神州数码安全的管理平台技术白皮书.doc

神州数码安全管理平台 技术白皮书 神州数码（合肥）有限公司 2009年5月 第一章 前言 3 第二章 系统结构 4 第三章 神州数码安全管理平台（SOC）功能概述 4 3.1 基础安全管理 5 3.1.1资产管理模块 5 3.1.2策略管理模块 7 3.1.3安全知识库管理 12 3.1.4安全公告模块 13 3.2 安全风险管理 13 3.2.1 事件管理中心 13 3.2.2 风险管理中心 14 3.2.3 安全扫描管理 19 3.3 安全评价管理 19 3.3.1安全工作评价 19 3.3.2安全现状评价 21 3.3.3生产性评价 22 3.3.4综合评价 24 3.4 安全工单系统 27 3.4.1派发工单 27 3.4.2移交工单 27 3.4.3审核工单 28 3.4.4 接受工单 28 3.4.5 转派工单 29 3.4.6 催办工单 29 3.4.7 解决工单 29 3.4.8 结束工单 29 3.4.9 归档工单 29 3.4.10 查询工单 29 第一章 前言 互联网的开放性，给网络运营带来了越来越多的安全隐患，互联网网络安全管理工作目前急需加强，相应的安全管理系统及检测手段的建设也势在必行。 大型企业的网络规模庞大、系统复杂，其中包含各种网络设备、服务器、工作站、业务系统等。同时安全领域也逐步发展成复杂和多样的子领域，例如访问控制、入侵检测、身份认证等等。这些安全子领域通常在各个业务系统中独立建立，随着大规模安全设施的部署，安全管理成本不断飞速上升，同时对这些安全基础设施产品和它们产生的信息的管理成为日益突出的问题。具体体现在: 海量事件 企业中存在的各种IT设备提供大量的安全信息，特别是安全系统，例如安全事件管理系统和漏洞扫描系统等。这些数量庞大的信息使得管理员疲于应付，容易忽略一些重要但是数量较少的告警。海量事件是现代企业安全管理和审计面临的主要挑战之一。 孤立的安全信息 相对独立的IT设备产生了相对孤立的安全信息。企业缺乏智能的关联分析方法，分析多个安全信息之间的联系，揭示安全信息的本质。例如什么样的安全事件是真正的安全事件，它是否真正影响到业务系统的运行等。 响应缺乏保障 安全问题和隐患被发掘出来，但是缺少一个良好的机制去保证相应的安全措施得到良好的执行。至今困扰许多企业的安全问题之一弱口令就是响应缺乏保障的结果。 知识孤岛 许多前沿的安全技术往往只由企业内部少数人员了解，他们缺少一个途径将这些知识共享出来以提高企业整体的安全水平。目前安全领域越来越庞大，分支也越来越细微，各方面的专家缺少一个沟通的平台保证这些知识的不断积累和发布。 安全策略缺乏管理 随着安全知识水平的提高，企业在自身发展过程中往往制定了大量的安全制度和规定，但是数量的庞大并不能代表安全策略的完善，反而安全策略版本的混乱、内容的重复和片面、关键制度的缺失等等问题在企业中不同程度的存在。 习惯冲突 以往的运维工作都是基于资产的运维，但是安全却是基于安全事件的运维。企业每出现一个安全问题就需要进行一次大范围的维护，比如出现病毒问题。这使得安全的运维工作不同于以往的运维工作习惯，造成运维工作效率低下，并且难以规划。 总的来看，随着IP技术的飞速发展，网络安全逐渐成为影响网络进一步发展的关键问题。为提升用户业务平台系统的安全性及网络安全管理水平，增强竞争力，神州数码推荐采用神州数码安全管理平台（SOC）整体解决方案来实现安全管理中心的建设。 第二章 系统结构 神州数码安全管理平台（SOC）产品功能从逻辑上分为四大部分内容，包括基础安全管理、安全风险管理、安全评价管理和安全工单系统。 第三章 神州数码安全管理平台（SOC）功能概述 神州数码安全管理平台（SOC）产品功能中基础安全管理分为：资产管理模块、策略管理模块、安全知识库管理、安全公告模块。 安全风险管理是安全管理平台的核心模块，主要包括事件管理中心、风险管理中心和安全扫描管理三大部分。 安全评价管理实现对企业安全现状的评价，包括企业的资产状况、事件状况、风险状况等。实现对企业安全工作的评价，包括公司级安全工作评价、部门级安全工作评价和个人安全工作评价。评价的主要内容是安全工作量和工作效率。综合分析，包括生成符合运行维护规范的综合数据；通过对数据的深层次挖掘，帮助企业发现问题根源。 安全工单系统派发指导操作的作业工单，解决目前网络中存在的安全事项，消除安全隐患。工单系统对工单的流转做全流程的监控，提供工单的查询、统计等功能，同时提供和外部工单系统的接口。 3.1 基础安全管理 3.1.1资产管理模块 资产管理模块是SOC的基础模块，它实现对安全管理平台所管辖的设备和系统对象的管理。它将其所辖IP设备资产