目录一概述如何解决安全挑战平台建设的必要条件... 3 二架构说明数据采集层数据处理层应用服务层展示平台

密级 : 秘密 NetEye 安全运维平台系统技术白皮书东软公司网络安全产品营销中心

目录一概述... 2 1.1 如何解决安全挑战... 2 1.2 平台建设的必要条件... 3 二架构说明... 3 2.1 数据采集层... 4 2.2 数据处理层... 5 2.3 应用服务层... 5 2.4 展示平台... 5 三部署方式... 6 四技术特性 - 关联分析... 7 五模块功能... 9 5.1 拓扑管理... 9 5.2 资产管理... 10 5.3 风险管理... 10 5.4 监控管理... 11 5.4.1 主机监控... 11 5.4.2 安全设备监控管理... 11 5.4.3 数据库监控... 12 5.4.4 应用及业务监控... 12 5.5 安全事件管理... 14 5.6 工单处理系统... 16 5.7 脆弱性信息集中管理... 18 5.8 报表输出... 19 5.9 系统管理... 21 5.10 安全知识库... 23 5.11 自身审计... 24-1 -

一概述 NetEye 安全运维平台帮助用户实现了由零散安全产品到信息保障体系的转变它除了包含技术以外, 还有两个重要的组成部分 : 人 ( 维护人员应急小组 ) 和操作过程 ( 相应的管理制度和事件处理流程 ), 体现了信息保障所强调的人技术操作这三个核心原则因此它不仅是技术手段上的快速提升, 同时也是管理体系上的高效改进 NetEye 安全运维平台解决了海量数据和信息孤岛的困扰, 整体上简化了安全管理的数据模型来自网络各类设备的安全信息都会存储到一个通用数据库中, 然后根据定制的安全策略对这些数据进行分析 NetEye 安全运维平台成为安全维护人员在安全运维过程中的一把利器, 能够更有效地回应不断变化的安全风险 1.1 如何解决安全挑战全面的安全信息收集, 通过多种标准协议或定制的收集工具全面收集安全设备网络设备主机系统等各类设备产生的日志数据和安全信息, 并进行数据格式标准化, 为信息共享和数据交换提供数据基础 ; 智能的数据分析, 通过信息共享和数据交换对采集的数据进行智能化分析, 实现安全信息的集中整理和准确的定损关联, 使得技术人员快速的从海量数据中获取有价值的信息 ; 强大的内网管理功能, 实现对内网的服务器系统主机系统进行统一管理监控, 实时监控各个系统的运行情况, 并下发安全策略, 使得安全管理人员能够高效的实现对内网的安全管理 ; 基于专业工作流的安全事件响应机制, 为安全事件处理提供合理的流程, 并实时监控每个安全事件的发生状态处理过程和最终结果, 是响应安全事件的跟踪器 ; 独立的安全知识管理模块, 提供安全信息发布的平台, 包括安全技术交流安全案例库系统管理知识安全维护管理知识安全新闻等相关信息以及系统补丁库常用安全维护工具工具软件等工具下载, 以实现安全知识的共享, 提供组织的整体安全水平 ; - 2 -

NetEye 安全运维平台在信息安全管理和安全技术之间起到承上启下的作用, 成为技术人员在安全运维过程中的一把利器, 能够更有效地回应不断变化的安全风险 1.2 平台建设的必要条件规范的软件定制开发 NetEye 安全运维平台的设计思想是在通用的功能模块基础上, 充分考虑组织的业务特点, 对其业务需求进行融合, 从而为组织提供量身定做的安全运维解决方案针对不同的组织, 其业务特点和业务需求存在必然的差异, 东软针对 NetEye 安全运维平台具备规范的定制化软件开发的能力一级工程集成能力安全运维平台的实施, 需要对组织网络中已经部署的软硬件设备进行详细分析, 同时平台本身的建设也是复杂的工程集成实施, 因为平台建设需要多种硬件和软件, 以及在平台建设初期, 对数据的初始化针对这类工程集成项目, 东软拥有国家一级系统集成资质, 具备多年实施大型复杂项目的经验, 储备了大量的不同领域的专业技术人才和项目管理经验持续而全面的技术服务为保证安全运维平台稳定高效的运行, 对平台硬件必须提供定期的回访和巡检, 对平台软件的技术服务要求更高, 包括协助组织进行平台建设初期的数据初始化定期的安全规则库升级为组织进行操作培训等, 同时还需要具备满足分布式部署的全国技术服务东软是国内最早通过 ISO9000 服务质量体系认证的软件企业, 分布全国 40 多个城市的技术服务力量, 保证了技术服务的规范性持续性和高效性二架构说明 NetEye 安全运维平台的体系结构从总体上可分为数据采集数据处理应用服务展示平台四个逻辑层次 - 3 -

数据采集层 : 根据要求从网络设备安全设备主机系统等数据来源采集各种安全信息数据处理层 : 将采集到的原始安全信息进行关联分析处理, 并将所有安全信息进行格式标准化处理, 根据策略进行数据归并和压缩后, 存储到数据库中应用服务层 : 从数据库中提取信息, 并按照策略完成数据的过滤条件分析, 为展示平台提供数据支持 ; 同时还是展示平台进行资源配置的接口展示平台 : 实现 NetEye 安全运维平台的统一界面展示通过 Web 方式提供统一的图形化管理界面,NetEye 安全运维平台实现了安全监控维护管理展示的全部功能 2.1 数据采集层数据采集层负责根据策略采集各种安全信息采集的方式包括 :SNMP Trap SYSLOG ODBC/JDBC HTTP/XML 文件与用户协商的扩充协议采集的对象包括 : 路由器交换机帧中继等网络设备上相关的安全信息 ; 漏洞扫描子系统入侵检测子系统防火墙子系统和防病毒子系统的安全信息, 通过其各自的控制台输出, 由数据采集层来接收采集 ; - 4 -

主机系统的安全信息, 由数据采集层直接从主机系统进行收集 ; 从日志服务器网管服务器收集相关的安全信息 ; 数据采集层将所采集到的数据进行简单归并处理, 作为数据处理层的原始数据 2.2 数据处理层数据处理层负责对采集到的原始安全信息进行分析处理将从网络设备安全设备主机系统等数据来源采集到的原始安全信息结合数据库中的资产信息进行关联分析, 确认原始安全信息的真实性, 并对确认后的安全信息进行格式标准化处理, 按照指定的信息收集策略归并安全信息, 再经过特定的数据压缩后, 存储到数据库中数据处理层必须将采集到的原始安全信息与通过应用服务层存储的资产信息进行关联分析, 以从海量的原始安全信息中提取出有价值的安全信息, 为有效降低风险提供准确依据 2.3 应用服务层应用服务层是展示平台数据库和数据处理层之间衔接的接口展示平台通过应用服务层最终完成了拓扑构建主机及数据库监控资产管理脆弱性管理风险管理工单管理安全知识管理安全策略管理安全预警等模块的配置信息的录入和修改功能展示平台通过应用服务层从数据库中提取信息, 按照定制策略进行数据过滤条件分析, 以完成资产信息统计脆弱性统计工单统计报表输出等展示平台通过应用服务层从数据库中提取安全信息, 按照定制策略进行抽样分析模式匹配异常检测完成安全信息的统计 2.4 展示平台展示平台实现了 NetEye 安全运维平台的统一界面展示通过展示平台, 我们能够查看 - 5 -

全网拓扑信息主机及数据库监控信息资产分布状态关注区域的安全状况安全事件的发生趋势各类资产的脆弱性状况等 ; 通过展示平台, 最终完成对资产管理安全信息监控脆弱性管理安全事件处理安全知识管理安全策略管理安全状况评估安全预警各功能模块的配置 ; 通过展示平台, 最终完成报表的生成输出 ( 保存和打印 ) 等三部署方式 NetEye 安全运维平台包括数据采集引擎应用服务器数据库服务器, 结合原始数据来源设备, 构成完整的 NetEye 安全运维解决方案数据采集引擎部署在各个局域网中, 负责从网络设备安全设备主机系统等采集安全信息, 并进行一定的归并处理数据库服务器负责存储整个平台所有的信息应用服务器一方面负责从数据库中提取信息, 经过一定关联分析条件过滤后, 为展示平台提供数据支持 ; 另一方面驱动数据采集引擎按照定制策略执行数据采集任务 - 6 -

四技术特性 - 关联分析具备语义理解能力的关联分析 -CASU(Correlation Analysis of Semantic Understanding) 关联分析, 是指利用算法去判断一系列报警事件是否源于同一个攻击行为并完成攻击场景的重构这种攻击行为具有单一的攻击意图, 可以包括单个简单的攻击行为和由一系列攻击步骤组成的复杂的攻击行为, 也被命名为攻击场景其中关联分析是整个网络报警处理的核心, 利用关联分析技术处理安全设备所产生的报警事件现在是安全管理研究中的一个热点问题在实际网络环境下, 攻击者在实施攻击的过程中, 其扫描行为口令试探行为访问文件行为会话流量往往会在不同的安全工具上留下相应的特征关联分析正是要依靠下辖的 IDS 节点 VPN 网关防火墙路由器等安全设备提供的这些安全特征信息来对网络安全全局状况作出判断目前关联分析的方法有很多, 典型的包括统计关联分析基于规则的关联分析基于脆弱性和资产的关联分析等关联分析模块框架关联分析过程的数据流向以及各个模块间的交互如下图所示 : - 7 -

WebServer Desktop Central Manager VC Engine RC Engine DB Mixed AE AE RPC fail over Socket JDBC Agent Agent Agent Agent 各个节点模块的概念及功能说明如下 : 1 Cental Manager(CM): 关联分析模块的中央管理, 既是控制中心, 又是服务中心 CM 作为控制中心, 提供了对整个模块中各进程的实时监控和配置管理接口 CM 作为服务中心, 提供了两大类服务 : 一数据服务 ; 二告警服务 2 Aggregation Engine(AE): 聚合引擎, 根据事件的关键词检查并标明一系列事件的等同性 3 Vulnerability Correlation(VCE): 脆弱性关联, 检查并标明事件所隐含的脆弱性信息 4 Rule-based Correlation(RCE): 规则关联, 使用一系列自定义规则将一系列事件关联起来形成意义更完整的新事件 5 Agent: 原始日志采集代理, 根据不同的采集方式, 使用不同的采集代理进程 - 8 -

五模块功能 5.1 拓扑管理拓扑管理作为网络管理的基本功能, 是网管中最基本的也是最重要的组成部分之一一般情况下, 网络管理系统首先都要进行必要的拓扑发现拓扑监控拓扑操作, 从而充分了解网络系统的运行情况拓扑管理实现如下具体功能 : 1) 自动发现网络设备及其连接, 获取最初的网络信息 ; 网络设备的初始发现系统能够自动发现网络节点 ( 包括路由器, 交换机和二层的交换设备等 ), 检测网络设备连接, 生成和保持 TCP/IP 网络图 2) 提供各类网络监控视图, 使管理员可以直观的了解网络当前运行状况 ; 通过多种角度的监控视图, 管理员可以从不同视角不同深度了解网络的运行状况, 从而发现潜在问题, 了解网络运行情况当网络出现异常时, 可以调用详细的网络扩展监控视图, 实现网络故障的诊断网络拓扑展现功能如下 : 自动生成网络拓扑结构 ; 网络拓扑监控节点健康状况监控 ; 持续监控网络的工作状况 ; 新节点增加 ; 节点状态变化 ; 网络连接变化 ; 定制视图 - 9 -

5.2 资产管理对组织的信息资产进行准确科学地评估, 评估资产的风险值和相应的价值, 并且定期或不定期地对资产进行重新评估和赋值 NetEye 安全运维平台可帮助组织视觉化地直观掌控资产状况, 快速确定资产分布资产价值和风险资产管理参照国际相关标准 ( 如 :ISO 17799) 中关于资产管理的要求, 实现资产登记资产的所有权资产的分类标识和处理, 并结合组织的特殊情况进行调整, 也可按照国内相关标准 ( 如 : 信息系统安全等级保护规范 ) 来划分和标识资产 5.3 风险管理以资产为核心, 结合等级保护中关于资产的价值脆弱性威胁, 并按照相关标准分析资产风险及风险变化情况, 并给出降低风险的解决方案具体的风险分析参照了国际安全管理标准 ISO13335 中的预定义风险价值矩阵法此方法基于这样的前提 : 风险分析需充分考虑资产价值威胁发生的概率脆弱性被威胁利用的概率这三个元素, 因此根据这三个元素预先设定一个三维风险价值矩阵, 然后逐一确定目标信息资产的价值 - 10 -

威胁发生的概率脆弱性被威胁利用的概率, 从而科学地从风险的预先价值矩阵中计算出对应的风险量化值 NetEye 安全运维平台的主要思想就是通过降低风险来减少安全事件的发生, 有效提升组织的安全性风险管理协助管理员在最短时间内找出对组织重要资产有严重影响的脆弱性, 并提供解决方案, 帮助管理员对脆弱性做出正面积极的响应, 预防可能发生的损害风险管理为组织对 IT 维护人员的日常工作管理提供了依据, 为评价安全决策安全工作的成果提供了量化的衡量指标 5.4 监控管理 5.4.1 主机监控登记和显示被监控的所有服务器和终端主机的资产信息, 形成主机系统资产信息库, 方便管理人员确认主机系统的资产状况通过在每个 WINDOWS 前端设备上部署 Agent 实现主机设备信息的采集,Agent 负责实时采集前端设备的资源指标, 包括 CPU 使用情况, 内存的使用情况, 网络连接使用情况和磁盘空间使用情况, 汇总到统一管理平台非 WINDOWS 不需要部署 agent 既可收集上述信息统一管理平台通过程序接口访问数据库获取主要监测数据, 进行数据入库和展现统一管理平台实时监控主机系统的运行状况, 当主机系统出现异常时, 及时产生预警信息, 并可自动触发工单系统督促相关责任人进行快速处理支持的主机系统包括 :Windows 系列 Sun Solaris 系列 HP UX 系列 IBM AIX 系列 LINUX OpenBSD FreeBSD SCO UNIX 等 5.4.2 安全设备监控管理登记和显示被监控的所有受监控安全设备的资产信息, 形成安全设备资产信息库, 方便管理人员确认安全设备的资产状况 - 11 -

实时监控安全设备的运行状况, 当安全设备出现异常时, 及时产生告警信息, 并可自动触发工单系统督促相关责任人进行快速处理支持 SNMP Syslog 日志文件 ODBC/JDBC 等信息收集方式, 并可自定义信息收集条件支持的防火墙品牌包括 :Cisco PIX/FWSM Nokia Checkpoint NetSceen 联想东软天融信等 ; 支持的 IDS 品牌包括 :ISS RealSecure Cisco Secure IDS Symantec 绿盟东软启明星辰等 ; 支持的防病毒品牌包括 :McAfee Symantec TrendMicro Kill 等 ; 支持的漏洞扫描系统品牌包括 :nessus 绿盟榕基启明星辰极地银河等支持的网络隔离系统品牌包括 :NetKeeper SysKeeper 等 5.4.3 数据库监控针对数据库, 监控的内容包括数据库进程启动情况, 日常运行日志, 表空间的使用情况, 数据库 Session 情况, 数据库系统设计的文件存储空间系统资源的使用率配置情况数据库当前的各种锁资源情况监控数据库进程的状态进程所占内存空间等当数据库系统出现异常时, 及时产生告警信息, 并可自动触发工单系统督促相关责任人进行快速处理支持的数据库有 :SQLLITE Oracle Oracle RAC DB2 SQLServer Mysql 等 5.4.4 应用及业务监控监控的应用服务包括包括 web 应用服务邮件服务企业内部业务系统等登记和显示被监控的所有受监控业务系统信息, 如 OA 系统等, 形成业务系统资产信息库, 包括业务系统运行软硬件平台业务系统运行和维护责任人等同时, 结合国家等级保护政策要求, 清晰划分业务系统的安全保护等级 - 12 -

业务系统模块主要是监测当前业务系统的功能是否正常, 功能访问排行, 在设定的时间段内执行的各种操作的次数每个操作的总时间消耗和在系统各部件的时间消耗不同客户端执行同样操作完成时间的比较等监测系统功能是否正常通过采集 Agent 的探测实现 Agent 定期进行各个关键功能的访问, 并把探测的数据发送到统一管理平台由统一管理平台的接收程序进行入库, 同时在界面进行展现系统运行日志监测通过程序访问业务系统的数据库和相关日志实现, 对业务系统运行过程中的关键情况运行错误情况进行数据采集和监测业务系统模拟测试对业务应用系统能进行模拟测试, 及时了解业务应用系统的当前可用性, 同时通过模拟用户测试, 及时了解当前业务应用系统的性能瓶径, 避免业务应用系统出现重大应用问题处理当业务系统出现异常时, 及时产生告警信息, 并可自动触发工单系统督促相关责任人进行快速数据库系统监控管理登记和显示被监控的所有受监控数据库系统的信息, 形成数据库资产信息库, 包括数据库运行的软硬件平台数据库运行和维护责任人等通过在数据库所在机器上部署 Agent 和数据库访问接口方式实现,Agent 定期发送数据库的性能情况到运维平台其中发送的内容包括数据库进程启动情况, 日常运行日志, 表空间的使用情况, 数据库 Session 情况, 数据库系统设计的文件存储空间系统资源的使用率配置情况数据库当前的各种锁资源情况监控数据库进程的状态进程所占内存空间等当数据库系统出现异常时, 及时产生告警信息, 并可自动触发工单系统督促相关责任人进行快速处理 - 13 -

支持的应用服务有 :Tomcat WebSphere WebLogic Apache Windows IIS IIS FTP Netbackup EMC 备份系统等 5.5 安全事件管理负责关联分析的安全信息中心, 从代理层接收原始安全信息, 并调用统计关联分析引擎基于脆弱性和资产的关联引擎基于知识库的关联引擎实现关联分析, 生成安全事件根据安全事件处理工单策略, 将一般级别以上的安全事件 ( 也可随时调整策略 ) 生成安全事件工单, 从而进入工单流转流程, 并通过 SMS 和邮件通知事件处理人知识库系统将安全公告安全预警补丁库日志信息库案例库工具库政策法规库漏洞库等资源集中起来, 形成一个知识共享平台该知识库的数据以数据库的方式存储及管理, 并提供按关键字进行全文检索的功能, 为培养高素质网络安全技术人员提供了培训资源安全事件监控的对象至少包括了路由器交换机防火墙 IDS 漏洞扫描设备主机系统服务器系统等其功能是根据安全事件收集策略中定义的信息位置类型和内容进行信息收集, 并根据定义的信息传输目的地对收集的信息进行传输 NetEye 安全运维平台通过 SNMP Trap SYSLOG ODBC/JDBC HTTP/XML SOAP 文件以及其他扩充协议等方式从网络设备安全设备主机系统等多种数据源收集安全信息, 经过过滤 - 14 -

汇总和关联分析后, 标识其紧急程度, 一方面以规定的格式存储到数据库内, 另一方面以多种方式实时响应安全事件管理模块提供了界面显示报警手机短信息 E-mail SYSLOG 与防火墙互动等多种响应方式安全事件管理模块根据网络设备安全设备主机系统等传输过来的安全信息, 经分析发现设备故障后, 将详细显示故障来源和解决方法 DB 关联分析 : 基于脆弱性的信息的关联分析基于资产状态的关联分析基于安全策略的关联分析工单系统 : 多角色划分, 完成工单处理监督多种工单类型工单关联安全知识, 有效处理工单 Asset collector Event AP 知识库 : 功能强大的 NetEye Bugtraq CVE 漏洞库知识案例库支持协助事件处理内置 8000 条安全策略报表系统 : 资产事件工单脆弱性风险等报表多种报表模板自定义的报表内容 - 15 -

5.6 工单处理系统工单处理模块是整个 NetEye 运维管理平台的核心响应模块, 其指导思想是 : 以工单为保证, 以评价为考核定义事件处理流程根据 IT 事件的不同性质和类别, 并结合客户的实际运维管理模式, 灵活定义相应的事件处理流程和规范, 包括主机系统故障处理流程和规范网络系统故障处理流程和规范安全事件系统故障处理流程和规范等等安全事件 ( 工单 ) 的来源安全事件处理是以工单为保证的, 而安全事件的来源, 便成为工单任务的开始安全事件有以下两种方式生成 : 安全信息监控管理模块经过对安全信息的分析后, 生成的安全事件 ; 脆弱性管理模块经过对扫描到的脆弱性信息的分析后, 生成的安全事件与知识库系统关联 - 16 -

工单处理模块与知识库关联即 : 运维人员在处理 IT 事件工单时, 可根据处理内容的关键字信息查询知识库中符合该事件类型的事件原因分析事件处理步骤等信息, 获得相应的处理经验工单执行和监控流程当发现有安全事件发生时,NetEye 运维管理平台自动生成安全事件处理工单, 此时不需要人工干预, 系统自动调用服务程序通过声音图形短信邮件代理程序等方式及时通知负责处理此安全事件工单的安全人员此时也启动安全事件进入其相应的处理流程工单的执行和流程具有下列特征 : 工单具有一定的时限性, 必须在规定的时限内处理完毕, 如果在规定的时间内未处理完毕, 系统会自动修改工单状态, 并负责向相关人员发送超时通知 ; 当某个工单不能被接受此工单的安全人员正确处理时 ( 因为技术人员水平或者时间的原因 ), 可提前终止对工单的处理, 并声明终止工单的原因安全监督人员负责核实终止原因, 同时将工单重新派发给其他能够处理此工单的安全人员, 以充分保证工单能够被正常处理 ; 工单处理与经验库关联即 : 安全人员在处理安全事件工单时, 可根据处理内容的关键字信息查询工单处理经验库中符合该事件类型的事件原因分析事件处理步骤等信息, 获得相应的处理经验 ; 安全监督人员可随时监督工单生成进程和处理进程, 如 : 系统目前有多少待处理的工单, 有多少正在处理中, 多少已经处理完毕系统自动记录每个工单从生成, 到接受处理, 到处理完毕, 以及处理确认的全部过程, 此记录过程成为评价考核安全人员的依据 - 17 -

工单 1 SOC 系统事件安全事件操作人员处理安全事件接受接受或拒绝否正常处理? 拒绝安全事件监督人员高级安全专家协调其他安全事件操作人员进行处理完成安全事件确认拒绝原因时间 / 能力 / 人员 5.7 脆弱性信息集中管理管理和监控重要资产存在的脆弱性信息各种重要的主机终端和网络设备上存在的安全脆弱性是影响信息安全的重要潜在风险, 本功能实现对重要主机系统和网络设备安全脆弱性信息的收集和管理, 对收集的信息进行分析, 形成安全事件, 驱动工单系统处理安全事件脆弱性信息的收集可通过定制扫描任务计划一次性或多次扫描对比等多种方式实现定制扫描任务计划 : 可随时定义扫描任务计划, 本模块将在指定的时间根据任务计划通过远程端口扫描的方式对目标设备进行安全脆弱性检测, 并提供相应的扫描报告扫描 : 随时根据需要对目标设备进行安全脆弱性检测, 并提供相应的扫描报告灵活的扫描策略, 可以定制扫描网段, 开始时间等 - 18 -

5.8 报表输出该平台提供了资产安全事件性能事件故障事件脆弱性事件工单综合报表等报表类别报表功能分为报表模块和报表发送策略报表模块可以根据用户自定义条件来定制报表, 可以设定的条件有资产范围, 时间范围等 ; 报表发送策略中用户可以定义报表的周期, 图形, 模板, 格式, 资产范围, 发送用户对象等 NetEye 安全运维平台报表输出功能具备如下特点 : 提供了 27 种不同安全层面的图形统计功能 ; 提供了近 10 种报表功能, 更可根据预先设计的关注点自定制近百种业务的报表 ; 多种针对安全事件分析的综合统计功能 ; 根据用户的不同需求系统可以根据参数条件定制不同的统计报表 ; 报表的数据, 可以根据特定的时间段或者时间周期生成 ; - 19 -

根据不同人员 ( 技术人员业务主管领导 ) 的需要, 提供了灵活的定制报表的内容和格式, 格式和内容的定制均通过界面方便直观地执行 ; 内置了多种不同类别的报表模板 ; 报表输出的文件格式支持 Excel Doc PDF HTML 等多种标准格式点击报表文件格式图标, 可以按照此种格式导出报表文件点击报表图形切换图标, 可以按照相应图形进行报表图形展示的切换点击打印图标, 可以打印该报表统计报表系统中报表通过选择报表参数条件 ( 资产范围时间范围 ), 定制实现不同数据集的报表内容统计例如, 报表参数条件显示页面如下 : - 20 -

报表展示页面包括图形和列表, 图形包括饼图柱状图曲线图, 可以同时显示, 也可以自由切换图形模式可以设置报表的页眉页脚, 可以在页眉或页脚设置报表 LOGO, 例如武警的 LOGO 标识报表可以输出为 PDF HTML EXCEL WORD TXT 等多种文档格式对于文本格式输入, 将不能包含图形和表格信息 5.9 系统管理系统管理包括用于系统全局的参数配置系统与第三方系统的接口配置系统维护策略管理用户和权限管理操作审计等系统全局参数, 例如安全事件类型管理资产类型管理资产展示网段划分资产所属区域管理资产所属业务域管理资产系统软件类型管理报表 LOGO 文件配置等系统维护包括系统升级和数据库维护, 系统升级包括对应用的升级和数据库的升级通过上传升级文件进行升级, 并对升级的历史记录进行保存和展示参考页面如下 : - 21 -

根据用户的业务需求, 业务数据可以按照月进行存放, 数据库维护可以配置为在什么时间删除某月以前的历史数据策略管理包括日志信息收集策略安全事件过滤规则策略安全事件归并规则策略关联分析策略报警发送策略等对于策略, 可以设置优先级, 按优先级从高到低进行匹配, 一旦匹配高优先级的策略, 即停止策略匹配可以添加删除导入导出启用 / 停用策略策略列表参考页面如下图 : 只有超级管理员 Admin 有权限进行用户管理和权限分配, 其他系统用户只能查看自己的用户信息可以在本系统实现用户和权限管理, 也可以通过统一的权限管理平台进行用户创建和权限划分权限可以按照用户所属的域及域 IP 接入设备类型和 IP 设备所属的物理位置和管理部门事件类型及包含的属性系统菜单等方面进行划分本系统具体的用户和权限管理需求如下 : (1) 权限管理系统能够对日志浏览添加删除, 安全事件报表浏览重点保护单位信息报警相关配置等进行权限控制 (2) 角色管理系统超级管理员可以创建修改删除本系统的角色, 井为角色指定其所具有的权限集合 (3) 用户管理用户管理采用集中管理的方式, 即由系统超级管理员进行各单位用户的创建修改和删除, 并为用户分配角色, 每个用户对应一个或多个角色 - 22 -

系统约束新创建用户在第一次登陆后, 必须更改初始登陆密码操作审计用于审计系统用户和非系统用户对系统的操作或者尝试操作, 审计的范围包括登陆和登出操作任何对系统的查看修改和删除操作并可以对操作日志进行备份参考页面如下图所示 : 系统可以内置用于用户和权限管理的操作管理员, 例如 admin/admin.123; 内置用户操作日志审计的审计员, 例如 auditor/auditor.123 5.10 安全知识库根据本系统的业务需求说明, 在本系统增加安全知识库功能, 包括原始日志库原始事件库漏洞库和重点保护用户信息原始日志库和原始事件库收集本系统采集到的所有原始日志样本和原始安全事件样本根据用户配置的周期, 定期将汇总后的日志文件 ftp 上传到安全事件汇总分析与数据挖掘子系统固定目录下, 并用日期时间命名文件 : 日志应包括 : 源 IP, 源端口, 目标 IP, 目标端口, 攻击方向, 攻击类型, 时间, 所属单位省份等信息 ; 如无异常, 则文件内容为空漏洞库包括 CVE Bugtraq CNCRV NetEye 漏洞库系统每次启动时自动从国家网络安全信息综合知识库中的用户信息库下载需要重点保护用户的域名或 IP 对应列表, 此后每 6 小时下载更新一次该列表 ; 系统也可根据用户指令即时下载更新列表 - 23 -

5.11 自身审计 NetEye 安全运维管理平台具备自身的审计系统, 审计 NetEye 运维管理平台上的所有动作, 系统上的操作权限和审计修改权限进行了分离, 审计只能由审计分析员进行处理, 从而确保审计信息的完整性保密性和有效性 - 24 -

目 录 一 概 述... 2 1.1 如 何 解 决 安 全 挑 战... 2 1.2 平 台 建 设 的 必 要 条 件... 3 二 架 构 说 明... 3 2.1 数 据 采 集 层... 4 2.2 数 据 处 理 层... 5 2.3 应 用 服 务 层... 5 2.4 展 示 平 台

目录一概述... 2 1.1 如何解决安全挑战... 2 1.2 平台建设的必要条件... 3 二架构说明... 3 2.1 数据采集层... 4 2.2 数据处理层... 5 2.3 应用服务层... 5 2.4 展示平台