《j8JXX单位网络安全管理平台建设规划方案1》由会员分享,可在线阅读,更多相关《j8JXX单位网络安全管理平台建设规划方案1(29页珍藏版)》请在金锄头文库上搜索。
1、 XX单位信息安全管理平台建设解决方案XX单位信息安全管理平台建设解决方案2008年8月20日文档信息文档名称XX单位信息安全管理平台建设规划方案文档编号保密级别商业机密文档版本号V1.0制作人王铁成制作日期2008年8月20日复审人复审日期扩散范围XX单位、网御神州项目组扩散批准人王铁成文档说明 本文档是网御神州科技(北京)有限公司(以下简称网御神州)为XX单位提交的信息安全管理平台建设解决方案,供XX单位信息安全管理相关人员阅读。版本变更记录时间版本说明修改人2008-8-201.0文档创建王铁成安全源于管理 管理驱动安全 第 18页 共29页目 录一. 项目规划综述4二. 信息安全管理面
2、临的问题4三. 信息安全管理平台需求分析5四. 信息安全管理平台建设解决方案74.1 SecFox-SNI系统部署说明74.2 SecFox-SIM系统部署说明84.3 “SecFox-SNI”产品功能94.3.1 资产管理94.3.2 网络拓扑管理94.3.3 机房机架视图104.3.4 集中监控104.3.5 网络和安全设备监控114.3.6 主机监控114.3.7 应用和业务监控124.3.8 机房环境监控134.3.9 终端接入监控144.3.10 设备配置信息监控144.3.11 配置与诊断工具144.3.12 防火墙策略管理154.3.13 日志安全审计154.3.14 IP地址管
3、理164.3.15 集中认证管理164.3.16 告警和响应管理164.3.17 报表管理174.3.18 权限管理174.3.19 系统管理184.3.20 与外部系统集成184.4 “SecFox-SIM”产品功能184.4.1 智能监控频道184.4.2 资产管理194.4.3 工单管理204.4.4 事件分析204.4.5 趋势分析214.4.6 报表管理224.4.7 知识管理234.4.8 系统管理244.4.9 权限管理254.4.10 等级保护模块264.4.11 与外部系统集成26五. 实施效果价值分析26六. 方案优势总结27一. 项目规划综述XX单位非常重视信息化建设,各
4、类相关业务都在朝着无纸化、网络化、智能化应用的方向发展。依托网络、借助信息化建设成果开展工作,已经成为XX单位提高办公效率、服务内部客户的重要手段。伴随XX单位集团信息化建设正不断向基层延伸,网络的互联互通导致网络病毒,木马程序扩散更为便利,波及范围更广。内网办公人员违规操作、滥用网络资源的现象开始抬头。目前的情况是,XX单位早期采取的相关安全措施已经无法应对新一代的信息安全问题,无法有效保障各类业务的正常应用。二. 信息安全管理面临的问题u 管理制度缺乏技术依据,安全策略无法有效落实尽管安全管理制度早已制定,但只能依靠工作人员的工作责任心,无法有效地杜绝问题;通过原始方式:贴封条、定期检查等
5、相对松散的管理机制,没有有效灵活实时的手段保障,无法使管理政策落实。u 监控和管理界面过多、管理员手忙脚乱被管设备的多样性,包括网络设备,主机设备,安全设备,数据库,中间件,机房环境控制系统等。各类设备都有独立的管理工具,操作不方便,信息无法共享。u 无法迅速定位故障点对于XX单位而言,IT计算环境的管理本身不是目标,核心需求是要保障运行的应用的可用性、业务持续性,以及重要信息系统的安全性,因为应用和业务是企业和组织的生命线。现有的一些应用性能管理(Application Performance Management)系统或者业务服务管理(Business Service Management
6、)系统虽然可以监控客户的应用性能和工作状态,但是却没有考虑到安全保障方面的因素。例如,一个应用无法访问,可能是CPU利用率过高引起的,但是究其根源,可能是应用负载过高,也可能是应用服务器受到了蠕虫感染。传统的应用性能管理系统只能告诉客户CPU利用率过高,却不能再深入探究成因。u 缺乏有效地基于等级保护要求,进行综合安全保护的支撑平台在等级保护的每一级都有对安全控制的要求,其中,从第三级开始明确要求建立一个集中的安全监控与管理中心,并且要求对流量进行监控,对物理环境进行监控。 而从第二级开始,就要求进行安全审计,尤其是日志审计,以及IP地址管理,还有设备和应用的监控。可以发现,为了达成等级保护的
7、诸多控制要求,即便部署了大量安全设备也是不够的,依然难以有效把控整体网络的安全性,依然说不清当前的安全保障体系是否确实达到了等级保护的要求。u 网络应用缺乏监控,工作效率无法提高上网聊天、网络游戏等行为严重影响工作效率,利用QQ,MSN,ICQ 这类即时通讯工具来传播病毒,已经成为新病毒的流行趋势;使用BitTorrent、电驴等工具疯狂下载电影、游戏、软件等大型文件,关键业务应用系统带宽无法保证。u 缺少针对不同安全事件的关联分析手段外部入侵和内部违规行为从来都不是单一的行为,都是有时序或者逻辑上的联系的,黑客的攻击一定是分为若干步骤的,每个步骤都会在不同的设备和系统上留下蛛丝马迹,单看某个
8、设备的日志可能无法发现问题u 缺乏便捷、高效、可视的安全事件分析手段 大部分网络设备、主机设备、数据库产生的安全事件记录都保存在文本格式的文件中,出现安全问题时面对成千上万条日志记录,无法快速、准确的定位出现问题的原因。三. 信息安全管理平台需求分析从上面分析得出,XX单位网络安全管理需求主要包括:l 全面的IT 计算环境运行监控能够管理IT计算环境中的所有网络设备、安全设备、主机和服务器、服务和应用系统,以及机房设备,为用户提供一个全方位监控的统一管理平台,使得管理员通过一个单一控制台就能够进行实时全网监控,确保企业和组织IT计算环境基础设施的可用性,以及业务的持续性。l 可视化的监控管理手
9、段针对IT计算环境的统一监控,必然会收集并呈现大量的信息。如果将这些信息进行有效的组织,呈现给管理员,并真正提升他们的管理效率是十分关键的。l 快速定位业务节点故障网络节点出现故障时,系统将会产生告警事件,同时拓扑图中的设备图标也会显示故障状态;当一个管理子图发生设备故障时,子图图标也会发生相应改变,因此管理员可以根据子图快速定位故障。对于应用系统和机房环境的监控,管理员可以自定义监控指标的阈值,监控的时间间隔,监控的描述和告警方式,通过接收告警信息,管理员可以快速了解问题所在,及时采取措施。l 及时发现网络流量异常管理员可以对重点设备的重点端口配置流量监控,并且可以配置阈值告警,当出现流量异
10、常时及时通知管理员。l 统一安全事件监控、态势感知能够实时不间断地将来自不同厂商的安全设备、网络设备、主机、操作系统、用户业务系统的日志、警报等信息汇集到管理中心,实现海量信息的集中分析,进行统一的安全事态监控和态势感知,消除安全防御的孤岛。l 实时安全事件关联分析能够实时地对采集到的不同类型的信息进行关联分析、最大程度地消除误报和错报、找出漏报,协助安全管理人员迅速准确地识别安全事故,消除了管理员在多个控制台之间来回切换的烦恼,同时提高工作效率。通过事件关联分析,客户可以实现从单点被动防御到全面主动防御的转变。l 便捷、高效、可视化的事件分析l 符合等级保护的安全合规审计要求提供一套基于信息
11、系统等级保护基本要求的合规审计包。该审计包按照等级保护的基本技术要求,针对二级以上的系统建立了一套规则库、合规检查频道和场景、报表模板。四. 信息安全管理平台建设解决方案面对XX单位信息安全管理现状与存在的问题,本方案推荐使用网御神州“SecFox-SNI”计算环境综合监控平台及“SecFox-SIM”安全信息管理系统来构建XX单位的信息安全管理平台。以实现统一的信息安全管理为出发点,从全面的IT 计算环境运行监控、快速定位业务节点故障、统一安全事件监控、态势感知、实时安全事件关联分析等多个角度构建一套完整的信息安全管理平台,通过技术手段全面贯彻落实单位的安全管理策略。4.1 SecFox-S
12、NI系统部署说明在XX单位省中心及管辖的各市州中心部署分别部署一套“SecFox-SNI”系统。SecFox-SNI运行的网络环境有如下要求:l TCP/IP网络环境。l 网络管理服务器需要开放相关管理端口。 l 需要相关管理设备支持SNMP协议和Syslog协议。SecFox-SNI可应用于大中小各类型企事业单位,其办公地点可能分布在许多地方,他们的业务系统需要跨越不同的局域网段来部署。它可以将关键设备的运行管理权利集中到一起,通过统一的安全管理系统,将分散在各地区、不同业务网络上面的各种设备节点有机的结成一个整体。对于大型、全国性的、分级的网络环境,SecFox-SNI可以进行级联部署,多
13、个SecFox-SNI管理分支可以统一接入到一个主SecFox-SNI管理中心。4.2 SecFox-SIM系统部署说明在XX单位省中心节点部署一套“SecFox-SIM”系统SecFox-SIM可应用于大中小各类型企事业单位,其办公地点可能分布在许多地方,他们的业务系统需要跨越不同的局域网段来部署。典型的,SecFox-SIM管理中心服务器放置在网管中心或者安全中心,管理员通过浏览器可以从任何位置登录管理中心服务器,进行各项操作,如下图所示: 4.3 “SecFox-SNI”产品功能4.3.1 资产管理资产是IT计算环境的基本元素,是信息安全的保护对象,也是本系统的监控对象。SecFox-S
14、NI为管理员提供了一个管理各类待监控设备的资产库。资产管理可以标明企业和组织关键业务路径上的各资产等级,在对成百上千个监控指标进行监控时,可以分清告警信息处理的轻重缓急,按资产等级排列事件处理顺序。4.3.2 网络拓扑管理SecFox-SNI的拓扑和服务感知引擎(Topology and Service Awareness Engine)能够针对不同拓扑结构类型(大中型骨干网络、中小型局域网络)采用相适应的算法进行快速自动拓扑发现,并自动绘制网络拓扑图。拓扑管理为客户提供了一幅IT计算环境的总览图,直观地给出了整个网络中网络设备、安全设备、主机设备的分布和连接情况。拓扑图支持缩放,具有鸟瞰功能
15、,支持自动布局。 管理员可以通过拓扑图进行设备监控、配置管理和策略管理,可以通过拓扑图实施对某个设备的ping,telnet等,以及激活它的web管理界面。通过拓扑图可以直观的反映设备的实际运行状态,并根据设备的状态变化而自动闪烁,方便管理员快速定位故障点。管理员选中拓扑图中的某个设备,可以显示出真实设备面板图,形象化的展示出当前监控设备的端口面板,以及端口状态信息。管理员可以对端口进行各种设置,也可以继续查看端口的实时流量曲线。4.3.3 机房机架视图SecFox-SNI能够将基础设施的物理位置呈现在机房机架视图中。管理员可以清晰地获悉每台服务位于哪个机架,哪一层,还能够看到机房环境动力设备。管理员可以在逻辑拓扑和物理视图之间自由
