SOC方案標(biāo)準(zhǔn)版1

1、SOC安全管理平臺(tái)技術(shù)解決方案一. 概述安全管理平臺(tái)設(shè)計(jì)方案的內(nèi)容包括：安全監(jiān)控管理、資產(chǎn)管理、安全事件管理、安全預(yù)警管理、安全響應(yīng)管理、知識(shí)庫(kù)管理、報(bào)表管理。針對(duì)上述七個(gè)功能，我們推薦采用東軟公司的NetEye安全管理平臺(tái)（以下簡(jiǎn)稱(chēng)為NetEye SOC）為本次項(xiàng)目的基礎(chǔ)工作平臺(tái)，同時(shí)依據(jù)項(xiàng)目實(shí)際需求進(jìn)行必要的二次功能開(kāi)發(fā)。NetEye SOC以信息資產(chǎn)為核心，以風(fēng)險(xiǎn)管理為主要途徑，通過(guò)技術(shù)手段提升網(wǎng)絡(luò)安全管理成熟度，建立主動(dòng)安全防御體系、有效降低安全風(fēng)險(xiǎn)。1. NetEye安全管理平臺(tái)解決了海量數(shù)據(jù)和信息孤島的困擾，整體上簡(jiǎn)化了安全管理的數(shù)據(jù)模型。來(lái)自網(wǎng)絡(luò)各類(lèi)設(shè)備的安全信息都會(huì)存儲(chǔ)到一個(gè)通

2、用數(shù)據(jù)庫(kù)中，然后根據(jù)定制的安全策略對(duì)這些數(shù)據(jù)進(jìn)行分析。所有的信息與資產(chǎn)關(guān)聯(lián)，完成風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)監(jiān)視與風(fēng)險(xiǎn)處理。NetEye安全管理平臺(tái)成為安全人員在安全運(yùn)維過(guò)程中的一把利器，能夠更有效地回應(yīng)不斷變化的安全風(fēng)險(xiǎn)。2. NetEye安全管理平臺(tái)是一個(gè)以資產(chǎn)為核心的管理體系，首先需要完成組織的資產(chǎn)調(diào)查，建立資產(chǎn)數(shù)據(jù)庫(kù)，進(jìn)行資產(chǎn)管理，清晰展示資產(chǎn)的“價(jià)值”和分布。3. NetEye安全管理平臺(tái)是為網(wǎng)管人員提供檢測(cè)和管理組織網(wǎng)絡(luò)安全的技術(shù)手段，其通過(guò)風(fēng)險(xiǎn)管理展示了組織當(dāng)前的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)狀況，同時(shí)給出降低安全風(fēng)險(xiǎn)的方法，驅(qū)動(dòng)IT維護(hù)人員進(jìn)行降低安全風(fēng)險(xiǎn)、解決安全問(wèn)題的工作，使得管理員能夠?qū)⒔档桶踩L(fēng)險(xiǎn)在安

3、全事件發(fā)生之前，在日常工作中有效的完成，并且可以降低組織的管理成本。1.1 現(xiàn)狀及需求分析目前國(guó)家藥品不良反應(yīng)監(jiān)測(cè)體系SOC 系統(tǒng)的管理范圍包括：國(guó)家中心所有的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用服務(wù)器，以及省中心的主要網(wǎng)絡(luò)設(shè)備和安全設(shè)備。系統(tǒng)實(shí)現(xiàn)對(duì)各安全子系統(tǒng)的統(tǒng)一安全管理。l 與網(wǎng)管系統(tǒng)管理建立接口，采集相關(guān)安全信息。l 安全服務(wù)入侵檢測(cè)系統(tǒng)控制臺(tái)功能。l 安全服務(wù)漏洞掃描系統(tǒng)，對(duì)全網(wǎng)進(jìn)行漏洞分析、威脅分析、風(fēng)險(xiǎn)分析等。l 安全服務(wù)安全審計(jì)功能，實(shí)現(xiàn)對(duì)安全日志的綜合分析。l 安全服務(wù)病毒防護(hù)系統(tǒng)控制功能，實(shí)現(xiàn)對(duì)全網(wǎng)病毒狀態(tài)可知。因此，SOC 系統(tǒng)實(shí)現(xiàn)對(duì)各種安全子系統(tǒng)的集中安全管理，是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的

4、決策和控制管理中心。安全管理中心中的安全決策管理系統(tǒng)，負(fù)責(zé)對(duì)整個(gè)網(wǎng)絡(luò)中所有的安全子系統(tǒng)的信息進(jìn)行綜合搜集分析，從而使網(wǎng)絡(luò)安全管理人員對(duì)整個(gè)網(wǎng)絡(luò)的風(fēng)險(xiǎn)情況了如指掌。二. SOC 安全管理平臺(tái)解決方案NetEye安全管理平臺(tái)通過(guò)SNMP Trap、SYSLOG、ODBC/JDBC、HTTP/XML、文件以及其他擴(kuò)充協(xié)議等方式從網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)系統(tǒng)等多種數(shù)據(jù)源收集安全信息，經(jīng)過(guò)過(guò)濾、匯總和關(guān)聯(lián)分析后，標(biāo)識(shí)其緊急程度，一方面以規(guī)定的格式存儲(chǔ)到數(shù)據(jù)庫(kù)內(nèi)，另一方面以多種方式實(shí)時(shí)響應(yīng)。NetEye SOC安全管理平臺(tái)可幫助組織視覺(jué)化地直觀掌控資產(chǎn)狀況，快速確定資產(chǎn)分布、資產(chǎn)價(jià)值和風(fēng)險(xiǎn)。資產(chǎn)管理參照國(guó)

5、際相關(guān)標(biāo)準(zhǔn)（如：ISO 17799）中關(guān)于資產(chǎn)管理的要求，實(shí)現(xiàn)資產(chǎn)登記、資產(chǎn)的所有權(quán)、資產(chǎn)的分類(lèi)、標(biāo)識(shí)和處理，并結(jié)合組織的特殊情況進(jìn)行調(diào)整，也可按照國(guó)內(nèi)相關(guān)標(biāo)準(zhǔn)（如：信息系統(tǒng)安全等級(jí)保護(hù)規(guī)范）來(lái)劃分和標(biāo)識(shí)資產(chǎn)。SOC安全管理平臺(tái)，主要收集整合來(lái)自各種網(wǎng)絡(luò)安全部件、系統(tǒng)或應(yīng)用產(chǎn)生的大量告警報(bào)告和日志信息，并結(jié)合目標(biāo)網(wǎng)絡(luò)環(huán)境從海量信息中提取用戶關(guān)心的信息，并以用戶易于理解的形成呈現(xiàn)給用戶。并能夠自動(dòng)地對(duì)網(wǎng)絡(luò)安全信息進(jìn)行深入分析，為用戶提供智能的網(wǎng)絡(luò)安全態(tài)勢(shì)分析和預(yù)警和多種網(wǎng)絡(luò)安全信息分析工具，及時(shí)地為用戶定位當(dāng)前網(wǎng)絡(luò)中的安全問(wèn)題提供支持，幫助用戶根據(jù)當(dāng)前的網(wǎng)絡(luò)安全狀況、網(wǎng)絡(luò)環(huán)境及網(wǎng)絡(luò)安全策略等信息

6、做出正確的安全事件響應(yīng)決策。2.1 安全管理平臺(tái)設(shè)計(jì)原則l 標(biāo)準(zhǔn)性安管平臺(tái)的軟件開(kāi)發(fā)、安全產(chǎn)品的工業(yè)設(shè)計(jì)要符合國(guó)家有關(guān)技術(shù)標(biāo)準(zhǔn)。在標(biāo)準(zhǔn)性原則選擇時(shí)應(yīng)重點(diǎn)考慮國(guó)家安全等級(jí)保護(hù)，國(guó)家局發(fā)布的行業(yè)信息安全標(biāo)準(zhǔn)，在IT運(yùn)維流程管理應(yīng)重點(diǎn)參考國(guó)際權(quán)威ITIL運(yùn)維標(biāo)準(zhǔn)流程。l 安全性在安管平臺(tái)建設(shè)過(guò)程中，應(yīng)采用成熟可靠的技術(shù)和產(chǎn)品，同時(shí)再配合以完善的項(xiàng)目控制規(guī)范和質(zhì)量保證體系，從而保證安管平臺(tái)開(kāi)發(fā)和運(yùn)行的安全性。l 擴(kuò)展性安管平臺(tái)應(yīng)采用模塊化設(shè)計(jì)，系統(tǒng)配置的升級(jí)不會(huì)引起應(yīng)用級(jí)軟件的修改和開(kāi)發(fā)；系統(tǒng)軟件升級(jí)不會(huì)影響原有策略；平臺(tái)的應(yīng)用軟件結(jié)構(gòu)應(yīng)能保證功能的易于擴(kuò)展和升級(jí)。l 成熟性成熟性原則包含兩層意思。一

7、是選用的安全產(chǎn)品必須需要具備投入市場(chǎng)時(shí)間長(zhǎng)、擁有大量應(yīng)用于不同行業(yè)、不同規(guī)模的成功案例等這些成熟的特征；二是安管平臺(tái)的軟件開(kāi)發(fā)要能集成國(guó)內(nèi)目前各種主流、成熟的安全產(chǎn)品。l 易操作性安管平臺(tái)的用戶界面采用B/S架構(gòu)，從主界面的布置、菜單結(jié)構(gòu)設(shè)計(jì)、登錄程度設(shè)計(jì)、語(yǔ)言描述、策略結(jié)構(gòu)設(shè)計(jì)、報(bào)警方式和報(bào)表結(jié)構(gòu)等方面完全符合中國(guó)人的使用習(xí)慣。系統(tǒng)提供中文圖形化管理界面，直觀、易于理解和操作。提示信息通俗易懂，操作及選擇鍵（熱鍵、菜單選擇等）的功能定義在全系統(tǒng)保持一致。對(duì)于查詢/統(tǒng)計(jì)結(jié)果等，提供可選的打印功能，并提供電子文檔的存儲(chǔ)功能。l 兼容性安管平臺(tái)的軟件開(kāi)發(fā)必須支持行業(yè)通用的技術(shù)標(biāo)準(zhǔn)和接口標(biāo)準(zhǔn)，通過(guò)S

8、yslog、SNMP、ODBC、XML等方式，可以支持國(guó)內(nèi)外主流的主機(jī)服務(wù)器/網(wǎng)絡(luò)設(shè)備/安全設(shè)備，主流的操作系統(tǒng)/數(shù)據(jù)庫(kù)/應(yīng)用系統(tǒng)，能夠?qū)崿F(xiàn)與各系統(tǒng)間良好的互聯(lián)互通和互操作。2.2 安全管理平臺(tái)體系的劃分需求提出的安全管理平臺(tái)邏輯體系結(jié)構(gòu)要求的5 層：（1）安全策略決策（2）安全策略協(xié)調(diào)層（3）安全策略執(zhí)行層?xùn)|軟安全管理平臺(tái)的安全策略管理與決策主要通過(guò)安全策略管理模塊完成.安全策略管理分為資產(chǎn)信息管理策略、安全信息收集策略、安全信息分析策略、脆弱性管理策略、安全事件處理策略、安全知識(shí)管理策略和安全狀況評(píng)估策略。（4）安全信息集中東軟安全管理平臺(tái)主要通過(guò)數(shù)據(jù)采集層進(jìn)行信息采集,采集引擎服務(wù)器根據(jù)

9、策略采集各種安全信息,由管理平臺(tái)統(tǒng)一收集,根據(jù)策略數(shù)據(jù)處理層負(fù)責(zé)對(duì)采集到的原始安全信息進(jìn)行分析處理,最終做到對(duì)大量數(shù)據(jù)的準(zhǔn)確高效處理分析.（5）安全策略支撐東軟安全管理平臺(tái)的安全策略支撐通過(guò)強(qiáng)大策略管理, 對(duì)采集設(shè)備的通訊進(jìn)行接口加密處理.采集權(quán)限處理,做到對(duì)采集數(shù)據(jù)的保密性和完整性;安全管理平臺(tái)系統(tǒng)自身管理功能,對(duì)每個(gè)用戶登錄做嚴(yán)格的身份認(rèn)證，用戶名和密碼信息以加密的方式安全存儲(chǔ);對(duì)所有的登陸信息和操作信息進(jìn)行日志記錄，包括用戶的IP地址、時(shí)間等內(nèi)容。 同時(shí)系統(tǒng)的數(shù)據(jù)庫(kù)具有強(qiáng)大的自維護(hù)功能.東軟安全管理平臺(tái)的體系結(jié)構(gòu)請(qǐng)參考“東軟安全管理平臺(tái)體系結(jié)構(gòu)”部分。2.3 安全管理平臺(tái)的目的網(wǎng)絡(luò)中大量

10、信息安全產(chǎn)品的部署面臨的網(wǎng)絡(luò)安全事件日志審計(jì)的管理問(wèn)題，主要是不知道通過(guò)何種機(jī)制將安全管理和安全技術(shù)銜接在一起，以至于缺少一個(gè)“能清晰描述、展示網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)有多大，并且提供降低風(fēng)險(xiǎn)的方法，以驅(qū)動(dòng)IT維護(hù)人員降低安全風(fēng)險(xiǎn)，解決安全問(wèn)題”的安全管理體系。SOC安全管理平臺(tái)正是在這種背景下，為銜接安全管理和安全技術(shù)、通過(guò)管理指揮技術(shù)、有效提升用戶的網(wǎng)絡(luò)安全管理水平、降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)而推出的計(jì)算機(jī)輔助工具。SOC安全管理平臺(tái)不能代替人工作，但確在很大程度上幫助人更好地來(lái)完成網(wǎng)絡(luò)安全運(yùn)維管理工作。2.4 安全管理平臺(tái)解決的安全管理問(wèn)題 1. SOC安全管理平臺(tái)是一個(gè)以資產(chǎn)為核心的管理體系，首先需要完成

11、組織的資產(chǎn)調(diào)查，建立資產(chǎn)數(shù)據(jù)庫(kù)，進(jìn)行資產(chǎn)管理，通過(guò)對(duì)信息資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估，可以清楚的展示出組織當(dāng)前的安全狀況，安全風(fēng)險(xiǎn)有多大。2. SOC安全管理平臺(tái)是為網(wǎng)管人員提供檢測(cè)和管理組織網(wǎng)絡(luò)安全的技術(shù)手段，其通過(guò)風(fēng)險(xiǎn)管理展示了組織當(dāng)前的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)狀況，同時(shí)給出降低安全風(fēng)險(xiǎn)的方法，驅(qū)動(dòng)IT維護(hù)人員進(jìn)行降低安全風(fēng)險(xiǎn)、解決安全問(wèn)題的工作，使得管理員能夠?qū)⒔档桶踩L(fēng)險(xiǎn)在安全事件發(fā)生之前，在日常工作中有效的完成，并且可以降低組織的管理成本。3. SOC安全管理平臺(tái)與人有很強(qiáng)的互動(dòng)關(guān)系，能夠規(guī)定好對(duì)相關(guān)人員的管理，通過(guò)驗(yàn)證和審核安全維護(hù)的行為（包括IT維護(hù)人員，信息資產(chǎn)的相關(guān)責(zé)任人的行為），防止人員在安全方面

12、的疏忽，強(qiáng)調(diào)每個(gè)人都要遵守的安全規(guī)則，確保組織的安全策略得到落實(shí)。2.5 安全策略管理實(shí)現(xiàn)安全策略管理旨在控制整個(gè)網(wǎng)絡(luò)安全監(jiān)控平臺(tái)和安全分析系統(tǒng)的策略，指導(dǎo)網(wǎng)絡(luò)安全監(jiān)控平臺(tái)和安全分析系統(tǒng)如何運(yùn)作，并且根據(jù)運(yùn)行的情況不斷地調(diào)整相應(yīng)的策略。安全策略管理分為資產(chǎn)信息管理策略、安全信息收集策略、安全信息分析策略、脆弱性管理策略、安全事件處理策略、安全知識(shí)管理策略和安全狀況評(píng)估策略。該策略模塊中的所有策略均支持多維度的查詢。具體功能描述如下：安全信息收集策略負(fù)責(zé)制定安全信息的收集策略，可定制的內(nèi)容包含如下：1. 針對(duì)不同的收集引擎可以配置不同的策略。2. 可自定義的定制收集范圍，包括：監(jiān)控對(duì)象、事件類(lèi)型

13、、緊急程度（事件級(jí)別）、發(fā)生時(shí)間、攻擊事件的發(fā)生源地址、攻擊事件的發(fā)生源端口、攻擊事件的目標(biāo)地址、攻擊事件的發(fā)生目標(biāo)端口、通信協(xié)議類(lèi)型、應(yīng)用層協(xié)議類(lèi)型、事件刷新的時(shí)間間隔（事件發(fā)生的時(shí)間）、設(shè)備的唯一識(shí)別號(hào)或者名稱(chēng)、事件級(jí)別、廠家、用戶自定義等。3. 可自定義的定制收集內(nèi)容，包括：Cisco的路由和交換設(shè)備、綠盟的分布式硬件漏洞掃描（極光）、華為的路由和交換設(shè)備、Windows系列、Sun Solaris系列、IBM AIX系列、東軟防火墻、天融信防火墻、Cisco PIX、啟明星辰的IDS和漏洞掃描設(shè)備、Rising殺毒產(chǎn)品、Symantec防病毒產(chǎn)品、HP OpenView、Cisco C

14、iscoWorks、ACS服務(wù)器、Syslog服務(wù)器、SNMP協(xié)議、文本格式、ODBC協(xié)議等，以及對(duì)其他內(nèi)容的可擴(kuò)展性支持。4. 定制收集后的傳輸目的地，包括本地、單個(gè)遠(yuǎn)程地址（同步和異步）、多個(gè)遠(yuǎn)程地址（同步和異步）。安全信息分析策略負(fù)責(zé)從傳輸?shù)陌踩畔⒅羞x取滿足條件的信息進(jìn)行分析，可定制的內(nèi)容包含：安全信息的過(guò)濾條件以及運(yùn)用的分析方法。脆弱性管理策略負(fù)責(zé)在定制的事件對(duì)系統(tǒng)的部門(mén)或整體進(jìn)行脆弱性分析的策略，可定制的內(nèi)容包含：分析的事件范圍（起始，終止時(shí)間，時(shí)間間隔等）、分析的系統(tǒng)范圍、分析采用的方法等。安全事件處理策略包括安全事件處理策略和安全事件處理結(jié)果的策略。1) 安全事件處理策略針對(duì)每

15、一種安全事件都可以定制的處理策略，該策略用流程來(lái)表示，可定制的內(nèi)容包括：a. 安全事件匹配規(guī)則，該規(guī)則可以根據(jù)安全事件的內(nèi)容的各個(gè)部分進(jìn)行定制。b. 安全事件處理的流程，該流程的定制包括：一系列的步驟，每一個(gè)步驟都包括相關(guān)人員（可以有多個(gè)），通知相關(guān)人員的方式（可以有多種），以及動(dòng)作。并且流程中針對(duì)每個(gè)動(dòng)作會(huì)進(jìn)行跟蹤檢驗(yàn)，針對(duì)每個(gè)動(dòng)作的可能失敗情況給出相應(yīng)的處理步驟。2) 安全事件處理結(jié)果的策略控制對(duì)安全事件處理結(jié)果的處理，該策略可定制的內(nèi)容包括：a. 記錄安全處理結(jié)果的格式b. 安全處理結(jié)果的存儲(chǔ)目的地（可以是系統(tǒng)中或者通知相關(guān)人員）c. 安全處理結(jié)果形成報(bào)表的格式以及觸發(fā)條件（事件、時(shí)間等

16、）安全知識(shí)管理策略控制對(duì)安全知識(shí)的訪問(wèn)控制，可定制的內(nèi)容包括：安全知識(shí)的訪問(wèn)控制策略（針對(duì)用戶、地址等）、安全知識(shí)的發(fā)送列表。安全狀況評(píng)估策略控制評(píng)估的周期，范圍，內(nèi)容?？啥ㄖ频膬?nèi)容包括：安全狀況評(píng)估的觸發(fā)條件（支持周期和事件）、安全狀況評(píng)估的范圍、安全狀況評(píng)估的內(nèi)容、安全狀況評(píng)估的投遞列表。2.6 安全事件處理工單的實(shí)現(xiàn)安全事件處理功能是日志審計(jì)平臺(tái)的核心功能。針對(duì)安全信息監(jiān)控管理模塊和脆弱性管理模塊分析出的安全事件按照預(yù)先制定好的流程進(jìn)行處理。每一步處理步驟包括通知相關(guān)人員，給相關(guān)人員發(fā)送指令、跟蹤相關(guān)人員的指令完成情況以及調(diào)動(dòng)相關(guān)資源做出響應(yīng)等。對(duì)處理的安全事件的結(jié)果進(jìn)行完整記錄和備案，

17、以便后期考核審查。安全工單管理具備如下能力特征：l 當(dāng)發(fā)現(xiàn)有安全事件發(fā)生時(shí)，自動(dòng)生成安全事件處理工單，并立即調(diào)用服務(wù)程序通過(guò)聲音、圖形、短信、郵件、代理程序響應(yīng)或彈出窗口等方式對(duì)相關(guān)人員發(fā)進(jìn)行提醒。l 提供工單處理經(jīng)驗(yàn)庫(kù)功能，即：運(yùn)維部門(mén)在處理安全事件工單時(shí)，可根據(jù)處理內(nèi)容的關(guān)鍵字信息查詢工單處理經(jīng)驗(yàn)庫(kù)中符合該事件類(lèi)型的事件原因分析、事件處理步驟等信息，獲得相應(yīng)的處理經(jīng)驗(yàn)。l 可針對(duì)安全事件的危害程度定義事件處理的優(yōu)先級(jí)別，保證優(yōu)先級(jí)高的安全事件比優(yōu)先級(jí)低的安全事件更快的處理；針對(duì)同一個(gè)處理流程或同一個(gè)處理人，高優(yōu)先級(jí)的事件可以搶斷低優(yōu)先級(jí)的事件，首先得到處理；根據(jù)事件處理中發(fā)生的不同情況（等

18、待時(shí)間過(guò)長(zhǎng)，事件被搶占，需要的資源無(wú)法獲得等），可以自動(dòng)改變事件的優(yōu)先級(jí)和流程以及相應(yīng)的干系人。l 支持多種靈活的事件處理結(jié)果查詢方式，包括：安全事件名稱(chēng)和類(lèi)型、事件的優(yōu)先級(jí)別、事件的危害程度和范圍、事件的蔓延速度、事件的內(nèi)容、事件所涉及的設(shè)備和網(wǎng)絡(luò)、事件處理的開(kāi)始和完成時(shí)間、事件處理的相關(guān)人員等。l 安全事件處理的結(jié)果報(bào)表支持多種條件的報(bào)表定制（這些條件包括所有可以用于查詢的條件和查詢的表現(xiàn)形式），支持手動(dòng)和自動(dòng)報(bào)表產(chǎn)生，報(bào)表的格式支持文本、數(shù)據(jù)庫(kù)等多種格式。l 對(duì)處理的安全事件的結(jié)果進(jìn)行完整記錄和備案，以便后期考核審查。工單設(shè)計(jì)安全事件處理模塊的設(shè)計(jì)思想就是要實(shí)現(xiàn)工單的電子化處理功能，通過(guò)

19、計(jì)算機(jī)系統(tǒng)代替以前的手動(dòng)工單處理流程，通過(guò)電子流程再現(xiàn)、規(guī)范和優(yōu)化網(wǎng)絡(luò)維護(hù)部門(mén)的運(yùn)維工作流程，實(shí)現(xiàn)“把工作嵌入流程中，把人嵌入工作中”的高效運(yùn)維工作模式，從而更好地提高用戶的工作效率。l 工單流轉(zhuǎn)過(guò)程主要為網(wǎng)狀結(jié)構(gòu)，即任何一個(gè)部門(mén)任何一種類(lèi)型的工單可依據(jù)生產(chǎn)的需要流轉(zhuǎn)至其他部門(mén)；l 一單多派，出于派發(fā)任務(wù)和處理工作的簡(jiǎn)潔性，一個(gè)工單可以同時(shí)發(fā)送到不同的部門(mén)，各個(gè)部門(mén)可以在自己的受理意見(jiàn)欄中填寫(xiě)意見(jiàn)。工單的派發(fā)面向整個(gè)受理部門(mén)，可以避免因?yàn)楣ぷ魅藛T的離崗而造成工作的延誤；l 當(dāng)告警發(fā)生時(shí)，系統(tǒng)會(huì)采用自動(dòng)和手動(dòng)兩種方式從相關(guān)系統(tǒng)獲取告警等方面的信息，按照一定的過(guò)濾原則，提取出需要派發(fā)工單的信息，并

20、從信息中提取出有用的信息生成相關(guān)的工單，同時(shí)提示監(jiān)控人員有工單生成，監(jiān)控人員審查工單，如需要派發(fā)工單，則將工單派發(fā)至相關(guān)部門(mén)。工單管理包括生成工單、啟動(dòng)工單、審核工單、撤銷(xiāo)工單、接收工單、解決工單、結(jié)束工單、抄送工單、送審駁回工單、處理駁回工單等功能，另外輔以工單統(tǒng)計(jì)查詢、歷史記錄和經(jīng)驗(yàn)庫(kù)功能，完全能為用戶建立起靈活的電子工作處理流程，使得安全管理平臺(tái)不僅管理安全設(shè)備，還管理組織和個(gè)人。2.7 不同運(yùn)維人員需求報(bào)表實(shí)現(xiàn)報(bào)表是日常工作必不可少的統(tǒng)計(jì)工具。該平臺(tái)多個(gè)功能模塊都能產(chǎn)生相應(yīng)的報(bào)表，以方便管理人員查詢和統(tǒng)計(jì)當(dāng)前的系統(tǒng)的工作狀態(tài)，或者以前某個(gè)時(shí)期系統(tǒng)的工作狀態(tài)。NetEye安全管理平臺(tái)系統(tǒng)

21、提供了強(qiáng)大的報(bào)表功能：預(yù)定義了14種不同安全層面的圖形化統(tǒng)計(jì)功能；預(yù)定義了4種針對(duì)業(yè)務(wù)設(shè)計(jì)的報(bào)表功能；預(yù)定義了2種針對(duì)安全事件分析的綜合統(tǒng)計(jì)功能；用戶可根據(jù)自己不同的需求，靈活定制不同的統(tǒng)計(jì)報(bào)表；報(bào)表的數(shù)據(jù)，可以根據(jù)特定的時(shí)間段或者時(shí)間周期生成日、周、月、季和年報(bào)；可根據(jù)時(shí)間、源IP、目的IP、源端口、目的端口等各種條件及條件組合生成TOP N的統(tǒng)計(jì)報(bào)表；為不同人員（技術(shù)人員、業(yè)務(wù)主管、領(lǐng)導(dǎo)）的需要，在系統(tǒng)中預(yù)定義了多種報(bào)表樣式。同時(shí)，運(yùn)行用戶對(duì)報(bào)表的樣式進(jìn)行靈活的定制，報(bào)表的樣式和內(nèi)容的定制均可以通過(guò)界面方便、直觀地操作；內(nèi)置了多種報(bào)表模板；大數(shù)據(jù)量的報(bào)表可以根據(jù)需要在指定的時(shí)間自動(dòng)生成；報(bào)

22、表輸出的文件格式支持Excel、Doc、PDF、HTML等多種標(biāo)準(zhǔn)格式。三. 東軟安全管理平臺(tái)的體系結(jié)構(gòu)NetEye安全管理平臺(tái)的體系結(jié)構(gòu)從總體上可分為數(shù)據(jù)采集、數(shù)據(jù)處理、應(yīng)用服務(wù)、展示平臺(tái)四個(gè)邏輯層次。 數(shù)據(jù)采集層：根據(jù)要求從網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)系統(tǒng)等數(shù)據(jù)來(lái)源采集各種安全信息。 數(shù)據(jù)處理層：將采集到的原始安全信息進(jìn)行關(guān)聯(lián)分析處理，并將所有安全信息進(jìn)行格式標(biāo)準(zhǔn)化處理，根據(jù)策略進(jìn)行數(shù)據(jù)歸并和壓縮后，存儲(chǔ)到數(shù)據(jù)庫(kù)中。 應(yīng)用服務(wù)層：從數(shù)據(jù)庫(kù)中提取信息，并按照策略完成數(shù)據(jù)的過(guò)濾、條件分析，為展示平臺(tái)提供數(shù)據(jù)支持；同時(shí)還是展示平臺(tái)進(jìn)行資源配置的接口。 展示平臺(tái)：實(shí)現(xiàn)NetEye安全管理平臺(tái)的統(tǒng)一界面

23、展示。通過(guò)統(tǒng)一的圖形化管理界面，NetEye安全管理平臺(tái)實(shí)現(xiàn)了安全監(jiān)控、維護(hù)、管理、展示的全部功能。3.1 數(shù)據(jù)采集層數(shù)據(jù)采集層負(fù)責(zé)根據(jù)策略采集各種安全信息。采集的方式包括：SNMP Trap、SYSLOG、ODBC/JDBC、HTTP/XML、文件、與用戶協(xié)商的擴(kuò)充協(xié)議。采集的對(duì)象包括： 路由器、交換機(jī)、幀中繼等網(wǎng)絡(luò)設(shè)備上相關(guān)的安全信息； 漏洞掃描子系統(tǒng)、入侵檢測(cè)子系統(tǒng)、防火墻子系統(tǒng)和防病毒子系統(tǒng)的安全信息，通過(guò)其各自的控制臺(tái)輸出，由數(shù)據(jù)采集層來(lái)接收采集； 主機(jī)系統(tǒng)的安全信息，由數(shù)據(jù)采集層直接從主機(jī)系統(tǒng)進(jìn)行收集； 從日志服務(wù)器、網(wǎng)管服務(wù)器收集相關(guān)的安全信息；數(shù)據(jù)采集層將所采集到的數(shù)據(jù)進(jìn)行簡(jiǎn)單

24、歸并處理，作為數(shù)據(jù)處理層的原始數(shù)據(jù)。3.2 數(shù)據(jù)處理層數(shù)據(jù)處理層負(fù)責(zé)對(duì)采集到的原始安全信息進(jìn)行分析處理。將從網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)系統(tǒng)等數(shù)據(jù)來(lái)源采集到的原始安全信息結(jié)合數(shù)據(jù)庫(kù)中的資產(chǎn)信息進(jìn)行關(guān)聯(lián)分析，確認(rèn)原始安全信息的真實(shí)性，并對(duì)確認(rèn)后的安全信息進(jìn)行格式標(biāo)準(zhǔn)化處理，按照指定的信息收集策略歸并安全信息，再經(jīng)過(guò)特定的數(shù)據(jù)壓縮后，存儲(chǔ)到數(shù)據(jù)庫(kù)中。數(shù)據(jù)處理層必須將采集到的原始安全信息與通過(guò)應(yīng)用服務(wù)層存儲(chǔ)的資產(chǎn)信息進(jìn)行關(guān)聯(lián)分析，以從海量的原始安全信息中提取出有價(jià)值的安全信息，為有效降低風(fēng)險(xiǎn)提供準(zhǔn)確依據(jù)。3.3 應(yīng)用服務(wù)層應(yīng)用服務(wù)層是展示平臺(tái)、數(shù)據(jù)庫(kù)和數(shù)據(jù)處理層之間銜接的接口。展示平臺(tái)通過(guò)應(yīng)用服務(wù)層最終

25、完成了資產(chǎn)管理、脆弱性管理、風(fēng)險(xiǎn)管理、工單管理、安全知識(shí)管理、安全策略管理、安全預(yù)警等模塊的配置信息的錄入和修改功能。展示平臺(tái)通過(guò)應(yīng)用服務(wù)層從數(shù)據(jù)庫(kù)中提取信息，按照定制策略進(jìn)行數(shù)據(jù)過(guò)濾、條件分析，以完成資產(chǎn)信息統(tǒng)計(jì)、脆弱性統(tǒng)計(jì)、工單統(tǒng)計(jì)、報(bào)表輸出等。展示平臺(tái)通過(guò)應(yīng)用服務(wù)層從數(shù)據(jù)庫(kù)中提取安全信息，按照定制策略進(jìn)行抽樣分析、模式匹配、異常檢測(cè)完成安全信息的統(tǒng)計(jì)。3.4 統(tǒng)一展示平臺(tái)展示平臺(tái)實(shí)現(xiàn)了NetEye安全管理平臺(tái)的統(tǒng)一界面展示。通過(guò)展示平臺(tái)，我們能夠查看資產(chǎn)分布狀態(tài)、關(guān)注區(qū)域的安全狀況、安全事件的發(fā)生趨勢(shì)、各類(lèi)資產(chǎn)的脆弱性狀況等；通過(guò)展示平臺(tái)，最終完成對(duì)資產(chǎn)管理、安全信息監(jiān)控、脆弱性管理、安

26、全事件處理、安全知識(shí)管理、安全策略管理、安全狀況評(píng)估、安全預(yù)警各功能模塊的配置；通過(guò)展示平臺(tái)，最終完成報(bào)表的生成、輸出（保存和打印）等。3.5 安全管理平臺(tái)組成NetEye 安全管理平臺(tái)包括顯示平臺(tái)、數(shù)據(jù)采集引擎、應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器，結(jié)合原始數(shù)據(jù)來(lái)源設(shè)備，構(gòu)成完整的安全管理解決方案。Cental Manager(CM)：關(guān)聯(lián)分析模塊的中央管理，既是控制中心，又是服務(wù)中心。CM作為控制中心，提供了對(duì)整個(gè)模塊中各進(jìn)程的實(shí)時(shí)監(jiān)控和配置管理接口。CM作為服務(wù)中心，提供了兩大類(lèi)服務(wù)：數(shù)據(jù)服務(wù)、告警服務(wù)。Aggregation Engine(AE)：聚合引擎，根據(jù)事件的關(guān)鍵詞檢查并標(biāo)明一系列事件的等

27、同性。 Vulnerability Correlation(VCE)：脆弱性關(guān)聯(lián)，檢查并標(biāo)明事件所隱含的脆弱性信息。Rule-based Correlation(RCE)：規(guī)則關(guān)聯(lián)，使用一系列自定義規(guī)則將一系列事件關(guān)聯(lián)起來(lái)形成意義更完整的新事件。Agent：原始日志采集代理，根據(jù)不同的采集方式，使用不同的采集代理進(jìn)程。四. SOC安全管理平臺(tái)功能模塊4.1 資產(chǎn)管理保護(hù)信息資產(chǎn)是安全管理體系建設(shè)的核心目標(biāo)，所有信息的存放，例如事件、漏洞都是以資產(chǎn)的視角來(lái)查看的，因此資產(chǎn)管理是安全管理平臺(tái)的核心，是開(kāi)展安全管理工作的基礎(chǔ)。NetEye安全管理平臺(tái)系統(tǒng)所管理的資產(chǎn)包括：Ø 主機(jī)設(shè)備；&#

28、216; 網(wǎng)絡(luò)設(shè)備；Ø 業(yè)務(wù)系統(tǒng)；Ø 數(shù)據(jù)庫(kù)系統(tǒng)；Ø 其他與信息系統(tǒng)相關(guān)的資產(chǎn)。NetEye安全管理平臺(tái)系統(tǒng)可幫助組織視覺(jué)化的直觀掌控自己的資產(chǎn)，快速確定資產(chǎn)分布、資產(chǎn)的商業(yè)價(jià)值以及資產(chǎn)的重要性。信息中心可以根據(jù)資產(chǎn)價(jià)值及其重要性進(jìn)行地域或者安全域的劃分，或者根據(jù)信息資產(chǎn)的業(yè)務(wù)屬性、設(shè)備類(lèi)型、網(wǎng)段進(jìn)行劃分。NetEye安全管理平臺(tái)系統(tǒng)支持資產(chǎn)保密性、完整性、可用性的分級(jí)評(píng)估，從而實(shí)施不同的安全防護(hù)等級(jí)。資產(chǎn)管理實(shí)現(xiàn)了對(duì)信息資產(chǎn)的描述和定義，并結(jié)合組織的基本情況進(jìn)行資產(chǎn)的分類(lèi)和登記，不僅可以協(xié)助安全人員有效管理信息資產(chǎn)的各類(lèi)屬性，同時(shí)也便于貫徹行業(yè)內(nèi)相關(guān)的分級(jí)保護(hù)規(guī)

29、范。4.1.1 資產(chǎn)管理方式NetEye安全管理平臺(tái)系統(tǒng)提供靈活、方便的Web方式，供管理員它將其所轄I(yíng)P設(shè)備資產(chǎn)信息按其重要程度進(jìn)行分類(lèi)和登記入庫(kù)，為其他安全管理模塊提供信息基礎(chǔ)。資產(chǎn)管理的主要功能是對(duì)資產(chǎn)進(jìn)行管理，包括：資產(chǎn)歸類(lèi)，資產(chǎn)信息的錄入，資產(chǎn)信息的批量導(dǎo)入和到處，資產(chǎn)賦值，資產(chǎn)屬性編輯等功能。資產(chǎn)歸類(lèi)工作包括：Ø 按照資產(chǎn)的安全域進(jìn)行歸類(lèi)，并且可以為每個(gè)安全域指定一個(gè)管理員，將所在安全域授權(quán)給相應(yīng)的管理員；Ø 按照資產(chǎn)的業(yè)務(wù)屬性進(jìn)行歸類(lèi)；Ø 按照資產(chǎn)的設(shè)備類(lèi)型進(jìn)行歸類(lèi)；Ø 按照資產(chǎn)的所屬網(wǎng)段進(jìn)行歸類(lèi)；資產(chǎn)信息的屬性包括：Ø 資產(chǎn)基本

30、信息：資產(chǎn)編號(hào)、資產(chǎn)名稱(chēng)、資產(chǎn)類(lèi)型、所屬安全域、資產(chǎn)價(jià)值；Ø 資產(chǎn)配置信息：資產(chǎn)的操作系統(tǒng)、接口數(shù)量、CPU、內(nèi)存、硬盤(pán)、IP地址、MAC地址、資產(chǎn)開(kāi)放的端口；Ø 資產(chǎn)備注信息：生產(chǎn)廠家、資產(chǎn)負(fù)責(zé)人、購(gòu)置時(shí)間等。4.1.2 可管理的資產(chǎn)類(lèi)型NetEye安全管理平臺(tái)系統(tǒng)目前支持的資產(chǎn)類(lèi)型包括：Ø 主機(jī)系統(tǒng)，包括：Windows2000/2003/2008服務(wù)器系統(tǒng)、Windows2000/XP/VISTA終端系統(tǒng)、AIX服務(wù)器系統(tǒng)、Linux系統(tǒng)、Solaris服務(wù)器系統(tǒng)等；Ø 安全設(shè)備，包括國(guó)內(nèi)外主流的安全設(shè)備，包括：防火墻、入侵檢測(cè)系統(tǒng)、防病毒系統(tǒng)、審

31、計(jì)系統(tǒng)、反垃圾郵件系統(tǒng)、漏洞掃描系統(tǒng)、身份認(rèn)證系統(tǒng)等；Ø 中間件系統(tǒng)，包括國(guó)際主流的大型企業(yè)級(jí)應(yīng)用中間件等；Ø 數(shù)據(jù)庫(kù)系統(tǒng)，包括國(guó)際主流的大型數(shù)據(jù)庫(kù)等；Ø 網(wǎng)絡(luò)設(shè)備，包括國(guó)內(nèi)外主流的路由器、交換機(jī)等；Ø 支持telnet和ssh方式對(duì)設(shè)備進(jìn)行控制，并提供協(xié)議擴(kuò)展，內(nèi)置了對(duì)防火墻、路由器、交換機(jī)、Linux操作系統(tǒng)、Windows操作系統(tǒng)及UNIX操作系統(tǒng)等設(shè)備的支持，并可以根據(jù)用戶實(shí)際需要進(jìn)行擴(kuò)展。4.2 事件管理關(guān)聯(lián)分析模塊事件管理模塊主要負(fù)責(zé)從網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用程序、網(wǎng)管系統(tǒng)和日志服務(wù)器系統(tǒng)等采集數(shù)據(jù)。針對(duì)多數(shù)據(jù)源的特點(diǎn)，

32、該模塊將通過(guò)SYSLOG、SNMP、ODBC、XML、SOAP標(biāo)準(zhǔn)協(xié)議實(shí)時(shí)接收；針對(duì)不同的主機(jī)系統(tǒng)、不同的數(shù)據(jù)庫(kù)系統(tǒng)、不同的應(yīng)用程序系統(tǒng)等應(yīng)能通過(guò)telnet、ssh、ftp等方式來(lái)主動(dòng)獲取。事件管理模塊將采用異構(gòu)數(shù)據(jù)集成技術(shù)，將這些孤立的數(shù)據(jù)源集成起來(lái)，提供一個(gè)統(tǒng)一的視圖，從這些資源數(shù)據(jù)中獲取所需要的信息。4.2.1 數(shù)據(jù)采集事件管理中的數(shù)據(jù)采集模塊主要負(fù)責(zé)從網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用中間件等數(shù)據(jù)來(lái)源設(shè)備/系統(tǒng)收集日志，并對(duì)收集到的日志通過(guò)進(jìn)行過(guò)濾、格式化等過(guò)程，解析出有用的信息，轉(zhuǎn)換成便于處理與分析的格式，在平臺(tái)與數(shù)據(jù)來(lái)源設(shè)備之間提供接口。此接口主要是通過(guò)數(shù)據(jù)獲取組件來(lái)實(shí)現(xiàn)

33、。數(shù)據(jù)來(lái)源設(shè)備能夠向數(shù)據(jù)獲取組件發(fā)送日志信息，發(fā)送的格式可以是網(wǎng)絡(luò)協(xié)議也可以是通過(guò)自定義的格式。數(shù)據(jù)獲取組件收到日志后，需要經(jīng)過(guò)一些必要的處理，包括去掉與設(shè)備無(wú)關(guān)的日志，去掉在短時(shí)間內(nèi)出現(xiàn)的大量相同日志。然后處理這些日志并轉(zhuǎn)換成安全信息，安全信息將作為后續(xù)模塊的輸入。數(shù)據(jù)采集模塊的功能包括：數(shù)據(jù)采集、數(shù)據(jù)格式標(biāo)準(zhǔn)化。1、數(shù)據(jù)采集數(shù)據(jù)獲取組件負(fù)責(zé)將相關(guān)數(shù)據(jù)統(tǒng)一收集起來(lái)，根據(jù)不同的設(shè)備類(lèi)別，所采集數(shù)據(jù)的方式也有所不同。該平臺(tái)支持多種數(shù)據(jù)采集協(xié)議和接口，包括：SYSLOG 、SNMP Trap、SNMP輪詢、Telnet/SSH、HTTP、JMX、ODBC、SOAP/XML、專(zhuān)用Agent等。每種采

34、集方式所采集的內(nèi)容如下所示：序號(hào)采集方式采集內(nèi)容1SYSLOG收集安全告警日志，主要是從入侵監(jiān)測(cè)系統(tǒng)、網(wǎng)絡(luò)行為監(jiān)測(cè)系統(tǒng)、病毒監(jiān)測(cè)系統(tǒng)、郵件安全監(jiān)測(cè)系統(tǒng)、Web應(yīng)用安全監(jiān)測(cè)系統(tǒng)、僵尸網(wǎng)絡(luò)監(jiān)測(cè)系統(tǒng)、防火墻等安全設(shè)備和安全系統(tǒng)上收集報(bào)警日志；2SNMP Trap收集安全告警日志，當(dāng)安全設(shè)備不支持SYSLOG輸出，而支持SNMP Trap輸出時(shí)，該平臺(tái)支持通過(guò)SNMP TRAP方式收集安全告警日志；3SNMP輪巡1、 支持SNMP服務(wù)的設(shè)備進(jìn)行拓?fù)渥詣?dòng)發(fā)現(xiàn)；2、 針對(duì)網(wǎng)絡(luò)設(shè)備，從設(shè)備的MIB庫(kù)中獲取設(shè)備配置信息、運(yùn)行信息、等數(shù)據(jù)；3、 針對(duì)操作系統(tǒng)，從操作系統(tǒng)的MIB中獲取系統(tǒng)的靜態(tài)配置信息；4Tel

35、net/SSH負(fù)責(zé)從Unix、Linux服務(wù)器上采集與操作系統(tǒng)有關(guān)的運(yùn)行信息，包括： CPU動(dòng)態(tài)信息、內(nèi)存動(dòng)態(tài)信息、系統(tǒng)進(jìn)程動(dòng)態(tài)信息、硬盤(pán)動(dòng)態(tài)信息、用戶訪問(wèn)信息等；5專(zhuān)用Agent負(fù)責(zé)從Windows服務(wù)器上采集與操作系統(tǒng)有關(guān)的運(yùn)行信息，包括：CPU動(dòng)態(tài)信息、內(nèi)存動(dòng)態(tài)信息、系統(tǒng)進(jìn)程動(dòng)態(tài)信息、硬盤(pán)動(dòng)態(tài)信息、用戶訪問(wèn)信息等；6HTTP1、 用于對(duì)業(yè)務(wù)系統(tǒng)的可用性進(jìn)行監(jiān)控；2、 負(fù)責(zé)從中間件采集會(huì)話動(dòng)態(tài)信息、進(jìn)程池動(dòng)態(tài)信息、JDBC連接池動(dòng)態(tài)信息等；7JMX從中間件采集會(huì)話動(dòng)態(tài)信息、進(jìn)程池動(dòng)態(tài)信息、JDBC連接池動(dòng)態(tài)信息等；9ODBC從數(shù)據(jù)庫(kù)中直接采集數(shù)據(jù)庫(kù)相關(guān)信息，包括：數(shù)據(jù)庫(kù)版本、字符集、配置的

36、臨時(shí)表大小、臨時(shí)表目錄、數(shù)據(jù)表信息、緩存信息、線程信息、鎖信息、頁(yè)和行鎖信息等；10SOAP/XML負(fù)責(zé)與第三方產(chǎn)品使用相關(guān)協(xié)議交互數(shù)據(jù)使用；2、數(shù)據(jù)格式標(biāo)準(zhǔn)化NetEye安全管理平臺(tái)系統(tǒng)解決了各個(gè)IT系統(tǒng)造成的海量數(shù)據(jù)和信息孤島的困擾，整體上簡(jiǎn)化了安全管理的數(shù)據(jù)模型。該平臺(tái)將從包括主機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、安全系統(tǒng)在內(nèi)的各IT系統(tǒng)收到的安全事件按照統(tǒng)一格式進(jìn)行標(biāo)準(zhǔn)化處理，存儲(chǔ)到一個(gè)通用數(shù)據(jù)庫(kù)中，為平臺(tái)后期根據(jù)定制的安全策略分析數(shù)據(jù)提供基礎(chǔ)。該平臺(tái)對(duì)安全信息經(jīng)過(guò)標(biāo)準(zhǔn)化后的內(nèi)容包括：Ø 事件編號(hào)：產(chǎn)生安全事件的序列號(hào)；Ø 事件名稱(chēng)：該事件的名稱(chēng)；Ø

37、資產(chǎn)名稱(chēng)：發(fā)現(xiàn)事件的資產(chǎn)名稱(chēng)；Ø 事件類(lèi)別：安全事件的所屬類(lèi)別，如：拒絕服務(wù)、非授權(quán)訪問(wèn)、緩沖區(qū)溢出、網(wǎng)絡(luò)協(xié)議等；Ø 緊急程度：該事件的嚴(yán)重級(jí)別；Ø 事件內(nèi)容：該事件的具體內(nèi)容；Ø 事件發(fā)生時(shí)間：該事件發(fā)生的具體時(shí)間；Ø 協(xié)議：該事件所使用的協(xié)議；Ø 源IP/源端口：發(fā)生該事件相關(guān)的源IP/源端口；Ø 目的IP/目的端口：發(fā)生該事件相關(guān)的目的IP/目的端口；Ø 保留字段：可擴(kuò)充的其他內(nèi)容。4.2.2 數(shù)據(jù)分析數(shù)據(jù)分析模塊，實(shí)現(xiàn)對(duì)原始數(shù)據(jù)的核心處理。為了提高NetEye安全管理平臺(tái)系統(tǒng)數(shù)據(jù)分析的準(zhǔn)確性，該平臺(tái)能夠自動(dòng)

38、對(duì)收集上來(lái)的安全告警日志數(shù)據(jù)進(jìn)行一定的關(guān)聯(lián)分析處理，幫助用戶發(fā)現(xiàn)有效的安全事件。同時(shí)，該平臺(tái)設(shè)計(jì)提供自定義關(guān)聯(lián)規(guī)則的界面，以便給用戶提供更大的監(jiān)控選擇空間。該平臺(tái)系統(tǒng)實(shí)現(xiàn)了五種關(guān)聯(lián)分析機(jī)制：(一) 基于統(tǒng)計(jì)的關(guān)聯(lián)分析；(二) 基于規(guī)則的關(guān)聯(lián)分析；(三) 基于資產(chǎn)、脆弱性的關(guān)聯(lián)分析；(四) 事件溯源關(guān)聯(lián)分析(五) 與工單系統(tǒng)關(guān)聯(lián)無(wú)論是哪一種關(guān)聯(lián)分析方法，都需要具備一個(gè)基礎(chǔ)的模型框架作為工作基礎(chǔ)，本平臺(tái)所設(shè)計(jì)的關(guān)聯(lián)分析過(guò)程的數(shù)據(jù)流向以及各個(gè)模塊間的交互關(guān)系如下圖所示：AgentWebServerVC EngineAEAECentral ManagerDBAgentAgentAgentDesktop

39、RC Enginefail overRPCSocketJDBCMixed各個(gè)節(jié)點(diǎn)模塊的概念及功能說(shuō)明如下：1、 Cental Manager(CM)：關(guān)聯(lián)分析模塊的中央管理，既是控制中心，又是服務(wù)中心。CM作為控制中心，提供了對(duì)整個(gè)模塊中各進(jìn)程的實(shí)時(shí)監(jiān)控和配置管理接口。CM作為服務(wù)中心，提供了兩大類(lèi)服務(wù)：一、數(shù)據(jù)服務(wù)；二、告警服務(wù)。2、 Aggregation Engine(AE)：聚合引擎，根據(jù)事件的關(guān)鍵詞檢查并標(biāo)明一系列事件的等同性。3、 Vulnerability Correlation(VCE)：脆弱性關(guān)聯(lián)，檢查并標(biāo)明事件所隱含的脆弱性信息。4、 Rule-based Correlat

40、ion(RCE)：規(guī)則關(guān)聯(lián)，使用一系列自定義規(guī)則將一系列事件關(guān)聯(lián)起來(lái)形成意義更完整的新事件。5、 Agent：原始日志采集代理，根據(jù)不同的采集方式，使用不同的采集代理進(jìn)程。(一) 基于統(tǒng)計(jì)的關(guān)聯(lián)分析基于統(tǒng)計(jì)的關(guān)聯(lián)分析，主要的依賴(lài)對(duì)象是關(guān)聯(lián)分析框架模型中的聚合引擎。聚合引擎（Aggregation Engine，AE）是處于收集代理之上第一層事件處理引擎。同時(shí)，聚合引擎的輸出將作為其它高級(jí)關(guān)聯(lián)引擎（例如規(guī)則關(guān)聯(lián)引擎、脆弱性關(guān)聯(lián)引擎）的輸入。聚合引擎負(fù)責(zé)初級(jí)的分析和聚合工作。AE接受多個(gè)代理發(fā)送的規(guī)范化的安全事件，根據(jù)事件的聚合條件（Criteria），檢驗(yàn)并聚合事件，最后根據(jù)結(jié)果類(lèi)型，將聚合后的

41、事件發(fā)送到后續(xù)的高級(jí)關(guān)聯(lián)引擎（Correlation Engine）。聚合引擎根據(jù)事件的關(guān)鍵詞序列將同一系列的事件進(jìn)行聚合。關(guān)鍵詞序列存儲(chǔ)在數(shù)據(jù)庫(kù)中。兩個(gè)以上事件如果關(guān)鍵詞一致，認(rèn)為是等同事件。一批等同事件，如果首尾發(fā)生的時(shí)間間隔小于該類(lèi)事件的最大聚合間隔，則認(rèn)為這批等同事件屬于聚合事件。發(fā)生聚合時(shí)，首一事件的聚合次數(shù)被設(shè)置為聚合事件的個(gè)數(shù)，并代替其余事件向后續(xù)關(guān)聯(lián)引擎?zhèn)鞑?。此外，聚合引擎還負(fù)責(zé)將事件新增到數(shù)據(jù)庫(kù)中，并在聚合發(fā)生時(shí)，更新事件的聚合次數(shù)以及蔓延時(shí)間等聚合信息。事件被接收后，進(jìn)行聚合處理，未聚合成功的事件保持Normal狀態(tài)，發(fā)生聚合的事件設(shè)置聚合標(biāo)志后，每隔一定時(shí)間后，由定時(shí)線程

42、繼續(xù)發(fā)送到后續(xù)關(guān)聯(lián)引擎。從事件的流量上看，聚合引擎起到了一定的流量衰減作用。具體表現(xiàn)為，m個(gè)事件發(fā)生聚合時(shí)，設(shè)入口流量為m，出口流量為n，則。(二) 基于規(guī)則的關(guān)聯(lián)分析所謂規(guī)則關(guān)聯(lián)分析（Rule-based Correlation，RC），是通過(guò)規(guī)則關(guān)聯(lián)引擎（Rule-based Correlation Engine，RCE）來(lái)實(shí)現(xiàn)的，規(guī)則關(guān)聯(lián)引擎接收來(lái)自收集代理的原始安全信息（即格式化以后的安全日志，也稱(chēng)為原始安全事件），根據(jù)預(yù)定義的安全信息分析策略（也稱(chēng)為規(guī)則關(guān)聯(lián)策略，即攻擊場(chǎng)景）中定義的規(guī)則順序先后匹配多種設(shè)備的多個(gè)原始安全事件，將多個(gè)原始安全事件通過(guò)規(guī)則匹配，生成一條關(guān)聯(lián)分析后事件。通

43、過(guò)規(guī)則關(guān)聯(lián)分析能夠匹配一個(gè)攻擊事件發(fā)生的一系列步驟或幾個(gè)關(guān)鍵步驟，而且能夠組合一個(gè)攻擊發(fā)生在不同主機(jī)上的多個(gè)事件。達(dá)到更準(zhǔn)確地檢測(cè)攻擊、減少誤報(bào)的目的。在系統(tǒng)中，規(guī)則關(guān)聯(lián)分析引擎（Rule-based Correlation Engine，RCE）處于聚合引擎和漏洞關(guān)聯(lián)引擎（Vulnerability Correlation Engine，VCE）之后，其目的是接收來(lái)自于AE和VCE的安全事件，并將事件以攻擊場(chǎng)景匹配的方式生成新的安全事件。RCE的主要用例有：事件監(jiān)聽(tīng)、事件分配、事件匹配規(guī)則、入庫(kù)和發(fā)送給其它引擎。RCE的組織結(jié)構(gòu)如下圖所示，橙色的方框是RCE部分，灰色的方框是RCE與其它模塊

44、的接口部分。模塊的內(nèi)部是該引擎的線程，線程分別為事件監(jiān)聽(tīng)線程、事件分配線程、動(dòng)態(tài)工作線程、靜態(tài)工作線程、垃圾回收線程、入庫(kù)線程、結(jié)果處理線程、動(dòng)靜態(tài)線程平衡、發(fā)送線程、引擎主線程和心跳線程。規(guī)則可以實(shí)現(xiàn)包括順序、分支、分支選擇、合并、循環(huán)以及這幾種結(jié)構(gòu)的組合結(jié)構(gòu)，以達(dá)到能夠靈活的描述出各種攻擊場(chǎng)景的需求。簡(jiǎn)單規(guī)則該規(guī)則只有一個(gè)狀態(tài)節(jié)點(diǎn)：S1定義為SIP=、SPort=8080、Msg LIKE “application stop”。這種規(guī)則是為了描述主機(jī)的應(yīng)用服務(wù)器在8080端口上的應(yīng)用服務(wù)停止。順序結(jié)構(gòu)規(guī)則該規(guī)則包含兩個(gè)狀態(tài)節(jié)點(diǎn)：S1定義為SIP=10.1.1

45、.3、SPort=8080、Msg LIKE “application stop”；S2定義為SIP=、SPort=8080、Msg LIKE “application start”。這種規(guī)則是為了描述主機(jī)的應(yīng)用服務(wù)器在8080端口上的應(yīng)用服務(wù)重啟。分支結(jié)構(gòu)規(guī)則 該規(guī)則包含四個(gè)狀態(tài)節(jié)點(diǎn)：S1定義為SIP=、Msg LIKE “ssh login”；S2定義為SIP=、Msg LIKE “reboot”；S3定義為SIP=、Msg LIKE “syslogd stop”；S4定義為SIP=、Msg L

46、IKE “root pwd changed”。這種規(guī)則是為了描述主機(jī)被遠(yuǎn)程使用ssh登錄之后，可能出現(xiàn)的三種敏感安全事件，分別是系統(tǒng)重啟、系統(tǒng)日志進(jìn)程停止以及root用戶密碼被修改。分支選擇結(jié)構(gòu)規(guī)則 該規(guī)則包含三個(gè)狀態(tài)節(jié)點(diǎn)：S1定義為Devtype=10、SEVERITY_ID=2；S2定義為Deytype=10、SIP=preEvent.SIP、Msg LIKE “fail down”；S2定義為Deytype=10、SIP=preEvent.SIP、Msg LIKE “reboot”。該規(guī)則還包含兩個(gè)有條件的分支：T1定義為APP_SEVERITY>=3；T2定義為A

47、PP_SEVERITY<3。這種規(guī)則是描述了，當(dāng)某種類(lèi)型編號(hào)為10的設(shè)備產(chǎn)生告警等級(jí)為2的安全事件后，根據(jù)該事件的應(yīng)用告警等級(jí)的不同，分別可能會(huì)產(chǎn)生不同的情況：當(dāng)應(yīng)用告警等級(jí)大于或等于3時(shí)，該設(shè)備后續(xù)可能產(chǎn)生導(dǎo)致系統(tǒng)癱瘓的安全事件；當(dāng)應(yīng)用告警等級(jí)小于3時(shí)，該設(shè)備后續(xù)可能產(chǎn)生導(dǎo)致系統(tǒng)重啟的安全事件。合并結(jié)構(gòu)規(guī)則該規(guī)則包含三個(gè)狀態(tài)節(jié)點(diǎn)：S1定義為SIP=、Msg LIKE “application down”；S2定義為SIP=、Msg LIKE “application down”；S2定義為SIP=、Msg LIKE “connect db

48、 error”。激活S3的條件：當(dāng)S1與S2都被擊穿后，S3才被激活。這種規(guī)則描述了一套應(yīng)用服務(wù)中，與為雙機(jī)熱備的數(shù)據(jù)庫(kù)，為使用數(shù)據(jù)庫(kù)的應(yīng)用服務(wù)器。當(dāng)雙機(jī)熱備的數(shù)據(jù)庫(kù)都出現(xiàn)癱瘓，而且應(yīng)用服務(wù)器確實(shí)無(wú)法連接數(shù)據(jù)庫(kù)時(shí)，則表示產(chǎn)生了該應(yīng)用系統(tǒng)無(wú)法正常使用的安全事件。單狀態(tài)節(jié)點(diǎn)循環(huán)結(jié)構(gòu)規(guī)則該規(guī)則包含三個(gè)狀態(tài)節(jié)點(diǎn)：S1定義為Devtype=“IDS”、Msg LIKE “scan attack”；S2定義為Devtype=“IDS”、Msg LIKE “scan attack”、SIP=preEvent.SIP；S3定義為Msg LIKE “Fail do

49、wn”、SIP IN DIPList。該規(guī)則包含兩個(gè)條件的分支：T2定義為DIPList.length<30；T3定義為DIPList.length>=30。這種規(guī)則描述了，IDS發(fā)現(xiàn)在一個(gè)網(wǎng)絡(luò)環(huán)境中，有超過(guò)30臺(tái)以上的不同主機(jī)受到了來(lái)自于一個(gè)主機(jī)的掃描攻擊，并且被掃描的主機(jī)發(fā)生了癱瘓現(xiàn)象。規(guī)則/規(guī)則實(shí)例（Rule/RuleInstance）規(guī)則是對(duì)一組相關(guān)安全事件描述，用于在進(jìn)行規(guī)則匹配操作時(shí)捕獲一系列相關(guān)聯(lián)的事件。規(guī)則實(shí)例是在系統(tǒng)運(yùn)行中，實(shí)際參與匹配過(guò)程的規(guī)則的副本。在設(shè)計(jì)上，規(guī)則實(shí)例中包含一些規(guī)則在匹配過(guò)程的動(dòng)態(tài)信息以及匹配過(guò)程需要使用的方法，而規(guī)則則是一種純靜態(tài)信息描述。二

50、者在結(jié)構(gòu)上是相同。規(guī)則是由一系列狀態(tài)組成的類(lèi)似于有向圖的數(shù)據(jù)結(jié)構(gòu)，規(guī)則中的每一個(gè)單元都是一個(gè)狀態(tài)。狀態(tài)間存在驅(qū)動(dòng)關(guān)系，即當(dāng)某上層狀態(tài)被匹配成功后，下層狀態(tài)才有可能與后續(xù)安全事件進(jìn)行匹配。當(dāng)然，這種上下層之間的關(guān)系是相對(duì)的，狀態(tài)之間的關(guān)系更類(lèi)似于前驅(qū)后續(xù)的關(guān)系，前驅(qū)與后續(xù)之間的關(guān)系會(huì)隨著規(guī)則的匹配進(jìn)行發(fā)生改變。狀態(tài)/狀態(tài)實(shí)例（State/StateInstance）狀態(tài)是對(duì)一組相關(guān)安全事件中一個(gè)或一類(lèi)事件的描述，用于在進(jìn)行規(guī)則匹配操作時(shí)捕獲一系列相關(guān)聯(lián)事件中的一個(gè)或一類(lèi)事件，規(guī)則的一系列狀態(tài)會(huì)對(duì)一系列事件進(jìn)行匹配，捕獲這一系列事件完成規(guī)則的匹配操作。狀態(tài)實(shí)例是在系統(tǒng)運(yùn)行中，實(shí)際參與匹配過(guò)程的狀態(tài)

51、的副本。在設(shè)計(jì)上，狀態(tài)實(shí)例中包含一些狀態(tài)在匹配過(guò)程的動(dòng)態(tài)信息以及匹配過(guò)程需要使用的方法，而狀態(tài)則是一種純靜態(tài)信息描述。二者在結(jié)構(gòu)上是相同。Action（SuccessAction/TimeoutAction）Action是規(guī)則狀態(tài)匹配的結(jié)果，當(dāng)狀態(tài)進(jìn)行匹配時(shí)，狀態(tài)的某些結(jié)果是制定規(guī)則時(shí)比較關(guān)心的內(nèi)容，比如規(guī)則中的一個(gè)狀態(tài)如果被匹配成功或者超時(shí)，這可能意味著形成了某種關(guān)聯(lián)事件，此時(shí)需要產(chǎn)生一種行為來(lái)表示這種結(jié)果，這種表示結(jié)果的行為就是產(chǎn)生一個(gè)Action。規(guī)則的激活點(diǎn)匹配規(guī)則的過(guò)程中，系統(tǒng)維護(hù)一個(gè)容器，該容器存儲(chǔ)的是激活的狀態(tài)，當(dāng)頂層的狀態(tài)匹配成功時(shí)，下層的狀態(tài)全部被激活，將頂層的對(duì)象在容器中刪

52、除，再將激活的狀態(tài)加入到容器中，事件來(lái)時(shí)只匹配激活點(diǎn)，如圖所示靜態(tài)容器（RuleContainer）規(guī)則關(guān)聯(lián)引擎分中，存放規(guī)則實(shí)例的有兩個(gè)容器，靜態(tài)容器和動(dòng)態(tài)容器。靜態(tài)容器，又稱(chēng)規(guī)則容器是系統(tǒng)在加載的時(shí)候，一次性讀入到內(nèi)存中。靜態(tài)樹(shù)容器中的數(shù)量與規(guī)則的數(shù)量相同，與規(guī)則一一對(duì)應(yīng)，當(dāng)對(duì)規(guī)則進(jìn)行增刪改操作時(shí)，通知系統(tǒng)將靜態(tài)樹(shù)容器做相應(yīng)的調(diào)整，并立即生效。動(dòng)態(tài)容器（DynamicContainer）當(dāng)靜態(tài)容器中的根節(jié)點(diǎn)匹配成功或者狀態(tài)超時(shí)時(shí)，將靜態(tài)容器中的對(duì)象移動(dòng)到動(dòng)態(tài)容器。動(dòng)態(tài)容器是一個(gè)鏈表。(三) （三）基于資產(chǎn)、脆弱性的關(guān)聯(lián)分析對(duì)于IDS（入侵檢測(cè)系統(tǒng)）等所報(bào)的大量安全日志，很有可能存在誤報(bào)。為

53、解決誤報(bào)，就需要對(duì)通過(guò)規(guī)則關(guān)聯(lián)分析以后的安全事件進(jìn)一步做脆弱性關(guān)聯(lián)分析。根據(jù)IDS產(chǎn)生安全日志的時(shí)間以及日志中包含的脆弱性信息，和實(shí)際掃描的脆弱性信息進(jìn)行關(guān)聯(lián)對(duì)比，根據(jù)不同的對(duì)比結(jié)果，對(duì)安全事件定義不同的危險(xiǎn)等級(jí)。脆弱性關(guān)聯(lián)分析進(jìn)一步將來(lái)自聚合引擎或者規(guī)則關(guān)聯(lián)引擎的安全事件與系統(tǒng)中已掌握的脆弱性信息進(jìn)行關(guān)聯(lián)分析，以CVE、Bugtraq、受影響操作系統(tǒng)、監(jiān)控對(duì)象開(kāi)放端口以及漏洞的發(fā)現(xiàn)及發(fā)布時(shí)間為依據(jù)進(jìn)行匹配分析，根據(jù)不同的匹配結(jié)果定義出不同的匹配結(jié)果等級(jí)，以便NetEye安全管理平臺(tái)系統(tǒng)更加準(zhǔn)確地判斷"安全事件"的等級(jí)及危害情況。如下的狀態(tài)圖，描述了在進(jìn)行脆弱性關(guān)聯(lián)分析時(shí)，

54、可以匹配結(jié)果的狀態(tài)。進(jìn)行脆弱性信息匹配過(guò)程中，可能存在如下幾種狀態(tài)：1) NotIDS：表示進(jìn)入VC的事件并不是IDS設(shè)備所產(chǎn)生的事件。2) NoAsset：表示系統(tǒng)配置要求在進(jìn)行脆弱性關(guān)聯(lián)分析時(shí)必須有與之對(duì)應(yīng)的監(jiān)控對(duì)象存在，但實(shí)際卻沒(méi)有該監(jiān)控對(duì)象。3) 0- Not enough information：沒(méi)有足夠的信息來(lái)完成脆弱性關(guān)聯(lián)分析。表示系統(tǒng)中沒(méi)有該監(jiān)控對(duì)象的歷史脆弱性信息，或者存在的脆弱性信息與事件所描述的脆弱性信息完全不相似。4) 1- Port not vulnerable：端口非易受攻擊。表示事件中所描述的端口并不存在真實(shí)的脆弱性。5) 2- Operating system

55、not vulnerable：操作系統(tǒng)非易受攻擊。表示歷史脆弱性信息中掃描器所確定的操作系統(tǒng)，并沒(méi)有在事件所描述可被攻擊的操作系統(tǒng)范圍內(nèi)。6) 3- Destination port open：目標(biāo)端口開(kāi)放。表示事件中所描述的端口確實(shí)存在脆弱性。7) 4- Maybe vulnerable：疑似脆弱性。表示系統(tǒng)中的歷史脆弱性信息與事件中描述的脆弱性信息基本匹配，但是歷史脆弱性信息的日期晚于事件中的脆弱性信息，這說(shuō)明可能是由于資產(chǎn)已經(jīng)安裝了相應(yīng)的補(bǔ)丁。8) 5-Likely vulnerable：很可能是脆弱性。表示系統(tǒng)中的歷史脆弱性信息與事件中描述的脆弱性信息基本匹配，但是歷史脆弱性信息的日期

56、早于事件中的脆弱性信息。9) 6- Vulnerable：表示系統(tǒng)中的歷史脆弱性信息與事件中描述的脆弱性信息匹配。(四) 事件溯源實(shí)現(xiàn)機(jī)制通過(guò)綜合關(guān)聯(lián)分析事件的相關(guān)屬性，幫助維護(hù)人員定位事件發(fā)生的根源，并清晰展示事件的威脅范圍。(五) 與工單系統(tǒng)關(guān)聯(lián)安全事件是產(chǎn)生告警信息和觸發(fā)工單系統(tǒng)的來(lái)源之一。該平臺(tái)可根據(jù)事件的不同性質(zhì)和類(lèi)別，及時(shí)產(chǎn)生告警信息，并可自動(dòng)觸發(fā)工單系統(tǒng)督促相關(guān)責(zé)任人進(jìn)行快速查處。4.2.3 事件展示針對(duì)經(jīng)過(guò)數(shù)據(jù)采集、數(shù)據(jù)處理后所得到的安全事件，展示模塊利用分析報(bào)表、圖表等多維展示技術(shù)，提供各種便捷的方式展示國(guó)家藥品不良反應(yīng)監(jiān)測(cè)系統(tǒng)的整體信息安全狀況。Ø 按照事件類(lèi)別進(jìn)

57、行展示，包括：安全事件、性能事件、故障事件、脆弱性事件等。Ø 按照統(tǒng)計(jì)數(shù)據(jù)展示，包括：最新安全事件、事件最多的資產(chǎn)、最新脆弱性事件等。Ø 按照時(shí)間進(jìn)行事件查詢、過(guò)濾等。Ø 對(duì)事件進(jìn)行溯源，追溯生成事件的原始告警日志。Ø 展示每條事件的詳細(xì)內(nèi)容，包括：事件名稱(chēng)、事件優(yōu)先級(jí)、發(fā)生時(shí)間、源IP、目的IP、端口等。4.3 風(fēng)險(xiǎn)評(píng)估與預(yù)警NetEye安全管理平臺(tái)系統(tǒng)的風(fēng)險(xiǎn)評(píng)估與預(yù)警模塊以國(guó)家風(fēng)險(xiǎn)評(píng)估指南規(guī)范為指導(dǎo)，將JDL（Joint Director of Laboratories）模型作為參考，經(jīng)過(guò)多年考驗(yàn)的東軟安全服務(wù)的風(fēng)險(xiǎn)計(jì)算方法作為風(fēng)險(xiǎn)計(jì)算方法。風(fēng)險(xiǎn)的計(jì)算是以資產(chǎn)為基礎(chǔ)，結(jié)合資產(chǎn)的價(jià)值及信息資產(chǎn)的安全屬性、脆弱性進(jìn)行計(jì)算而得，是安全人員進(jìn)行風(fēng)險(xiǎn)管理的有力依據(jù)。統(tǒng)一的風(fēng)險(xiǎn)告警展示集中統(tǒng)一的預(yù)警和展示平臺(tái)界面，可以將安全事件趨勢(shì)圖、風(fēng)險(xiǎn)趨勢(shì)圖、TOP N安全事件、TOP N脆弱性事件、TOP N故障事件、TOP N工單、安全預(yù)警、安全公告等信息通過(guò)集中統(tǒng)一的平臺(tái)界面進(jìn)行實(shí)時(shí)預(yù)警和展示。多種風(fēng)險(xiǎn)告警展示方式該平臺(tái)提供了多種類(lèi)型實(shí)時(shí)風(fēng)險(xiǎn)告警展示功能，可以隨著系統(tǒng)的脆弱性和安全事件的