信息安全綜合管理與監(jiān)控平臺技術(shù)規(guī)范

1、信息安全綜合管理與監(jiān)控平臺技術(shù)規(guī)范i目錄 HYPERLINK l _TOC_250037 概述1 HYPERLINK l _TOC_250036 信息安全綜合管理與監(jiān)控平臺監(jiān)控管理范圍1 HYPERLINK l _TOC_250035 信息安全綜合管理與監(jiān)控平臺功能要求1 HYPERLINK l _TOC_250034 安全事件管理2 HYPERLINK l _TOC_250033 安全事件采集2 HYPERLINK l _TOC_250032 安全事件過濾3 HYPERLINK l _TOC_250031 安全事件關(guān)聯(lián)3 HYPERLINK l _TOC_250030 安全事件實時告警4 H

2、YPERLINK l _TOC_250029 安全事件告警處理4 HYPERLINK l _TOC_250028 安全事件統(tǒng)計與分析5 HYPERLINK l _TOC_250027 設(shè)備集中管理6 HYPERLINK l _TOC_250026 設(shè)備狀態(tài)集中監(jiān)控6 HYPERLINK l _TOC_250025 流量管理6 HYPERLINK l _TOC_250024 安全策略集中管理6 HYPERLINK l _TOC_250023 主機設(shè)備集中管理6 HYPERLINK l _TOC_250022 查詢統(tǒng)計分析6 HYPERLINK l _TOC_250021 信息安全風(fēng)險管理7 HY

3、PERLINK l _TOC_250020 資產(chǎn)管理7 HYPERLINK l _TOC_250019 脆弱性管理7 HYPERLINK l _TOC_250018 威脅管理7 HYPERLINK l _TOC_250017 風(fēng)險分析7 HYPERLINK l _TOC_250016 安全預(yù)警管理7 HYPERLINK l _TOC_250015 查詢統(tǒng)計分析7 HYPERLINK l _TOC_250014 安全任務(wù)單管理8 HYPERLINK l _TOC_250013 安全任務(wù)單產(chǎn)生8 HYPERLINK l _TOC_250012 安全任務(wù)單處理8 HYPERLINK l _TOC_2

4、50011 安全任務(wù)單管理與其它系統(tǒng)接口8 HYPERLINK l _TOC_250010 工作考核8 HYPERLINK l _TOC_250009 查詢統(tǒng)計8 HYPERLINK l _TOC_250008 安全知識管理8 HYPERLINK l _TOC_250007 補丁知識庫8 HYPERLINK l _TOC_250006 病毒知識庫8 HYPERLINK l _TOC_250005 安全事件分類定級9 HYPERLINK l _TOC_250004 安全事件公告9 HYPERLINK l _TOC_250003 安全事件處理經(jīng)驗庫9 HYPERLINK l _TOC_250002

5、 安全技術(shù)和管理知識庫9 HYPERLINK l _TOC_250001 系統(tǒng)接口9 HYPERLINK l _TOC_250000 信息安全綜合管理與監(jiān)控平臺性能要求9信息安全綜合管理與監(jiān)控平臺技術(shù)規(guī)范 V1.0第 PAGE 9 頁 共 9 頁概述信息安全綜合管理與監(jiān)控平臺能夠采集來自所有安全產(chǎn)品和非安全產(chǎn)品的事件信息，對安全事件進行過濾、關(guān)聯(lián)分析和告警，并為企業(yè)提供風(fēng)險管理的自動化手段。信息安全綜合管理與監(jiān)控平臺將安全運行管理和安全技術(shù)進行結(jié)合，能夠規(guī)范安全管理工作，全面掌握安全狀況。信息安全綜合管理與監(jiān)控平臺邏輯結(jié)構(gòu)如下：信息安全綜合管理與監(jiān)控平臺監(jiān)控管理范圍信息安全綜合管理與監(jiān)控平臺監(jiān)

6、控管理的范圍包括：系統(tǒng)內(nèi)部署的各種安全產(chǎn)品、主機與網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫系統(tǒng)與應(yīng)用系統(tǒng)、桌面系統(tǒng)等，其中各種安全產(chǎn)品和系統(tǒng)包括防火墻、IDS、安全文件網(wǎng)關(guān)、VPN、防病毒系統(tǒng)、審計系統(tǒng)、訪問控制系統(tǒng)、用戶集中管理和認(rèn)證系統(tǒng)等安全設(shè)備/軟件。信息安全綜合管理與監(jiān)控平臺功能要求信息安全綜合管理與監(jiān)控平臺功能要求定義了對信息安全綜合管理與監(jiān)控平臺功能上的要求，分為安全事件管理、設(shè)備集中管理、信息安全風(fēng)險管理、安全任務(wù)單管理、安全知識管理等幾個部分。. 安全事件管理通過采集、過濾、匯聚、關(guān)聯(lián)分析等手段充分縮減大型信息系統(tǒng)中海量的安全事件信息， 并對安全事件進行嚴(yán)重性排序，優(yōu)先呈現(xiàn)和處理嚴(yán)重性級別較高的安全事

7、件，以便了解系統(tǒng)實時的安全事件狀況。關(guān)注的事件類型主要是攻擊行為、異?；顒雍蜖顟B(tài)、病毒以及安全告警等。安全事件采集安全事件采集包括對環(huán)境安全事件采集、安全設(shè)備/軟件事件采集、網(wǎng)絡(luò)設(shè)備安全事件采集、主機事件采集、應(yīng)用系統(tǒng)安全事件采集、數(shù)據(jù)庫系統(tǒng)安全事件采集等。環(huán)境監(jiān)控物理環(huán)境安全是信息安全的一個重要組成部分。有必要在信息安全綜合管理與監(jiān)控平臺中對環(huán)境進行監(jiān)控。環(huán)境監(jiān)控模塊包括圖像監(jiān)控、門禁管理、溫度/濕度/水位/煙感等信息的采集和管理。安全設(shè)備/軟件事件采集能夠?qū)Ψ阑饓?、IDS、橫向隔離設(shè)備、縱向加密設(shè)備、VPN、安全文件網(wǎng)關(guān)設(shè)備、防病毒系統(tǒng)、審計系統(tǒng)、訪問控制系統(tǒng)、用戶集中管理和認(rèn)證系統(tǒng)等安全

8、設(shè)備/軟件產(chǎn)生的事件的采集和存儲。網(wǎng)絡(luò)設(shè)備安全事件采集能夠?qū)W(wǎng)絡(luò)設(shè)備產(chǎn)生的安全事件進行采集和存儲。主機事件采集能夠?qū)χ鳈C CPU 負(fù)荷、內(nèi)存使用率、硬盤使用率及操作系統(tǒng)安全事件等事件進行采集和存儲。桌面系統(tǒng)監(jiān)控能夠?qū)ψ烂嫦到y(tǒng)進行監(jiān)控，包括桌面系統(tǒng)的網(wǎng)絡(luò)行為監(jiān)控、文件訪問行為監(jiān)控、應(yīng)用程序安裝/運行監(jiān)控，應(yīng)用系統(tǒng)訪問控制等。應(yīng)用系統(tǒng)安全事件采集能夠?qū)?yīng)用系統(tǒng)產(chǎn)生的安全事件進行采集和存儲?；A(chǔ)平臺安全事件采集能夠?qū)?shù)據(jù)庫、中間件等產(chǎn)生的安全事件進行采集和存儲。安全事件過濾能夠?qū)Σ杉降臄?shù)據(jù)進行過濾縮減安全事件數(shù)量，包括：過濾掉嚴(yán)重程度較低的原始事件信息；通過指定事件影響的設(shè)備、事件采用協(xié)議、事件類

9、別、事件標(biāo)題等事件屬性進行過濾。應(yīng)能對事件數(shù)據(jù)過濾的開啟狀態(tài)進行手工設(shè)定。安全事件關(guān)聯(lián)信息安全綜合管理與監(jiān)控平臺應(yīng)具有安全事件關(guān)聯(lián)功能，來深度挖掘安全隱患、判斷安全事件的嚴(yán)重程度。信息安全綜合管理與監(jiān)控平臺確定的關(guān)聯(lián)性事件，不僅要有自身的內(nèi)容，還必須可以關(guān)聯(lián)查詢到觸發(fā)該事件產(chǎn)生的所有的原始事件。具體安全事件關(guān)聯(lián)方式包括：基于規(guī)則的關(guān)聯(lián)分析：將可疑的安全活動場景（暗示某潛在安全攻擊行為的一系列安全事件序列）加以預(yù)先定義。系統(tǒng)能夠使用定義好的關(guān)聯(lián)性規(guī)則表達式，對收集到的安全事件進行檢查，確定該事件是否和特定的規(guī)則匹配。至少應(yīng)能夠?qū)σ韵掳踩顒訄鼍邦A(yù)先定義關(guān)聯(lián)規(guī)則：DDOS 攻擊緩沖區(qū)溢出攻擊網(wǎng)絡(luò)蠕

10、蟲郵件病毒垃圾郵件電子欺騙非授權(quán)訪問企圖入侵行為木馬非法掃描可疑 URL具備自定義網(wǎng)絡(luò)安全攻擊行為功能，可以通過可視化的流程圖的定義某種網(wǎng)絡(luò)攻擊行為；可根據(jù)安全事件發(fā)生的因果關(guān)系，進行邏輯上關(guān)聯(lián)分析。給出事件關(guān)聯(lián)相關(guān)度的定量分析；可根據(jù)網(wǎng)絡(luò)安全的動態(tài)情況，自適應(yīng)過濾相關(guān)度較低的事件；提供多種事件關(guān)聯(lián)規(guī)則定義的方式，既包括通過簡單明了的向?qū)?chuàng)建關(guān)聯(lián)性規(guī)則，也可以允許用戶使用類似腳本語言的方式；關(guān)聯(lián)性規(guī)則表達式應(yīng)該支持規(guī)則的多級嵌套，前一規(guī)則輸出作為后一規(guī)則的輸入，以及規(guī)則之間的并集和交集處理關(guān)聯(lián)性規(guī)則應(yīng)該具有良好的移植性，可以按照特定的文件格式，如 XML，導(dǎo)入和導(dǎo)出?；诮y(tǒng)計的關(guān)聯(lián)分析：定義一

11、些大的安全事件類別，對每個類別的事件設(shè)定一個合理的閥值，將出現(xiàn)的事件先歸類，然后進行緩存和計數(shù)，當(dāng)在某一段時間內(nèi)，計數(shù)達到該閥值，可以產(chǎn)生一個級別更高的安全事件?；谫Y產(chǎn)的關(guān)聯(lián)分析：安全事件應(yīng)能與相關(guān)資產(chǎn)的敏感性以及相關(guān)資產(chǎn)上的漏洞進行關(guān)聯(lián)，從而判斷某個安全事件是否能造成不良影響以及造成不良影響的嚴(yán)重程度。例如：某個安全事件在某個資產(chǎn)上發(fā)生，并且正好與此資產(chǎn)上的一個或多個漏洞有關(guān)聯(lián)關(guān)系，則可以判斷此安全事件將對此資產(chǎn)產(chǎn)生一定不良影響；另外此事件利用資產(chǎn)上漏洞產(chǎn)生的影響可能側(cè)重在某個方面，比如對資產(chǎn)可用性影響非常大， 而此資產(chǎn)恰恰對可用性要求非常高，那么可以確定此安全事件將對此資產(chǎn)造成巨大的不良

12、影響，屬于非常嚴(yán)重的安全事件；安全事件實時告警能夠?qū)Π踩录M行實時監(jiān)控，并以多種方式進行不同級別告警安全事件的呈現(xiàn)。可以按照以下條件定制組合監(jiān)控策略：監(jiān)控對象事件類型緊急程度發(fā)生時間攻擊事件的發(fā)生源地址攻擊事件的目標(biāo)地址通信協(xié)議類型事件刷新的時間間隔用戶自定義能夠采用多種方式對安全事件過濾后進行安全事件告警。能夠按照多種方式展現(xiàn)告警信息，比如屏幕顯示、聲音、短消息等方式。安全事件告警處理包括告警確認(rèn)與清除、產(chǎn)生安全任務(wù)單、非正常告警處理等功能。告警確認(rèn)包括自動確認(rèn)和手動確認(rèn)兩種方式。告警自動確認(rèn)指的是當(dāng)安全事件采集上來后，信息安全綜合管理與監(jiān)控平臺根據(jù)條件（自動確認(rèn)告警的條件可由用戶進行定制

13、）對其進行告警自動確認(rèn)。告警手動確認(rèn)指的是信息安全綜合管理與監(jiān)控平臺能支持操作員根據(jù)事件源、事件級別、事件狀態(tài)、事件類型、事件產(chǎn)生時間等組合條件對事件信息進行手動告警確認(rèn)，同時記錄手動確認(rèn)者的身份。告警清除功能，包括自動清除和手動清除兩種方式。告警自動清除包括兩種情況：一種是被管系統(tǒng)的安全事件解決后，被管系統(tǒng)向信息安全綜合管理與監(jiān)控平臺上報告警清除通知，信息安全綜合管理與監(jiān)控平臺根據(jù)收到的告警清除通知清除相應(yīng)的告警；另一種是信息安全綜合管理與監(jiān)控平臺根據(jù)告警相關(guān)性設(shè)置（相關(guān)性條件可由用戶進行設(shè)置）決定是否將與某個已清除的告警相關(guān)的其他低級別告警同時自動清除。告警手動清除指的是信息安全綜合管理與

14、監(jiān)控平臺能支持操作員根據(jù)事件源、事件級別、事件狀態(tài)、事件類型、事件產(chǎn)生時間等組合條件對事件告警進行手工清除， 同時記錄手動清除者的身份。產(chǎn)生安全任務(wù)單指系統(tǒng)按照告警級別決定是否產(chǎn)生安全任務(wù)單，安全任務(wù)單自動生成， 并根據(jù)告警信息自動填充任務(wù)單的部分內(nèi)容，用于向安全任務(wù)單管理模塊提供數(shù)據(jù)。產(chǎn)生安全任務(wù)單信息包括（但不限于）以下內(nèi)容：告警號發(fā)生時間告警系統(tǒng)具體對象對象類型所屬廠家告警級別告警類型告警原因告警內(nèi)容處理時限參考處理方法處理責(zé)任人；非正常告警處理指當(dāng)系統(tǒng)處于變動時會產(chǎn)生大量告警，此時系統(tǒng)應(yīng)該提供自動或手動的手段對于由于系統(tǒng)變動產(chǎn)生的大量告警進行屏蔽。安全事件統(tǒng)計與分析能夠?qū)Π踩录M行查

15、詢、統(tǒng)計和分析，并提供多種形式的報表功能。提供以下查詢、統(tǒng)計和分析的功能：能從多種角度多種維度對數(shù)據(jù)進行分析；能提供實時分析、歷史分析等分析手段；能對比查詢統(tǒng)計的結(jié)果，分析數(shù)據(jù)的發(fā)展趨勢；能將結(jié)果以圖形方式直方圖、餅圖等或報表方式顯示、打印或轉(zhuǎn)存為 html、Word、Excel 或其它報表方式輸出。報表功能應(yīng)該能夠提供多種形式報表，包括提供給安全管理員、領(lǐng)導(dǎo)使用的報表，也應(yīng)該支持用戶自定義報表。. 設(shè)備集中管理能夠?qū)Π踩O(shè)備和主機設(shè)備的狀態(tài)進行監(jiān)控，并能夠?qū)崿F(xiàn)安全策略的自動分發(fā)和更新。設(shè)備狀態(tài)集中監(jiān)控能夠獲取設(shè)備的當(dāng)前運行的狀態(tài)，在設(shè)備運行狀態(tài)發(fā)生變化時，能夠得到通知，不同設(shè)備需監(jiān)控的狀態(tài)信

16、息不同。流量管理能夠獲取主機、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的網(wǎng)絡(luò)流量，并且能夠?qū)W(wǎng)絡(luò)流量進行分析和統(tǒng)計， 在超過設(shè)定門限時可以產(chǎn)生報警。安全策略集中管理包括安全設(shè)備/軟件的安全策略文件的集中管理，提高安全管理工作效率；有條件的情況下實現(xiàn)各安全產(chǎn)品的安全策略的統(tǒng)一分發(fā)，修正和更新；安全策略文件的統(tǒng)一在/離線管理，定期進行采集和審核，對安全產(chǎn)品的各種屬性和安全策略進行集中的存儲、查詢。主機設(shè)備集中管理能夠?qū)χ鳈C安全策略、補丁進行集中管理，有條件的情況下實現(xiàn)主機安全策略和補丁的統(tǒng)一分發(fā)，修正和更新；安全策略文件和補丁的統(tǒng)一在/離線管理，定期進行安全策略的采集和審核。查詢統(tǒng)計分析對設(shè)備運行狀況、策略分發(fā)、補丁更

17、新等情況的查詢、統(tǒng)計和分析。. 信息安全風(fēng)險管理能夠?qū)π畔①Y產(chǎn)、脆弱性、威脅、風(fēng)險等建立基本信息庫以及風(fēng)險的自動分析，支持企業(yè)進行自評估。資產(chǎn)管理包括資產(chǎn)庫建立、維護脆弱性管理包括漏洞庫的建立、維護威脅管理包括威脅庫的建立、維護風(fēng)險分析風(fēng)險庫的建立和根據(jù)資產(chǎn)、脆弱性、威脅自動進行風(fēng)險計算和分析。安全預(yù)警管理包括安全預(yù)警信息的產(chǎn)生、發(fā)布、維護等。安全預(yù)警信息可以來自第三方服務(wù)商和上級主管單位。安全預(yù)警信息應(yīng)該包括可能影響的資產(chǎn)類型、可能后果和解決方案。安全預(yù)警信息應(yīng)該可以自動和信息資產(chǎn)進行關(guān)聯(lián)，系統(tǒng)能夠自動列出受影響的資產(chǎn)以及影響程度，并自動通知相應(yīng)的系統(tǒng)管理員。系統(tǒng)管理員根據(jù)收到的安全預(yù)警信息

18、進行相應(yīng)的處理，如安裝系統(tǒng)安全補丁。查詢統(tǒng)計分析對資產(chǎn)庫、漏洞庫、威脅庫和風(fēng)險庫的查詢、分析和統(tǒng)計功能，提供多種形式的報表。能夠以資產(chǎn)為主題，查詢出資產(chǎn)的漏洞、威脅及風(fēng)險情況。能夠以漏洞為主題，查詢出具有該漏洞的資產(chǎn)情況。能夠以威脅為主題，查詢出受到該威脅影響的資產(chǎn)情況。. 安全任務(wù)單管理主要實現(xiàn)安全任務(wù)單的產(chǎn)生及處理，并依此實現(xiàn)安全管理人員的工作考核。安全任務(wù)單產(chǎn)生安全任務(wù)單可以手動或者由安全事件觸發(fā)自動產(chǎn)生。安全任務(wù)單處理能夠定義安全任務(wù)單的處理流程，實現(xiàn)對安全任務(wù)單的處理。安全任務(wù)單管理與其它系統(tǒng)接口安全任務(wù)單管理模塊應(yīng)提供和其它系統(tǒng)的接口，如 OA 的接口。工作考核實現(xiàn)對安全管理工作的考核。查詢統(tǒng)計安全任務(wù)單相關(guān)信息的查詢和統(tǒng)計. 安全知識管理安全知識管理包括對補丁知識庫、病毒知識庫的建立和管理以及安全事