二級等保建設方案

1、SANGFOR深信服科技烏魯瓦提水利樞紐管理局機房系統(tǒng)安全建設解決方案深信服科技有限公司2019年1 背景概述31。 1建設背景32。 2文件要求33。 3參考依據(jù)32 閥門監(jiān)控系統(tǒng)安全防護意義43 安全防護總體要求43。1系統(tǒng)性43。2動態(tài)性43。3安全防護的目標及重點53。4安全防護總體策略53。 5綜合安全防護要求61。 5。1安全區(qū)劃分原則63。 6綜合安全防護基本要求72。 6。1主機與網(wǎng)絡設備加固73。 6.2入侵檢測74。 6。3安全審計75。 6。4惡意代碼、病毒防范74需求分析84.1 安全風險分析84。 2安全威脅的來源95設計方案105.1 拓撲示意115.2 安全部署方

2、案115.2。1下一代防火墻115.2.2終端安全檢測響應系統(tǒng)（殺毒）125。2.3日志審計系統(tǒng)145。2。4運維審計系統(tǒng)175。2。5安全態(tài)勢感知系統(tǒng)196方案優(yōu)勢與總結(jié)216。1安全可視216.2 融合架構216.3 運維簡化221背景概述1.1 建設背景隨著我國信息化的大力發(fā)展，信息網(wǎng)絡已經(jīng)由幾個孤立的網(wǎng)絡發(fā)展成一個多連接的信息共享的復雜網(wǎng)絡，也正是由于網(wǎng)絡的接入共享為不法黑客的入侵系統(tǒng)帶來機會，嚴重影響系統(tǒng)的正常穩(wěn)定運行和輸送。1.2 文件要求根據(jù)中華人民共和國網(wǎng)絡安全法，水利相關單位是國家關鍵信息基礎設施和網(wǎng)絡安全重點保護單位。監(jiān)控、數(shù)據(jù)調(diào)度系統(tǒng)網(wǎng)絡空間大，涉及單位多,安全隱患分布廣

3、，一旦被攻破將直接威脅安全生產(chǎn)。為進一步提高閥門監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)的安全性，保障閥門監(jiān)控系統(tǒng)安全，確保安全穩(wěn)定運行，需滿足以下文件要求及原則。?滿足調(diào)度數(shù)據(jù)網(wǎng)已投運設備接入的要求；?滿足生產(chǎn)調(diào)度各種業(yè)務安全防護的需要；?滿足責任到人、分組管理、聯(lián)合防護的原則；?提高信息安全管理水平，降低重要網(wǎng)絡應用系統(tǒng)所面臨的的安全風險威脅,保證信息系統(tǒng)安全、穩(wěn)定的運行，使信息系統(tǒng)在等級保護測評環(huán)節(jié)基本符合國家信息安全等級保護相應級別系統(tǒng)的安全要求。1.3 參考依據(jù)本次網(wǎng)絡安全保障體系的建設，除了要滿足系統(tǒng)安全可靠運行的需求，還必須符合國家相關法律要求,同時基于系統(tǒng)業(yè)務的特點，按照分區(qū)分域進行安全控制計算機

4、信息系統(tǒng)安全保護等級劃分準則(GB178591999).2 閥門監(jiān)控系統(tǒng)安全防護意義目前,隨著國際形勢的日趨復雜,網(wǎng)絡空間已經(jīng)成為繼陸、海、空和太空之后第五作戰(zhàn)空間，國際上已經(jīng)圍繞“制網(wǎng)權”展開了國家級別的博弈甚至局部網(wǎng)絡戰(zhàn)爭，為了加大網(wǎng)絡安全的落實，國家出臺了網(wǎng)絡安全法進一步明確了業(yè)務主體單位或個人的法律責任,并于2017年6月1日開始正式實施。為加強閥門監(jiān)控系統(tǒng)安全防護，抵御黑客及惡意代碼等對閥門監(jiān)控系統(tǒng)的惡意破壞和攻擊，以及非法操作間接影響到系統(tǒng)的安全穩(wěn)定運行.作為系統(tǒng)的重要組成部分，其安全與系統(tǒng)安全運行密切相關，積極做好閥門監(jiān)控系統(tǒng)系統(tǒng)安全防護既有利于配合閥門監(jiān)控系統(tǒng)安全防護工作的實施

5、,確保整個系統(tǒng)安全防護體系的完整性，也有利于為公司提供安全生產(chǎn)和管理的保障措施。3 安全防護總體要求系統(tǒng)安全防護具有系統(tǒng)性和動態(tài)性的特點。3.1 系統(tǒng)性其中以不同的通信方式和通信協(xié)議承載著安全性要求各異的多種應用。網(wǎng)絡采用分層分區(qū)的模式實現(xiàn)信息組織和管理。這些因素決定了系統(tǒng)的安全防護是一個系統(tǒng)性的工程。安全防護工作對內(nèi)應做到細致全面，清晰合理;對外應積極配合上級和調(diào)度機構的安全管理要求。3.2 動態(tài)性閥門監(jiān)控系統(tǒng)安全防護的動態(tài)性由兩方面決定。一是通信技術、計算機網(wǎng)絡技術的不斷發(fā)展；二是閥門監(jiān)控系統(tǒng)系統(tǒng)自身內(nèi)涵外延的變化。在新的病毒、惡意代碼、網(wǎng)絡攻擊手段層出不窮的情況下，靜止不變的安全防護策略

6、不可能滿足閥門監(jiān)控系統(tǒng)網(wǎng)絡信息安全的要求,安全防護體系必須采用實時、動態(tài)、主動的防護思想。同時閥門監(jiān)控系統(tǒng)內(nèi)部也在不斷更新、擴充、結(jié)合，安全要求也相應改變。所以安全防護是一個長期的、循環(huán)的不斷完善適應的過程。如圖31所示P2DR真型是閥門監(jiān)控系統(tǒng)安全防護動態(tài)性的形象表示。3.3 安全防護的目標及重點閥門監(jiān)控系統(tǒng)安全防護是系統(tǒng)安全生產(chǎn)的重要組成部分，其目標是：1)抵御黑客、病毒、惡意代碼等通過各種形式對閥門監(jiān)控系統(tǒng)發(fā)起的惡意破壞和攻擊，尤其是集團式攻擊。2) 防止內(nèi)部未授權用戶訪問系統(tǒng)或非法獲取信息以及重大違規(guī)操作。3) 防護重點是通過各種技術和管理措施，對實時閉環(huán)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)的安全實施

7、保護，防止閥門監(jiān)控系統(tǒng)癱瘓和失控，并由此導致系統(tǒng)故障.3.4 安全防護總體策略?安全分區(qū)根據(jù)系統(tǒng)中業(yè)務的重要性和對一次系統(tǒng)的影響程度進行分區(qū)，所有系統(tǒng)都必須置于相應的安全區(qū)內(nèi)。?網(wǎng)絡專用安全區(qū)邊界清晰明確，區(qū)內(nèi)根據(jù)業(yè)務的重要性提出不同安全要求，制定強度不同的安全防護措施。特別強調(diào)，為保護生產(chǎn)控制業(yè)務應建設調(diào)度數(shù)據(jù)網(wǎng)，實現(xiàn)與其它數(shù)據(jù)網(wǎng)絡物理隔離，并以技術手段在專網(wǎng)上形成多個相互邏輯隔離的子網(wǎng)，保障上下級各安全區(qū)的互聯(lián)僅在相同安全區(qū)進行，避免安全區(qū)縱向交叉。?綜合防護綜合防護是結(jié)合國家信息安全等級保護工作的相關要求對閥門監(jiān)控系統(tǒng)從主機、網(wǎng)絡設備、惡意代碼方案、應用安全控制、審計、備份等多個層面進行

8、信息安全防護的措施。3.5 綜合安全防護要求3.5.1 安全區(qū)劃分原則閥門監(jiān)控系統(tǒng)系統(tǒng)劃分為不同的安全工作區(qū)，反映了各區(qū)中業(yè)務系統(tǒng)的重要性的差別。不同的安全區(qū)確定了不同的安全防護要求，從而決定了不同的安全等級和防護水平。根據(jù)閥門監(jiān)控系統(tǒng)系統(tǒng)的特點、目前狀況和安全要求，整個閥門監(jiān)控系統(tǒng)分為兩個大區(qū)：監(jiān)控大區(qū)和辦公大區(qū)。閥門監(jiān)控業(yè)務區(qū)是指由具有實時監(jiān)控功能、縱向聯(lián)接使用調(diào)度數(shù)據(jù)網(wǎng)的實時子網(wǎng)或?qū)Ｓ猛ǖ赖母鳂I(yè)務系統(tǒng)構成的安全區(qū)域?？刂茀^(qū)中的業(yè)務系統(tǒng)或其功能模塊（或子系統(tǒng)）的典型特征為：是生產(chǎn)的重要環(huán)節(jié)，直接實現(xiàn)對一次系統(tǒng)的實時監(jiān)控,縱向使用調(diào)度數(shù)據(jù)網(wǎng)絡或?qū)Ｓ猛ǖ?，是安全防護的重點與核心。?辦公業(yè)務區(qū)辦

9、公業(yè)務區(qū)內(nèi)部在不影響閥門監(jiān)控業(yè)務區(qū)安全的前提下，可以根據(jù)各企業(yè)不同安全要求劃分安全區(qū)，安全區(qū)劃分一般規(guī)定。3.6 綜合安全防護基本要求3.6.1 主機與網(wǎng)絡設備加固廠級信息監(jiān)控系統(tǒng)等關鍵應用系統(tǒng)的主服務器，以及網(wǎng)絡邊界處的通用網(wǎng)關機、WebK務器等，應當使用安全加固的操作系統(tǒng)。加固方式最好采用專用軟件強化操作系統(tǒng)訪問控制能力以及配置安全的應用程序，其中加固軟件需采用通過國家權威部門檢測的自主品牌。非控制區(qū)的網(wǎng)絡設備與安全設備應當進行身份鑒別、訪問權限控制、會話控制等安全配置加固?？梢詰谜{(diào)度數(shù)字證書，在網(wǎng)絡設備和安全設備實現(xiàn)支持HTTPS勺縱向安全WebK務，能夠?qū)g覽器客戶端訪問進行身份認證

10、及加密傳輸.應當對外部存儲器、打印機等外設的使用進行嚴格管理或直接封閉閑置端口。3.6.2 入侵檢測閥門監(jiān)控業(yè)務區(qū)需統(tǒng)一部署一套網(wǎng)絡入侵檢測系統(tǒng),應當合理設置檢測規(guī)則檢測發(fā)現(xiàn)隱藏于流經(jīng)網(wǎng)絡邊界正常信息流中的入侵行為，分析潛在威脅并進行安全審計。3.6.3 安全審計閥門監(jiān)控業(yè)務區(qū)的監(jiān)控系統(tǒng)應當具備安全審計功能，能夠?qū)Σ僮飨到y(tǒng)、數(shù)據(jù)庫、業(yè)務應用的重要操作進行記錄、分析,及時發(fā)現(xiàn)各種違規(guī)行為以及病毒和黑客的攻擊行為。對于遠程用戶登錄到本地系統(tǒng)中的操作行為，應該進行嚴格的安全審計。同時可以采用安全審計功能，對網(wǎng)絡運行日志、操作系統(tǒng)運行日志、數(shù)據(jù)庫訪問日志、業(yè)務應用系統(tǒng)運行日志、安全設施運行日志等進行集

11、中收集、自動分析。3.6.4 惡意代碼、病毒防范應當及時更新特征碼，查看查殺記錄。惡意代碼更新文件的安裝應當經(jīng)過測試。禁止閥門監(jiān)控業(yè)務區(qū)與辦公業(yè)務區(qū)共用一套防惡意代碼管理服務器4需求分析4.1 安全風險分析閥門監(jiān)控系統(tǒng)系統(tǒng)面臨的主要風險優(yōu)先級風險說明/舉例0旁路控制(BypassingControls)入侵者對發(fā)送非法控制命令，導致系統(tǒng)事故，甚至系統(tǒng)瓦解。1完整性破壞(IntegrityViolation)非授權修改控制系統(tǒng)配置、程序、控制命令；非授權修改父易中的敏感數(shù)據(jù)。2違反授權(AuthorizationViolation)控制系統(tǒng)工作人員利用授權身份或設備，執(zhí)行非授權的操作。3工作人員

12、的隨意行為控制系統(tǒng)工作人員無意識地泄漏口令等敏優(yōu)先級風險說明/舉例(Indiscretion)感信息，或不謹慎地配置訪問控制規(guī)則等。4在截/篡改(Intercept/Alter)攔截或篡改調(diào)度數(shù)據(jù)廣域網(wǎng)傳輸中的控制命令、參數(shù)設置、交易報價等敏感數(shù)據(jù)。56非法使用(IllegitimateUse)非授權使用計算機或網(wǎng)絡資源。信息泄漏(InformationLeakage口令、證書等敏感信息泄密。7欺騙(Spoof)Web服務欺騙攻擊；IP欺騙攻擊。8偽裝(Masquerade入侵者偽裝合法身份，進入閥門監(jiān)控系統(tǒng)。9拒絕服務(Availability,egDenialofService)向調(diào)度數(shù)據(jù)

13、網(wǎng)絡或通信網(wǎng)關發(fā)送大量雪崩數(shù)據(jù)，造成網(wǎng)絡或監(jiān)控系統(tǒng)癱瘓.黑客在調(diào)度數(shù)據(jù)網(wǎng)或?qū)＞€通道上搭線竊聽竊聽(Eavesdropping,e.g10ata Confidentiality)明文傳輸?shù)拿舾行畔?，為后續(xù)攻擊做準備4.2 安全威脅的來源辦公區(qū)等網(wǎng)絡不是一個孤立的系統(tǒng)，是和互聯(lián)網(wǎng)連接，提供員工上網(wǎng)的需求和對外信息發(fā)布的平臺，那么來自外部威脅的可能性非常大.例如應用系統(tǒng)遭受拒絕服務攻擊，信息泄露等。內(nèi)部威脅內(nèi)部人員有意或無意的違規(guī)操作給信息系統(tǒng)造成的損害，沒有建立健全安全管理機制使得內(nèi)部人員的違規(guī)操作甚至犯罪行為給信息系統(tǒng)造成的損害等。病毒或惡意代碼目前病毒的發(fā)展與傳播途徑之多、速度之快、危害面之廣

14、、造成的損失之嚴重，都已達到了非常驚人的程度。也是計算機信息系統(tǒng)不可忽略的一個重要安全威脅源。病毒和惡意代碼主要針對操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、應用系統(tǒng)等軟件。病毒和惡意代碼的威脅主要來自內(nèi)部網(wǎng)絡、USB盤、光盤等介質(zhì)。自然災害主要的自然威脅是：地震、水災、雷擊；惡劣環(huán)境,如不適宜的溫度濕度,以及塵埃、靜電；外電不穩(wěn)定、電源設備故障等。管理層面的缺陷管理的脆弱性在安全管理方面的脆弱性主要表現(xiàn)在缺乏針對性的安全策略、安全技術規(guī)范、安全事件應急計劃,管理制度不完善，安全管理和運行維護組織不健全，對規(guī)章、制度落實的檢查不夠等。安全組織建設風險信息系統(tǒng)安全體系的建設對組織保障提出了更高的要求.安全管理風

15、險安全管理制度的建設還不全面,如:缺乏統(tǒng)一的用戶權限管理和訪問控制策略,用戶、口令、權限的管理不嚴密,系統(tǒng)的安全配置一般都是缺省配置，風險很大。對安全策略和制度執(zhí)行狀況的定期審查制度及對安全策略和制度符合性的評估制度不夠完善。沒有根據(jù)各類信息的不同安全要求確定相應的安全級別，信息安全管理范圍不明確。缺乏有效的安全監(jiān)控措施和評估檢查制度，不利于在發(fā)生安全事件后及時發(fā)現(xiàn)，并采取措施。缺乏完善的災難應急計劃和制度，對突發(fā)的安全事件沒有制定有效的應對措施,沒有有效的機制和手段來發(fā)現(xiàn)和監(jiān)控安全事件，沒有有效的對安全事件的處理流程和制度。人員管理風險人員對安全的認識相對較高，但在具體執(zhí)行和落實、安全防范的

16、技能等還有待加強.5設計方案本方案重點描述監(jiān)控系統(tǒng)等與業(yè)務直接相關部分的安全防護。方案實現(xiàn)的防護目標是抵御黑客、病毒、惡意代碼等通過各種形式對系統(tǒng)發(fā)起的惡意破壞和攻擊，以及其它非法操作,防止閥門監(jiān)控系統(tǒng)系統(tǒng)癱瘓和失控，并由此導致的一次系統(tǒng)事故5.1 拓撲示意操作系統(tǒng)安全是計算機網(wǎng)絡系統(tǒng)安全的基礎，而服務器上的業(yè)務數(shù)據(jù)又是被攻擊的最終目標，因此，加強對關鍵服務器的安全控制，是增強系統(tǒng)總體安全性的核心一環(huán)。對閥門監(jiān)控系統(tǒng)關鍵服務器實現(xiàn)主機加固，合理配置檢查規(guī)則.強制進行權限分配，保證對系統(tǒng)資源(包括數(shù)據(jù)和進程)的訪問符合定義的主機安全策略，防止主機權限被濫用。整個系統(tǒng)方案建成后如圖5.2 安全部署

17、方案5.2.1 下一代防火墻(1)縱向安全在互聯(lián)處部署下一代防火墻。安全建設充分考慮到廣域網(wǎng)組網(wǎng)、運行過程中潛在的安全問題及可靠性問題，通過下一代防火墻NGAF融合安全，綜合事前、事中、時候一體化安全運營中心，組成L2L7層立體安全防御體系，實現(xiàn)廣域網(wǎng)安全組網(wǎng)、廣域網(wǎng)流量清洗的防護效果，確保廣域網(wǎng)高安全和高可用.WEB應用防火墻、防同時，通過下一代防火墻集成入侵防御、入侵檢測、病毒網(wǎng)關功能，實現(xiàn)一體化安全的安全策略部署、L2-L7層的安全防護效果、高效的廣域網(wǎng)流量清洗,可視化的流量帶寬保障、集中管理統(tǒng)一部署的價值，在有效解決廣域網(wǎng)安全問題的前提下,簡化管理運維成本，實現(xiàn)了最優(yōu)投資回報。同時，給

18、區(qū)域內(nèi)網(wǎng)絡構建立體的防護體系，防止內(nèi)部終端遭受各個層次的安全威脅。通過下一代防火墻虛擬補丁和病毒防護等功能,有效防御各種攻擊和內(nèi)網(wǎng)蠕蟲病毒,防止僵尸網(wǎng)絡形成,保證網(wǎng)絡的安全穩(wěn)定運行。下一代防火墻內(nèi)置僵尸網(wǎng)絡識別庫，通過分析內(nèi)網(wǎng)終端的異常行為（如連接惡意主機或URL）等機制準確識別被黑客控制的僵尸終端，鏟除各類攻擊的土壤。全面的威脅識別能力,對事前/事中/事后的各類威脅全面監(jiān)測和防護；精準的僵尸網(wǎng)絡防護技術,從僵尸網(wǎng)絡發(fā)展的各個階段進行消除；專業(yè)的WEB安全防護能力，提供了業(yè)務服務各個階段的保護;深入威脅事件關聯(lián)分析能力，有效防止APT高級持續(xù)威脅;相比傳統(tǒng)設備,提供更加全面的威脅識別和防護;主

19、動發(fā)現(xiàn)安全隱患，改變傳統(tǒng)被動應對局面;可視化安全服務，讓安全可以輕松看懂；自助化安全運維，讓安全從此更簡單；內(nèi)置安全運營中心,提供一站式、智能化安全運維方法。5.2.2 終端安全檢測響應系統(tǒng)（殺毒）終端檢測響應平臺（EDR足深信服公司提供的一套終端安全解決方案,方案由輕量級的端點安全軟件和管理平臺軟件共同組成。EDR勺管理平臺支持統(tǒng)一的終端資產(chǎn)管理、終端安全體檢、終端合規(guī)檢查,支持微隔離的訪問控制策略統(tǒng)一管理，支持對安全事件的一鍵隔離處置，以及熱點事件IOC的全網(wǎng)威脅定位，歷史行為數(shù)據(jù)的溯源分析，遠程協(xié)助取證調(diào)查分析。端點軟件支持防病毒功能、入侵防御功能、防火墻隔離功能、數(shù)據(jù)信息采集上報、安全

20、事件的一鍵處置等。深信服的EDRT品也支持與NGAFACSIP產(chǎn)品的聯(lián)動協(xié)同響應，形成新一代的安全防護體系.終端上的安全檢測是核心的技術，傳統(tǒng)的病毒檢測技術使用特征匹配，使得病毒特征庫越來越大，運行所占資源也越來越多.深信服的EDFT品使用多維度輕量級的無特征檢測技術，包含AI技術的SAVESI擎、行為引擎、云查引擎、全網(wǎng)信譽庫等，檢測更智能、更精準,響應更快速，資源占用更低消耗。AI技術SAV引擎深信服創(chuàng)新研究院的博士團隊聯(lián)合EDR產(chǎn)品的安全專家，以及安全云腦的大數(shù)據(jù)運營專家，共同打造人工智能的勒索病毒檢測引擎。通過根據(jù)安全領域?qū)＜业膶I(yè)知識指導，利用深度學習訓練數(shù)千維度的算法模型，多維度的

21、檢測技術,找出高檢出率和低誤報率的算法模型,并且使用線上海量大數(shù)據(jù)的運營分析,不斷完善算法的特征訓練,形成高效的檢測引擎。行為引擎獨特的“虛擬沙盒"技術，基于虛擬執(zhí)行引擎和操作系統(tǒng)環(huán)境仿真技術，可以深度解析各類惡意代碼的本質(zhì)特征,有效地解決加密和混淆等代碼級惡意對抗。根據(jù)虛擬沙盒捕獲到虛擬執(zhí)行的行為，對病毒運行的惡意行為鏈進行檢測,能檢測到更多的惡意代碼本質(zhì)的行為內(nèi)容。云查引擎針對最新未知的文件,使用微特征的技術，進行云端查詢.云端的安全云腦中心,使用大數(shù)據(jù)分析平臺,多引擎擴展的檢測技術，秒級響應未知文件的檢測結(jié)果。全網(wǎng)信譽庫在管理平臺上構建企業(yè)全網(wǎng)的文件信譽庫，對單臺終端上的文件檢

22、測結(jié)果匯總到平臺，做到一臺發(fā)現(xiàn)威脅，全網(wǎng)威脅感知的效果。并且在企業(yè)網(wǎng)絡中的檢測重點落到對未知文件的分析上，減少對已知文件重復檢測的資源開消.深信服EDRT品能與NGAFAGSIP、安全云腦等進行產(chǎn)品進行協(xié)同聯(lián)動響應.EDR產(chǎn)品可與安全云腦協(xié)同響應,關聯(lián)在線數(shù)十萬臺安全設備的云反饋威脅情報數(shù)據(jù)，以及第三方合作伙伴交換的威脅情報數(shù)據(jù),智能分析精準判斷，超越傳統(tǒng)的黑白名單和靜態(tài)特征庫，為已知/未知威脅檢測提供有力支持.可與防火墻NGA、FSIP產(chǎn)品進行關聯(lián)檢測、取證、響應、溯源等防護措施，與AC產(chǎn)品進行合規(guī)認證審查、安全事件響應等防護措施，形成應對威脅的云管端立體化縱深防護閉環(huán)體系。5.2.3 日志

23、審計系統(tǒng)綜合日志分析系統(tǒng)的主要功能包括如下模塊：采集管理：在接入各類日志和事件前，指定需要采集的目標、接入方式以及相關參數(shù)（如數(shù)據(jù)庫的各種連接參數(shù)）、選擇標準化腳本和過濾歸并策略；事件分析：事件分析是綜合日志分析系統(tǒng)的核心模塊之一，它不僅可以綜合考量各種日志之間可能存在的關系，而且能夠?qū)θ罩局邢嚓P要素進行分析；最終，異常事件的分析結(jié)果將以告警的形式呈現(xiàn)在系統(tǒng)中；審計管理:審計管理是綜合日志分析系統(tǒng)的核心模塊之一，側(cè)重于發(fā)現(xiàn)日志中相關要素是否和預定的策略相符，如時間、地點、人員、方式等。審計管理能夠方便的自定義審計人員、行為對象、審計類型、審計策略等基本配置；并能夠自定義審計策略模板,審計管理內(nèi)

24、置了大量審計策略模板，涵蓋了常見的、對企業(yè)非常實用的審計策略模板，如主機、防火墻、數(shù)據(jù)庫、薩班斯審計策略、等級保護策略模板等。對于根據(jù)審計策路所產(chǎn)生的審計違規(guī)結(jié)果,系統(tǒng)以告警的形式在實時監(jiān)控模塊呈現(xiàn)給用戶，用戶可以對告警進行相關的處理。安全監(jiān)控：安全監(jiān)控包括告警監(jiān)控和實時監(jiān)控。所謂告警是指用戶特別需要關注的安全問題,這些問題來源于事件分析、審計分析的結(jié)果。所謂實時監(jiān)控是指對當前接入的事件日志的逐條、實時顯示,顯示的日志內(nèi)容是可以根據(jù)用戶的需求進行設置過濾條件來定制的.安全概覽:綜合呈現(xiàn)當前接入系統(tǒng)的安全態(tài)勢,如告警概況、系統(tǒng)運行狀態(tài)、事件分析統(tǒng)計、審計分析統(tǒng)計等，安全概覽顯示內(nèi)容可根據(jù)需要自定

25、制。報表管理：系統(tǒng)提供豐富的報表,以滿足用戶不同的要求；資產(chǎn)管理：與普通的綜合日志分析系統(tǒng)不同，綜合日志分析系統(tǒng)提供資產(chǎn)管理模塊，以方便用戶對被管對象的管理；知識庫管理：系統(tǒng)提供日志發(fā)送配置（即如何對各種系統(tǒng)進行配置，使其產(chǎn)生日志）、安全事件知識、安全經(jīng)驗等，對日志審計提供相應的支撐；系統(tǒng)管理：系統(tǒng)的自身管理，包括如用戶管理、日志管理、升級管理等功能。以上功能，經(jīng)過細化以后，可以形成如下結(jié)構:1）安全管理對象：綜合日志分析系統(tǒng)能夠?qū)Ω鞣N安全風險進行采集和匯總，安全對象涵蓋了人員、網(wǎng)絡、安全設施、系統(tǒng)、終端、應用等。2）采集層：采集各種設備的事件日志，標準化為統(tǒng)一的格式，然后進行過濾、歸并、關聯(lián)

26、和審計，從海量日志中分析潛在的安全問題，同時進行相關數(shù)據(jù)的存儲和管理。3）分析處理層：系統(tǒng)通過分析引擎，對日志進行關聯(lián)分析、審計分析和統(tǒng)計分析，并對異常事件告警策略進行管理。4）業(yè)務功能層：業(yè)務功能層實現(xiàn)對企業(yè)信息安全業(yè)務的支撐，以及系統(tǒng)自身運行的管理.在此基礎上，通過分析事件與資產(chǎn)的相互關系，產(chǎn)生告警及報表等。5） 與此同時，業(yè)務功能層提供資產(chǎn)管理、報表管理、采集管理、事件分析和審計管理，分別支撐用戶的相關業(yè)務功能。6） 綜合展現(xiàn)層:綜合展現(xiàn)層是綜合日志分析系統(tǒng)的展示層.該層通過個人工作臺和安全概覽，將整個系統(tǒng)收集、分析、管理的安全事件、告警概況等信息多維度的展現(xiàn)在用戶面前.采集是綜合日志分

27、析系統(tǒng)的重要功能模塊，它承載了日志或事件采集標準化、過濾、歸并功能.采集管理是系統(tǒng)進行分析的第一步，用戶通過指定需要采集的目標、相關采集參數(shù)（Syslog、SNMPTrap等被動方式無需指定）、相關的過濾策略和歸并策略等創(chuàng)建日志采集器，以收集相關設備或系統(tǒng)的日志.具體如下：?標準化不同的系統(tǒng)或設備所產(chǎn)生的日志格式是不盡相同的，這就給分析和統(tǒng)計帶了巨大的麻煩，所以在綜合日志分析系統(tǒng)中內(nèi)置了眾多的標準化腳本以處理這種情形；即便對于某些特殊的設備，您沒有發(fā)現(xiàn)相關的解析腳本，綜合日志分析系統(tǒng)也提供了相應的定制方法以解決這些問題。?過濾和歸并為了對接收的日志數(shù)量進行壓縮，綜合日志分析系統(tǒng)還提供了過濾和歸

28、并功能；其中，過濾功能不僅僅是丟棄無用的日志，而且也可以將它們轉(zhuǎn)發(fā)到外部系統(tǒng)或?qū)Σ糠质录侄芜M行重新填充。?事件分析綜合日志分析系統(tǒng)的事件分析功能是系統(tǒng)中的核心功能之一；其中關聯(lián)分析策略主要側(cè)重于各類日志之間可能存在的邏輯關聯(lián)關系。綜合日志分析系統(tǒng)不僅支持以預定義規(guī)則的方式進行事件關聯(lián)，還支持基于模式發(fā)現(xiàn)方式的關聯(lián)；系統(tǒng)不僅支持短時間內(nèi)的序列關聯(lián)，還支持長時間的關聯(lián)（最長可達30天）。綜合日志分析系統(tǒng)支持如下不同類型日志或事件：網(wǎng)絡攻擊有害代碼漏洞用戶訪問存取系統(tǒng)運行設備故障配置狀態(tài)網(wǎng)絡連接數(shù)據(jù)庫操作對于事件關聯(lián)分析所產(chǎn)生的結(jié)果將在關聯(lián)事件中呈現(xiàn),如果符合關聯(lián)策略將以告警的形式在實時監(jiān)控模塊呈

29、現(xiàn)給用戶,用戶可以對告警進行相關的處理。5.2.4 運維審計系統(tǒng)借助切實有效的技術手段，通過對運維環(huán)境中人員、設備、操作行為等諸多要素的統(tǒng)籌管理和策略定義，建立一個具有完備控制和審計功能的運維管理系統(tǒng)，為業(yè)務生產(chǎn)系統(tǒng)進一步的發(fā)展建立堅實基礎。該方案需要在技術層面完成如下建設目標:實現(xiàn)單點登錄：全部運維人員集中通過運維管理系統(tǒng),來管理后臺的服務器、網(wǎng)絡設備等資源，同時對運維人員進行統(tǒng)一的身份認證；實現(xiàn)統(tǒng)一授權：統(tǒng)一部署訪問控制和權限控制等策略，保證操作者對后臺資源的合法使用，同時實現(xiàn)對高危操作過程的事中監(jiān)控和實時告警；快速定位問題：必須對操作人員原始的操作過程進行完整的記錄，并提供靈活的查詢搜索

30、機制，從而在操作故障發(fā)生時，快速的定位故障的原因,還原操作的現(xiàn)場；簡化密碼管理：實現(xiàn)賬號密碼的集中管理，在簡化密碼管理的同時提高賬號密碼的安全性；兼容操作習慣：盡量不改變運維環(huán)境中已有的網(wǎng)絡架構、對操作者原有的操作習慣不造成任何影響；比二T T他證可那弟模塊Pert: 22Port 4鋁、5339a-由法弗處僮快費心春 第g F： iimjT 1七上，恒開池裱口集中管理是前提：只有集中以后才能夠?qū)崿F(xiàn)統(tǒng)一管理，只有集中管理才能把復雜問題簡單化，分散是無法談得上管理的，集中是運維管理發(fā)展的必然趨勢，也是唯一的選擇。身份管理是基礎：身份管理解決的是維護操作者的身份問題.身份是用來識別和確認操作者的，

31、因為所有的操作都是用戶發(fā)起的，如果我們連操作的用戶身份都無法確認，那么不管我們怎么控制，怎么審計都無法準確的定位操作責任人.所以身份管理是基礎。訪問控制是手段：操作者身份確定后，下一個問題就是他能訪問什么資源、你能在目標資源上做什么操作。如果操作者可以隨心所欲訪問任何資源、在資源上做任何操作，就等于沒了控制，所以需要通過訪問控制這種手段去限制合法操作者合法訪問資源，有效降低未授權訪問所帶來的風險.操作審計是保證：操作審計要保證在出了事故以后快速定位操作者和事故原因，還原事故現(xiàn)場和舉證.另外一個方面操作審計做為一種驗證機制，驗證和保證集中管理身份管理，訪問控制，權限控制策略的有效性.自動運維是目

32、標：操作自動化是運維操作管理的終極目標，通過讓該功能，可讓堡壘機自動幫助運維人員執(zhí)行各種常規(guī)操作，從而達到降低運維復雜度、提高運維效率的目的.5.2.5 安全態(tài)勢感知系統(tǒng)交換層旁路部署1臺潛伏威脅探針，通過網(wǎng)絡流量鏡像內(nèi)部對用戶到業(yè)務資產(chǎn)、業(yè)務的訪問關系進行識別，基于捕捉到的網(wǎng)絡流量對內(nèi)部進行初步的攻擊識別、違規(guī)行為檢測與內(nèi)網(wǎng)異常行為識別.探針以旁路模式部署，實施簡單且完全不影響原有的網(wǎng)絡結(jié)構，降低了網(wǎng)絡單點故障的發(fā)生率。此時探針獲得的是鏈路中數(shù)據(jù)的“拷貝”，主要用于監(jiān)聽、檢測局域網(wǎng)中的數(shù)據(jù)流及用戶或服務器的網(wǎng)絡行為，以及實現(xiàn)對用戶或服務器的TCP亍為的采集。在公司核心交換層旁路部署1套安全感

33、知平臺用于全網(wǎng)檢測系統(tǒng)對各節(jié)點安全檢測探針的數(shù)據(jù)進行收集，并通過可視化的形式為用戶呈現(xiàn)數(shù)據(jù)中心內(nèi)網(wǎng)關鍵業(yè)務資產(chǎn)的攻擊與潛在威脅.感觸感知源CNVDCNCERTVirus-TotalCNNVDAWVAExpluit DBMAPPCVE業(yè)務資產(chǎn)可視通過潛伏威脅探針可主動識別業(yè)務系統(tǒng)下屬的所有業(yè)務資產(chǎn)，將已識別的資產(chǎn)進行安全評估，將資產(chǎn)的配置信息與暴露面進行呈現(xiàn)。通過網(wǎng)絡數(shù)據(jù)包分析，對未備案的新增資產(chǎn)進行實時告警，發(fā)現(xiàn)脫離IT部門管控的違規(guī)資產(chǎn)。訪問關系可視依托于可視化技術，通過訪問關系展示用戶、業(yè)務系統(tǒng)、互聯(lián)網(wǎng)之間訪問關系，基于全網(wǎng)業(yè)務對象的訪問關系的圖形化展示，包括用戶對業(yè)務、業(yè)務對業(yè)務、業(yè)務與互聯(lián)網(wǎng)三者關系的完全展示，并提供快捷的搜索.供IT人員在業(yè)務遷移和梳理時直觀的查看業(yè)務關系，是否有遺漏的業(yè)務未被防護、是否存在內(nèi)部攻擊、是否有業(yè)務外連、是否存在外部攻擊等行為。另外,可呈現(xiàn)該用戶已經(jīng)通過哪些應用、協(xié)議和端口訪問了哪些業(yè)務，這些訪問是否是攻擊、違規(guī)、遠程登陸等行為?？汕逦目闯鲆褜δ男I(yè)務存在影響,也能推導當前用戶是否已失陷（或可疑）。多維度威脅檢測提供漏洞利用攻擊檢測、Wete用攻擊檢測、僵尸網(wǎng)絡檢測、業(yè)務弱點發(fā)現(xiàn)等多位的威脅檢測能力；主動建立針對性的業(yè)務和