重要组成部分。有必要在信息安全综合管理与监控平台中对环境进行监控。环境监控模块包括图像监控、门禁管理、温度/湿度/水位/烟感等信息的采集和管理。安全设备/软件事件采集能够对防火墙、IDS、横向隔离设备、纵向加密设备、VPN、安全文件网关设备、防病毒系统、审计系统、访问控制系统、用户集中管理和认证系统等安全

8、设备/软件产生的事件的采集和存储。网络设备安全事件采集能够对网络设备产生的安全事件进行采集和存储。主机事件采集能够对主机 CPU 负荷、内存使用率、硬盘使用率及操作系统安全事件等事件进行采集和存储。桌面系统监控能够对桌面系统进行监控，包括桌面系统的网络行为监控、文件访问行为监控、应用程序安装/运行监控，应用系统访问控制等。应用系统安全事件采集能够对应用系统产生的安全事件进行采集和存储。基础平台安全事件采集能够对数据库、中间件等产生的安全事件进行采集和存储。安全事件过滤能够对采集到的数据进行过滤缩减安全事件数量，包括：过滤掉严重程度较低的原始事件信息；通过指定事件影响的设备、事件采用协议、事件类

9、别、事件标题等事件属性进行过滤。应能对事件数据过滤的开启状态进行手工设定。安全事件关联信息安全综合管理与监控平台应具有安全事件关联功能，来深度挖掘安全隐患、判断安全事件的严重程度。信息安全综合管理与监控平台确定的关联性事件，不仅要有自身的内容，还必须可以关联查询到触发该事件产生的所有的原始事件。具体安全事件关联方式包括：基于规则的关联分析：将可疑的安全活动场景（暗示某潜在安全攻击行为的一系列安全事件序列）加以预先定义。系统能够使用定义好的关联性规则表达式，对收集到的安全事件进行检查，确定该事件是否和特定的规则匹配。至少应能够对以下安全活动场景预先定义关联规则：DDOS 攻击缓冲区溢出攻击网络蠕

10、虫邮件病毒垃圾邮件电子欺骗非授权访问企图入侵行为木马非法扫描可疑 URL具备自定义网络安全攻击行为功能，可以通过可视化的流程图的定义某种网络攻击行为；可根据安全事件发生的因果关系，进行逻辑上关联分析。给出事件关联相关度的定量分析；可根据网络安全的动态情况，自适应过滤相关度较低的事件；提供多种事件关联规则定义的方式，既包括通过简单明了的向导创建关联性规则，也可以允许用户使用类似脚本语言的方式；关联性规则表达式应该支持规则的多级嵌套，前一规则输出作为后一规则的输入，以及规则之间的并集和交集处理关联性规则应该具有良好的移植性，可以按照特定的文件格式，如 XML，导入和导出。基于统计的关联分析：定义一

11、些大的安全事件类别，对每个类别的事件设定一个合理的阀值，将出现的事件先归类，然后进行缓存和计数，当在某一段时间内，计数达到该阀值，可以产生一个级别更高的安全事件。基于资产的关联分析：安全事件应能与相关资产的敏感性以及相关资产上的漏洞进行关联，从而判断某个安全事件是否能造成不良影响以及造成不良影响的严重程度。例如：某个安全事件在某个资产上发生，并且正好与此资产上的一个或多个漏洞有关联关系，则可以判断此安全事件将对此资产产生一定不良影响；另外此事件利用资产上漏洞产生的影响可能侧重在某个方面，比如对资产可用性影响非常大， 而此资产恰恰对可用性要求非常高，那么可以确定此安全事件将对此资产造成巨大的不良

12、影响，属于非常严重的安全事件；安全事件实时告警能够对安全事件进行实时监控，并以多种方式进行不同级别告警安全事件的呈现。可以按照以下条件定制组合监控策略：监控对象事件类型紧急程度发生时间攻击事件的发生源地址攻击事件的目标地址通信协议类型事件刷新的时间间隔用户自定义能够采用多种方式对安全事件过滤后进行安全事件告警。能够按照多种方式展现告警信息，比如屏幕显示、声音、短消息等方式。安全事件告警处理包括告警确认与清除、产生安全任务单、非正常告警处理等功能。告警确认包括自动确认和手动确认两种方式。告警自动确认指的是当安全事件采集上来后，信息安全综合管理与监控平台根据条件（自动确认告警的条件可由用户进行定制

13、）对其进行告警自动确认。告警手动确认指的是信息安全综合管理与监控平台能支持操作员根据事件源、事件级别、事件状态、事件类型、事件产生时间等组合条件对事件信息进行手动告警确认，同时记录手动确认者的身份。告警清除功能，包括自动清除和手动清除两种方式。告警自动清除包括两种情况：一种是被管系统的安全事件解决后，被管系统向信息安全综合管理与监控平台上报告警清除通知，信息安全综合管理与监控平台根据收到的告警清除通知清除相应的告警；另一种是信息安全综合管理与监控平台根据告警相关性设置（相关性条件可由用户进行设置）决定是否将与某个已清除的告警相关的其他低级别告警同时自动清除。告警手动清除指的是信息安全综合管理与

14、监控平台能支持操作员根据事件源、事件级别、事件状态、事件类型、事件产生时间等组合条件对事件告警进行手工清除， 同时记录手动清除者的身份。产生安全任务单指系统按照告警级别决定是否产生安全任务单，安全任务单自动生成， 并根据告警信息自动填充任务单的部分内容，用于向安全任务单管理模块提供数据。产生安全任务单信息包括（但不限于）以下内容：告警号发生时间告警系统具体对象对象类型所属厂家告警级别告警类型告警原因告警内容处理时限参考处理方法处理责任人；非正常告警处理指当系统处于变动时会产生大量告警，此时系统应该提供自动或手动的手段对于由于系统变动产生的大量告警进行屏蔽。安全事件统计与分析能够对安全事件进行查

15、询、统计和分析，并提供多种形式的报表功能。提供以下查询、统计和分析的功能：能从多种角度多种维度对数据进行分析；能提供实时分析、历史分析等分析手段；能对比查询统计的结果，分析数据的发展趋势；能将结果以图形方式直方图、饼图等或报表方式显示、打印或转存为 html、Word、Excel 或其它报表方式输出。报表功能应该能够提供多种形式报表，包括提供给安全管理员、领导使用的报表，也应该支持用户自定义报表。. 设备集中管理能够对安全设备和主机设备的状态进行监控，并能够实现安全策略的自动分发和更新。设备状态集中监控能够获取设备的当前运行的状态，在设备运行状态发生变化时，能够得到通知，不同设备需监控的状态信

16、息不同。流量管理能够获取主机、网络设备、安全设备的网络流量，并且能够对网络流量进行分析和统计， 在超过设定门限时可以产生报警。安全策略集中管理包括安全设备/软件的安全策略文件的集中管理，提高安全管理工作效率；有条件的情况下实现各安全产品的安全策略的统一分发，修正和更新；安全策略文件的统一在/离线管理，定期进行采集和审核，对安全产品的各种属性和安全策略进行集中的存储、查询。主机设备集中管理能够对主机安全策略、补丁进行集中管理，有条件的情况下实现主机安全策略和补丁的统一分发，修正和更新；安全策略文件和补丁的统一在/离线管理，定期进行安全策略的采集和审核。查询统计分析对设备运行状况、策略分发、补丁更

17、新等情况的查询、统计和分析。. 信息安全风险管理能够对信息资产、脆弱性、威胁、风险等建立基本信息库以及风险的自动分析，支持企业进行自评估。资产管理包括资产库建立、维护脆弱性管理包括漏洞库的建立、维护威胁管理包括威胁库的建立、维护风险分析风险库的建立和根据资产、脆弱性、威胁自动进行风险计算和分析。安全预警管理包括安全预警信息的产生、发布、维护等。安全预警信息可以来自第三方服务商和上级主管单位。安全预警信息应该包括可能影响的资产类型、可能后果和解决方案。安全预警信息应该可以自动和信息资产进行关联，系统能够自动列出受影响的资产以及影响程度，并自动通知相应的系统管理员。系统管理员根据收到的安全预警信息

18、进行相应的处理，如安装系统安全补丁。查询统计分析对资产库、漏洞库、威胁库和风险库的查询、分析和统计功能，提供多种形式的报表。能够以资产为主题，查询出资产的漏洞、威胁及风险情况。能够以漏洞为主题，查询出具有该漏洞的资产情况。能够以威胁为主题，查询出受到该威胁影响的资产情况。. 安全任务单管理主要实现安全任务单的产生及处理，并依此实现安全管理人员的工作考核。安全任务单产生安全任务单可以手动或者由安全事件触发自动产生。安全任务单处理能够定义安全任务单的处理流程，实现对安全任务单的处理。安全任务单管理与其它系统接口安全任务单管理模块应提供和其它系统的接口，如 OA 的接口。工作考核实现对安全管理工作的考核。查询统计安全任务单相关信息的查询和统计. 安全知识管理安全知识管理包括对补丁知识库、病毒知识库的建立和管理以及安全事