SOC-浪潮网泰安全网络监控管理平台技术白皮书v1.0-监控版

SOC-浪潮网泰安全网络监控管理平台技术白皮书v1.0-监控版 版本：V1.0 机密 第 1 页 浪潮安全网络监控管理平台 1 概述 .............................................................................................................................................. 2 1.1 安全管理的问题 .............................................................................................................. 2 1.2 安全管理监控平台 .......................................................................................................... 2 2 浪潮安全网络监控管理平台介绍 .............................................................................................. 4 2.1 浪潮安全监管平台解决的问题 ...................................................................................... 4 2.2 浪潮安全监管系统架构 .................................................................................................. 6 3 浪潮安全监管体系的构成 .......................................................................................................... 7 3.1 浪潮安全监管平台系统模型 .......................................................................................... 7 3.2 浪潮安全监管核心平台 .................................................................................................. 8 3.2.1 集中安全控制台 .................................................................................................. 8 3.2.2 安全事件信息管理中心（EVM） ..................................................................... 9 3.2.3 安全知识库 .......................................................................................................... 9 3.2.4 远程访问客户端 ................................................................................................ 10 3.2.5 信息资产管理 .................................................................................................... 11 3.2.6 安全事件管理 .................................................................................................... 11 3.2.7 信息安全管理审计评估 .................................................................................... 12 3.2.8 提供详尽的安全趋势和现状分析报告 ............................................................ 12 3.3 浪潮安全监管平台的特色 ............................................................................................ 13 4 浪潮安全监管平台运维组织管理 ............................................................................................ 16 4.1 浪潮安全监管平台运维组织架构 ................................................................................ 16 4.2 浪潮安全监管操作流程－SOP体系 ............................................................................ 17 5 浪潮安全监管平台基础环境要求与设备支持清单 ................................................................ 20 5.1 浪潮安全监管平台建设基础环境 ................................................................................ 20 5.2 浪潮安全监控设备支持清单 ........................................................................................ 21 附：浪潮安全服务体系 .................................................................................................................... 25 安全管理监控与外包服务 ........................................................................................................ 25 专业安全咨询服务 .................................................................................................................... 25 机密 第1页 浪潮安全网络监控管理平台 1 1.1 在网络安全形势日益严峻的今天，信息安全已经不是一个新鲜的词汇。为了保障企业网 络的安全畅通，企业和公司一般都在自己的信息网络中配置了防火墙、防病毒、入侵 检测 工程第三方检测合同工程防雷检测合同植筋拉拔检测方案传感器技术课后答案检测机构通用要求培训 等 一系列安全系统设备，相当多的企业也已相继开展和实施了一些安全工程和安全服务工作， 包括风险评估、安全加固等措施，建立了安全组织，规划了安全架构。 然而，随着各项安全工作的深入开展，也发现了许多问题亟待解决。主要问题突出表现 为： , 各种安全设备间缺少信息层互通能力，各自为政。降低了系统整体的运作效率，增 加了安全事件的发现时间和响应时间，总是在安全事件出现后被动处理和补救。 , 事件分析能力不足，事件的检测和报告停留在较为“原始”的数据上，无法提供更 为“信息化”、“知识化”的报告。使许多安全事件得不到挖掘，总犯同样或类似 的错误，同时对安全管理员的技能要求居高不下，增加了企业的成本。 , 许多安全产品的管理能力不足，无法做到大规模部署下的整体监管。从而造成整体 系统产生的数据“条块分割”，不能反映整体大网的安全运行状况和威胁情况。 , 由于安全管理能力不足，安全的 制度 关于办公室下班关闭电源制度矿山事故隐患举报和奖励制度制度下载人事管理制度doc盘点制度下载 不能落实每个角落，产生的数据无法为企业最 高管理层提供准确的决策依据，从而安全体系的建设发展具有相对的盲目性，安全 的对策总是过时。 , 各主机和服务器的系统补丁无法进行统一的管理和升级，总有补不完的漏洞，从而 使各种利用系统漏洞进行攻击的病毒和入侵盛行并造成巨大危害。 , 安全技术手段得不到有效落实。 1.2 越来越多的企业和单位已经意识到，信息安全不仅仅是一个技术问题，而更是一个管理 问题，“三分技术、七分管理”是信息安全的规律。仅依赖于某些安全产品，不可能有效地保 护自己的整体信息安全，信息安全作为一个整体，需要把安全过程中的所有要素：人员、技 术、流程等纳入一个紧密的统一安全管理平台中，才能有效地保障企业的网络安全和保护信机密 第 2 页 浪潮安全网络监控管理平台 息投资，信息安全管理水平的高低是组织的整体的安全管理平台效率间的比较。 在这种形式要求下，安全监控管理平台应运而生，为提高信息安全管理水平提供了全新 的工作模式。 安全监控管理系统，是一种集中安全管理的形式。安全监控系统包含集中安全设备管理、 安全事件信息收集、事件信息关联分析、状态监视、分析报表等重要技术组件；安全管理系 统安全运维工作的平台，包括安全事件处理工单管理、信息资产管理、安全风险分析、基于 ISO/IEC 17799差异审计管理；通过监控与管理工作平台建立一体化的安全体系。 组织、制度、流程、技术是安全体系的组成要素，安全监控管理系统将这些关键因素组 织在一起，大大提高安全水平与安全效率。安全运维人员、应急小组和专家队伍通过系统的 科学的流程控制，及相应的 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 和应急处理流程，安全事件处理流程的设计是建立安全 管理监控系统的关键环节，建立全面的安全管理监控平台是一个庞大和复杂的工作，它包括 了安全产品管理平台、安全监控平台、统一的日志审计平台、安全管理平台、以及安全管理 监控制度体系等。 浪潮通过长期的安全实施和产品集成经验，推出了安全管理监控整体平台，建立了自己 的安全运营中心平台。 机密 第 3 页 浪潮安全网络监控管理平台 2 根据对目前安全管理现状的深入分析和了解，浪潮进一步发展和完善自己原有的安全体 系，并且结合国际先进的IT管理方法和技术标准，设计出完整的安全管理监控的平台，将技 术手段与管理手段进行充分整合，发挥管理平台在网络安全管理的整体优势，充分体现网络 安全管理集中化、层次化、流程化的特点，重点保护客户网络系统的高可用性以及各支撑系 统和业务系统的安全，安全组织高效运作，集中管理企业信息资产，定期进行风险评估，实 施改进控制措施，基于BS7799标准对组织整体的安全管理进行差异性评估分析。 浪潮在安全网络监控管理系统（简称浪潮安全监管系统）的设计上吸取了国内外先进的 安全信息分析技术和安全运营管理系统的经验，并根据一系列国内外安全管理标准和规定， 制定了基于浪潮安全监管系统的安全管理运维流程（简称为 ） 2.1 建设实施浪潮安全监管平台，主要为客户解决了以下几方面的问题： , 通常组织根据信息安全的需求，要求建立完善的安全组织架构、安全技术架构， 而当前一些实施过的安全技术大部分没有100%的发挥作用，安全组织主要由IT维护人 员兼职处理，没有完善的制度与流程约束。浪潮安全管理系统就是建立导入信息安全管 理系统，为组织安全组织运作提供工作平台，实施信息资产管理、组织管理、风险评估， 建立与业务架构一致的安全组织、安全技术架构。定期不定期的基于国际标准的安全风 险评估，为安全建设与安全决策提供依据。 , Operation 信息安全保障能力，不是简单地堆砌技术和产品能够得到的，也不是单一的技术 可以完全实现的，它是由技术、管理、流程等诸多因素通过宏观的监控手段实现的。因 此，安全管理监控的建设不只是产品部署，它需要配套的安全管理操作流程、安全事件 汇报处理响应流程、紧急响应处理流程、业务连续性计划、业务恢复流程等一系列流程。 机密 第 4 页 浪潮安全网络监控管理平台 这些操作流程和制度是整体安全体系的组成部分，且对于安全管理的决策分析和知识经 验都将成为公司管理的重要组成部分。 , 信息安全工作往往需要多个业务部门的共同参与，为迅速解决业务中出现的安全 问题或隐患，提高工作效率，在日常的安全运营体系中必须具备跨部门的协调机制，在 安全管理监控中心成立专职的安全机构，负责牵头、协调、分派、处理信息安全事件， 评估和实施安全措施等。 , 通常大量的安全系统都是逐步独立建设的，比如防病毒系统、防火墙、入侵检测 系统、漏洞扫描系统等，各个系统都有各自独立的部署方式和管理控制台。这种相对独 立的部署方式带来的问题是各个设备独立的配置、各个引擎独立的事件报警，这些分散 独立的安全事件信息难以形成全局的风险观点，导致了安全策略和配置难于统一协调。 这种对于复杂的网络的安全管理正是安全监控的需求根源，也是浪潮安全监管系统着重 解决的问题之一。 , 在各种安全设备和网络、主机系统投入运营后，安全相关的数据量会迅速增加， 形成海量数据和报警事件。如在“冲击波”或蠕虫病毒爆发时，一个省级的电信网络能 够爆发两千万到一亿的事件量。如果缺乏强大的事件关联分析、综合管理能力，就会导 致有些关键的安全信息和告警事件被低价值或无价值的告警信息淹没，一些全局性的、 影响重大的问题将被忽视，从而引发严重的安全事故。流程安全管理监控系统能够使得 整个安全体系的检测能力更加准确，筛选过滤大量无用或低价值报警事件，更加集中于 影响重大的焦点问题。 , 日常的安全运营，是一个知识水平不断积累的过程，必要的知识共享是提升企业 的整体安全管理执行能力的基础。安全管理监控系统具备完整的安全相关的知识库，包 括最新安全知识的收集和共享；最新的漏洞信息和安全技术以及各种安全事件的处理手 段与工具说明等，形成组织内部统一有效的安全信息传输通道，建立安全问题汇报、安 全公告下发、处理和解决反馈的沟通平台。 机密 第 5 页 浪潮安全网络监控管理平台 2.2 图2-1 浪潮安全监管平台架构图 浪潮安全监管系统是为企业建立整体安全管理体系平台，基于六层安全技术管理结构思 想，物理层安全、网络层安全、系统层安全、物理层安全、应用层安全和管理层安全是构建 整体安全体系的技术架构； 三级系统层次架构：数据采集、数据分析、安全业务处理； 以保护信息资产安全为核心，以确保信息资产的保密性、完整性和可用性为目标。 机密 第 6 页 浪潮安全网络监控管理平台 3 安全管理监控系统是一种安全集中管理的形式，它不仅仅是产品在技术（Technology）层面上的功能实现，而是由运维人员、运维流程、制度和技术手段等不同组件充分结合的构 筑的安全运维体系。 浪潮的安全管理监控平台的组成可以表述为： 浪潮安全监管平台，是由安全监控核心平台、安全组织管理平台、安全运维组织架构及 浪潮SOP安全运维操作流程几个组件共同组成，以安全运营中心核心平台组件为技术核心， 以安全运维组织为管理主体。安全运营中心运维流程（SOP）组件为运维管理提供规范和流程。 浪潮SOP是浪潮集中安全管理重要的一个环节，是基于对当前最优流程、最有权威性的 IT管理标准ITIL的深刻理解和实践，以BS7799和信息系统安全等级保护办法为基础，以组 织业务和客户实际需求为出发点设计的标准运维流程。 3.1 浪潮安全监管平台的系统模型如下图所示： 机密 第 7 页 浪潮安全网络监控管理平台 图3-1 浪潮安全监管平台技术模型 3.2 浪潮安全监管的核心平台主要由以下几部分组成： , 集中安全控制台 , 集中事件信息管理中心 , 安全知识库 , 远程访问平台 , 信息资产管理 , 安全事件管理 , 信息安全审计评估 3.2.1 集中安全控制台提供一个图形化的界面，使得所有安全管理与监控的安全配置都可以在 一个平台上实现。控制台功能包括分析、报告、计数与配置等，为安全专家对紧急事件实时 机密 第 8 页 分析提供全套的分析和处理工具。 3.2.2 EVM 浪潮安全网络监控管理平台 IT安全事件信息管理中心主要对不同的事件收集引擎（包括基础事件收集引擎和可定义 的事件引擎两种）所收集的各类安全事件进行分布式的智能分析、过滤，并按照标准格式进 行事件关联分析。主要求和包括： a) EVM首先归并来自安全设备的所有安全数据，这些安全设备包括防火墙、网络IDS,主机IDS，安全应用程序和服务器的日志等。 b) 为分析安全事件，EVM的“规范解码器”将原始数据处理成有意义的有用信息。通过 这个过程，将原始数据转化为TIF（Transportable-Incident-Format）格式。 c) 浪潮安全监管平台以其独特的数据挖掘和关联技术能力，实现三级推理的逻辑信息处理 流程。这种能力可以减少虚假告警，增加对攻击的实时检测能力。通过自动事件关联和基于 经验的自学习，从大量安全设备产生的入侵模式将被立即比较和观测。主要分析工具包括 [ 1] 为提供精确的事故处理，对高质量和低质量两种信息进行过滤的过程。. [ 2] 为增加信息分析的有效性进行信息归类的过程。 1 2 为进行精确决策和质量分析，从相关的安全设备关联和匹配信息的过程。 [ 3] 利用内置的近似人工智能的方法自动处理安全事故的过程。 3.2.3 知识库存储重要的安全事件、分析报告和安全知识等，同时知识库也提供事件处理流程 等信息。 安全知识的共享是安全水平提高的必要基础，浪潮GCC建立完善的、多数据来源的安全 知识库，安全知识库的数据和来源包括： , 安全漏洞：系统预存了3100多种安全漏洞，其中技术类漏洞2600种，管理类漏洞 600多种。每一个漏洞都包含名称、描述、风险级别、演变过程、受影响系统、危害、 详细的解决办法和操作步骤等内容。该漏洞库还提供漏洞信息在线自动更新的功能。 机密 第 9 页 浪潮安全网络监控管理平台 系统能自动下载更新数据，从而在有新的漏洞被发现时，漏洞信息库能得到及时更 新。 , 安全通告：来自浪潮公司提供不定期的安全通告，承诺至少每15天一次，以最快速 度向用户提供最新安全问题和病毒信息，这些通告也可导入知识库。组织自身安全 公告通知可通过安全管理平台向全公司发布； , 案例：所有事件处理表单和处理结果都进入知识库。 , 安全知识：浪潮提供的一些安全知识可以导入信息库。 , 产品资料：产品相关的datasheet、白皮书、用户手册等可以导入知识库。 3.2.4 管理人员可以通过Web方式和应用程序方式远程访问与配置安全监控管理平台。浪潮安 全监控平台的远程访问客户端通过加密通道访问监控控制台，并能够进行图标化趋势分析、 数据分析与调查、安全现状报告查看与制定等操作。 监控平台可以提供远程的监视器，包括两个主要部分： , 远程监视器客户端(基于WEB和基于应用) , 远程监视器服务器端 , 远程监视器客户端允许远程地点、远程办公室和场所能够访问到需要的报告，以及进行 动态的数据分析。安全分析站设在其他的远端位置，能够执行数据分析和用不同格式(XML, Excel, Text, HTML 和PDF)生成可用报告。同样的客户端布置了代理（Agent），可以通过WEB GUI安全的与远程监视器服务器端进行通讯 , 在GCC安装布置远程监视器服务器端。远程监视器服务器端能够提供客户访问控制和报 告访问控制： 1. 实时访问生成报告 2. 实时访问执行动态的数据分析 3. 实时访问生成事件图表 4. 报告访问控制（只有确定的报告能够被经授权的用户访问） 5. 客户访问控制（只有授权的用户能够访问远程监视器服务器端访问GCC平台） 机密 第 10 页 浪潮安全网络监控管理平台 3.2.5 信息是与企业业务相关的有价值的资产，对资产的保护管理，是安全管理工作的核心， 这里包括有形的硬件资产、软件资产还包括无形的信息资产，信息资产的价值对企业越来越 重要；掌握企业核心资产情况，是一件困难的事情，但是又是一件必要的事情。 浪潮安全监管系统实现对所有资产的归类登记、输入、输出，资产属性包括资产的编号、 资产的名称、资产负责人、资产所在位置、资产的类别、资产的状态等信息。支持标准excel 格式资产列表导入功能。 实现对信息资产的审记跟踪，当然信息资产状态发生变化时，对其安全健康状态进行报 警； 实现IT核心资产实现关联查询。提供资产维护、查询管理功能。 对信息资产的管理基于以业务流程为主线的信息资产管理方法，保证所有核心信息资产 都进行了登记。 资产的管理是为基于资产的风险评估服务，本系统支持所有有价资产的登记管理，包括 信息资产，为企业信息安全管理工作提供服务。 3.2.6 安全事件管理模块是ISMS系统的关于安全事件管理部分，为企业安全事件提供统一上报 入口，安全组织根据岗位需要定制事件处理过程，对重大安全事件进行派发，指定责任人进 行处理。责任人根据处理情况填写提交反馈意见及处理结果报告。 根据企业的安全组织架构，进行流程定制，以据自身科学的安全运维经验，建立合理的 安全事件工单管理流程。 实现对安全事件的整个处理过程有全面的日志 记录 混凝土 养护记录下载土方回填监理旁站记录免费下载集备记录下载集备记录下载集备记录下载 ，以用于审计追综及法律需求，动态 的跟踪事件处理状态，通过各种催办、反馈机制保证事件得到处理。 实现安全事件的查询和报告，包括基于事件处理状态的报告、基于事件分类与状态的报 告、基于安全域的统计查询报告、基于资产的事件统计报查询报告、基于时间段的事件统计 查询报告 安全事件的趋势分析是发现安全问题的窗口，系统提供详细的查询统计信息，为决策者 提供相关数据。 机密 第 11 页 浪潮安全网络监控管理平台 3.2.7 审计评估工具提供通过风险评估程序，企业可以针对信息资产辨认相关威胁、定义弱点 及风险级别、评估发生机率、对业务冲击影响进行分析。再制定适当的安全策略与优先级、 选择适当的控制方法有效控制风险。 浪潮安全监管系统提供了一套BS7799专家系统，适用于任何想要以BS7799/ISO17799/CNS17800为标准要求，建设信息安全管理机制的企业。该功能目的是辅助 建立BS7799 ISMS以及后续维护，降低管理成本与执行成效。 通过工具软件的辅助建置企业ISMS，可以依据预先自行定义好的模板，或根据系统模板 贮存库所提供的加以修改，以符合不同企业的需求。 安全管理系统完整保存数据的历史纪录，包括所有ISMS文件、模板数据、规范与标准、修改纪录与版本控制。所建立的文件以树状结构索引连结BS7799相关控制条目，提供控制落实程度的检核使用。 高效率的进行评估与追踪ISMS执行现况，进而实施必要的矫正措施。 图3-2审计评估示意图 3.2.8 除了以上的安全管理、监控和维护功能以外，浪潮安全监管系统相比其他的安全管理（监 控）而言，具有强大的 浪潮能够收集和整理所有的安全事件报告，整理分析，产生针对不同阅读者的专业安全 报表。 机密 第 12 页 浪潮安全网络监控管理平台 安全报表包括了强大的安全趋势分析和安全现状报告功能，能够将一段时期内的整体安 全状况、攻击来源、攻击方式、攻击目标，最多的和最少的攻击排序、IP子网攻击、IP子网攻击目标、设备类型、事件警告类型、事件状况类型和事件的严重性等等做出专业的分析报 告，同时能够预测近一段时间的安全威胁、攻击方式等，进行一系列安全趋势分析，帮助客 户提前做出安全防御准备。对重大安全事件处理过程、处理结果进行跟踪审计。 报告的图例如下图所示： 图3-3安全趋势报告 图3-4 Top10攻击事件总结 3.3 浪潮安全监管平台系统是信息安全管理工作的平台。一种高级的安全管理监控技术，可 监控安全事故发生前、发生时和发生后及处理的情况。它引用了CIESEH（标准安全事件处理推理引擎）技术框架，基于ITIL的流程化管理思路。 浪潮安全监管系统建立标准的安全事件处理备案流程，根据行业管理特色进行流程定制， 机密 第 13 页 浪潮安全网络监控管理平台 建立基于风险控制的信息资产库管理系统、安全风险评估差异分析系统，建立立体的安全技 术与安全管理结合的安全体系。 浪潮安全监管平台是行业领先的信息安全管理监控平台，在所有异构产品和IT安全专业人员之间提供至关重要的整合、正常化和关联层。浪潮SMP可协助IT安全专业人员进行安全事故趋势分析等安全服务，引入对抗机制来抵御攻击，并记录这些事故的证据。 浪潮安全监管系统智能化地将网络内各种安全设备中的安全事故信息集中、关联并优先 化成智能型、可采取措施的信息，并通过中央控制台进行管理。作为一种完全独立于供应商 的技术，浪潮安全监管系统无需任何第三方的软件。 其特色主要体现在以下几个方面： , 浪潮安全监管平台能够实现高度集中的安全管理，实现组织安全管理的统一工作 平台，安全事件处理过程状态监控，对IT设备、网络拓扑的自动发现和监控管理，统 一管理安全事件和日志信息，并对安全系统软件进行集中管理。 , 浪潮安全监控系统采用业界先进的动态事件关联和认知推理技术，智能化过滤和 关联各类安全事件，并通过预置规则和自定义事件关联规则等方式进行主动处理，从而 避免了因海量报警和错误报警信息引发的决策失误。 , 浪潮安全监控的核心平台具有灵活方便的配置管理方式，提供“一屏式”（Single Screen）的监控和分析平台和远程访问平台，极大方便安全管理人员对整个信息系统安 全的控制和把握。 , 浪潮安全监管系统支持现有的国际国内标准和已经在事实上成为行业标准的软件 和技术。同时，广泛支持各厂家的产品。详见后面的SMM设备支持清单。 , 浪潮安全监管系统为用户安全管理人员、技术管理者和高层决策者提供了丰富的 报告模板，能够对安全数据进行实时分析，为用户提供图文并茂、简单有效的数据，且 自动生成安全简报。简报包括日简报、周简报、月简报。简报包括安全状态分析（横向） 和安全趋势分析（纵向），用户可以从不同层次不同角度观察网络的安全状态和趋势。 机密 第 14 页 浪潮安全网络监控管理平台 图3-5 安全趋势图表 , SOP 浪潮安全监管系统不是简单的产品功能实现，而是整个安全运维流程的集中管理。 根据国际通用的IT服务管理最佳实践标准ITIL和安全管理标准BS7799、NIST特别报 告－SP800关于安全管理控制的理论，以及国家制定的等级保护实施条例设计出标准的 安全运维流程，建立安全运行中心。 , 浪潮安全监管系统，在充分利用核心平台对紧急事件的强大处理能力之外，结合多年的 安全事件处理经验和知识库的总结，并充分结合GCC运维流程，设计出完整的紧急事件响应、 上报、通知相关流程，并协助客户建设安全紧急响应队伍，提高事件处理技能，充分保证企 业信息系统的安全稳定运行。 机密 第 15 页 浪潮安全网络监控管理平台 4 4.1 浪潮安全监管体系中一个重要组成部分就是安全运维组织。浪潮安全服务团队经过标准 安全运维服务培训，结合自身丰富的安全运维服务经验，组建了国内最强大的安全服务外包 团队。依据国际化标准优化安全组织体系，针对行业组织特点、网络规模为客户设计最合理 的安全运维组织架构。 作为企业运行环境，浪潮建议的安全监管系统的管理结构如下图所示： A B DBA C D 图4-1 安全运维组织结构图 安全运维组织由四个小组构成：安全专家组、监控运维组、安全支持组、安全协调组。 主要由公司内部及外部经验丰富的网络安全专家、各类系统安全专家、数 据库安全专家、应用系统安全专家、防病毒安全专家以及信息安全专家等构成；是安全监控 机密 第 16 页 浪潮安全网络监控管理平台 管理运维组的重要支撑与技术顾问；负责各类疑难复杂安全事件的分析与处理。专家级成员 对自己所负责的领域非常精通，能够快速定位、分析、处理各类突发事件。 主要由一定数量的安全运维工程师组成，分为几组轮流值班工作，为企业 提供5*8或者7*24*365天的在线监控，其主要职责包括： a) 集中一屏式监控：通过监控台实时监控来自各安全设备的各类安全事件、警报信息。 对经过平台智能分析处理后的安全报警事件，进行简单分析处理，对于重要安全事 件，提交安全事件工单，通知相应专家处理，避免发生安全事故或者事件影响扩大。 b) 事件处理：通过监控操作平台对实时入侵安全事件进行分析，并阻断、瓦解攻击。 c) 安全应急电话处理：实时接听、记录进入呼叫中心的应急电话，并且结合监控平台 的安全知识库第一时间解决处理安全事件。对于无法解决的问题提交给对应的安全 专家处理，处理结果自动添加进入安全知识库。 d) 安全报告生成与分发：根据业务安全需要定期通过安全监管平台生成所需的安全报 告，为企业、客户安全决策提供依据； e) 定期分发安全通告信息； 主要是企业IT管理维护人员，网络管理人员、系统管理人员、应用管理人 员、数据库维护管理人员、设备供应商的技术支持人员等；安全监控运维组人员在监控过程 中如果发现一些问题应该及时与在现场的安全支持组人员联系，双方配合实现信息安全事件 的实时监控、跟踪、发现、处理和响应。 工单管理员主要负责安全事件工单的监控、派发、资源协调等工作，保证 安全事件得到及时妥善处理。外部协调员主要负责与国内、国际CERT组织的沟通与协调；及时在一些重大安全问题和事件上与相关组织交换信息。 4.2 SOP 浪潮根据企业特色，依据国际标准建立最优的安全运营管理体系－SOP体系： 机密 第 17 页 浪潮安全网络监控管理平台 图4-1浪潮SOP体系 1、 安全标准与法律法规：浪潮安全监管平台安全运维流程遵循国际信息安全相关标准、国 家信息安全法律法规、行业信息安全规范；具体包括： a) 风险管理实践规范：ISO 17799或者BS 7799 b) 信息安全管理指南：ISO13335 c) 信息安全技术评估准则：ISO 15408 d) 信息系统安全等级保护管理办法 2、 安全监管平台操作流程或者手册： a) 信息安全风险管理流程 b) 安全审计评估管理流程 c) 运维组织管理流程 d) 运维人员管理制度 e) 安全事件处理管理流程 机密 第 18 页 浪潮安全网络监控管理平台 f) 客户来电处理流程 g) 应急响应流程与预案 h) 安全知识库管理流程 i) …… 只有对信息系统进行长期的精心维护和科学管理，才可能长期维持信息系统的安全。浪 潮安全监管作为一个技术和管理的结合，安全运维管理体系也是必不可少的。为此，浪潮制 定了安全运营管理体系－浪潮SOP体系 客户可以根据实际网络规模、应用状况等具体情况，参考浪潮SOP紧急事件响应与处理规范制定适合自己的处理流程。也可由浪潮提供相应的流程设计服务。 机密 第 19 页 浪潮安全网络监控管理平台 5 5.1 构建浪潮安全监管系统本身是一个庞大的工程，浪潮安全监管平台对基础的 服务器需求并不是很苛刻，但需要按照一下的基本需求 安全控制台： , CPU：奔腾4 – 2.7Ghz主频或更高 , 内存：1GB 至少1台 1 , 操作系统：Microsoft Windows 2000 Professional＋ SP3 , 硬盘：200 MB硬盘空间 事件信息管理中心： , CPU：奔腾4 – 2.7Ghz主频或更高 , 内存：1GB 至少1台 2 , 操作系统：Microsoft Windows 2000 Professional＋ SP4 , 硬盘：40GB硬盘空间 , 网卡：1块100M快速以太网卡 数据库： , CPU：Xeon x 4 – 3.0Ghz主频或更高 , 内存：4GB (至少2GB，同时扩展口以供扩充) , 操作系统：Microsoft Windows 2000 Adv. Server＋ SP3 , 数据库：MS SQL 2000 Enterprise Database ＋最少 5 至少2台 3 CALs(CALs数量取决与访问数据库模块数量) , 硬盘：至少450GB硬盘空间，用RAID 5冗余 , RAID控制接口卡 , 网卡：4块100M快速以太网卡 远程访问客户端： , CPU：奔腾4 – 2.7Ghz主频或更高 , 内存：1GB 可选 4 , 操作系统：Microsoft Windows 2000 Professional＋ SP3 , 硬盘：10GB硬盘空间 远程访问服务器： , CPU：奔腾4 – 2.7Ghz主频或更高 可选 5 , 内存：1GB 机密 第 20 页 浪潮安全网络监控管理平台 , 操作系统：Microsoft Windows 2000 Professional＋ SP3 , 硬盘：120GB硬盘空间 浪潮SMS安全管理系统： , 奔腾4-2.7Ghz超线程及以上 , 最低1GB，另有插槽可进行1GB升级 , 微软Windows2000服务器操作系统+SP4或微软Windows2003服务6 1台 器操作系统 , 微软数据访问组件（MDAC）2.7/2.8 , 1个网络接口卡 , 40GB硬盘空间 说明： 设备选择的硬件配置、硬盘容积等与管理监控系统的规模，以及支持设备的数量等直接 关联。 5.2 浪潮安全监管支持现有的国际国内标准和已经在事实上成为行业标准的软件和技术，同 时广泛支持各安全设备厂家的产品。 多厂家支持 所有产品、设备和应用程序支持UDP日志格式 UDP 多厂家支持 所有产品、设备和应用程序支持TCP日志格式 TCP 浪潮 浪潮系列防火墙 CheckPoint CheckPoint Firewall-1 CheckPoint CheckPoint Firewall-1 NG Axent Raptor Firewall 3Com Model Users 25 / 50 / Pro SonicWall Model Users 25 / 50 / Pro Watchguard All models NetScreen Model 204 / 208 / 50 / 25 / 100 Cisco PIX model 501 / 506 / 515 / 525 / 535 Cyberguard Model FireStar NAI Gauntlet Firewall Sun SunScreen Firewall Prixm Prixm Guard Firewall 机密 第 21 页 Lucent Lucent Managed Firewall 浪潮安全网络监控管理平台 ShoreWall ShoreWall StoneGate StoneGate Firewall Unix Ipchains, Ipfilters Cisco IOS Access Control List logging 所有支持Webtrends日志格式的防火墙 Webtrends 所有支持OPSEC日志格式的防火墙 OPSEC 所有支持SNMP日志格式的防火墙 SNMP 所有支持Syslog日志格式的防火墙 Syslog 所有支持SMTP的防火墙 SMTP 天融信 天融信系列防火墙 IDS ISS Real Secure Host IDS / Server Sensor Symantec Intruder Alert Tripwire Tripwire IDS Symantec ManHunt IDS 所有支持Webtrends日志格式的IDS Webtrends 所有支持OPSEC日志格式的IDS OPSEC 所有支持SNMP日志格式的IDS SNMP 所有支持Syslog日志格式的IDS Syslog 所有支持SMTP的IDS SMTP IDS 浪潮 浪潮系列IDS ISS Real Secure Network Based Sensor Cyclops Cyclops IDS Network Based Sensor Symantec NetProwler IDS NFR NFR network IDS Netscreen OneSecure IDP CA SessionWall IDS Snort Snort IDS Shore ShoreIDS Symantec Manhunt IDS Cisco Cisco Secure IDS / IDS module 所有支持Webtrends日志格式的IDS Webtrends 所有支持OPSEC日志格式的IDS OPSEC 所有支持SNMP日志格式的IDS SNMP 机密 第 22 页 浪潮安全网络监控管理平台 所有支持Syslog日志格式的IDS Syslog 所有支持SMTP的IDS SMTP 启明星辰 VPN 浪潮 浪潮VPN系列产品 Microsoft PPTP-RAS CheckPoint VPN-1 Netscreen Netscreen 所有支持Webtrends日志格式的VPN Webtrends 所有支持OPSEC日志格式的VPN OPSEC 所有支持SNMP日志格式的VPN SNMP 所有支持Syslog日志格式的VPN Syslog 所有支持SMTP的VPN SMTP NT平台的应用程序，服务、系统和安全事件日志 Microsoft Unix HP-UX, AIX, SCO, Linux variants, IRIX, Solaris 所有支持Webtrends日志格式的操作系统和数据库 Webtrends 所有支持SNMP日志格式的操作系统和数据库 SNMP 所有支持Syslog日志格式的操作系统和数据库 Syslog 所有支持SMTP的操作系统和数据库 SMTP 全系列交换机、RAS、路由器和VPN设备 Cisco 所有支持SNMP日志格式的网络设备 SNMP 所有支持Syslog日志格式的网络设备 Syslog 所有支持SMTP的网络设备 SMTP 所有支持Webtrends日志格式的防病毒系统 Webtrends 所有支持SNMP日志格式的防病毒系统 SNMP 所有支持Syslog日志格式的防病毒系统 Syslog 所有支持SMTP的防病毒系统 SMTP 所有支持SNMP日志格式的网络管理系统 SNMP 所有支持Syslog日志格式的网络管理系统 Syslog 所有支持Webtrends日志格式的安全策略管理系统 机密 第 23 页 Webtrends 浪潮安全网络监控管理平台 所有支持SNMP日志格式的安全策略管理系统 SNMP 所有支持Syslog日志格式的安全策略管理系统 Syslog 所有支持SMTP的安全策略管理系统 SMTP WEBProxyMail Apache Web 服务器 Apache IIS Web 服务器 Microsoft Proxy and ISA服务器 Microsoft 所有支持Webtrends日志格式的产品 Webtrends 所有支持SNMP日志格式的产品 SNMP 所有支持Syslog日志格式的产品 Syslog 所有支持SMTP的产品 SMTP 机密 第 24 页 浪潮安全网络监控管理平台 浪潮建立了承接安全管理监控的GCC安全运营中心，为政府、金融、电信等行业提供标 准的安全管理监控服务。 , 7×24小时安全监控与安全管理服务 , 安全加固与优化服务 , 定期安全策略修改和更新 , 紧急响应与处理服务 , 日志分析服务 , 月度安全趋势与现状报告 , 为企业提供专业的信息安全技术指导，根据企业的实际IT应用情况和客观需求，设计出针对性的信息安全基础架构，包括安全技术架构体系、安全管理体系，并给出全局 性的规划性建议，指导企业的整个信息安全的建设过程。 , 对客户的安全策略进行风险评估。根据客户业务需求，总结客户业务模式以及在此 模式下对安全策略的需求，同时总结客户现行的安全策略，对何种资源作了何种保护以 及保护的力度。确定现行安全策略的风险。 , 对客户的IT基础设施进行全面的安全风险评估。了解客户网络拓扑结构、重要服务 器的位置、带宽、 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 、硬件、与Internet 的连接等，确定客户网络系统的安全边界。 对客户的网络、系统、数据库及应用进行风险评估。使用安全漏洞扫描软件对客户 的计算机网络、操作平台、数据库以及具体的应用进行全面的检查，同时配以专家分析， 确定安全风险。 机密 第 25 页