XX单位信息安全管理平台建设解决方案
感染。传统的应用性能管理系统只能告诉客户CPU利用率过高,却不能再深入探究成因。
? 缺乏有效地基于等级保护要求,进行综合安全保护的支撑平台 在等级保护的每一级都有对安全控制的要求,其中,从第三级开始明确要求建立一个集中的安全监控与管理中心,并且要求对流量进行监控,对物理环境进行监控。 而从第二级开始,就要求进行安全审计,尤其是日志审计,以及IP地址管理,还有设备和应用的监控。可以发现,为了达成等级保护的诸多控制要求,即便部署了大量安全设备也是不够的,依然难以有效把控整体网络的安全性,依然说不清当前的安全保障体系是否确实达到了等级保护的要求。
? 网络应用缺乏监控,工作效率无法提高
上网聊天、网络游戏等行为严重影响工作效率,利用QQ,MSN,ICQ 这类即时通讯工具来传播病毒,已经成为新病毒的流行趋势;使用BitTorrent、电驴等工具疯狂下载电影、游戏、软件等大型文件,关键业务应用系统带宽无法保证。
? 缺少针对不同安全事件的关联分析手段
外部入侵和内部违规行为从来都不是单一的行为,都是有时序或者逻辑上的联系的,黑客的攻击一定是分为若干步骤的,每个步骤都会在不同的设备和系统上留下蛛丝马迹,单看某个设备的日志可能无法发现问题
? 缺乏便捷、高效、可视的安全事件分析手段
大部分网络设备、主机设备、数据库产生的安全事件记录都保存在文本格式的文件中,出现安全问题时面对成千上万条日志记录,无法快速、准确的定位出现问题的原因。
三. 信息安全管理平台需求分析
从上面分析得出,XX单位网络安全管理需求主要包括:
? 全面的IT 计算环境运行监控
能够管理IT计算环境中的所有网络设备、安全设备、主机和服务器、服务和应用系统,以及机房设备,为用户提供一个全方位监控的统一管理平台,使
安全源于管理 管理驱动安全 第 5页 共29页
XX单位信息安全管理平台建设解决方案
得管理员通过一个单一控制台就能够进行实时全网监控,确保企业和组织IT计算环境基础设施的可用性,以及业务的持续性。 ? 可视化的监控管理手段
针对IT计算环境的统一监控,必然会收集并呈现大量的信息。如果将这些信息进行有效的组织,呈现给管理员,并真正提升他们的管理效率是十分关键的。
? 快速定位业务节点故障
网络节点出现故障时,系统将会产生告警事件,同时拓扑图中的设备图标也会显示故障状态;当一个管理子图发生设备故障时,子图图标也会发生相应改变,因此管理员可以根据子图快速定位故障。
对于应用系统和机房环境的监控,管理员可以自定义监控指标的阈值,监控的时间间隔,监控的描述和告警方式,通过接收告警信息,管理员可以快速了解问题所在,及时采取措施。 ? 及时发现网络流量异常
管理员可以对重点设备的重点端口配置流量监控,并且可以配置阈值告警,当出现流量异常时及时通知管理员。 ? 统一安全事件监控、态势感知
能够实时不间断地将来自不同厂商的安全设备、网络设备、主机、操作系统、用户业务系统的日志、警报等信息汇集到管理中心,实现海量信息的集中分析,进行统一的安全事态监控和态势感知,消除安全防御的孤岛。 ? 实时安全事件关联分析
能够实时地对采集到的不同类型的信息进行关联分析、最大程度地消除误报和错报、找出漏报,协助安全管理人员迅速准确地识别安全事故,消除了管理员在多个控制台之间来回切换的烦恼,同时提高工作效率。通过事件关联分析,客户可以实现从单点被动防御到全面主动防御的转变。 ? 便捷、高效、可视化的事件分析 ? 符合等级保护的安全合规审计要求
安全源于管理 管理驱动安全 第 6页 共29页
XX单位信息安全管理平台建设解决方案
提供一套基于信息系统等级保护基本要求的合规审计包。该审计包按照等级保护的基本技术要求,针对二级以上的系统建立了一套规则库、合规检查频道和场景、报表模板。
四. 信息安全管理平台建设解决方案
面对XX单位信息安全管理现状与存在的问题,本方案推荐使用网御神州“SecFox-SNI”计算环境综合监控平台及“SecFox-SIM”安全信息管理系统来构建XX单位的信息安全管理平台。以实现统一的信息安全管理为出发点,从全面的IT 计算环境运行监控、快速定位业务节点故障、统一安全事件监控、态势感知、实时安全事件关联分析等多个角度构建一套完整的信息安全管理平台,通过技术手段全面贯彻落实单位的安全管理策略。
4.1 SecFox-SNI系统部署说明
在XX单位省中心及管辖的各市州中心部署分别部署一套“SecFox-SNI”系统。
SecFox-SNI运行的网络环境有如下要求: ? TCP/IP网络环境。
? 网络管理服务器需要开放相关管理端口。 ? 需要相关管理设备支持SNMP协议和Syslog协议。
SecFox-SNI可应用于大中小各类型企事业单位,其办公地点可能分布在许多地方,他们的业务系统需要跨越不同的局域网段来部署。它可以将关键设备的运行管理权利集中到一起,通过统一的安全管理系统,将分散在各地区、不同业务网络上面的各种设备节点有机的结成一个整体。
安全源于管理 管理驱动安全 第 7页 共29页
XX单位信息安全管理平台建设解决方案
对于大型、全国性的、分级的网络环境,SecFox-SNI可以进行级联部署,多个SecFox-SNI管理分支可以统一接入到一个主SecFox-SNI管理中心。
4.2 SecFox-SIM系统部署说明
在XX单位省中心节点部署一套“SecFox-SIM”系统
SecFox-SIM可应用于大中小各类型企事业单位,其办公地点可能分布在许多地方,他们的业务系统需要跨越不同的局域网段来部署。典型的,SecFox-SIM管理中心服务器放置在网管中心或者安全中心,管理员通过浏览器可以从任何位置登录管理中心服务器,进行各项操作,如下图所示:
安全源于管理 管理驱动安全 第 8页 共29页
XX单位信息安全管理平台建设解决方案
4.3 “SecFox-SNI”产品功能
4.3.1 资产管理
资产是IT计算环境的基本元素,是信息安全的保护对象,也是本系统的监控对象。SecFox-SNI为管理员提供了一个管理各类待监控设备的资产库。
资产管理可以标明企业和组织关键业务路径上的各资产等级,在对成百上千个监控指标进行监控时,可以分清告警信息处理的轻重缓急,按资产等级排列事件处理顺序。
4.3.2 网络拓扑管理
SecFox-SNI的拓扑和服务感知引擎(Topology and Service Awareness Engine)能够针对不同拓扑结构类型(大中型骨干网络、中小型局域网络)采用相适应的算法进行快速自动拓扑发现,并自动绘制网络拓扑图。拓扑管理为客户提供了一幅IT计算环境的总览图,直观地给出了整个网络中网络设备、安
安全源于管理 管理驱动安全 第 9页 共29页