企業(yè)信息安全運(yùn)行中心可行性報(bào)告

1、 企業(yè)信息安全運(yùn)行中心可行性報(bào)告 讓企業(yè)安全變得簡單目 錄 TOC o 1-3 h z u HYPERLINK l _Toc9152176 1概述/背景 PAGEREF _Toc9152176 h Error! Bookmark not defined. HYPERLINK l _Toc9152177 2現(xiàn)狀與需求分析 PAGEREF _Toc9152177 h Error! Bookmark not defined. HYPERLINK l _Toc9152178 2.1現(xiàn)狀描述 PAGEREF _Toc9152178 h Error! Bookmark not defined. HYPER

2、LINK l _Toc9152179 2.2系統(tǒng)需求分析 PAGEREF _Toc9152179 h Error! Bookmark not defined. HYPERLINK l _Toc9152180 2.3安全運(yùn)維管理平臺(tái)建設(shè)需求分析 PAGEREF _Toc9152180 h Error! Bookmark not defined. HYPERLINK l _Toc9152181 2.3.1IT資產(chǎn)管理功能需求 PAGEREF _Toc9152181 h Error! Bookmark not defined. HYPERLINK l _Toc9152182 2.3.2IT資產(chǎn)運(yùn)行狀

3、態(tài)監(jiān)控需求 PAGEREF _Toc9152182 h Error! Bookmark not defined. HYPERLINK l _Toc9152183 2.3.3安全事件可視化需求 PAGEREF _Toc9152183 h Error! Bookmark not defined. HYPERLINK l _Toc9152184 2.3.4安全事件實(shí)時(shí)監(jiān)控需求 PAGEREF _Toc9152184 h Error! Bookmark not defined. HYPERLINK l _Toc9152185 2.3.5安全事件報(bào)警需求 PAGEREF _Toc9152185 h Er

4、ror! Bookmark not defined. HYPERLINK l _Toc9152186 2.3.6安全事件響應(yīng)功能需求 PAGEREF _Toc9152186 h Error! Bookmark not defined. HYPERLINK l _Toc9152187 2.3.7安全事件采集功能需求 PAGEREF _Toc9152187 h Error! Bookmark not defined. HYPERLINK l _Toc9152188 2.3.8安全事件關(guān)聯(lián)分析需求 PAGEREF _Toc9152188 h Error! Bookmark not defined.

5、HYPERLINK l _Toc9152189 2.3.9異常流量監(jiān)控功能需求 PAGEREF _Toc9152189 h Error! Bookmark not defined. HYPERLINK l _Toc9152190 2.3.10宏觀安全態(tài)勢感知功能需求 PAGEREF _Toc9152190 h Error! Bookmark not defined. HYPERLINK l _Toc9152191 2.3.11風(fēng)險(xiǎn)管理功能需求 PAGEREF _Toc9152191 h Error! Bookmark not defined. HYPERLINK l _Toc9152192 2

6、.3.12安全報(bào)表需求 PAGEREF _Toc9152192 h Error! Bookmark not defined. HYPERLINK l _Toc9152193 3項(xiàng)目目標(biāo)與范圍 PAGEREF _Toc9152193 h Error! Bookmark not defined. HYPERLINK l _Toc9152194 3.1建設(shè)目標(biāo) PAGEREF _Toc9152194 h Error! Bookmark not defined. HYPERLINK l _Toc9152195 3.2建設(shè)原則 PAGEREF _Toc9152195 h Error! Bookmark

7、not defined. HYPERLINK l _Toc9152196 3.3建設(shè)范圍 PAGEREF _Toc9152196 h Error! Bookmark not defined. HYPERLINK l _Toc9152197 3.4系統(tǒng)要求描述 PAGEREF _Toc9152197 h Error! Bookmark not defined. HYPERLINK l _Toc9152198 3.4.1功能要求 PAGEREF _Toc9152198 h Error! Bookmark not defined. HYPERLINK l _Toc9152199 3.4.2管理范圍要

8、求 PAGEREF _Toc9152199 h Error! Bookmark not defined. HYPERLINK l _Toc9152200 3.4.3性能要求 PAGEREF _Toc9152200 h Error! Bookmark not defined. HYPERLINK l _Toc9152201 3.4.4影響性要求 PAGEREF _Toc9152201 h Error! Bookmark not defined. HYPERLINK l _Toc9152202 3.4.5安全要求 PAGEREF _Toc9152202 h Error! Bookmark not

9、defined. HYPERLINK l _Toc9152203 3.4.6接口要求 PAGEREF _Toc9152203 h Error! Bookmark not defined. HYPERLINK l _Toc9152204 3.4.7實(shí)施要求 PAGEREF _Toc9152204 h Error! Bookmark not defined. HYPERLINK l _Toc9152205 3.4.8使用要求 PAGEREF _Toc9152205 h Error! Bookmark not defined. HYPERLINK l _Toc9152206 3.4.9運(yùn)維要求 PA

10、GEREF _Toc9152206 h Error! Bookmark not defined. HYPERLINK l _Toc9152207 3.4.10兼容性要求 PAGEREF _Toc9152207 h Error! Bookmark not defined. HYPERLINK l _Toc9152208 3.4.11擴(kuò)展性要求 PAGEREF _Toc9152208 h Error! Bookmark not defined. HYPERLINK l _Toc9152209 3.4.12可靠性要求 PAGEREF _Toc9152209 h Error! Bookmark not

11、 defined. HYPERLINK l _Toc9152210 4總體方案設(shè)計(jì) PAGEREF _Toc9152210 h Error! Bookmark not defined. HYPERLINK l _Toc9152211 4.1方案設(shè)計(jì)思路及依據(jù) PAGEREF _Toc9152211 h Error! Bookmark not defined. HYPERLINK l _Toc9152212 4.1.1PPT模型 PAGEREF _Toc9152212 h Error! Bookmark not defined. HYPERLINK l _Toc9152213 4.1.2風(fēng)險(xiǎn)管理

12、思路 PAGEREF _Toc9152213 h Error! Bookmark not defined. HYPERLINK l _Toc9152214 4.1.3三觀安全思路 PAGEREF _Toc9152214 h Error! Bookmark not defined. HYPERLINK l _Toc9152215 4.2設(shè)計(jì)依據(jù) PAGEREF _Toc9152215 h Error! Bookmark not defined. HYPERLINK l _Toc9152222 4.2.1遵循的國際國內(nèi)標(biāo)準(zhǔn)和規(guī)范 PAGEREF _Toc9152222 h Error! Bookm

13、ark not defined. HYPERLINK l _Toc9152223 4.2.2參考的企業(yè)標(biāo)準(zhǔn)、規(guī)范和指南 PAGEREF _Toc9152223 h Error! Bookmark not defined. HYPERLINK l _Toc9152224 4.3總體設(shè)計(jì)思路 PAGEREF _Toc9152224 h Error! Bookmark not defined. HYPERLINK l _Toc9152225 4.4平臺(tái)總體功能設(shè)計(jì) PAGEREF _Toc9152225 h Error! Bookmark not defined. HYPERLINK l _Toc9

14、152226 4.5平臺(tái)運(yùn)維體系設(shè)計(jì) PAGEREF _Toc9152226 h Error! Bookmark not defined. HYPERLINK l _Toc9152227 4.5.1巡檢流程 PAGEREF _Toc9152227 h Error! Bookmark not defined. HYPERLINK l _Toc9152228 4.5.2應(yīng)急響應(yīng)流程 PAGEREF _Toc9152228 h Error! Bookmark not defined. HYPERLINK l _Toc9152229 4.5.3預(yù)警通告流程 PAGEREF _Toc9152229 h

15、Error! Bookmark not defined. HYPERLINK l _Toc9152230 4.6平臺(tái)軟件架構(gòu) PAGEREF _Toc9152230 h Error! Bookmark not defined. HYPERLINK l _Toc9152231 4.7系統(tǒng)接口設(shè)計(jì)說明 PAGEREF _Toc9152231 h Error! Bookmark not defined. HYPERLINK l _Toc9152232 4.7.1接口原則 PAGEREF _Toc9152232 h Error! Bookmark not defined. HYPERLINK l _T

16、oc9152233 4.7.2事件采集接口 PAGEREF _Toc9152233 h Error! Bookmark not defined. HYPERLINK l _Toc9152234 4.7.3主要的定制接口類型 PAGEREF _Toc9152234 h Error! Bookmark not defined. HYPERLINK l _Toc9152235 4.7.4SOA接口設(shè)計(jì) PAGEREF _Toc9152235 h Error! Bookmark not defined. HYPERLINK l _Toc9152236 4.7.5ITIL接口設(shè)計(jì)要求 PAGEREF _

17、Toc9152236 h Error! Bookmark not defined. HYPERLINK l _Toc9152237 5方案的收益 PAGEREF _Toc9152237 h Error! Bookmark not defined. HYPERLINK l _Toc9152238 5.1四維一體的全網(wǎng)安全管理與運(yùn)維 PAGEREF _Toc9152238 h Error! Bookmark not defined. HYPERLINK l _Toc9152239 5.2日常安全運(yùn)維工作的有力工具 PAGEREF _Toc9152239 h Error! Bookmark not

18、defined. HYPERLINK l _Toc9152240 5.3遵照等級(jí)保護(hù)的技術(shù)要求 PAGEREF _Toc9152240 h Error! Bookmark not defined. HYPERLINK l _Toc9152241 5.4契合信息安全管理體系的監(jiān)測與評(píng)審要求 PAGEREF _Toc9152241 h Error! Bookmark not defined. HYPERLINK l _Toc9152242 6SOC建設(shè)規(guī)劃建議 PAGEREF _Toc9152242 h Error! Bookmark not defined. HYPERLINK l _Toc91

19、52243 6.1整體規(guī)劃、分步實(shí)施、逐步落實(shí)的思路 PAGEREF _Toc9152243 h Error! Bookmark not defined. HYPERLINK l _Toc9152244 6.1.1安全管理體系設(shè)計(jì) PAGEREF _Toc9152244 h Error! Bookmark not defined. HYPERLINK l _Toc9152245 6.1.2安全管理平臺(tái)總體設(shè)計(jì) PAGEREF _Toc9152245 h Error! Bookmark not defined. HYPERLINK l _Toc9152246 6.1.3安全管理平臺(tái)落實(shí)規(guī)劃 PA

20、GEREF _Toc9152246 h Error! Bookmark not defined. HYPERLINK l _Toc9152247 6.2技術(shù)與服務(wù)并重，建設(shè)與運(yùn)維并舉的思路 PAGEREF _Toc9152247 h Error! Bookmark not defined. HYPERLINK l _Toc9152248 6.3充分利用代維服務(wù)，借助外腦 PAGEREF _Toc9152248 h Error! Bookmark not defined. HYPERLINK l _Toc9152249 6.4以業(yè)務(wù)為核心 PAGEREF _Toc9152249 h Error!

21、 Bookmark not defined. HYPERLINK l _Toc9152250 6.5安管網(wǎng)管一體化 PAGEREF _Toc9152250 h Error! Bookmark not defined. HYPERLINK l _Toc9152251 7項(xiàng)目實(shí)施計(jì)劃 PAGEREF _Toc9152251 h Error! Bookmark not defined. HYPERLINK l _Toc9152252 7.1投入技術(shù)力量 PAGEREF _Toc9152252 h Error! Bookmark not defined. HYPERLINK l _Toc9152253

22、 7.1.1項(xiàng)目人員組織結(jié)構(gòu) PAGEREF _Toc9152253 h Error! Bookmark not defined. HYPERLINK l _Toc9152254 7.1.2項(xiàng)目實(shí)施人員情況 PAGEREF _Toc9152254 h Error! Bookmark not defined.概述/背景經(jīng)過十多年的信息與網(wǎng)絡(luò)安全建設(shè)，大部分企業(yè)和組織已經(jīng)從信息安全的局部建設(shè)進(jìn)入到了整體優(yōu)化階段。當(dāng)前的客戶更加關(guān)注全網(wǎng)的整體安全，強(qiáng)調(diào)從業(yè)務(wù)信息系統(tǒng)安全風(fēng)險(xiǎn)的角度，而非從單一安全威脅和防御機(jī)制的角度去更加主動(dòng)地管理安全。要做好安全管理工作，就需要一套相應(yīng)的安全管理體系。在這個(gè)體系中除

23、了組織保障和流程保障，很重要的一點(diǎn)就是技術(shù)保障。安全管理平臺(tái)就是一套配合企業(yè)和組織建設(shè)安全管理體系的技術(shù)支撐平臺(tái)。目前，安全管理平臺(tái)的需求主要源于客戶管理層和執(zhí)行層不同角色人員對(duì)于安全管理工作的切身需要。對(duì)于管理層而言，高層領(lǐng)導(dǎo)、各業(yè)務(wù)主管領(lǐng)導(dǎo)和IT安全主管領(lǐng)導(dǎo)等都需要從各自的角度出發(fā)，對(duì)全網(wǎng)或相關(guān)業(yè)務(wù)信息系統(tǒng)的整體安全運(yùn)行狀況有一個(gè)直觀的了解和清晰的掌控，能夠獲悉當(dāng)前的安全態(tài)勢、攻擊分布、防護(hù)缺陷，掌握安全防御體系建設(shè)的水平和安全管理能力建設(shè)的水平。對(duì)于執(zhí)行層而言，安全經(jīng)理、安全管理員、運(yùn)維工程師、安全分析員、應(yīng)急響應(yīng)人員等也都需要從各自的角度出發(fā)，通過單一的管理界面，對(duì)網(wǎng)絡(luò)和業(yè)務(wù)信息系統(tǒng)實(shí)

24、施有計(jì)劃地、持續(xù)地監(jiān)視、檢測、審計(jì)、分析、評(píng)估、預(yù)警、響應(yīng)和報(bào)告，并能夠?qū)崿F(xiàn)相互之間的協(xié)同工作。隨著國家信息安全等級(jí)保護(hù)制度實(shí)施力度的不斷加強(qiáng)，各行業(yè)內(nèi)控與合規(guī)要求的不斷增強(qiáng)，以及越來越多的企業(yè)和組織投入到信息安全管理體系（Information Security Management System，簡稱ISMS）的建設(shè)之中，客戶管理層更加需要一個(gè)安全管理技術(shù)支撐平臺(tái)來協(xié)助符合和體現(xiàn)等級(jí)保護(hù)及內(nèi)控合規(guī)的相關(guān)具體要求，將等級(jí)保護(hù)和信息安全管理體系落到實(shí)處。而客戶執(zhí)行層也希望有一個(gè)安全管理平臺(tái)幫助他們進(jìn)行等級(jí)保護(hù)和信息安全管理體系建設(shè)過程中理順工作流程、提升工作效率。下圖是企業(yè)信息系統(tǒng)安全保障需求

25、驅(qū)動(dòng)框架。需求框架Req.BCM.來自內(nèi)部From Internal來自外部From External主動(dòng)引導(dǎo)Active體系化Systematic政策性Policy被動(dòng)要求Passive問題型Problem合規(guī)性Compliance現(xiàn)狀與需求分析現(xiàn)狀描述經(jīng)過多年的信息與網(wǎng)絡(luò)安全建設(shè)，現(xiàn)代組織的業(yè)務(wù)大多已經(jīng)遷移到了組織中的信息系統(tǒng)中，信息系統(tǒng)作為XXX客戶生產(chǎn)經(jīng)營及業(yè)務(wù)實(shí)施的支撐平臺(tái)，其中任何相關(guān)信息技術(shù)環(huán)節(jié)出問題都將直接導(dǎo)致業(yè)務(wù)失敗，生產(chǎn)率降低，影響市場占有率、客戶滿意度、銷售收入和快速反應(yīng)能力，或者對(duì)組織的公信力和信用形成破壞，嚴(yán)重的情況甚至導(dǎo)致公司經(jīng)營管理癱瘓，組織工作無法開展。因此，信

26、息系統(tǒng)運(yùn)營管理水平的高低直接影響到組織或企業(yè)戰(zhàn)略能否順利實(shí)施。伴隨著信息系統(tǒng)建設(shè)的同時(shí)還有信息系統(tǒng)安全的建設(shè)，經(jīng)過前期的信息安全建設(shè)，XXX當(dāng)前的整體安全拓?fù)淙?REF _Ref346717530 h * MERGEFORMAT 圖31所示：請(qǐng)根據(jù)用戶實(shí)際情況進(jìn)行填充圖 STYLEREF 1 s 3 SEQ 圖 * ARABIC s 1 1整體安全拓?fù)鋱D從 REF _Ref346717530 h * MERGEFORMAT 圖31中可以看出，XXX已經(jīng)劃分了安全域，部署了大量的防火墻，以及SSL VPN、入侵檢測系統(tǒng)、入侵防御系統(tǒng)、WEB防火墻、防DoS設(shè)備、防病毒系統(tǒng)、身份認(rèn)證系統(tǒng)等，已經(jīng)初

27、步建立起了一個(gè)縱深安全防護(hù)體系。系統(tǒng)需求分析在經(jīng)過多年的信息安全技術(shù)的發(fā)展和信息安全法律法規(guī)體系的建立和完善之后，各組織和客戶根據(jù)自己業(yè)務(wù)信息系統(tǒng)的需求和發(fā)展目標(biāo)都進(jìn)行了相應(yīng)的信息安全建設(shè)。由于各組織的信息安全建設(shè)發(fā)展水平參差不齊，信息安全建設(shè)的現(xiàn)狀也各不相同。總體來說，各組織和客戶的信息安全建設(shè)大體分為三種情況。一、完成安全功能與產(chǎn)品的基礎(chǔ)建設(shè)；二、完成安全功能與產(chǎn)品的基礎(chǔ)建設(shè)并進(jìn)行安全分析三、已建設(shè)部分集中管理系統(tǒng)以下分別對(duì)這三種情況進(jìn)行詳述。一、僅完成安全功能與產(chǎn)品的基礎(chǔ)建設(shè)【無安管平臺(tái)、有一定安全基礎(chǔ)的需求分析】經(jīng)過信息安全的建設(shè)，各組織信息網(wǎng)絡(luò)中已經(jīng)部署了類似于防火墻、防病毒、入侵檢

28、測、漏洞掃描等一類的安全產(chǎn)品和技術(shù)，并在信息系統(tǒng)中得到了廣泛的應(yīng)用。同時(shí)，安全評(píng)估、安全加固一類的專業(yè)安全服務(wù)業(yè)逐漸顯現(xiàn)價(jià)值，與各類產(chǎn)品一道發(fā)揮出其應(yīng)有的安全防護(hù)與保障價(jià)值。但業(yè)務(wù)信息系統(tǒng)運(yùn)行依然面臨諸多安全風(fēng)險(xiǎn)，主要的挑戰(zhàn)體現(xiàn)為：接到的保障電話只是反映網(wǎng)絡(luò)和系統(tǒng)的可用性問題，但實(shí)際上可能是由于網(wǎng)絡(luò)和系統(tǒng)自身導(dǎo)致的，也可能是安全問題引發(fā)的；網(wǎng)絡(luò)中既無網(wǎng)管系統(tǒng)，又無安管系統(tǒng)，而實(shí)際上運(yùn)維過程中遇到的問題既與網(wǎng)絡(luò)有關(guān)，也與安全相關(guān)；發(fā)現(xiàn)可疑情況后，缺少分析、響應(yīng)的手段和流程；總是事后響應(yīng)，甚至是等到有關(guān)部門找上門來，難以提前發(fā)現(xiàn)安全問題；無法了解當(dāng)前整個(gè)IT系統(tǒng)的整體運(yùn)行狀況和安全狀態(tài)，風(fēng)險(xiǎn)和運(yùn)維

29、管理全憑感覺；安全設(shè)備在過去幾年積累了大量的歷史數(shù)據(jù)，目前尚未有合適的方法對(duì)其進(jìn)行有效分析，從而預(yù)測未來的趨勢，協(xié)助制定新的安全策略；現(xiàn)有的安全設(shè)備往往是針對(duì)技術(shù)的，并不能從信息資產(chǎn)價(jià)值、安全的投資回報(bào)率等方面對(duì)信息安全的風(fēng)險(xiǎn)提出有效的建議；過去的安全設(shè)備往往是針對(duì)某種特定威脅的：防病毒系統(tǒng)針對(duì)的是病毒的爆發(fā)，防火墻可以有效防范外部攻擊，但隨著信息安全事件的不斷復(fù)雜化，孤立的安全措施很難適應(yīng)綜合的安全事件，也不能從根本上解決這些問題；安全設(shè)備的投入增加了維護(hù)的工作量，防火墻、入侵監(jiān)測系統(tǒng)、防病毒系統(tǒng)等安全設(shè)備每天產(chǎn)生數(shù)百到數(shù)萬條事件，匯總、過濾、分析這些事件需要大量的人力，而目前這些重復(fù)的工作

30、只能由人工進(jìn)行；對(duì)于XXX來說，特別是下屬機(jī)構(gòu)，安全人員多數(shù)為兼職，不僅沒有足夠的時(shí)間和精力，也無法及時(shí)掌握各類實(shí)時(shí)更新的各種信息安全專業(yè)知識(shí)和信息；隨著內(nèi)控的要求不斷提升，缺乏有效的技術(shù)手段和流程，無法將等級(jí)保護(hù)和ISO27000落實(shí)到日常的安全運(yùn)維工作中去。二、完成安全功能與產(chǎn)品的基礎(chǔ)建設(shè)并進(jìn)行安全分析【無平臺(tái)、已有較完整安全基礎(chǔ)的需求分析】該種情況下，客戶已經(jīng)完成了安全功能和產(chǎn)品的基礎(chǔ)建設(shè)，這些安全產(chǎn)品可以較大程度上滿足客戶的安全功能的需求，可以有效地完成具體的安全功能和技術(shù)的需求，如訪問控制、入侵偵測、漏洞掃描、防病毒和反垃圾郵件等。同時(shí)，客戶對(duì)風(fēng)險(xiǎn)評(píng)估、安全加固等安全服務(wù)有一定的需求

31、并進(jìn)行實(shí)踐，并希望能對(duì)安全信息進(jìn)行初步的分析，促進(jìn)安全設(shè)備和功能協(xié)調(diào)發(fā)展，共同保障信息資產(chǎn)和信息系統(tǒng)的安全運(yùn)行。隨著信息安全需求的不斷增長，客戶的IT系統(tǒng)的管理運(yùn)維人員逐漸發(fā)現(xiàn)他們很難去面對(duì)各種類型的專業(yè)安全產(chǎn)品，日常的使用、配置維護(hù)、管理分析都面臨很大的差異和對(duì)專業(yè)技能近乎苛刻的要求，于是依托于各類基礎(chǔ)安全措施，建設(shè)上層的安全管理專題平臺(tái)的需求開始愈發(fā)強(qiáng)烈。XXX信息系統(tǒng)現(xiàn)階段的安全需求主要集中在下述幾個(gè)方面：無法準(zhǔn)確識(shí)別 /計(jì)算現(xiàn)有的各類風(fēng)險(xiǎn)現(xiàn)有的安全設(shè)備或軟件是針對(duì)具體安全問題的技術(shù)手段，不能從信息資產(chǎn)價(jià)值、信息安全投資回報(bào)率等方面針對(duì)信息安全風(fēng)險(xiǎn)管理提出有效的全局性建議。已有的安全風(fēng)險(xiǎn)

32、評(píng)估需要人工進(jìn)行資產(chǎn)和威脅的識(shí)別，結(jié)合發(fā)現(xiàn)的漏洞進(jìn)行人工計(jì)算，需要耗費(fèi)專業(yè)人員的人力，對(duì)專業(yè)人員技術(shù)要求高且投入巨大。無法有效分析信息系統(tǒng)各設(shè)備和軟件的運(yùn)行或檢測數(shù)據(jù)各網(wǎng)絡(luò)系統(tǒng)設(shè)備、安全系統(tǒng)設(shè)備及關(guān)鍵應(yīng)用系統(tǒng)安全設(shè)備每天產(chǎn)生海量的日志數(shù)據(jù)，但目前尚未有合適的方法對(duì)其進(jìn)行有效分析，籍此展現(xiàn)風(fēng)險(xiǎn)狀態(tài)和預(yù)測風(fēng)險(xiǎn)趨勢，協(xié)助制定新的安全策略。缺乏完備的安全體系，孤立的安全措施難以從根本上解決問題過去的安全設(shè)備是針對(duì)某種特定威脅的防病毒系統(tǒng)針對(duì)病毒爆發(fā)，防火墻可以有效防范外部攻擊但隨著信息安全事件的不斷復(fù)雜化，孤立的安全措施很難應(yīng)對(duì)彼此牽連的綜合性安全問題，更不能從根本上解決這些問題。安全設(shè)備的投入導(dǎo)致工

33、作量劇增，技術(shù)人員面臨大量重復(fù)的手工操作安全設(shè)備的投入增加了維護(hù)的工作量防火墻、入侵監(jiān)測系統(tǒng)、防病毒系統(tǒng)等安全設(shè)備每天產(chǎn)生數(shù)百到數(shù)萬條事件匯總、過濾、分析這些事件需要大量的人力，而目前這些重復(fù)的工作只能由專業(yè)的人員進(jìn)行人工處理。專業(yè)安全人員不足對(duì)于公司來說，專業(yè)的安全人員很少或是由其它IT人員兼職，這樣就沒有足夠的時(shí)間和精力來處理如此繁雜的工作，而且無法及時(shí)掌握各類實(shí)時(shí)更新的安全信息和各種信息安全專業(yè)知識(shí)。對(duì)信息安全事件的響應(yīng)速度無法達(dá)到業(yè)務(wù)連續(xù)性的要求對(duì)于公司來說，業(yè)務(wù)連續(xù)性非常重要，安全保障的目的就是保障（組織）公司主要業(yè)務(wù)的持續(xù)性和信息化的深入發(fā)展，業(yè)務(wù)系統(tǒng)的停頓往往意味著巨大的損失，現(xiàn)

34、有的安全措施很難保證在發(fā)生安全事故后能快速的響應(yīng)和恢復(fù)；真正的預(yù)警會(huì)湮沒在大量的安全事件日志中，獨(dú)立分布的安全設(shè)備難以進(jìn)行統(tǒng)一的指揮和協(xié)調(diào)，安全設(shè)備和組織之間也很難進(jìn)行有效配合；同時(shí)也缺乏一套能夠?qū)?yīng)急響應(yīng)進(jìn)行有效支撐的安全響應(yīng)系統(tǒng)。三、已建設(shè)部分集中管理系統(tǒng)【已建設(shè)部分集中管理平臺(tái)或安管平臺(tái)的需求分析】在經(jīng)過多年的信息安全技術(shù)的發(fā)展和信息安全法律法規(guī)體系的建立和完善之后，XXX根據(jù)自己業(yè)務(wù)信息系統(tǒng)的需求和發(fā)展目標(biāo)進(jìn)行了相應(yīng)的信息安全建設(shè)?？蛻粢厌槍?duì)IT系統(tǒng)建設(shè)了部分專題管理平臺(tái)和集中管理系統(tǒng)，如網(wǎng)絡(luò)管理系統(tǒng)、防火墻設(shè)備集中管理系統(tǒng)等，有些客戶甚至已經(jīng)建立了統(tǒng)一安全管理平臺(tái)，但在運(yùn)維的過程中產(chǎn)

35、生了很多的困擾，主要困擾如下：（1）各類建設(shè)專題間的技術(shù)需求邊界很模糊、不規(guī)則、有交叉，這導(dǎo)致了各個(gè)專題項(xiàng)目的建設(shè)和管理局面愈發(fā)混亂；（2）專題間需求的合并、拆分和自由組合成為項(xiàng)目建設(shè)過程中普遍存在的問題；（3）日益增多的專題安全管理建設(shè)項(xiàng)目交付后的日常使用和運(yùn)維工作成為難題；（4）不斷衍生的安全管理新需求無處落腳，很多新需求難以融入既有專題，而單獨(dú)建設(shè)新需求又難以復(fù)用既有的建設(shè)基礎(chǔ)。面對(duì)這些困擾，專業(yè)人士開始思考已建設(shè)的眾多專題管理平臺(tái)的建設(shè)在架構(gòu)上大多很類似的采集/存儲(chǔ)/分析/展現(xiàn)的四層架構(gòu)、在系統(tǒng)實(shí)現(xiàn)上強(qiáng)調(diào)專題間的專業(yè)區(qū)分、在數(shù)據(jù)方面各專題之間幾乎沒有太多的復(fù)用或共享、在管理支撐的各個(gè)專

36、題的定位上往往很單一，于是乎，迫于建設(shè)、管理與運(yùn)維的多重壓力，綜合安全管理/管控平臺(tái)建設(shè)提上了日程。很顯然，綜合安全管理/管控平臺(tái)所要解決的問題就是融合各類專題安全平臺(tái)，其核心思想就是實(shí)現(xiàn)架構(gòu)統(tǒng)一、系統(tǒng)綜合、數(shù)據(jù)共享、全面支撐。安全管理平臺(tái)是一套以資產(chǎn)為核心，以安全事件管理為關(guān)鍵流程，采用安全域劃分的思想，建立一套實(shí)時(shí)的資產(chǎn)風(fēng)險(xiǎn)模型，協(xié)助管理員進(jìn)行事件分析、風(fēng)險(xiǎn)分析、預(yù)警管理和應(yīng)急響應(yīng)處理的集中管理系統(tǒng)。但是，早期的安全管理平臺(tái)建設(shè)實(shí)踐，以及國內(nèi)其他行業(yè)的類似建設(shè)實(shí)踐表明，現(xiàn)在的安全管理平臺(tái)建設(shè)過程中存在一些局限，尤其是難以滿足XXX的實(shí)際需求，從而阻礙了這項(xiàng)工作的推進(jìn)。這些局限主要體現(xiàn)在以下

37、四個(gè)方面：1）信息來源單一，安全分析不全面，分析結(jié)果缺乏指導(dǎo)性。安全管理平臺(tái)的一項(xiàng)核心功能就是將來自不同IT資源的信息匯聚起來，進(jìn)行范式化和關(guān)聯(lián)分析，實(shí)現(xiàn)整體安全與風(fēng)險(xiǎn)的評(píng)估。但在實(shí)際環(huán)境中，往往由于缺少必要的信息輸入、以及獲取必要信息的相關(guān)手段，從而導(dǎo)致分析結(jié)果缺乏說服力。這種信息缺失是多方面的。例如，傳統(tǒng)的安全管理平臺(tái)基本處于被動(dòng)運(yùn)行狀態(tài)，僅僅被動(dòng)接收設(shè)備的日志信息，對(duì)系統(tǒng)和設(shè)備的可用性和健康狀態(tài)無法做到主動(dòng)和有效監(jiān)控。結(jié)果當(dāng)客戶的網(wǎng)絡(luò)和系統(tǒng)出現(xiàn)故障后，安全管理平臺(tái)收不到相關(guān)事件，其分析結(jié)果必定大打折扣。2）只關(guān)注設(shè)備資產(chǎn)的安全，而沒有關(guān)注關(guān)鍵業(yè)務(wù)系統(tǒng)的安全對(duì)于XXX系統(tǒng)而言，最寶貴的資產(chǎn)

38、不是網(wǎng)絡(luò)設(shè)備和主機(jī)設(shè)備，而是他們所承載的應(yīng)用和數(shù)據(jù)！用戶進(jìn)行一輪又一輪的安全防護(hù)體系建設(shè)，最終的防護(hù)對(duì)象不是網(wǎng)絡(luò)本身，而是網(wǎng)絡(luò)所承載的業(yè)務(wù)信息系統(tǒng)。這些業(yè)務(wù)系統(tǒng)的運(yùn)行好壞、安全與否、系統(tǒng)中的各類數(shù)據(jù)是否安全可靠才是用戶所關(guān)注的核心問題。如果網(wǎng)絡(luò)一切運(yùn)行正常，但是應(yīng)用和數(shù)據(jù)遭到破壞，談何安全。不幸的是，傳統(tǒng)的安全管理平臺(tái)局限于對(duì)網(wǎng)絡(luò)、主機(jī)等設(shè)備資產(chǎn)的安全監(jiān)控與管理，而忽視了對(duì)其上運(yùn)行的業(yè)務(wù)系統(tǒng)的安全監(jiān)控與管理，尤其是重要業(yè)務(wù)系統(tǒng)的安全保護(hù)。傳統(tǒng)安全管理平臺(tái)所帶的這種局限性不僅是理念上的，也是技術(shù)上的，如果不變革現(xiàn)有的平臺(tái)技術(shù)架構(gòu)，不可能適應(yīng)業(yè)務(wù)發(fā)展的需要。3）片面強(qiáng)調(diào)了發(fā)現(xiàn)安全問題的技術(shù)過程，而

39、忽略了處理安全問題的運(yùn)維流程當(dāng)前大部分安全管理平臺(tái)都把技術(shù)力量投入到了事件采集和分析上。這些技術(shù)固然重要，但都是屬于安全威脅及問題的發(fā)現(xiàn)階段的技術(shù)。當(dāng)前的安全管理平臺(tái)大都忽略了幫助客戶處理和解決這些已知安全問題的過程。結(jié)果，很多管理員通過安全管理平臺(tái)獲悉安全問題后，無所適從，不知如何處理，進(jìn)而產(chǎn)生了對(duì)安全管理平臺(tái)運(yùn)用效果的質(zhì)疑。4）自成一體，封閉管理，缺乏與其他管理系統(tǒng)的整合協(xié)同當(dāng)前，不僅是網(wǎng)絡(luò)安全的集中化管理，XXX系統(tǒng)也正在積極地進(jìn)行網(wǎng)絡(luò)運(yùn)行的集中化管理、終端準(zhǔn)入與安全的集中化管理、甚至是基于ITIL的IT運(yùn)維管理系統(tǒng)建設(shè)。如何在做好網(wǎng)絡(luò)集中管理、安全集中管理和運(yùn)維管理建設(shè)的同時(shí)，正確梳理

40、好三者之間的關(guān)系，確保不出現(xiàn)新的“管理孤島”，也是擺在系統(tǒng)IT基礎(chǔ)設(shè)施管理與運(yùn)營建設(shè)者們面前的一個(gè)問題。當(dāng)前的安全管理平臺(tái)大都自成一體，沒有考慮到其他管理系統(tǒng)之間的關(guān)系，停留在自我封閉管理的層次上，難以適應(yīng)IT系統(tǒng)大集中、大平臺(tái)、大運(yùn)維的總體發(fā)展思路。5）現(xiàn)有安全管理平臺(tái)無法有效實(shí)現(xiàn)上下級(jí)級(jí)聯(lián)管理當(dāng)前，XXX客戶的業(yè)務(wù)系統(tǒng)實(shí)現(xiàn)了部委、省、地縣的分級(jí)部署、使用和管理，但傳統(tǒng)的安全管理平臺(tái)無法有效符合現(xiàn)有的二級(jí)管理模式，并無法滿足上下級(jí)管理系統(tǒng)進(jìn)行級(jí)聯(lián)管理的需求。主要不滿足的地方包括：無法實(shí)現(xiàn)部委系統(tǒng)向各省市區(qū)系統(tǒng)集中下發(fā)事件采集策略、通信配置策略。無法實(shí)現(xiàn)集中下發(fā)安全策略和文檔、下發(fā)關(guān)聯(lián)分析規(guī)則

41、和泛化策略。部委系統(tǒng)無法實(shí)現(xiàn)對(duì)下級(jí)平臺(tái)的接入與管理。下級(jí)平臺(tái)無法按照上級(jí)平臺(tái)的要求按時(shí)按計(jì)劃上報(bào)事件、風(fēng)險(xiǎn)、報(bào)表和報(bào)告。各省市縣管理人員無法使用平臺(tái)有效地完成自己的安全管理工作。6）無法實(shí)現(xiàn)部委對(duì)各省市區(qū)安全管理的考核和衡量當(dāng)前，各部委用戶建設(shè)管理管理系統(tǒng)時(shí)，如欲實(shí)現(xiàn)對(duì)客戶信息系統(tǒng)的有效安全管理，需部委和各省市區(qū)安全管理人員協(xié)同工作。如果能建立一套符合XXX客戶管理實(shí)際要求的安全管理指標(biāo)體系，則有助于實(shí)現(xiàn)對(duì)省級(jí)平臺(tái)的安全管理水平的考核和評(píng)級(jí)，有效地幫助管理人員提高業(yè)務(wù)信息系統(tǒng)的安全管理水平。而現(xiàn)有管理系統(tǒng)無法提供該類管理需求。7）無法實(shí)現(xiàn)漏洞信息和安全配置信息的集中管理當(dāng)前漏洞掃描和安全配置核

42、查作為日常安全管理作業(yè)變得日益重要。漏洞管理是信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)，漏洞的發(fā)現(xiàn)、評(píng)級(jí)和消除是風(fēng)險(xiǎn)管理的重要內(nèi)容之一；針對(duì)行業(yè)的業(yè)務(wù)系統(tǒng)建立安全檢查點(diǎn)與操作指南的基準(zhǔn)安全標(biāo)準(zhǔn)，有效地消除信息系統(tǒng)潛在的安全風(fēng)險(xiǎn)，則成為各個(gè)行業(yè)安全管理人員最為緊迫的事情之一。因此，定期進(jìn)行漏洞掃描和安全配置核查是日常安全管理的重要內(nèi)容，現(xiàn)有平臺(tái)無法有效的驅(qū)動(dòng)安全漏洞掃描和配置核查工具進(jìn)行周期性作業(yè)并導(dǎo)入漏洞掃描和配置核查結(jié)果，而單獨(dú)驅(qū)動(dòng)漏掃工具和安全配置核查工具作業(yè)并將檢查結(jié)果導(dǎo)入將增加安全管理人員的工作量，降低工作效率。安全運(yùn)維管理平臺(tái)建設(shè)需求分析近年來，隨著XXXX業(yè)務(wù)的發(fā)展，公司正在成為實(shí)時(shí)企業(yè)（RTE

43、， Real Time Enterprise），企業(yè)所有的部門、客戶、供應(yīng)商和合作伙伴都通過企業(yè)內(nèi)部網(wǎng)、外部網(wǎng)和互聯(lián)網(wǎng)來進(jìn)行高效連接，并要求公司的信息系統(tǒng)能夠在每周7日、每日24小時(shí)內(nèi)發(fā)揮作用，實(shí)時(shí)地為管理者、合作伙伴以及客戶提供關(guān)鍵信息。可以說XXXX業(yè)務(wù)的開展，基本上依賴于永不停歇的IT系統(tǒng)。如何確保IT系統(tǒng)的高效安全？關(guān)鍵在于對(duì)IT系統(tǒng)的高質(zhì)量安全運(yùn)維管理。而安全運(yùn)維管理平臺(tái)的建立，必須具備三個(gè)要素：即技術(shù)手段-安全運(yùn)維管理平臺(tái)，安全管理制度流程化，高素質(zhì)的安全運(yùn)維團(tuán)隊(duì)。而安全運(yùn)維平臺(tái)作為基礎(chǔ)的技術(shù)手段，必須予以首先搭建。建立安全運(yùn)維管理平臺(tái)的需求如下：IT資產(chǎn)管理功能需求ISO1779

44、9-2005中對(duì)資產(chǎn)的定義是：“任何對(duì)組織和企業(yè)有價(jià)值的事務(wù)”。設(shè)備資產(chǎn)是企業(yè)和組織的IT環(huán)境的核心，承載了當(dāng)今絕大部分企業(yè)和組織的業(yè)務(wù)。重要資產(chǎn)的安全屬性決定了企業(yè)和組織的核心競爭力和命脈。企業(yè)安全管理的一個(gè)很重要的工作就是確保資產(chǎn)安全。目前公司信息化部門尚未建設(shè)安管或者網(wǎng)管系統(tǒng)，尚未實(shí)現(xiàn)資產(chǎn)管理的平臺(tái)化，建設(shè)資產(chǎn)管理功能能夠幫助公司信息化部門管理當(dāng)前資產(chǎn)，評(píng)估和分析在遭受安全威脅的情況下資產(chǎn)的受影響程度，從而進(jìn)行企業(yè)和組織的安全風(fēng)險(xiǎn)管理。IT資產(chǎn)運(yùn)行狀態(tài)監(jiān)控需求公司尚未建設(shè)設(shè)備運(yùn)行狀態(tài)監(jiān)控相關(guān)的系統(tǒng)或功能，信息化人員無法直觀的查看當(dāng)前網(wǎng)絡(luò)中各設(shè)備的運(yùn)行狀況，僅能在網(wǎng)絡(luò)使用出現(xiàn)故障時(shí)進(jìn)行被動(dòng)

45、的響應(yīng)與設(shè)備查看，因此信息化人員日常工作需要有運(yùn)行狀態(tài)監(jiān)控功能來實(shí)時(shí)查看當(dāng)前網(wǎng)絡(luò)中設(shè)備運(yùn)行是否正常，從而及時(shí)發(fā)現(xiàn)設(shè)備故障等需要及時(shí)處理的問題。運(yùn)行狀態(tài)監(jiān)控功能功能能夠主動(dòng)地、周期性地采集各種不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、以及各種應(yīng)用系統(tǒng)的性能與可用性信息，采樣周期、采集參數(shù)都可以獨(dú)立配置。系統(tǒng)支持通過SNMP、TELNET、SSH、SSH2、ODBC、JMX、協(xié)議仿真等方式對(duì)IT資產(chǎn)進(jìn)行性能與可用性信息的采集。管理中心內(nèi)置性能信息采集，也提供獨(dú)立安裝的性能信息采集器。運(yùn)行狀態(tài)監(jiān)控功能功能對(duì)于各種監(jiān)控對(duì)象都能進(jìn)行全方位細(xì)粒度的監(jiān)控，具有豐富的監(jiān)控指標(biāo)。管理員可以通過豐富的可視化圖

46、表查看監(jiān)控指標(biāo)信息；可以對(duì)監(jiān)控指標(biāo)設(shè)置告警閥值；可以將監(jiān)控指標(biāo)的數(shù)據(jù)保存起來，并進(jìn)行歷史分析。運(yùn)行狀態(tài)監(jiān)控功能功能需提供各種性能監(jiān)控指標(biāo)的對(duì)比分析，如某段時(shí)間（小時(shí)、天、周、月）內(nèi)某個(gè)資產(chǎn)的不同監(jiān)控指標(biāo)的對(duì)比分析、不同資產(chǎn)的相同監(jiān)控指標(biāo)對(duì)比分析，等等，并能夠?qū)⒎治龅慕Y(jié)果以折線圖和柱狀圖的形式進(jìn)行直觀展現(xiàn)。安全事件可視化需求針對(duì)IT計(jì)算環(huán)境的統(tǒng)一監(jiān)控，必然會(huì)收集并呈現(xiàn)大量的信息。如何將這些信息進(jìn)行有效的組織，呈現(xiàn)給公司信息化人員，并真正提升他們的管理效率是十分關(guān)鍵的問題。借助信息可視化技術(shù)實(shí)現(xiàn)安全事件的可視化展示，能夠大大提升信息化人員的安全運(yùn)維工作效率，使信息化人員的日常工作實(shí)現(xiàn)從認(rèn)知到感知的

47、跨越。安全管理平臺(tái)應(yīng)該至少具備以下幾類安全信息可視化展示功能：基于業(yè)務(wù)信息系統(tǒng)或安全域的安全視圖功能，能夠在安全視圖上實(shí)時(shí)、動(dòng)態(tài)反映核心業(yè)務(wù)系統(tǒng)或核心域的整體安全狀態(tài)；安全事件攻擊圖：反映安全事件之間的指向關(guān)系，并能夠在世界地圖上展示出來；安全事件時(shí)間線：動(dòng)態(tài)的展示最近一段時(shí)間各個(gè)事件片的安全事件數(shù)量，以及每個(gè)事件片中不同等級(jí)的安全事件的數(shù)量和比例。安全事件實(shí)時(shí)監(jiān)控需求事件實(shí)時(shí)監(jiān)控功能是信息安全工作的主要組成部分。實(shí)時(shí)監(jiān)控不依賴于事件存儲(chǔ)數(shù)據(jù)庫，而是直接從管控中心服務(wù)器的內(nèi)存中進(jìn)行事件分析，從而能夠幫助公司信息化人員及時(shí)高效地發(fā)現(xiàn)安全隱患。管理員可以自由地定義各類實(shí)時(shí)監(jiān)視的場景，并在不同的場景

48、之間快速切換，即時(shí)掌握全網(wǎng)各類設(shè)備、主機(jī)和業(yè)務(wù)系統(tǒng)的安全運(yùn)行狀態(tài)。實(shí)時(shí)監(jiān)控的場景具有豐富的可視化展示能力，方便管理人員進(jìn)行感知運(yùn)維。安全事件報(bào)警需求為了快速、準(zhǔn)確定位安全事件來源，及時(shí)處理安全事件，公司安全管理平臺(tái)需要具備實(shí)時(shí)報(bào)警功能，報(bào)警方式應(yīng)該多樣化，如實(shí)時(shí)屏幕顯示、電子郵件和短信等。對(duì)于需要進(jìn)行后續(xù)處理的重要安全事件，安全管理平臺(tái)能夠與電子工單系統(tǒng)對(duì)接，向電子工單系統(tǒng)自動(dòng)提交電子工單。安全事件響應(yīng)功能需求在事件管理系列功能成功發(fā)現(xiàn)當(dāng)前網(wǎng)絡(luò)中的潛在威脅時(shí)，信息化人員需要對(duì)該威脅及時(shí)作出響應(yīng)，這就需要建設(shè)適合公司信息化人員工作習(xí)慣的安全響應(yīng)功能，在發(fā)生重要事件后能夠提醒相關(guān)人員及時(shí)處理，幫忙

49、公司信息化人員高效、準(zhǔn)確的解決當(dāng)前網(wǎng)絡(luò)中的問題。安全事件采集功能需求公司當(dāng)前沒有建設(shè)集中的事件采集系統(tǒng)，信息化人員無法查看當(dāng)前網(wǎng)絡(luò)中的重要日志，難以對(duì)一些設(shè)備故障或者高危操作做出及時(shí)響應(yīng)，因此需要建設(shè)事件集中采集功能來實(shí)現(xiàn)當(dāng)前網(wǎng)絡(luò)中的設(shè)備日志的采集與匯總工作。數(shù)據(jù)來源與內(nèi)容：事件數(shù)據(jù)源需要包括公司信息系統(tǒng)各組件的日志產(chǎn)生點(diǎn)，如主機(jī)操作日志、操作系統(tǒng)日志、數(shù)據(jù)庫審計(jì)日志、安全設(shè)備日志等。網(wǎng)絡(luò)告警信息一般來自于網(wǎng)管系統(tǒng)，而數(shù)據(jù)庫日志和管理員操作日志來自于數(shù)據(jù)庫審計(jì)系統(tǒng)和運(yùn)維審計(jì)系統(tǒng)。如果網(wǎng)管系統(tǒng)、數(shù)據(jù)庫審計(jì)系統(tǒng)及運(yùn)維審計(jì)系統(tǒng)沒有覆蓋到，則需要管控平臺(tái)直接采集。數(shù)據(jù)分類：安全事件在采集后必須進(jìn)行分類

50、，以便于管控平臺(tái)的安全管理人員能快速對(duì)事件進(jìn)行分析安全事件關(guān)聯(lián)分析需求外部入侵和內(nèi)部違規(guī)行為從來都不是單一的行為，都是有時(shí)序或者邏輯上的聯(lián)系的，黑客的攻擊和內(nèi)部的違規(guī)操作往往是分為若干步驟的，每個(gè)步驟都會(huì)在不同的設(shè)備和系統(tǒng)上留下蛛絲馬跡，單看某個(gè)設(shè)備的日志可能無法發(fā)現(xiàn)問題，但是將所有這些信息合到一起，就可能發(fā)現(xiàn)其中的隱患，而這正是關(guān)聯(lián)分析的目的所在。為了解決目前日益嚴(yán)重的復(fù)合型風(fēng)險(xiǎn)威脅，公司安全管控系統(tǒng)需要具有關(guān)聯(lián)分析功能：將不同安全設(shè)備的響應(yīng)通過多種條件關(guān)聯(lián)起來，以便于管理員的分析和處理。例如當(dāng)一個(gè)嚴(yán)重的事件或用戶行為發(fā)生后，從網(wǎng)絡(luò)層面、主機(jī)/服務(wù)器層面、數(shù)據(jù)（庫）、安全層面到應(yīng)用層面可能都

51、會(huì)有所反應(yīng)（響應(yīng)），這時(shí)候?qū)徲?jì)系統(tǒng)將進(jìn)行數(shù)據(jù)挖掘，將上述多個(gè)層面、多個(gè)維度的事件或行為數(shù)據(jù)挖掘和抽取、關(guān)聯(lián)，將關(guān)聯(lián)的結(jié)果呈現(xiàn)給使用者。系統(tǒng)的關(guān)聯(lián)分析引擎不僅要能夠幫助管理員發(fā)現(xiàn)外部入侵，還要能幫助管理員識(shí)別內(nèi)部違規(guī)行為，進(jìn)行合規(guī)性審計(jì)。異常流量監(jiān)控功能需求公司雖然已經(jīng)建設(shè)了流量控制設(shè)備，但是流控設(shè)備并不擅長發(fā)現(xiàn)流量中的攻擊行為，異常流量監(jiān)控功能通過DFI流量監(jiān)測技術(shù)去分析發(fā)現(xiàn)當(dāng)前流量中的攻擊行為，與IDS類檢測在攻擊行為的監(jiān)測方式上形成互補(bǔ)，從而使安全管理平臺(tái)的安全監(jiān)控功能覆蓋面更加廣泛而有效。宏觀安全態(tài)勢感知功能需求宏觀安全態(tài)勢感知功能分為技術(shù)指標(biāo)和管理指標(biāo)兩種方面，以宏觀的緯度與指標(biāo)化的手

52、段來呈現(xiàn)當(dāng)前網(wǎng)絡(luò)的運(yùn)行態(tài)勢與信息化工作的完成情況。技術(shù)指標(biāo)通過啟明星辰自行研發(fā)的宏觀分析模型對(duì)當(dāng)前網(wǎng)絡(luò)訪問情況進(jìn)行計(jì)算，從而判斷當(dāng)前網(wǎng)絡(luò)運(yùn)行狀況是否存在異常；管理指標(biāo)則是結(jié)合管理層對(duì)信息化工作的管理要求，將其中能夠在網(wǎng)絡(luò)中進(jìn)行采集或統(tǒng)計(jì)的管理項(xiàng)（如防病毒軟件安裝率）進(jìn)行整合與計(jì)算，從而為領(lǐng)導(dǎo)呈現(xiàn)當(dāng)前管理要求的實(shí)現(xiàn)狀況。風(fēng)險(xiǎn)管理功能需求風(fēng)險(xiǎn)（Risk）是資產(chǎn)價(jià)值、弱點(diǎn)度量值與威脅度量值根據(jù)量化算法而得到的一個(gè)量化的安全檢測結(jié)果。風(fēng)險(xiǎn)分析過程是建立在資產(chǎn)管理、弱點(diǎn)管理和威脅管理的基礎(chǔ)上的。安全管理平臺(tái)自動(dòng)化、定量化計(jì)算資產(chǎn)及其業(yè)務(wù)系統(tǒng)的風(fēng)險(xiǎn)值的功能，能夠協(xié)助公司信息化人員進(jìn)行定量的風(fēng)險(xiǎn)評(píng)估。通過對(duì)

53、當(dāng)前網(wǎng)絡(luò)進(jìn)行風(fēng)險(xiǎn)評(píng)估以及通過事件處理、故障排除等手段來降低當(dāng)前網(wǎng)絡(luò)風(fēng)險(xiǎn)的過程，安全管理平臺(tái)實(shí)現(xiàn)了整個(gè)信息化網(wǎng)絡(luò)安全建設(shè)的良性循環(huán)。安全報(bào)表需求報(bào)表是信息化工作成果總結(jié)的主要手段，因此安全管理平臺(tái)需要具有報(bào)表功能，為公司呈現(xiàn)靈活多樣的報(bào)表功能。既有豐富的內(nèi)置報(bào)表，也提供報(bào)表編輯器，供信息化人員自定義報(bào)表。報(bào)表支持多種格式導(dǎo)出，包括支持EXCEL格式的報(bào)表導(dǎo)出。信息化人員可以對(duì)報(bào)表生成制定計(jì)劃，定期自動(dòng)生成報(bào)表，并支持郵件遞送。系統(tǒng)能夠針對(duì)存儲(chǔ)的海量事件快速生成月報(bào)、季報(bào)和年報(bào)。項(xiàng)目目標(biāo)與范圍建設(shè)目標(biāo)【以下內(nèi)容僅供參考，請(qǐng)依據(jù)實(shí)際情況填寫】安全管理平臺(tái)的建設(shè)目標(biāo)應(yīng)滿足客戶安全管理需求，支撐客戶安全

54、管理工作方面存在的諸多全新的挑戰(zhàn)，保證客戶的信息安全管理有效、系統(tǒng)、完整并可持續(xù)改進(jìn)地進(jìn)行。安全管理平臺(tái)應(yīng)實(shí)現(xiàn)海量信息的采集、分析與展示，多種管理類系統(tǒng)的整合，保證客戶業(yè)務(wù)信息系統(tǒng)的安全運(yùn)營，應(yīng)符合并體現(xiàn)信息安全管理體系和等級(jí)保護(hù)的要求，并能夠進(jìn)行持續(xù)運(yùn)營和改進(jìn)。以下對(duì)這些建設(shè)目標(biāo)進(jìn)行詳細(xì)闡述：實(shí)現(xiàn)海量的分散安全信息采集、匯總、分析和展示安全管理平臺(tái)為了獲悉全網(wǎng)的整體安全態(tài)勢，就必須從現(xiàn)有的分散的各種安全系統(tǒng)和IT系統(tǒng)中采集相關(guān)的安全信息，而這些信息是海量的，每天的數(shù)據(jù)量可能數(shù)以百GB計(jì)。這些海量的安全信息是安全管理平臺(tái)的基礎(chǔ)，完整采集、分析并展示這些信息對(duì)安全管理平臺(tái)系統(tǒng)來說非常必要且重要。

55、首先，如果不能采集到這些海量信息，分析的準(zhǔn)確性就可能打折扣，而安全問題的回溯和取證就可能出現(xiàn)信息缺失。其次，如果不能對(duì)海量信息進(jìn)行快速分析、提取出真正有意義的安全事件，就無法讓安全管理人員聚焦到重要的安全事件上，反而陷入到數(shù)據(jù)的汪洋大海之中。最后，如果不能直觀的展示分析結(jié)果，并將分析結(jié)果與響應(yīng)處理過程掛鉤，也就無法使執(zhí)行層的安全管理流程運(yùn)轉(zhuǎn)起來，更無法為管理層提供決策支持。因此，如何采集這些分散在網(wǎng)絡(luò)各處的海量信息，進(jìn)行實(shí)時(shí)不間斷的處理、分析，并以客戶能夠接受的形式有效的展示出來，成為了考驗(yàn)安全管理平臺(tái)技術(shù)水平的一把重要標(biāo)尺。實(shí)現(xiàn)多種管理類系統(tǒng)的整合通過建設(shè)安全管理平臺(tái)，不僅要能夠打破安全防御

56、的孤島，將分散的安全設(shè)備和IT系統(tǒng)中的安全機(jī)制有效的集合到一起，還要能夠與針對(duì)不同管理目標(biāo)的管理類系統(tǒng)有機(jī)的整合到一起，實(shí)現(xiàn)與各種管理類系統(tǒng)的協(xié)同工作。安全管理平臺(tái)必須厘清與客戶現(xiàn)有或待建的安全審計(jì)系統(tǒng)、終端/內(nèi)網(wǎng)安全管理系統(tǒng)、身份管理系統(tǒng)、授權(quán)與訪問控制系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)、應(yīng)用服務(wù)管理系統(tǒng)、業(yè)務(wù)管理系統(tǒng)、資產(chǎn)管理系統(tǒng)、IT服務(wù)管理系統(tǒng)之間的關(guān)系，在全局性管理體系的指導(dǎo)下，制定好安全管理平臺(tái)與各類管理系統(tǒng)之間的接口和分工界面。否則的話，安全管理平臺(tái)的建設(shè)可能會(huì)導(dǎo)致“管理孤島”林立。保障業(yè)務(wù)信息系統(tǒng)的安全對(duì)于客戶而言，安全管理平臺(tái)建設(shè)的根本目標(biāo)一定要保障客戶的核心業(yè)務(wù)系統(tǒng)的安全，從而有效的保障組

57、織的戰(zhàn)略。因此，需要從業(yè)務(wù)系統(tǒng)的高度去看待安全管理平臺(tái)。安全管理平臺(tái)的功能設(shè)計(jì)、分析對(duì)象以及展示角度都需要考慮到客戶業(yè)務(wù)系統(tǒng)的構(gòu)成、運(yùn)行和保護(hù)要求。符合并體現(xiàn)等級(jí)保護(hù)及信息安全管理體系的要求隨著信息安全的建設(shè)以及對(duì)安全管理的需求不斷提高，信息安全已經(jīng)逐漸從技術(shù)上升到管理的高度，很多客戶需要形成完整有效的信息安全保障體系和安全管理體系，達(dá)到系統(tǒng)地、完整地保障組織的信息安全的目的。到對(duì)于越來越多的客戶而言，等級(jí)保護(hù)和信息安全管理體系/ISO27000建設(shè)已經(jīng)成為了他們安全管理工作中必不可少的職責(zé)。安全管理平臺(tái)能否及如何符合和體現(xiàn)等級(jí)保護(hù)和信息安全管理體系的要求成為了安全管理平臺(tái)面臨的重大挑戰(zhàn)，這需

58、要對(duì)等級(jí)保護(hù)和ISO27000系列標(biāo)準(zhǔn)的深刻理解，以及對(duì)安全管理平臺(tái)功能的重新梳理。建成安全管理的長效機(jī)制客戶通過安全管理平臺(tái)不僅要實(shí)現(xiàn)全網(wǎng)的整體安全，還要實(shí)現(xiàn)持續(xù)的安全運(yùn)營，成為安全管理長效機(jī)制得以落實(shí)的關(guān)鍵技術(shù)保障。因此，安全管理平臺(tái)必須具備持續(xù)監(jiān)測的能力、安全量化的能力以及安全運(yùn)維的能力。建設(shè)原則根據(jù)客戶的項(xiàng)目建設(shè)目標(biāo)要求，在方案設(shè)計(jì)和軟硬件產(chǎn)品選型過程中將嚴(yán)格遵守以下項(xiàng)目建設(shè)原則：統(tǒng)一性原則：通過統(tǒng)一的信息安全管理平臺(tái)實(shí)現(xiàn)對(duì)各類資產(chǎn)的管理，即采用完全一致的上層數(shù)據(jù)處理邏輯來實(shí)現(xiàn)數(shù)據(jù)的處理、分析和展現(xiàn)；先進(jìn)性原則：基于先進(jìn)的IT管理理念，采用成熟的信息安全管理平臺(tái)產(chǎn)品，采用適當(dāng)先進(jìn)的技術(shù)

59、架構(gòu)，把握信息安全管理平臺(tái)技術(shù)的發(fā)展潮流，最大化客戶的投資；實(shí)用性原則：信息安全管理的客戶行業(yè)不同，雖然大需求相同，但細(xì)微需求千差萬別。安全管理平臺(tái)應(yīng)根據(jù)需要進(jìn)行客戶化定制，滿足客戶實(shí)際的管理需要，做到有的放矢，真正解放管理人員的日常維護(hù)工作；可擴(kuò)展性原則：充分考慮到未來技術(shù)的發(fā)展趨勢和客戶潛在需求的變化，安全管理平臺(tái)架構(gòu)應(yīng)具有靈活的可擴(kuò)展性，方便擴(kuò)充功能模塊及規(guī)模，不應(yīng)由于新的管理功能或者被管對(duì)象的加入而產(chǎn)生架構(gòu)上的變化；最小化影響性原則：項(xiàng)目建設(shè)和上線應(yīng)盡可能小的影響系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行，不能對(duì)業(yè)務(wù)工作產(chǎn)生顯著影響（包括被管系統(tǒng)性能明顯下降、網(wǎng)絡(luò)擁塞、服務(wù)中斷等）；可靠性原則：為保證信息安

60、全管理平臺(tái)本身的可靠性，產(chǎn)品需具備可靠的自身管理機(jī)制，實(shí)時(shí)監(jiān)控影響系統(tǒng)正常運(yùn)行的可能因素（如資源利用率情況、服務(wù)異常等），保證系統(tǒng)不間斷工作；兼容性原則：能同第三方的管理軟件集成，充分保護(hù)客戶的原有投資；標(biāo)準(zhǔn)化原則：系統(tǒng)所采用的各項(xiàng)技術(shù)應(yīng)遵循國家相關(guān)標(biāo)準(zhǔn)和技術(shù)體制，沒有相應(yīng)國家標(biāo)準(zhǔn)則須遵循國際標(biāo)準(zhǔn)；可管理性原則：保證整個(gè)管理系統(tǒng)應(yīng)具備較高的資源利用率并便于管理和維護(hù)。建設(shè)范圍【此處為示例性文字，需要針對(duì)具體項(xiàng)目修改】安全管理平臺(tái)應(yīng)根據(jù)客戶的IT系統(tǒng)的現(xiàn)狀和需求進(jìn)行分主次、分階段、分步驟的建設(shè)。有些行業(yè)客戶網(wǎng)絡(luò)建設(shè)水平高，網(wǎng)絡(luò)基礎(chǔ)設(shè)施完善，配套的信息安全設(shè)備齊備，數(shù)據(jù)也進(jìn)行了集中管理，整體安全水