信息安全綜合管理與監(jiān)控平臺(tái)技術(shù)規(guī)范

1、信息安全綜合管理與監(jiān)控平臺(tái)技術(shù)規(guī)范i目錄 HYPERLINK l _TOC_250037 概述1 HYPERLINK l _TOC_250036 信息安全綜合管理與監(jiān)控平臺(tái)監(jiān)控管理范圍1 HYPERLINK l _TOC_250035 信息安全綜合管理與監(jiān)控平臺(tái)功能要求1 HYPERLINK l _TOC_250034 安全事件管理2 HYPERLINK l _TOC_250033 安全事件采集2 HYPERLINK l _TOC_250032 安全事件過(guò)濾3 HYPERLINK l _TOC_250031 安全事件關(guān)聯(lián)3 HYPERLINK l _TOC_250030 安全事件實(shí)時(shí)告警4 H

2、YPERLINK l _TOC_250029 安全事件告警處理4 HYPERLINK l _TOC_250028 安全事件統(tǒng)計(jì)與分析5 HYPERLINK l _TOC_250027 設(shè)備集中管理6 HYPERLINK l _TOC_250026 設(shè)備狀態(tài)集中監(jiān)控6 HYPERLINK l _TOC_250025 流量管理6 HYPERLINK l _TOC_250024 安全策略集中管理6 HYPERLINK l _TOC_250023 主機(jī)設(shè)備集中管理6 HYPERLINK l _TOC_250022 查詢統(tǒng)計(jì)分析6 HYPERLINK l _TOC_250021 信息安全風(fēng)險(xiǎn)管理7 HY

3、PERLINK l _TOC_250020 資產(chǎn)管理7 HYPERLINK l _TOC_250019 脆弱性管理7 HYPERLINK l _TOC_250018 威脅管理7 HYPERLINK l _TOC_250017 風(fēng)險(xiǎn)分析7 HYPERLINK l _TOC_250016 安全預(yù)警管理7 HYPERLINK l _TOC_250015 查詢統(tǒng)計(jì)分析7 HYPERLINK l _TOC_250014 安全任務(wù)單管理8 HYPERLINK l _TOC_250013 安全任務(wù)單產(chǎn)生8 HYPERLINK l _TOC_250012 安全任務(wù)單處理8 HYPERLINK l _TOC_2

4、50011 安全任務(wù)單管理與其它系統(tǒng)接口8 HYPERLINK l _TOC_250010 工作考核8 HYPERLINK l _TOC_250009 查詢統(tǒng)計(jì)8 HYPERLINK l _TOC_250008 安全知識(shí)管理8 HYPERLINK l _TOC_250007 補(bǔ)丁知識(shí)庫(kù)8 HYPERLINK l _TOC_250006 病毒知識(shí)庫(kù)8 HYPERLINK l _TOC_250005 安全事件分類定級(jí)9 HYPERLINK l _TOC_250004 安全事件公告9 HYPERLINK l _TOC_250003 安全事件處理經(jīng)驗(yàn)庫(kù)9 HYPERLINK l _TOC_250002

5、 安全技術(shù)和管理知識(shí)庫(kù)9 HYPERLINK l _TOC_250001 系統(tǒng)接口9 HYPERLINK l _TOC_250000 信息安全綜合管理與監(jiān)控平臺(tái)性能要求9信息安全綜合管理與監(jiān)控平臺(tái)技術(shù)規(guī)范 V1.0第 PAGE 9 頁(yè) 共 9 頁(yè)概述信息安全綜合管理與監(jiān)控平臺(tái)能夠采集來(lái)自所有安全產(chǎn)品和非安全產(chǎn)品的事件信息，對(duì)安全事件進(jìn)行過(guò)濾、關(guān)聯(lián)分析和告警，并為企業(yè)提供風(fēng)險(xiǎn)管理的自動(dòng)化手段。信息安全綜合管理與監(jiān)控平臺(tái)將安全運(yùn)行管理和安全技術(shù)進(jìn)行結(jié)合，能夠規(guī)范安全管理工作，全面掌握安全狀況。信息安全綜合管理與監(jiān)控平臺(tái)邏輯結(jié)構(gòu)如下：信息安全綜合管理與監(jiān)控平臺(tái)監(jiān)控管理范圍信息安全綜合管理與監(jiān)控平臺(tái)監(jiān)

6、控管理的范圍包括：系統(tǒng)內(nèi)部署的各種安全產(chǎn)品、主機(jī)與網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)系統(tǒng)與應(yīng)用系統(tǒng)、桌面系統(tǒng)等，其中各種安全產(chǎn)品和系統(tǒng)包括防火墻、IDS、安全文件網(wǎng)關(guān)、VPN、防病毒系統(tǒng)、審計(jì)系統(tǒng)、訪問(wèn)控制系統(tǒng)、用戶集中管理和認(rèn)證系統(tǒng)等安全設(shè)備/軟件。信息安全綜合管理與監(jiān)控平臺(tái)功能要求信息安全綜合管理與監(jiān)控平臺(tái)功能要求定義了對(duì)信息安全綜合管理與監(jiān)控平臺(tái)功能上的要求，分為安全事件管理、設(shè)備集中管理、信息安全風(fēng)險(xiǎn)管理、安全任務(wù)單管理、安全知識(shí)管理等幾個(gè)部分。. 安全事件管理通過(guò)采集、過(guò)濾、匯聚、關(guān)聯(lián)分析等手段充分縮減大型信息系統(tǒng)中海量的安全事件信息， 并對(duì)安全事件進(jìn)行嚴(yán)重性排序，優(yōu)先呈現(xiàn)和處理嚴(yán)重性級(jí)別較高的安全事

7、件，以便了解系統(tǒng)實(shí)時(shí)的安全事件狀況。關(guān)注的事件類型主要是攻擊行為、異?；顒?dòng)和狀態(tài)、病毒以及安全告警等。安全事件采集安全事件采集包括對(duì)環(huán)境安全事件采集、安全設(shè)備/軟件事件采集、網(wǎng)絡(luò)設(shè)備安全事件采集、主機(jī)事件采集、應(yīng)用系統(tǒng)安全事件采集、數(shù)據(jù)庫(kù)系統(tǒng)安全事件采集等。環(huán)境監(jiān)控物理環(huán)境安全是信息安全的一個(gè)重要組成部分。有必要在信息安全綜合管理與監(jiān)控平臺(tái)中對(duì)環(huán)境進(jìn)行監(jiān)控。環(huán)境監(jiān)控模塊包括圖像監(jiān)控、門禁管理、溫度/濕度/水位/煙感等信息的采集和管理。安全設(shè)備/軟件事件采集能夠?qū)Ψ阑饓?、IDS、橫向隔離設(shè)備、縱向加密設(shè)備、VPN、安全文件網(wǎng)關(guān)設(shè)備、防病毒系統(tǒng)、審計(jì)系統(tǒng)、訪問(wèn)控制系統(tǒng)、用戶集中管理和認(rèn)證系統(tǒng)等安全

8、設(shè)備/軟件產(chǎn)生的事件的采集和存儲(chǔ)。網(wǎng)絡(luò)設(shè)備安全事件采集能夠?qū)W(wǎng)絡(luò)設(shè)備產(chǎn)生的安全事件進(jìn)行采集和存儲(chǔ)。主機(jī)事件采集能夠?qū)χ鳈C(jī) CPU 負(fù)荷、內(nèi)存使用率、硬盤使用率及操作系統(tǒng)安全事件等事件進(jìn)行采集和存儲(chǔ)。桌面系統(tǒng)監(jiān)控能夠?qū)ψ烂嫦到y(tǒng)進(jìn)行監(jiān)控，包括桌面系統(tǒng)的網(wǎng)絡(luò)行為監(jiān)控、文件訪問(wèn)行為監(jiān)控、應(yīng)用程序安裝/運(yùn)行監(jiān)控，應(yīng)用系統(tǒng)訪問(wèn)控制等。應(yīng)用系統(tǒng)安全事件采集能夠?qū)?yīng)用系統(tǒng)產(chǎn)生的安全事件進(jìn)行采集和存儲(chǔ)。基礎(chǔ)平臺(tái)安全事件采集能夠?qū)?shù)據(jù)庫(kù)、中間件等產(chǎn)生的安全事件進(jìn)行采集和存儲(chǔ)。安全事件過(guò)濾能夠?qū)Σ杉降臄?shù)據(jù)進(jìn)行過(guò)濾縮減安全事件數(shù)量，包括：過(guò)濾掉嚴(yán)重程度較低的原始事件信息；通過(guò)指定事件影響的設(shè)備、事件采用協(xié)議、事件類

9、別、事件標(biāo)題等事件屬性進(jìn)行過(guò)濾。應(yīng)能對(duì)事件數(shù)據(jù)過(guò)濾的開啟狀態(tài)進(jìn)行手工設(shè)定。安全事件關(guān)聯(lián)信息安全綜合管理與監(jiān)控平臺(tái)應(yīng)具有安全事件關(guān)聯(lián)功能，來(lái)深度挖掘安全隱患、判斷安全事件的嚴(yán)重程度。信息安全綜合管理與監(jiān)控平臺(tái)確定的關(guān)聯(lián)性事件，不僅要有自身的內(nèi)容，還必須可以關(guān)聯(lián)查詢到觸發(fā)該事件產(chǎn)生的所有的原始事件。具體安全事件關(guān)聯(lián)方式包括：基于規(guī)則的關(guān)聯(lián)分析：將可疑的安全活動(dòng)場(chǎng)景（暗示某潛在安全攻擊行為的一系列安全事件序列）加以預(yù)先定義。系統(tǒng)能夠使用定義好的關(guān)聯(lián)性規(guī)則表達(dá)式，對(duì)收集到的安全事件進(jìn)行檢查，確定該事件是否和特定的規(guī)則匹配。至少應(yīng)能夠?qū)σ韵掳踩顒?dòng)場(chǎng)景預(yù)先定義關(guān)聯(lián)規(guī)則：DDOS 攻擊緩沖區(qū)溢出攻擊網(wǎng)絡(luò)蠕

10、蟲郵件病毒垃圾郵件電子欺騙非授權(quán)訪問(wèn)企圖入侵行為木馬非法掃描可疑 URL具備自定義網(wǎng)絡(luò)安全攻擊行為功能，可以通過(guò)可視化的流程圖的定義某種網(wǎng)絡(luò)攻擊行為；可根據(jù)安全事件發(fā)生的因果關(guān)系，進(jìn)行邏輯上關(guān)聯(lián)分析。給出事件關(guān)聯(lián)相關(guān)度的定量分析；可根據(jù)網(wǎng)絡(luò)安全的動(dòng)態(tài)情況，自適應(yīng)過(guò)濾相關(guān)度較低的事件；提供多種事件關(guān)聯(lián)規(guī)則定義的方式，既包括通過(guò)簡(jiǎn)單明了的向?qū)?chuàng)建關(guān)聯(lián)性規(guī)則，也可以允許用戶使用類似腳本語(yǔ)言的方式；關(guān)聯(lián)性規(guī)則表達(dá)式應(yīng)該支持規(guī)則的多級(jí)嵌套，前一規(guī)則輸出作為后一規(guī)則的輸入，以及規(guī)則之間的并集和交集處理關(guān)聯(lián)性規(guī)則應(yīng)該具有良好的移植性，可以按照特定的文件格式，如 XML，導(dǎo)入和導(dǎo)出。基于統(tǒng)計(jì)的關(guān)聯(lián)分析：定義一

11、些大的安全事件類別，對(duì)每個(gè)類別的事件設(shè)定一個(gè)合理的閥值，將出現(xiàn)的事件先歸類，然后進(jìn)行緩存和計(jì)數(shù)，當(dāng)在某一段時(shí)間內(nèi)，計(jì)數(shù)達(dá)到該閥值，可以產(chǎn)生一個(gè)級(jí)別更高的安全事件?；谫Y產(chǎn)的關(guān)聯(lián)分析：安全事件應(yīng)能與相關(guān)資產(chǎn)的敏感性以及相關(guān)資產(chǎn)上的漏洞進(jìn)行關(guān)聯(lián)，從而判斷某個(gè)安全事件是否能造成不良影響以及造成不良影響的嚴(yán)重程度。例如：某個(gè)安全事件在某個(gè)資產(chǎn)上發(fā)生，并且正好與此資產(chǎn)上的一個(gè)或多個(gè)漏洞有關(guān)聯(lián)關(guān)系，則可以判斷此安全事件將對(duì)此資產(chǎn)產(chǎn)生一定不良影響；另外此事件利用資產(chǎn)上漏洞產(chǎn)生的影響可能側(cè)重在某個(gè)方面，比如對(duì)資產(chǎn)可用性影響非常大， 而此資產(chǎn)恰恰對(duì)可用性要求非常高，那么可以確定此安全事件將對(duì)此資產(chǎn)造成巨大的不良

12、影響，屬于非常嚴(yán)重的安全事件；安全事件實(shí)時(shí)告警能夠?qū)Π踩录M(jìn)行實(shí)時(shí)監(jiān)控，并以多種方式進(jìn)行不同級(jí)別告警安全事件的呈現(xiàn)?？梢园凑找韵聴l件定制組合監(jiān)控策略：監(jiān)控對(duì)象事件類型緊急程度發(fā)生時(shí)間攻擊事件的發(fā)生源地址攻擊事件的目標(biāo)地址通信協(xié)議類型事件刷新的時(shí)間間隔用戶自定義能夠采用多種方式對(duì)安全事件過(guò)濾后進(jìn)行安全事件告警。能夠按照多種方式展現(xiàn)告警信息，比如屏幕顯示、聲音、短消息等方式。安全事件告警處理包括告警確認(rèn)與清除、產(chǎn)生安全任務(wù)單、非正常告警處理等功能。告警確認(rèn)包括自動(dòng)確認(rèn)和手動(dòng)確認(rèn)兩種方式。告警自動(dòng)確認(rèn)指的是當(dāng)安全事件采集上來(lái)后，信息安全綜合管理與監(jiān)控平臺(tái)根據(jù)條件（自動(dòng)確認(rèn)告警的條件可由用戶進(jìn)行定制

13、）對(duì)其進(jìn)行告警自動(dòng)確認(rèn)。告警手動(dòng)確認(rèn)指的是信息安全綜合管理與監(jiān)控平臺(tái)能支持操作員根據(jù)事件源、事件級(jí)別、事件狀態(tài)、事件類型、事件產(chǎn)生時(shí)間等組合條件對(duì)事件信息進(jìn)行手動(dòng)告警確認(rèn)，同時(shí)記錄手動(dòng)確認(rèn)者的身份。告警清除功能，包括自動(dòng)清除和手動(dòng)清除兩種方式。告警自動(dòng)清除包括兩種情況：一種是被管系統(tǒng)的安全事件解決后，被管系統(tǒng)向信息安全綜合管理與監(jiān)控平臺(tái)上報(bào)告警清除通知，信息安全綜合管理與監(jiān)控平臺(tái)根據(jù)收到的告警清除通知清除相應(yīng)的告警；另一種是信息安全綜合管理與監(jiān)控平臺(tái)根據(jù)告警相關(guān)性設(shè)置（相關(guān)性條件可由用戶進(jìn)行設(shè)置）決定是否將與某個(gè)已清除的告警相關(guān)的其他低級(jí)別告警同時(shí)自動(dòng)清除。告警手動(dòng)清除指的是信息安全綜合管理與

14、監(jiān)控平臺(tái)能支持操作員根據(jù)事件源、事件級(jí)別、事件狀態(tài)、事件類型、事件產(chǎn)生時(shí)間等組合條件對(duì)事件告警進(jìn)行手工清除， 同時(shí)記錄手動(dòng)清除者的身份。產(chǎn)生安全任務(wù)單指系統(tǒng)按照告警級(jí)別決定是否產(chǎn)生安全任務(wù)單，安全任務(wù)單自動(dòng)生成， 并根據(jù)告警信息自動(dòng)填充任務(wù)單的部分內(nèi)容，用于向安全任務(wù)單管理模塊提供數(shù)據(jù)。產(chǎn)生安全任務(wù)單信息包括（但不限于）以下內(nèi)容：告警號(hào)發(fā)生時(shí)間告警系統(tǒng)具體對(duì)象對(duì)象類型所屬?gòu)S家告警級(jí)別告警類型告警原因告警內(nèi)容處理時(shí)限參考處理方法處理責(zé)任人；非正常告警處理指當(dāng)系統(tǒng)處于變動(dòng)時(shí)會(huì)產(chǎn)生大量告警，此時(shí)系統(tǒng)應(yīng)該提供自動(dòng)或手動(dòng)的手段對(duì)于由于系統(tǒng)變動(dòng)產(chǎn)生的大量告警進(jìn)行屏蔽。安全事件統(tǒng)計(jì)與分析能夠?qū)Π踩录M(jìn)行查

15、詢、統(tǒng)計(jì)和分析，并提供多種形式的報(bào)表功能。提供以下查詢、統(tǒng)計(jì)和分析的功能：能從多種角度多種維度對(duì)數(shù)據(jù)進(jìn)行分析；能提供實(shí)時(shí)分析、歷史分析等分析手段；能對(duì)比查詢統(tǒng)計(jì)的結(jié)果，分析數(shù)據(jù)的發(fā)展趨勢(shì)；能將結(jié)果以圖形方式直方圖、餅圖等或報(bào)表方式顯示、打印或轉(zhuǎn)存為 html、Word、Excel 或其它報(bào)表方式輸出。報(bào)表功能應(yīng)該能夠提供多種形式報(bào)表，包括提供給安全管理員、領(lǐng)導(dǎo)使用的報(bào)表，也應(yīng)該支持用戶自定義報(bào)表。. 設(shè)備集中管理能夠?qū)Π踩O(shè)備和主機(jī)設(shè)備的狀態(tài)進(jìn)行監(jiān)控，并能夠?qū)崿F(xiàn)安全策略的自動(dòng)分發(fā)和更新。設(shè)備狀態(tài)集中監(jiān)控能夠獲取設(shè)備的當(dāng)前運(yùn)行的狀態(tài)，在設(shè)備運(yùn)行狀態(tài)發(fā)生變化時(shí)，能夠得到通知，不同設(shè)備需監(jiān)控的狀態(tài)信

16、息不同。流量管理能夠獲取主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的網(wǎng)絡(luò)流量，并且能夠?qū)W(wǎng)絡(luò)流量進(jìn)行分析和統(tǒng)計(jì)， 在超過(guò)設(shè)定門限時(shí)可以產(chǎn)生報(bào)警。安全策略集中管理包括安全設(shè)備/軟件的安全策略文件的集中管理，提高安全管理工作效率；有條件的情況下實(shí)現(xiàn)各安全產(chǎn)品的安全策略的統(tǒng)一分發(fā)，修正和更新；安全策略文件的統(tǒng)一在/離線管理，定期進(jìn)行采集和審核，對(duì)安全產(chǎn)品的各種屬性和安全策略進(jìn)行集中的存儲(chǔ)、查詢。主機(jī)設(shè)備集中管理能夠?qū)χ鳈C(jī)安全策略、補(bǔ)丁進(jìn)行集中管理，有條件的情況下實(shí)現(xiàn)主機(jī)安全策略和補(bǔ)丁的統(tǒng)一分發(fā)，修正和更新；安全策略文件和補(bǔ)丁的統(tǒng)一在/離線管理，定期進(jìn)行安全策略的采集和審核。查詢統(tǒng)計(jì)分析對(duì)設(shè)備運(yùn)行狀況、策略分發(fā)、補(bǔ)丁更

17、新等情況的查詢、統(tǒng)計(jì)和分析。. 信息安全風(fēng)險(xiǎn)管理能夠?qū)π畔①Y產(chǎn)、脆弱性、威脅、風(fēng)險(xiǎn)等建立基本信息庫(kù)以及風(fēng)險(xiǎn)的自動(dòng)分析，支持企業(yè)進(jìn)行自評(píng)估。資產(chǎn)管理包括資產(chǎn)庫(kù)建立、維護(hù)脆弱性管理包括漏洞庫(kù)的建立、維護(hù)威脅管理包括威脅庫(kù)的建立、維護(hù)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)庫(kù)的建立和根據(jù)資產(chǎn)、脆弱性、威脅自動(dòng)進(jìn)行風(fēng)險(xiǎn)計(jì)算和分析。安全預(yù)警管理包括安全預(yù)警信息的產(chǎn)生、發(fā)布、維護(hù)等。安全預(yù)警信息可以來(lái)自第三方服務(wù)商和上級(jí)主管單位。安全預(yù)警信息應(yīng)該包括可能影響的資產(chǎn)類型、可能后果和解決方案。安全預(yù)警信息應(yīng)該可以自動(dòng)和信息資產(chǎn)進(jìn)行關(guān)聯(lián)，系統(tǒng)能夠自動(dòng)列出受影響的資產(chǎn)以及影響程度，并自動(dòng)通知相應(yīng)的系統(tǒng)管理員。系統(tǒng)管理員根據(jù)收到的安全預(yù)警信息

18、進(jìn)行相應(yīng)的處理，如安裝系統(tǒng)安全補(bǔ)丁。查詢統(tǒng)計(jì)分析對(duì)資產(chǎn)庫(kù)、漏洞庫(kù)、威脅庫(kù)和風(fēng)險(xiǎn)庫(kù)的查詢、分析和統(tǒng)計(jì)功能，提供多種形式的報(bào)表。能夠以資產(chǎn)為主題，查詢出資產(chǎn)的漏洞、威脅及風(fēng)險(xiǎn)情況。能夠以漏洞為主題，查詢出具有該漏洞的資產(chǎn)情況。能夠以威脅為主題，查詢出受到該威脅影響的資產(chǎn)情況。. 安全任務(wù)單管理主要實(shí)現(xiàn)安全任務(wù)單的產(chǎn)生及處理，并依此實(shí)現(xiàn)安全管理人員的工作考核。安全任務(wù)單產(chǎn)生安全任務(wù)單可以手動(dòng)或者由安全事件觸發(fā)自動(dòng)產(chǎn)生。安全任務(wù)單處理能夠定義安全任務(wù)單的處理流程，實(shí)現(xiàn)對(duì)安全任務(wù)單的處理。安全任務(wù)單管理與其它系統(tǒng)接口安全任務(wù)單管理模塊應(yīng)提供和其它系統(tǒng)的接口，如 OA 的接口。工作考核實(shí)現(xiàn)對(duì)安全管理工作的考核。查詢統(tǒng)計(jì)安全任務(wù)單相關(guān)信息的查詢和統(tǒng)計(jì). 安全知識(shí)管理安全知識(shí)管理包括對(duì)補(bǔ)丁知識(shí)庫(kù)、病毒知識(shí)庫(kù)的建立和管理以及安全事