天融信网络安全专家服务白皮书

1术语定义

网络安全专家服务系统：是实现网络安全管理的技术支撑平台，以风险管理为核心作用，为安全服务和管理提供支撑。

监控对象：是对网络安全专家服务系统实施风险管理的对象的统称，包括：安全设备、网络设备、应用系统、主机、数据和信息。

安全事件：由计算机信息系统或网络中的各种计算机设备发现并记录下的可疑活动。

安全威胁：是对系统、组织及安全对象构成潜在破坏能力的可能性因素或事件。

脆弱性：存在于被威胁的客体上，可被威胁利用而导致安全性问题。

安全风险：即存在由一种特定的威胁利用脆弱性而引起信息丢失甚至损害一个或一组安全对象的可能性。

2网络安全专家服务产生背景

2.1用户信息系统安全面临的挑战

当今，几乎所有行业的用户业务都是建立在网络应用的基础之上。互联网应用与业务的融合给用户带来了效率提升和持续竞争力，然而互联网与业务结合同样具有潜在的风险。任何细微的变故，都有可能导致业务流程完全失效。信息系统在给电子政务、电子商务带来

了高效和便捷的优越性同时，同样给外部和内部利用信息系统犯罪带来了容易性和隐蔽性。黑客、蠕虫病毒、后门漏洞等安全威胁的存在，使得用户的关键业务暴露在危险之中。其中问题集中体现在：

⏹众多安全设备缺乏有效的统一管理

⏹安全运维能力不足，5*8小时外的安全事件无暇顾及

⏹信息安全产品更新太快，信息安全系统建设投入太大

⏹缺乏专业的安全研究团队

⏹突发安全事件的应急处理能力不足

⏹海量日志需要统一存储审计

2.2天融信网络安全专家服务的产生

网络安全专家服务是天融信针对安全设备统一管理、5*8小时外的安全运维、突发安全事件处理等安全问题而推出的专业安全服务产品。

天融信与中国电信、中国联通合作，建立了安全监控运营中心，打造了一支专业化的安全运营团队，由经验丰富的安全专家为用户提供服务。同时与国家计算机网络应急技术处理协调中心（CNCERT/CC）等权威单位合作，利用国家级监管单位及电信运营商独有的网络资源，为用户提供更高级别的服务。

3网络安全专家服务介绍

3.1服务定义

天融信网络安全专家服务，是利用天融信的安全运营服务系统，结合先进的技术平台、经验丰富的安全运营团队、成熟的服务管理体系，依托来自国家监管机构的权威分析数据，为政府、金融、企业等行业客户的广域网络和互联网接入（包括客户的安全设备、网络设备及应用系统在内）提供统一安全管理和安全保障服务。

3.2适用范围

面向使用互联网接入业务的政企事业单位和金融机构客户。可对广域网以及互联网接入的客户网络和重要应用系统设备进行安全事件实时监控管理、安全威胁分析处理，为客户提供整体安全防护体系，

实现统一安全管理。

目前“网络安全专家服务”可监控管理的客户端设备包括：➢安全设备：防火墙、IPS/IDS、安全网关、安全审计、上网行为管理等；

➢应用系统： WEB应用服务器、邮件服务器、数据库服务器；4网络安全专家服务功能

4.1网络安全监控服务

4.1.1服务说明

天融信网络安全监控服务对用户网络中的安全设备、WEB应用系统的日志信息进行实时收集、监控与分析，对用户网络面临的安全威胁进行分析，及时、准确的发现DDoS攻击、蠕虫病毒、黑客入侵、扫描渗透、暴力破解、非法访问、非法外联等网络安全事件。

4.1.2服务内容

4.1.3服务级别

天融信网络安全监控服务提供基本服务包和增强服务包两种服务，如下表：

4.1.4服务实现方式

4.1.4.1系统架构

天融信“网络安全监控服务”业务通过天融信安全运营中心的网络安全专家服务系统实现。网络安全专家服务系统由四个部分组成：数据采集子系统、运营服务核心平台子系统、客户服务支撑子系统、专家团队子系统。

图1 网络安全专家服务系统

（一）数据采集子系统部署在用户网络端，负责从客户网络的安全监控对象上采集日志数据，并将预处理后的数据信息以加密方式发送至“网络安全专家服务”核心平台进行分析。具体部署方式参见下节“业务接入方式”。

（二）运营服务核心平台子系统部署在电信IDC机房，对采集

到的日志信息进行智能分析，以安全风险管理为核心，实现安全对象管理、安全事件管理、系统脆弱性管理，将发现的高危安全事件生成预警信息通知到客户服务支撑系统。

（三）客户服务支撑子系统定期向用户报送安全报表和安全通告，在发生高危安全事件时向用户提供预警，为用户提供专家级的安全解决方案和安全响应、安全咨询服务。

（四）安全专家团队子系统包括安全运维人员、安全分析人员、安全专家组、现场服务人员。安全专家团队负责对安全事件进行实时监控与分析，帮助用户发现真正有威胁的安全事件。

4.1.4.2接入方式

天融信网络安全监控服务通过数据采集子系统实现客户业务接入。本业务提供三种接入方式供客户选择，包括代理服务器形式、软件安装形式和硬件采集设备形式。

1、代理服务器形式

在客户网络内一台“网络安全监控服务”专用服务器上安装代理软件，部署为监控代理服务器。监控代理服务器硬件要求：内存2G 以上，空闲磁盘空间100G以上，intel双核处理器主频2.4GHz以上，1000M以太网卡。软件要求：windows xp/2000/2003企业版或支持Java的商业版Linux操作系统，需配备1.6及以上版本java虚拟机（JVM）。

客户网络内需要监控的安全设备、应用系统等如具备主动日志发

送功能，则在监控对象上进行相应配置，由监控对象主动将日志发送至监控代理服务器。如监控对象不具备主动日志发送功能，则需要采用后两种接入方式为用户提供服务。

监控代理服务器须保证与监控对象间网络可达，与运营服务核心平台间网络可达。如下图所示：

图2 代理服务器方式客户接入

2、软件安装形式

对于客户网络中不具备主动日志发送功能的监控对象，则需要在监控对象中安装代理软件，由监控代理软件将日志信息发送至运营服务核心平台。如下图所示：