CTV安全管理与综合审计系统招标技术-v1.0C.docx

敏感信息 注意必威体育官网网址2010年6月4日目录1项目背景12建设目标13建设原则14系统模块25技术指标35.1安全风险收集35.1.1日志信息收集35.1.2资产信息收集65.1.3漏洞信息收集75.2安全风险分析85.2.1关联分析机制85.2.2关联分析对象105.2.3关联分析策略115.3安全风险监控115.3.1管理方式115.3.2监控展现125.3.3安全报表145.4安全风险响应165.4.1安全工单管理165.4.2事件批注管理165.4.3安全通告管理165.4.4告警响应管理175.4.5响应程序管理175.4.6安全知识管理185.5综合日志管理185.5.1存储管理185.5.2查询分析185.5.3访问安全195.6系统支撑195.6.1部署方式195.6.2系统安全195.6.3数据存储205.6.4性能要求20项目背景建设目标建安全信息监管的功能框架实现信息系统安全相关日志的集中完成资产安全数据采集管理收集安全设备、网络设备、主机等资产的安全事件实现综合安全事件的关联分析实现安全风险的计算和综合呈现建立初步的安全知识体系和预警应急体系建设原则系统模块安全管理与综合审计系统由如下模块组成：模块名称说明数量备注安全事件收集模块负责收集各个设备和应用的日志，并完成事件的格式化和标准化等工作，实现广泛的设备支持。收集模块通过有效地传输、加密、压缩等控制机制，保证安全信息收集和传输的可靠性、完整性、安全性等。10支持SYSLOG、SNMP、文件、JDBC、ODBC、XML、LEA等常见日志收集方式，支持Windows、AIX、Linux、Unix等系统核心处理模块负责对收集的风险信息进行综合的分析和监控，提供资产管理、关联分析、风险展现、事故响应、报表统计等功能。1支持Windows、AIX、Linux、Unix等系统环境数据库模块集中存储所有收集的事件，以及所有安全管理配置信息，如系统用户、组、许可、定义的规则、域、资产、报告、显示和参数选择等1支持Windows、AIX、Linux、Unix等系统环境门户展现模块主要通过提供特定的HTTPS服务，以便授权的管理员或用户访问通过B/S方式监控系统的安全状况。1支持IE6以上浏览器控制台管理模块提供C/S管理方式，供一线监控人员使用。主要是对所监控的安全信息进行实时监控，同时负责对系统进行安全管理策略的调整。1支持Windows、Linux、MacOS等系统环境综合日志管理模块用户长期存储安全事件日志，供快速减速和报表统计1有效数据存储不低于10TB技术指标安全风险收集安全风险收集包括：日志信息收集、资产信息收集和漏洞信息收集。日志信息收集日志反应了安全事件的活动，因此日志是整个安全管理与综合审计系统的数据基础，要实现分析和审计，日志必须进行统一的格式化和标准化。该过程对风险分析的数据信息是否完整、是否清晰、是否影响原有网络性能等起到至关重要的作用，因此日志收集管理应具备如下功能或要求：充分性收集方式支持事件日志收集应支持以下收集方式：文本、UDP Syslog、TCP Syslog、SNMP Trap、JDBC/ODBC、XML、LEA等。设备产品支持设备日志收集缺省应支持绝大多数主流厂商产品的日志收集，包括：路由器、交换机、IDS/IPS、防火墙、网络流量分析、操作系统、应用系统、应用交付、VPN、集成网关、数据库审计、操作行为审计、日志管理系统、漏洞评估系统和邮件系统等。可读性日志字段标准化为提高日志信息的可读性，便于日志监控分析、关联事件告警、安全分析查询和数据报表统计，原始的事件日志信息必须进行格式化。系统应使用一种统一的格式对日志信息进行描述。日志数据的可读性、可用性很大程度上取决于日志字段格式化的粒度。日志字段标准化果应至少包括：时间戳、网络会话、用户、资源和设备相关信息以及用户自定义的信息等。日志分类标准化为进一步提高日志信息的“含金量”，系统应支持对日志信息进行知识分类——日志分类标准化。经过标准化后的日志信息将大大降低关联分析对设备、产品品牌和型号的依赖性，为实现跨设备的异构事件分析提供重要数据基础。日志分类标准化结果应至少包含以下信息：信息产生源设备类型、安全事件所针对的对象、安全事件所描述的行为、攻击事件采用的技术手段、事件发生的结果、事件产生的影响等。可靠性带宽控制新增的日志收集和传输必定会对现有的网络和系统造成新的负担。系统不能因为进行安全事件分析而影响现有业务应用，因此日志收集和传输过程中必须采用有效的带宽控制技术，确保将日志传输对网络带宽的影响降到最低。日志收集模块应具备该技术以及相关控制参数的配置管理界面。数据压缩数据压缩既能降低传输网络带宽占用，也能提高安全事件的传输速度；因此，除了具备相关的带宽控制技术以外，系统在日志传输