《电子政务监控预警平台建设方案》由会员分享,可在线阅读,更多相关《电子政务监控预警平台建设方案(15页珍藏版)》请在金锄头文库上搜索。
1、电子政务监控预警平台建设方案(1)一、方案概述某市电子政务监控预警平台建设方案东软1.1 方案建设目标 某市电子政务网络由全市各个委办局单位网络接入组成,由于接入单位众多且各自单位 信息安全建设水平参差不齐,经常造成内部网络病毒和异常安全事件发生。考虑到电子政务 网络实际组成和规模情况,东软设计出全市电子政务监控预警平台(以下称“监控预警平台”) 的主要目标是基于电子政务网络和信息系统在安全保障以及监管信息系统建设方面所面临 的形式和问题,研发一套综合的风险预警平台,进一步加强电子政务网络和信息系统的监管 力度,总体把握市政务网络和信息系统的安全运行状况,提高各政务单位在应对突发网络攻 击事件
2、的应急响应能力和风险预警能力,从而有力地支撑市政务网络和信息系统的稳定运 行。1.2 方案设计原则 考虑到本平台最终为全市的政务单位进行统一服务,在本方案设计中,我们遵循了以下 的原则:先进性原则 提出最新的安全监控预警平台的概念,将安全监控和安全技术有效衔接,并根据电子政 务业务需求,与业务网络深入结合,从而保证系统的先进性,以适应未来数据发展的需要。整体安全和全网统一的原则 该平台的系统设计从完整安全体系结构出发,综合考虑信息网络的各种实体和各个环 节,综合使用不同层次的技术和理论,为信息网络运行和业务安全提供全方位的监控和服务。标准化原则 参考国内外权威的安全技术与管理体系的相关标准进行
3、方案的设计和技术的选择。整个 系统安全地互联互通。技术和管理相结合原则 整个平台结合了安全技术与监控管理机制、人员思想教育与技术培训、安全规章制度等 内容。可扩展性原则 为方便满足网络规模和安全功能的扩展,本设计方案考虑了网络新技术和业务发展的扩 充要求,以及市电子政务网络自身的特点,本方案所设计的平台系统具有灵活的扩展能力, 能够随着各个监控节点,随着平台的功能扩展进行灵活的扩展。并且平台具备定期升级,不 中断业务应用服务的能力。开放性原则 该平台的运行需要与多种设备协调,如:主机设备、网络设备、安全设备、应用系统等 等,该平台提供了一定的开放性以适应与相关设备和系统的适应。1.3 方案设计
4、思路 电子政务网络监控预警平台,以分布式方式采集来自于电子政务网络的各个相关设备的 日志信息和告警事件信息,经过智能的关联分析后,准确判断真实的安全事件,快速定位安 全事件的来源,分析安全事件的根本原因,集中展示市电子政务网络的整体安全状况。一旦 发现高风险安全事件,自动触发安全事件处理流程,督促相关责任人进行快速解决问题和故 障。1、监控对象定位:电子政务外网、政务用户互联网接入、重要信息系统、政务网站等 等。2、日志信息的来源:电子政务外网汇聚节点或者接入节点的安全设备、政务用户互联 网接入节点的安全设备、重要信息系统边界部署的安全设备、重要信息系统自身、政务网站 边界部署的安全设备等等。
5、3、由专用的数据采集引擎负责数据采集,数据采集引擎采用分布式部署。4、展示平台具有多元化、分层次等展示形态。二、电子政务网络监控预警平台体系架构 为了充分满足电子政务网络的部署现状,本方案所设计的监控预警平台从体系架构上可 分为:IT基础层、数据采集层、数据处理层、展示层四个层面,各个层面包括了多个功能 模块或子系统。该平台的整体架构示意图如下:1、IT基础层为监控预警平台的数据获取来源。2、数据采集层:根据平台指定的运维策略,数据采集层负责从网络设备、安全设备、 业务系统、服务器等采集各种安全信息、日志信息、流量信息,经过数据格式标准化、数据 归并、数据压缩等处理后,提交给上层数据处理平台。
6、3、数据处理层:将采集到的原始数据按照业务系统数据、网络数据、安全数据进行分 门别类,经过基于统计、基于资产、基于规则的关联分析后,科学合理的定义安全事件的性 质和处理级别,作为展示平台的数据基础。4、展示层:实现整个平台的灵活展示和配置管理。一方面通过丰富的图形化展示方式 呈现电子政务网络、政务用户互联网接入、重要信息系统、网站等安全状况,提供有效的安 全预警,减少安全破坏的发生,降低安全事件所造成的损失;另一方面对整个监控预警平台 进行配置与维护。三、IT 基础层IT基础层为监控预警平台的数据获取来源,至少包括如下范围:1、网络设备,包括:路由器、交换机等;2、安全设备,包括:入侵检测系统
7、、网络审计系统、病毒检测系统、漏洞扫描系统、 防火墙、异常流量检测系统、网站诊断系统等;3、应用系统,包括:主机操作系统、数据库系统、中间件系统等;4、服务器,包括:日志服务器、网管服务器等。四、数据采集层 数据采集层主要通过数据采集引擎来实现原始数据的获取,为统一的信息库提供基础数据。4.1 采集方式 因为该平台面临政务网络内不同单位众多类型厂商品牌设备构成的多种数据来源,每一种数据来源的信息都存在较大差异,为了保证平台能够获取全面的数据,数据采集引擎在获 取原始数据时,需要支持如下几种数据采集方式:1、通过配置实现采集:通过配置采集源的 Syslog、 SNMP Trap、 Socket、
8、 ODBC/JDBC、 Flow 等方式将事件日志、告警信息、性能参数以及其他相关数据发送到数据采集引擎。2、通过远程登录方式采集:通过 Telnet/SSH 等方式,由数据采集引擎模拟登录到系 统上获取事件日志、告警信息、性能参数以及其他相关数据。3、安装代理实现采集:在服务器上安装采集引擎代理程序,执行后台采集服务以及采 集脚本,将目标系统上的事件日志、告警信息、性能参数以及各类事件数据收集后发送给数 据采集引擎。4、定时轮询采集:数据采集引擎通过ICMP、SNMP、ARP来获取监管对象的数据。4.2 采集策略 数据采集引擎,支持灵活定义采集策略,包括如下:1、数据采集引擎采用分布式部署方
9、式。因为市电子政务网络具有城域网特点,应用电 子政务网络的各个政务单位分布较为分散,为了保证数据的获取不受地理分布的限制,数据 采集引擎采用分布式部署方式。2、支持动态采集策略,因为每个数据采集引擎所面临的监控对象不同,因此数据的来 源也会有所区别,平台可以为每个数据采集引擎配置不同的采集策略,使得每个数据采集引 擎都可以较为针对的采集相适合的数据。4.3 基础数据处理监控预警平台是一个具有多数据源集成体系特点的平台,平台需要数据访问的透明性以 及实现数据源的及时可用性,因此平台需要设计一个合理方案,以对来自不同数据源的各种 数据进行表示,从而便于进行统一处理;其次则应考虑异构数据转换问题,将
10、来自不同数据 源的各种数据转换成集成系统能进一步处理的统一格式;另外还必须定义基本运算,进行信 息数据的归并,从而能够有效完成数据查询、存取等具体功能。因此数据采集引擎在通过一 定的协议或者文件方式采集到大量的原始数据后,会对数据进行如下的处理:1、数据格式统一标准化,因为数据来源来自多种不同类型的设备和系统,数据采集方 式也存在着较大的差异化,导致获取到的原始数据格式是多种多样的,因此数据采集层首先 将原始数据按照平台规定的数据格式,进行统一标准化处理。2、数据归并,针对海量的原始数据,数据采集层会按照安全事件的类型、安全事件发 生的时间、安全事件的次数等条件对原始数据进行必须的归并。3、数
11、据压缩,当大量的数据在网络中传输时,势必会造成网络拥挤,影响正常的业务 应用。为了保证网络传输的畅通,数据采集层对原始数据一定的压缩处理,再提交到数据传 输接口。4、数据传输,此为数据采集层向数据处理层提交数据的传输接口。五、数据处理层数据采集引擎将标准化和归并后的安全告警数据、性能数据、配置数据、故障数据等信 息提交给平台的核心数据处理系统后,核心数据处理系统能够有效识别各类数据,并将不同 的数据分发给不同的数据处理子系统进行处理,防止同一数据被不同的数据处理子系统分别 处理。我们将原始数据分为三类:业务系统数据、网络数据和安全数据,因此数据处理平台设 计了如下三个数据处理子系统:1、业务系
12、统数据处理子系统;2、网络数据处理子系统;3、安全数据处理子系统。5.1 业务系统数据处理子系统业务系统数据的来源,主要是:业务系统、日志服务器等。数据采集平台通过程序接口 访问业务系统获取主要监测数据,提交给数据处理平台后,数据处理平台进行初步判断,检 测为业务系统数据,会自动提交给业务系统数据处理子系统。在业务系统数据处理子系统中, 我们又将数据进行了一定的分门别类,具体类别如下:1、操作系统数据;2、数据库系统数据;3、中间件系统数据。业务系统数据处理子系统定期自动向安全数据处理子系统输出数据。业务系统数据处理 子系统在进行数据处理时,一旦检测到各种异常,就会生成特定安全事件,并随时输出
13、到安 全数据处理子系统,作为安全数据处理子系统的数据来源之一。5.1.1 操作系统数据处理业务系统数据处理子系统在获取到操作系统数据后,会根据不同操作系统的特性,对数据进行一定的处理。平台所支持的操作系统类型,至少包括:Windows2000/2003服务器系统、Linux服务器 系统、IBM AIX服务器系统、SUN Solaris服务器系统、HP UNIX服务器系统、Tru64服务 器系统等。操作系统数据处理的内容,如下表所示:序号类别描述1基本信息整理操作系统所属主机名称、网络接口数量,每个接口的IP地址/MAC地址、子网掩码等;最 近 24 小时内主机操作系统连接状态的统计分析2CPU
14、静态信息整理CPU 编号、核心数、 CPU 品牌3CPU 动态信息整理记录时间、CPU使用率4内存动态信息总物理内存、可用物理内存、总虚拟内存、可用虚拟内存、总页面文件大小、可用页面文件 大小、记录时间、内存使用率系统进程动态信息进程ID、使用用户、映像名称、CPU使用率、内存、记录时间6硬盘动态信息挂载点、类型、总大小、可用大小、文件系统类别、硬盘IO、记录时间7性能事件在业务系统数据处理子系统检测到某个操作系统的CPU使用率、内存使用率、硬盘空间使 用率等性能指标超过特定阀值时,会自动生成性能事件,随后提交给安全数据处理子系统。8故障事件在业务系统数据处理子系统检测到某个主机设备由UP状态
15、转换为DOWN状态等,会自动 生成故障事件,随后提交给安全数据处理子系统。5.1.2 数据库系统数据处理 业务系统数据处理子系统在获取到数据库系统数据后,会根据不同的数据库系统特性 对数据进行一定的处理。平台所支持的数据库系统类型,至少包括:DB2、Oracle、SQL Server、MYSQL等。 数据库系统数据处理内容,如下表所示:序号类别 描述基本信息整理数据库名称、数据路径、基本目录、数据库版本、字符集、配置的临时表大小、临时表目录、 更新时间2数据表信息表的名称、行的格式、行数、索引长度、表的类型、当前大小、扩展大小、表创建时间、表 更新时间、更新时间等信息3缓存信息创建的临时文件数目、创建的临时表数目、在查询缓存中的空闲内存块数量、查询缓存中空 闲内存数量、查询缓冲的请求命中率、添加到插叙缓存中的查询数量、由于低内存而从查询 缓存中删除的查询数量、注册在查询缓存中的查询请求数量、在插叙缓存中块的总数目、使 用内存大小、打开表的数量、打开过的表的数量、表缓存配置数、更新时间等信息4线程信息缓存中的线程数、为处理远程连接请求创建的线程总数、当前打开的连接数、处于非睡眠状 态的线程数、更新时间等信息5锁信息表的直接锁定次数、锁等待的次数、更新时间等信息页和行锁信息 数据的页数量、脏页数目、缓冲池中页刷新请求数目、空闲页的数量、
