《网络安全管理平台的设计与实现(2)》由会员分享,可在线阅读,更多相关《网络安全管理平台的设计与实现(2)(6页珍藏版)》请在金锄头文库上搜索。
1、网络安全管理平台系统建设主要是数据管理子系统和安全事件采集子系统的建设(详见图 4 一 1) 事件采集子系统从终端事件源采集到数据存入安全信息数据库;数据管理子系统对安全信息数据库中的信息进行分析和管理安全事件分析數据借理子系统P安全信息数据库事件采B子系统一需一一二安全事件格式化处理介安全事件采第防火墙设备、入侵检测设备、防病毒系统、终端监控系统、服务器、主机、其他图 4-1 系统体系结构图安全事件采集子系统采用C/S结构,包括安全事件采集和安全事件格式化处理两部分。安全 事件采集部分通过SYSLOG协议、SNMP协议采集安全事件,安全事件格式化部分将采集 到的安全事件进行格式化处理后存入安
2、全信息数据库中,为整个网络安全管理平台系统提供 数据基础。数据管理子系统采用 B/S 结构,包括:综合显示、告警管理、设备管理、事件管理、应急管 理、报表管理、系统管理、扩展管理等功能,各个功能通过安全事件分析层操作安全信息数 据库中的数据,并通过页面显示和统计报表两种方式进行数据展示。安全事件采集系统为C/S架构,由项目组VC开发团队完成,数据管理子系统由JAVA团队 开发完成。两者之间的交互通过预先定义好的接口,由安全事件数据库完成。数据管理子系统的技术体系结构采用MVC三层设计,包括数据库层、逻辑控制层和数据存 取层。MVC把应用程序分成3个核心模块:模型(Medel)、视图(View)
3、和控制器(Controller)。 数据管理子系统层次结构如图5一3所示:|控制层接口控制层实现S 5-3层炭姑构图Fig5*3 The hierarchical chart模型层接口 模型层实现视图层接口观图层实现(1) 表示层(View)通过 JsP 和 servlet 展示界面、提交用户请求。(2) 控制层(Controller)完成业务逻辑,控制其他层。 通过struts控制业务流程,使用Struts的ActiollMapping将用户的请求转变 为应用行为并且指定一个请求的路径,在请求上指定动作的对象类型,以及 其它属性,最后用action对象负责处理请求并返回视图。 使用 form
4、bean 继承 struts.action.ActionForm 存储、显示数据。 利用JFreeChart、Servlet和javaBean生成图形报表(柱状图、饼状图)。模型层(Model)模型层负责数据的存取。利用Hibemaie框架实现web服务器与oracle数据库的底层操作,利用Hibemate的数据库事 务处理机制保障对数据操作的安全性和可行性。数据管理子系统运行时序图用户在视图层提供的界面上发出请求,视图层把请求转发给控制层,控制层调用相应的模型 来处理用户请求,模型进行相应的业务逻辑处理,并返回数据。最后控制层调用相应的视图 来显示模型返回的数据。数据管理子系统工作流程如图5
5、一4所示:系统登陆:6.2.1 系统登录模块功能用户输入正确的用户名、密码和验证码 问系统资源。6.2.2 系统登录模块功能实现 系统登录功能模块结构如图6一 3所示。S i-3系统登最功能模块團Fig6-3 The hinctjon module of the system registry用户登录信患录入横块用户燮豪认证模块敷据握作模块元数据管理:ETL管理:网元结构管理:网络攻击管理:综合显示/拓扑管理:系统资产风险可视化:业务风险可视化:事件风险可视化:风险可视 化:配置管理:设备管理:6.5 设备管理6.5.1 设备管理模块功能 设备管理的主要功能是对安全设备的基本信息进行管理,能够
6、对安全设备的信 息进行增加、编辑、删除和查询,方便管理员掌握安全设备信息。此外,能够实时 查询和展示安全设备信息、位置信息。安全设备包括防火墙和入侵检测。子功能包 括:添加安全设备:向数据库中添加安全设备信息; 网络安全管理平台的设计与实现管理所有安全设备:安全设备的统一查询,提供多种组合条件进行查 管理/查看防火墙信息:能够按多种条件组合查询防火墙设备,并能 火墙设备信息进行编辑;管理/查看入侵检测信息:能够按多种条件组合查询入侵检测设备, 对入侵检测设备信息进行编辑。6.5.2 设备管理模块功能实现 设备管理模块结构图如图所示。Fig6-12 The structure diagram o
7、f the equipment management module数据掾件横块图6-12设备管理橫块烘构因设备皓息餐理楔块数据操作模块 作为其他功能模块与安全信息数据库之间的中间层,负责从安全信息数 提取数据供其他功能模块使用,或将其他功能模块提交的数据保存到安全信 库中。(2)设备信息管理模块 管理设备信息,包括:添加、编辑、查询、删除设备信息。 查询设备信息:设备信息管理模块接收设备信息展示模块的查询设备 请求,根据设备信息展示模块提交的查询条件通过数据操作模块(Hibemat 安全信息数据库的设备表和二级网络表(详见附录第1 节表一 3、16),查询 分页机制,如果符合查询条件的记录数小
8、于或等于20(一页),取出全部20 条 保存在hst实例中,供设备信息展示模块使用;如果符合查询条件的记录数 (一页),点击“查询” “下一页”时每次最多取出20条记录,保存在list实 48第六章数据管理子系统功能模块实现 供设备信息展示模块使用。 添加、编辑设备信息:设备信息管理模块接收设备信息展示模块的添加或编 辑设备信息的请求,通过数据操作模块(Hibemate)查询安全信息数据库的设备表 (详见附录第1节表一3),判断设备表中是否己经存在用户输入的设备正地址,如 果存在相同的护地址,询问用户是否编辑已经存在的设备信息;如果不存在相同的 IP地址,通过数据操作模块(Hibemate)更
9、新安全信息数据库的设备表(详见附录第1节表一 3)35。 删除设备信息:设备信息管理模块接收设备信息展示模块的删除设备信息的 请求,通过数据操作模块更新安全信息数据库的设备表(详见附录第1节表一3), 并提示用户删除设备信息成功或失败的结果。告警管理: 6.4.1 告警管理模块功能 制定、编辑、查询、启用、取消告警规则集等;提供告警处理接口,并对已处 理告警和未处理告警进行分别管理。包括:告警规则管理、待处理告警名单和已处 理告警名单。(1)告警规则管理 告警规则是数据处理子系统分析安全事件的依据,管理员可以根据安全需要将 不同的规则组织成为规则集。子功能包括: 制定告警规则集:将不同的规则组
10、织成为规则集;当前告警规则集:查看当前生效的告警规则集,并能够进行编辑; 查询告警规则集:提供多种组合查询条件查询告警规则集; 启用告警规则集:设置某一规则集为当前生效的规则集; 取消当前生效规则集:设置当前生效的规则集为无效状态。(2)待处理告警名单 已经产生但还没有被处理的告警的集合。提供管理多种查询条件进行组合查询, 能够通过“处理”链接进入告警处理界面,处理完成后可以将处理过程和结果作为 案例保存到案例库中。告警类型包括:入侵检测事件告警:根据规则集设置,针对入侵检测事件进行分析、告警; 防火墙事件告警:根据规则集设置,针对防火墙事件进行分析、告警; 病毒事件告警:根据规则集设置,针对病毒事件进行分析、告警; 终端事件告警:根据规则集调协,针对终端事件进行分析、告警;(3)已处理告警管理 已经被处理的告警的集合。提供多种查询条件进行组合查询,作为告警处理方 法和结果的历史记录,能够将己处理的告警作为案例保存到案例库中。6.4.2 告警管理模块功能实现 告警管理模块结构如图6一 7所示。事件管理:业务管理:日志管理:系统日志:用户日志:安全日志:告警日志
