【正文】 神州數(shù)碼安全管理平臺技術(shù)白皮書神州數(shù)碼（合肥）有限公司2009年5月 第一章 前言 3第二章 系統(tǒng)結(jié)構(gòu) 4第三章 神州數(shù)碼安全管理平臺（SOC）功能概述 4 基礎(chǔ)安全管理 5 5 7 12 13 安全風險管理 13 事件管理中心 13 風險管理中心 14 安全掃描管理 19 安全評價管理 19 19 21 22 24 安全工單系統(tǒng) 27 27 27 28 接受工單 28 轉(zhuǎn)派工單 29 催辦工單 29 解決工單 29 結(jié)束工單 29 歸檔工單 29 查詢工單 29第一章 前言互聯(lián)網(wǎng)的開放性，給網(wǎng)絡(luò)運營帶來了越來越多的安全隱患，互聯(lián)網(wǎng)網(wǎng)絡(luò)安全管理工作目前急需加強，相應(yīng)的安全管理系統(tǒng)及檢測手段的建設(shè)也勢在必行。大型企業(yè)的網(wǎng)絡(luò)規(guī)模龐大、系統(tǒng)復(fù)雜，其中包含各種網(wǎng)絡(luò)設(shè)備、服務(wù)器、工作站、業(yè)務(wù)系統(tǒng)等。同時安全領(lǐng)域也逐步發(fā)展成復(fù)雜和多樣的子領(lǐng)域，例如訪問控制、入侵檢測、身份認證等等。這些安全子領(lǐng)域通常在各個業(yè)務(wù)系統(tǒng)中獨立建立，隨著大規(guī)模安全設(shè)施的部署，安全管理成本不斷飛速上升，同時對這些安全基礎(chǔ)設(shè)施產(chǎn)品和它們產(chǎn)生的信息的管理成為日益突出的問題。具體體現(xiàn)在:l 海量事件企業(yè)中存在的各種IT設(shè)備提供大量的安全信息，特別是安全系統(tǒng)，例如安全事件管理系統(tǒng)和漏洞掃描系統(tǒng)等。這些數(shù)量龐大的信息使得管理員疲于應(yīng)付，容易忽略一些重要但是數(shù)量較少的告警。海量事件是現(xiàn)代企業(yè)安全管理和審計面臨的主要挑戰(zhàn)之一。l 孤立的安全信息相對獨立的IT設(shè)備產(chǎn)生了相對孤立的安全信息。企業(yè)缺乏智能的關(guān)聯(lián)分析方法，分析多個安全信息之間的聯(lián)系，揭示安全信息的本質(zhì)。例如什么樣的安全事件是真正的安全事件，它是否真正影響到業(yè)務(wù)系統(tǒng)的運行等。l 響應(yīng)缺乏保障安全問題和隱患被發(fā)掘出來，但是缺少一個良好的機制去保證相應(yīng)的安全措施得到良好的執(zhí)行。至今困擾許多企業(yè)的安全問題之一弱口令就是響應(yīng)缺乏保障的結(jié)果。l 知識孤島許多前沿的安全技術(shù)往往只由企業(yè)內(nèi)部少數(shù)人員了解，他們?nèi)鄙僖粋€途徑將這些知識共享出來以提高企業(yè)整體的安全水平。目前安全領(lǐng)域越來越龐大，分支也越來越細微，各方面的專家缺少一個溝通的平臺保證這些知識的不斷積累和發(fā)布。l 安全策略缺乏管理隨著安全知識水平的提高，企業(yè)在自身發(fā)展過程中往往制定了大量的安全制度和規(guī)定，但是數(shù)量的龐大并不能代表安全策略的完善，反而安全策略版本的混亂、內(nèi)容的重復(fù)和片面、關(guān)鍵制度的缺失等等問題在企業(yè)中不同程度的存在。l 習慣沖突以往的運維工作都是基于資產(chǎn)的運維，但是安全卻是基于安全事件的運維。企業(yè)每出現(xiàn)一個安全問題就需要進行一次大范圍的維護，比如出現(xiàn)病毒問題。這使得安全的運維工作不同于以往的運維工作習慣，造成運維工作效率低下，并且難以規(guī)劃?？偟膩砜?，隨著IP技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為影響網(wǎng)絡(luò)進一步發(fā)展的關(guān)鍵問題。為提升用戶業(yè)務(wù)平臺系統(tǒng)的安全性及網(wǎng)絡(luò)安全管理水平，增強競爭力，神州數(shù)碼推薦采用神州數(shù)碼安全管理平臺（SOC）整體解決方案來實現(xiàn)安全管理中心的建設(shè)。第二章 系統(tǒng)結(jié)構(gòu) 神州數(shù)碼安全管理平臺（SOC）產(chǎn)品功能從邏輯上分為四大部分內(nèi)容，包括基礎(chǔ)安全管理、安全風險管理、安全評價管理和安全工單系統(tǒng)。第三章 神州數(shù)碼安全管理平臺（SOC）功能概述神州數(shù)碼安全管理平臺（SOC）產(chǎn)品功能中基礎(chǔ)安全管理分為：資產(chǎn)管理模塊、策略管理模塊、安全知識庫管理、安全公告模塊。安全風險管理是安全管理平臺的核心模塊，主要包括事件管理中心、風險管理中心和安全掃描管理三大部分。安全評價管理實現(xiàn)對企業(yè)安全現(xiàn)狀的評價，包括企業(yè)的資產(chǎn)狀況、事件狀況、風險狀況等。實現(xiàn)對企業(yè)安全工作的評價，包括公司級安全工作評價、部門級安全工作評價和個人安全工作評價。評價的主要內(nèi)容是安全工作量和工作效率。綜合分析，包括生成符合運行維護規(guī)范的綜合數(shù)據(jù)；通過對數(shù)據(jù)的深層次挖掘，幫助企業(yè)發(fā)現(xiàn)問題根源。安全工單系統(tǒng)派發(fā)指導(dǎo)操作的作業(yè)工單，解決目前網(wǎng)絡(luò)中存在的安全事項，消除安全隱患。工單系統(tǒng)對工單的流轉(zhuǎn)做全流程的監(jiān)控，提供工單的查詢、統(tǒng)計等功能，同時提供和外部工單系統(tǒng)的接口。 基礎(chǔ)安全管理資產(chǎn)管理模塊是SOC的基礎(chǔ)模塊，它實現(xiàn)對安全管理平臺所管轄的設(shè)備和系統(tǒng)對象的管理。它將其所轄IP設(shè)備資產(chǎn)信息按其重要程度分類登記入庫，并為其他安全管理模塊提供信息接口。資產(chǎn)管理模塊支持以下的資產(chǎn)管理功能：資產(chǎn)信息導(dǎo)入：支持Excel、txt和指定格式資產(chǎn)信息數(shù)據(jù)的導(dǎo)入功能；資產(chǎn)信息導(dǎo)出：支持Excel、txt和指定格式（包括神碼、三星、ISS等掃描產(chǎn)品可以識別的IP列表格式）；資產(chǎn)信息編輯：支持資產(chǎn)信息人工的添加、修改以及刪除功能；資產(chǎn)信息查詢：支持資產(chǎn)各項屬性關(guān)鍵字組合查詢功能，能夠幫助用戶快速定位所需要查詢的資產(chǎn)，查詢的字段包括資產(chǎn)編號、資產(chǎn)名稱、序列號、資產(chǎn)型號、操作系統(tǒng)、管理員、主機名稱、所屬管理部門、業(yè)務(wù)系統(tǒng)、資產(chǎn)類型、資產(chǎn)節(jié)點、資產(chǎn)位置、資產(chǎn)IP；資產(chǎn)統(tǒng)計分析：支持以資產(chǎn)各項屬性為索引的統(tǒng)計分析能力，例如系統(tǒng)資產(chǎn)分布圖表、資產(chǎn)類型分布圖表、資產(chǎn)賦值分布圖表等等；資產(chǎn)樹：以樹圖形式列出所有資產(chǎn)，方便用戶對資產(chǎn)進行瀏覽和操作，資產(chǎn)樹圖有多種瀏覽形式，包括：業(yè)務(wù)資產(chǎn)樹圖，按照業(yè)務(wù)分類瀏覽；物理資產(chǎn)樹圖，按照資產(chǎn)的物理位置分類瀏覽；資產(chǎn)類型樹圖，按照資產(chǎn)的類型分類瀏覽等等；資產(chǎn)屬性管理：支持根據(jù)需求對屬性進行定制，例如編輯資產(chǎn)業(yè)務(wù)系統(tǒng)信息、編輯節(jié)點信息、編輯管理部門和人員信息、編輯資產(chǎn)類型信息、編輯操作系統(tǒng)信息等；安全域管理：建立資產(chǎn)所屬的安全域信息，建立資產(chǎn)與安全域的關(guān)聯(lián)關(guān)系。資產(chǎn)變更管理：資產(chǎn)變更管理主要用來跟蹤資產(chǎn)屬性的變化情況，以列表的形式將所有的變更記錄展示出來，提供制定資產(chǎn)管理決策的依據(jù)。資產(chǎn)的關(guān)鍵屬性如下：項目描述要求資產(chǎn)編號該業(yè)務(wù)資產(chǎn)的唯一編號由GeneratorID類直接生成。此字段在編輯時不可修改資產(chǎn)名稱該業(yè)務(wù)資產(chǎn)的助記名稱可為中文，最大長度50個字符。此字段在編輯時不可修改固定資產(chǎn)編號該業(yè)務(wù)資產(chǎn)的固定編號，一般為用戶自己定義字符串型數(shù)據(jù)，最大長度為20個字符所屬業(yè)務(wù)系統(tǒng)該業(yè)務(wù)資產(chǎn)所屬的上一級業(yè)務(wù)系統(tǒng)的ID號此字段在編輯時不可修改。同時顯示平行顯示所有業(yè)務(wù)系統(tǒng)（不包括“未分配”目錄）。資產(chǎn)類型該業(yè)務(wù)資產(chǎn)的具體類型編號在編輯資產(chǎn)時，由用戶選擇網(wǎng)絡(luò)節(jié)點該業(yè)務(wù)資產(chǎn)所屬的網(wǎng)絡(luò)節(jié)點編號在增加資產(chǎn)時，由用戶選擇管理部門該業(yè)務(wù)資產(chǎn)所屬的部門在增加資產(chǎn)時，由用戶選擇管理員一該業(yè)務(wù)資產(chǎn)所屬的管理員一在增加資產(chǎn)時，由用戶選擇管理員二該業(yè)務(wù)資產(chǎn)所屬的管理員二在增加資產(chǎn)時，由用戶選擇主機名稱該業(yè)務(wù)資產(chǎn)所屬主機的Hostname字符型數(shù)據(jù)，最大長度為50字符設(shè)備型號該業(yè)務(wù)資產(chǎn)的設(shè)備型號字符型數(shù)據(jù)，最大長度為50字符序列號該業(yè)務(wù)資產(chǎn)的序列號字符型數(shù)據(jù)，最大長度為50字符操作系統(tǒng)該業(yè)務(wù)資產(chǎn)所屬主機的操作系統(tǒng)名稱在增加資產(chǎn)時，由用戶選擇安全域該資產(chǎn)所屬于的安全域?qū)傩栽谠黾淤Y產(chǎn)時，由用戶選擇應(yīng)用軟件該業(yè)務(wù)資產(chǎn)上所安裝的主要應(yīng)用軟件名稱字符型數(shù)據(jù)，最大長度為50字符存放地點該業(yè)務(wù)資產(chǎn)具體的存放地點在增加資產(chǎn)時，由用戶選擇固定成本該業(yè)務(wù)資產(chǎn)的采購成本浮點型，保留2位小數(shù)保修期該業(yè)務(wù)資產(chǎn)的具體保修時間日期型數(shù)據(jù)狀態(tài)該業(yè)務(wù)資產(chǎn)的運行狀態(tài)在編輯時由用戶選擇。正常、維修、故障、遷移、注消用途該業(yè)務(wù)資產(chǎn)的具體用途字符型數(shù)據(jù)，最大長度為256字符IP地址該業(yè)務(wù)資產(chǎn)對應(yīng)的IP地址在數(shù)據(jù)庫中由另外一張表來維護，資產(chǎn)與IP地址是一對多的關(guān)系相關(guān)資產(chǎn)與該業(yè)務(wù)資產(chǎn)相關(guān)的一些資產(chǎn)在數(shù)據(jù)庫中由另外一張表來維護