信息安全综合管理与监控平台技术规范

信息安全综合管理与监控平台
技术规范
目录
1.概述 (1)
2.信息安全综合管理与监控平台监控管理范围 (1)
3.信息安全综合管理与监控平台功能要求 (1)
3.1.安全事件管理 (2)
3.1.1.安全事件采集 (2)
3.1.2.安全事件过滤 (3)
3.1.3.安全事件关联 (3)
3.1.4.安全事件实时告警 (4)
3.1.5.安全事件告警处理 (4)
3.1.6.安全事件统计与分析 (5)
3.2.设备集中管理 (6)
3.2.1.设备状态集中监控 (6)
3.2.2.流量管理 (6)
3.2.3.安全策略集中管理 (6)
3.2.4.主机设备集中管理 (6)
3.2.5.查询统计分析 (6)
3.3.信息安全风险管理 (7)
3.3.1.资产管理 (7)
3.3.2.脆弱性管理 (7)
3.3.3.威胁管理 (7)
3.3.4.风险分析 (7)
3.3.5.安全预警管理 (7)
3.3.6.查询统计分析 (7)
3.4.安全任务单管理 (8)
3.4.1.安全任务单产生 (8)
3.4.2.安全任务单处理 (8)
3.4.3.安全任务单管理与其它系统接口 (8)
3.4.4.工作考核 (8)
3.4.5.查询统计 (8)
3.5.安全知识管理 (8)
3.5.1.补丁知识库 (8)
3.5.2.病毒知识库 (8)
3.5.3.安全事件分类定级 (9)
3.5.4.安全事件公告 (9)
3.5.5.安全事件处理经验库 (9)
3.5.6.安全技术和管理知识库 (9)
3.6.系统接口 (9)
4.信息安全综合管理与监控平台性能要求 (9)
1.概述
信息安全综合管理与监控平台能够采集来自所有安全产品和非安全产品的事件信息，对安全事件进行过滤、关联分析和告警，并为企业提供风险管理的自动化手段。

信息安全综合管理与监控平台将安全运行管理和安全技术进行结合，能够规范安全管理工作，全面掌握安全状况。

信息安全综合管理与监控平台逻辑结构如下：
2.信息安全综合管理与监控平台监控管理范围
信息安全综合管理与监控平台监控管理的范围包括：系统内部署的各种安全产品、主机与网络设备、数据库系统与应用系统、桌面系统等，其中各种安全产品和系统包括防火墙、IDS、安全文件网关、VPN、防病毒系统、审计系统、访问控制系统、用户集中管理和认证系统等安全设备/软件。

3.信息安全综合管理与监控平台功能要求
信息安全综合管理与监控平台功能要求定义了对信息安全综合管理与监控平台功能上的要求，分为安全事件管理、设备集中管理、信息安全风险管理、安全任务单管理、安全知识管理等几个部分。

3.1 . 安全事件管理
通过采集、过滤、汇聚、关联分析等手段充分缩减大型信息系统中海量的安全事件信息，并对安全事件进行严重性排序，优先呈现和处理严重性级别较高的安全事件，以便了解系统实时的安全事件状况。

关注的事件类型主要是攻击行为、异常活动和状态、病毒以及安全告警等。

3.1.1.安全事件采集
安全事件采集包括对环境安全事件采集、安全设备/软件事件采集、网络设备安全事件采集、主机事件采集、应用系统安全事件采集、数据库系统安全事件采集等。

3.1.1.1. 环境监控
物理环境安全是信息安全的一个重要组成部分。

有必要在信息安全综合管理与监控平台中对环境进行监控。

环境监控模块包括图像监控、门禁管理、温度/湿度/水位/烟感等信息的采集和管理。

3.1.1.2. 安全设备/软件事件采集
能够对防火墙、IDS、横向隔离设备、纵向加密设备、VPN、安全文件网关设备、防病毒系统、审计系统、访问控制系统、用户集中管理和认证系统等安全设备/软件产生的事件的采集和存储。

3.1.1.3. 网络设备安全事件采集
能够对网络设备产生的安全事件进行采集和存储。

3.1.1.
4. 主机事件采集
能够对主机CPU 负荷、内存使用率、硬盘使用率及操作系统安全事件等事件进行采集和存储。

3.1.1.5. 桌面系统监控
能够对桌面系统进行监控，包括桌面系统的网络行为监控、文件访问行为监控、应用程序安装/运行监控，应用系统访问控制等。

3.1.1.6. 应用系统安全事件采集
能够对应用系统产生的安全事件进行采集和存储。

3.1.1.7. 基础平台安全事件采集
能够对数据库、中间件等产生的安全事件进行采集和存储。

3.1.2.安全事件过滤
能够对采集到的数据进行过滤缩减安全事件数量，包括：
a)过滤掉严重程度较低的原始事件信息；
b)通过指定事件影响的设备、事件采用协议、事件类别、事件标题等事件属性进行过滤。

c)应能对事件数据过滤的开启状态进行手工设定。

3.1.3.安全事件关联
信息安全综合管理与监控平台应具有安全事件关联功能，来深度挖掘安全隐患、判断安全
事件的严重程度。

信息安全综合管理与监控平台确定的关联性事件，不仅要有自身的内容，还必须可以关联
查询到触发该事件产生的所有的原始事件。

具体安全事件关联方式包括：
a)基于规则的关联分析：将可疑的安全活动场景（暗示某潜在安全攻击行为的一系列
安全事件序列）加以预先定义。

系统能够使用定义好的关联性规则表达式，对收集到
的安全事件进行检查，确定该事件是否和特定的规则匹配。

1)至少应能够对以下安全活动场景预先定义关联规则：
——DDOS 攻击
——缓冲区溢出攻击
——网络蠕虫
——邮件病毒
——垃圾邮件
——电子欺骗
——非授权访问
——企图入侵行为
——木马
——非法扫描
——可疑 URL
2)具备自定义网络安全攻击行为功能，可以通过可视化的流程图的定义某种网络攻
击行为；
3)可根据安全事件发生的因果关系，进行逻辑上关联分析。

4)给出事件关联相关度的定量分析；
5)可根据网络安全的动态情况，自适应过滤相关度较低的事件；
6)提供多种事件关联规则定义的方式，既包括通过简单明了的向导创建关联性规则，
也可以允许用户使用类似脚本语言的方式；
7)关联性规则表达式应该支持规则的多级嵌套，前一规则输出作为后一规则的输入，
以及规则之间的并集和交集处理
8)关联性规则应该具有良好的移植性，可以按照特定的文件格式，如 XML，导入
和导出。

b)基于统计的关联分析：定义一些大的安全事件类别，对每个类别的事件设定一个合理
的阀值，将出现的事件先归类，然后进行缓存和计数，当在某一段时间内，计数达到
该阀值，可以产生一个级别更高的安全事件。

c)基于资产的关联分析：安全事件应能与相关资产的敏感性以及相关资产上的漏洞进行
关联，从而判断某个安全事件是否能造成不良影响以及造成不良影响的严重程度。

例如：某个安全事件在某个资产上发生，并且正好与此资产上的一个或多个漏洞有关联
关系，则可以判断此安全事件将对此资产产生一定不良影响；另外此事件利用资产上漏
洞产生的影响可能侧重在某个方面，比如对资产可用性影响非常大，而此资产恰恰对
可用性要求非常高，那么可以确定此安全事件将对此资产造成巨大的不良影响，属于非
常严重的安全事件；
3.1.
4.安全事件实时告警
能够对安全事件进行实时监控，并以多种方式进行不同级别告警安全事件的呈现。

可以按照以下条件定制组合监控策略：
a)监控对象
b)事件类型
c)紧急程度
d)发生时间
e)攻击事件的发生源地址
f)攻击事件的目标地址
g)通信协议类型
h)事件刷新的时间间隔
i)用户自定义
能够采用多种方式对安全事件过滤后进行安全事件告警。

能够按照多种方式展现告警信息，比如屏幕显示、声音、短消息等方式。

3.1.5.安全事件告警处理
包括告警确认与清除、产生安全任务单、非正常告警处理等功能。

告警确认包括自动确认和手动确认两种方式。

a)告警自动确认指的是当安全事件采集上来后，信息安全综合管理与监控平台根据条件
（自动确认告警的条件可由用户进行定制）对其进行告警自动确认。

b)告警手动确认指的是信息安全综合管理与监控平台能支持操作员根据事件源、事件级
别、事件状态、事件类型、事件产生时间等组合条件对事件信息进行手动告警确认，
同时记录手动确认者的身份。

告警清除功能，包括自动清除和手动清除两种方式。

a)告警自动清除包括两种情况：一种是被管系统的安全事件解决后，被管系统向信息安
全综合管理与监控平台上报告警清除通知，信息安全综合管理与监控平台根据收到的
告警清除通知清除相应的告警；另一种是信息安全综合管理与监控平台根据告警相关性
设置（相关性条件可由用户进行设置）决定是否将与某个已清除的告警相关的其他
低级别告警同时自动清除。

b)告警手动清除指的是信息安全综合管理与监控平台能支持操作员根据事件源、事件级
别、事件状态、事件类型、事件产生时间等组合条件对事件告警进行手工清除，同
时记录手动清除者的身份。

产生安全任务单指系统按照告警级别决定是否产生安全任务单，安全任务单自动生成，并根据告警信息自动填充任务单的部分内容，用于向安全任务单管理模块提供数据。

产生安全任务单信息包括（但不限于）以下内容：
a)告警号
b)发生时间
c)告警系统
d)具体对象
e)对象类型
f)所属厂家
g)告警级别
h)告警类型
i)告警原因
j)告警内容
k)处理时限
l)参考处理方法
m)处理责任人；
非正常告警处理指当系统处于变动时会产生大量告警，此时系统应该提供自动或手动的手段对于由于系统变动产生的大量告警进行屏蔽。

3.1.6.安全事件统计与分析
能够对安全事件进行查询、统计和分析，并提供多种形式的报表功能。

提供以下查询、统计和分析的功能：
a)能从多种角度多种维度对数据进行分析；
b)能提供实时分析、历史分析等分析手段；
c)能对比查询统计的结果，分析数据的发展趋势；
d)能将结果以图形方式〈直方图、饼图等〉或报表方式显示、打印或转存为 html、
Word、Excel 或其它报表方式输出。

报表功能应该能够提供多种形式报表，包括提供给安全管理员、领导使用的报表，也应该支持用户自定义报表。

3.2 . 设备集中管理
能够对安全设备和主机设备的状态进行监控，并能够实现安全策略的自动分发和更新。

3.2.1.设备状态集中监控
能够获取设备的当前运行的状态，在设备运行状态发生变化时，能够得到通知，不同设备需监控的状态信息不同。

3.2.2.流量管理
能够获取主机、网络设备、安全设备的网络流量，并且能够对网络流量进行分析和统计，在超过设定门限时可以产生报警。

3.2.3.安全策略集中管理
包括安全设备/软件的安全策略文件的集中管理，提高安全管理工作效率；有条件的情况下实现各安全产品的安全策略的统一分发，修正和更新；安全策略文件的统一在/离线管理，定期进行采集和审核，对安全产品的各种属性和安全策略进行集中的存储、查询。

3.2.
4.主机设备集中管理
能够对主机安全策略、补丁进行集中管理，有条件的情况下实现主机安全策略和补丁的统一分发，修正和更新；安全策略文件和补丁的统一在/离线管理，定期进行安全策略的采集和审核。

3.2.5.查询统计分析
对设备运行状况、策略分发、补丁更新等情况的查询、统计和分析。

3.3 . 信息安全风险管理
能够对信息资产、脆弱性、威胁、风险等建立基本信息库以及风险的自动分析，支持企业进行自评估。

3.3.1.资产管理
包括资产库建立、维护
3.3.2.脆弱性管理
包括漏洞库的建立、维护
3.3.3.威胁管理
包括威胁库的建立、维护
3.3.
4.风险分析
风险库的建立和根据资产、脆弱性、威胁自动进行风险计算和分析。

3.3.5.安全预警管理
包括安全预警信息的产生、发布、维护等。

安全预警信息可以来自第三方服务商和上级主管单位。

安全预警信息应该包括可能影响的资产类型、可能后果和解决方案。

安全预警信息应该可以自动和信息资产进行关联，系统能够自动列出受影响的资产以及影响程度，并自动通知相应的系统管理员。

系统管理员根据收到的安全预警信息进行相应的处理，如安装系统安全补丁。

3.3.6.查询统计分析
对资产库、漏洞库、威胁库和风险库的查询、分析和统计功能，提供多种形式的报表。

能够以资产为主题，查询出资产的漏洞、威胁及风险情况。

能够以漏洞为主题，查询出具有该漏洞的资产情况。

能够以威胁为主题，查询出受到该威胁影响的资产情况。

3.4 . 安全任务单管理
主要实现安全任务单的产生及处理，并依此实现安全管理人员的工作考核。

3.4.1.安全任务单产生
安全任务单可以手动或者由安全事件触发自动产生。

3.4.2.安全任务单处理
能够定义安全任务单的处理流程，实现对安全任务单的处理。

3.4.3.安全任务单管理与其它系统接口
安全任务单管理模块应提供和其它系统的接口，如OA 的接口。

3.4.4.工作考核
实现对安全管理工作的考核。

3.4.5.查询统计
安全任务单相关信息的查询和统计
3.5 . 安全知识管理
安全知识管理包括对补丁知识库、病毒知识库的建立和管理以及安全事件发布和安全知识的培训和考试。

3.5.1.补丁知识库
补丁知识库的建立和维护
3.5.2.病毒知识库
病毒知识库的建立和维护
信息安全综合管理与监控平台技术规范V1.0
3.5.3.安全事件分类定级
对安全事件进行分类和定级。

3.5.
4.安全事件公告
安全事件的发布。

3.5.5.安全事件处理经验库
安全事件处理经验库的建立和维护。

包括产生的典型案例和历史处理纪录，由安全任务单管理产生的“安全案例处理记录”构成，记录中应至少包括以下信息：
1)安全问题的发生时间
2)现象详细描述
3)详细原因分析
4)详细的处理措施和结果
5)安全处理报告
6)安全任务单的派单人和责任人
7)安全任务单的直接处理人
安全事件处理经验库可以给安全管理人员提供已有安全事件处理的经验，当安全管理人员在遇到类似安全事件时可以依据经验库中的处理方式进行处理。

3.5.6.安全技术和管理知识库
建立安全技术和管理知识库，包括安全工具配置与使用；安全手段与技巧、安全技术文献、安全技术原理、安全管理实践、安全产品、安全解决方案、安全标准规范等；
3.6 . 系统接口
系统设计时需要考虑纵向和横向的接口，需要定义统一的接口标准，以支持信息安全综合管理与监控平台的分布式部署以及与其他系统的信息交互。

4.信息安全综合管理与监控平台性能要求
企业越是在遭到攻击、产生大量安全事件和网络负载时越需要信息安全综合管理与监控平台提供的服务，所以平台的性能应该能够满足较极端情况下，大量信息安全事件和网络负载时平台正常运行的要求。

安全事件处理能力：每分钟10000 条最
大数据存储处理能力：100,000,000 条最
大响应时间：10 秒
第9 页共9 页。