【文章內(nèi)容簡介】 作。 安全管理平臺(tái)設(shè)計(jì)支持 多級(jí)管理和多級(jí)部署，多級(jí)平臺(tái)的信息交換內(nèi)容可以靈活選擇，系統(tǒng)的分級(jí)管理能夠靈活的配合行政管理的組織架構(gòu)。 所以，系統(tǒng)滿足將來安全 管理平臺(tái)推廣到全集團(tuán)部署的技術(shù)要求。 安全管理平臺(tái)方案建議書 第 3 頁 信息化使現(xiàn)代工業(yè)形態(tài)發(fā)生重大變化，促進(jìn)了新軍事變革和國防工業(yè)的轉(zhuǎn)型。我國的數(shù)字軍工在快速的推進(jìn)過程中，也面臨著難得的發(fā)展機(jī)遇和嚴(yán)峻挑戰(zhàn)，信息安全作為數(shù)字軍工建設(shè)的重要組成部分，已經(jīng)成為各軍工 集團(tuán) 關(guān)注的重要問題。 為了提升 集團(tuán) 網(wǎng)絡(luò)安全管理水平，提高網(wǎng)絡(luò)安全性 水平，增強(qiáng)網(wǎng)絡(luò)競爭力，擬進(jìn)行網(wǎng)絡(luò)安全管理平臺(tái) 的建設(shè)。 建設(shè)集團(tuán)信息安全管理平臺(tái)是國家對(duì)軍工行業(yè)提高信息安全管理水平的要求： 隨著我國信息化建設(shè)的不斷深入，國家對(duì)信息安全保護(hù)工作的要求也不斷 提高，其中以2020年《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā) [2020]27 號(hào)）文件成為一個(gè)里程碑，標(biāo)志著 國家已經(jīng)將信息安全提高到國家安全的地位上來。隨后公安部、國務(wù)院信息化工作辦公室等四部門《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》（公通字[2020]66 號(hào)）文件，要求對(duì)所有信息系統(tǒng)進(jìn)行分級(jí)管理，提出了“誰主管，誰負(fù)責(zé)”的管理原則。這些都說明了當(dāng)前國家對(duì)信息安全的重視程度不斷提高。 針對(duì)集團(tuán)的性質(zhì)，國家保密局 2020 年也下發(fā)了 《涉及國家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》 _BMB17等信息 安全管理規(guī)定，對(duì)涉密單位提出了強(qiáng)制性信息安全管理要求。 我司通過在集團(tuán)內(nèi)部長期的信息系統(tǒng)建設(shè)經(jīng)驗(yàn)結(jié)合國家相關(guān)的文家要求，已經(jīng)深刻認(rèn)識(shí)到信息安全的重要性。認(rèn)為信息安全領(lǐng)域一定是未來的重要經(jīng)濟(jì)增長點(diǎn)。 實(shí)施安全管理平臺(tái)是提升集團(tuán)信息安全管理水平的有力保障，通過實(shí)施安全管理平臺(tái)可以做到對(duì)集團(tuán)信息系統(tǒng)安全運(yùn)行狀態(tài) 做出 及時(shí)、正確的評(píng)價(jià)，可以使安全管理人員時(shí)時(shí)了解安全管理措施實(shí)施后對(duì)信息系統(tǒng)安全狀態(tài)帶來的影響，及時(shí)發(fā)現(xiàn)系統(tǒng)安全隱患，做到安全事件事前預(yù)警。 發(fā)生安全事件后，可以快速定位安全問題，第一時(shí)間排除安全事件，快速恢 復(fù)信息系統(tǒng)正常運(yùn)行，做到安全事件事后快速定位。 安全管理平臺(tái) 會(huì)在代理端對(duì)所收集的日志信息進(jìn)行全面、高效的預(yù)處理。解決了海量日志所造成的系統(tǒng)瓶頸問題。 同時(shí)對(duì)日志進(jìn)行集中存儲(chǔ)和集中管理，這就為安全事件事后審計(jì)、取證提供了基礎(chǔ)。 建設(shè)集團(tuán)信息安全管理平臺(tái)是 集團(tuán)信息安全管理自身技術(shù)要求 ： 隨著信息安全建設(shè)的不斷開展，信息網(wǎng)絡(luò)和應(yīng)用業(yè)務(wù)系統(tǒng)的安全涉及越來越多的方面，涉及到防火墻、防病毒、入侵檢測等系統(tǒng)安全方面的措施。一個(gè)綜合的、復(fù)雜的信息網(wǎng)絡(luò)系安全管理平臺(tái)方案建議書 第 4 頁 統(tǒng)，它的運(yùn)行情況、它的每一個(gè)環(huán)節(jié)和部件是否存在安全隱患和故障因素，應(yīng)用系統(tǒng) 的服務(wù)器和數(shù)據(jù)庫資源是否存在安全漏洞和數(shù)據(jù)泄密或丟失等情況，安全策略是否合適，安全措施是否到位等很多方面，都需要一個(gè)強(qiáng)大的支持系統(tǒng)為運(yùn)行維護(hù)和管理者提供輔助支持和幫助。 同時(shí)，由于安全相關(guān)的數(shù)據(jù)量越來越大，有些關(guān)鍵的安全信息和告警事件常常被低價(jià)值或無價(jià)值的告警信息所淹沒，一些全局性的、影響重大的問題很難被分析和提煉出來。因此，想要使這些信息網(wǎng)絡(luò)安全設(shè)施能最大限度地發(fā)揮其安全保障功能，就必須要有一個(gè)良好的綜合安全管理平臺(tái)、有效的安全審計(jì)和評(píng)估系統(tǒng)，從全局的角度進(jìn)行安全策略的管理，實(shí)時(shí)的事件監(jiān)控及響應(yīng)，為管理者 提供及時(shí)的運(yùn)行情況報(bào)告、問題報(bào)告、事件報(bào)告、安全審計(jì)報(bào)告和風(fēng)險(xiǎn)分析報(bào)告，從而使決策者能及時(shí)調(diào)整安全防護(hù)策略，恰當(dāng)?shù)剡M(jìn)行網(wǎng)絡(luò)優(yōu)化，及時(shí)地部署安全措施，消除網(wǎng)絡(luò)和系統(tǒng)中的問題和安全隱患。只有這樣，信息網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用系統(tǒng)才能真正地實(shí)現(xiàn)安全運(yùn)行。 同時(shí)，由于網(wǎng)絡(luò)安全措施需要進(jìn)行分布式部署，層次式防御，如果在每一個(gè)地方都進(jìn)行分布式管理，一方面會(huì)浪費(fèi)大量的人力、物力和財(cái)力，另一方面，對(duì)系統(tǒng)管理員的技能要求也十分高。而且，分布式的分散策略設(shè)置還有可能造成安全策略的不一致性問題，從而 產(chǎn)生安全上的漏洞和沖突。因此，在很大程度 上需要建立一個(gè)統(tǒng)一的 安全管理平臺(tái) ，對(duì)信息網(wǎng)絡(luò)和應(yīng)用業(yè)務(wù)系統(tǒng)進(jìn)行統(tǒng)一的安全風(fēng)險(xiǎn)監(jiān)測及分析，逐步實(shí)現(xiàn)安全預(yù)警，并以安全管理平臺(tái)作為安全運(yùn)維工作的技術(shù)支撐，使安全的日常工作制度化、有效化。 目前 防火墻、 VPN、 IDS、防病毒、身份認(rèn)證、數(shù)據(jù)加密、安全審計(jì)等安全防護(hù)和管理系統(tǒng)在網(wǎng)絡(luò)中 已經(jīng) 得到了廣泛應(yīng)用。雖然這些安全產(chǎn)品能夠在特定方面發(fā)揮一定的作用，但是這些產(chǎn)品 由于功能各異、生產(chǎn)廠家不同，無法形成相互關(guān)聯(lián)、統(tǒng)一管理。 形成了 眾多 相互沒有關(guān)聯(lián)的、隔離的 “ 安全孤島 ” ； 各種安全產(chǎn)品彼此之間沒有有效的統(tǒng)一管理調(diào)度機(jī)制，不能互相 支撐、協(xié)同工作，從而使安全產(chǎn)品的應(yīng)用效能無法得到充分的發(fā)揮。 為了解決眾多安全設(shè)備無法相互關(guān)聯(lián)、統(tǒng)一管理，不能最大限度的發(fā)揮安全保障功能的問題，集團(tuán)提出了構(gòu)件集團(tuán)安全管理平臺(tái)的構(gòu)想。 現(xiàn)狀 集團(tuán) 信息化系統(tǒng)經(jīng)過多年的發(fā)展建設(shè)，目前信息化程度已達(dá)到了較高水平。信息技術(shù)在安全管理平臺(tái)方案建議書 第 5 頁 提高管理水平、促進(jìn)業(yè)務(wù)創(chuàng)新、提升 集團(tuán) 競爭力方面發(fā)揮著日益重要的作用。隨著信息化的深入發(fā)展，業(yè)務(wù)系統(tǒng)對(duì)信息技術(shù)的高度依賴，網(wǎng)絡(luò)信息安全問題也日益嚴(yán)重，新的安全威脅不斷涌現(xiàn)，并且由于其數(shù)據(jù)的特殊性和重要性，更成為威脅攻擊 的重要對(duì)象，來自外部和內(nèi)部的信息安全風(fēng)險(xiǎn)將不斷增加，這就對(duì)信息系統(tǒng)的安全性提出了更高的要求，迫切需要建設(shè)主動(dòng)的、深層的、立體的信息安全保障體系，保障業(yè)務(wù)系統(tǒng)的正常運(yùn)轉(zhuǎn) 。 . 集團(tuán)信息安全風(fēng)險(xiǎn)分析 網(wǎng)絡(luò)系統(tǒng)面臨的風(fēng)險(xiǎn)復(fù)雜多樣，既有來自外部的，也有來自內(nèi)部的?？梢愿爬橐韵氯齻€(gè)大的方面： ? 組織方面的風(fēng)險(xiǎn)。缺乏統(tǒng)一的安全規(guī)劃和安全職責(zé)部門； ? 技術(shù)方面的風(fēng)險(xiǎn)。安全保護(hù)措施不充分， 盡管已經(jīng)采用了 一些安全技術(shù)和安全產(chǎn)品，但是目前安全技術(shù)的綜合功效發(fā)揮不足 ，存在 這樣、那樣的風(fēng)險(xiǎn)和漏洞； ? 管理方面的風(fēng)險(xiǎn)。安全管理有待提 高，安全意識(shí)培訓(xùn)、安全策略和業(yè)務(wù)連續(xù)性計(jì)劃都需要完善和加強(qiáng)； 圖 安全信息系統(tǒng)改造前 具體風(fēng)險(xiǎn)分析如下： ? 缺乏 安全監(jiān)管手段 ，雖然制定了一系列信息安全規(guī)定，但是沒有一個(gè)科學(xué)的評(píng)估方法和管理手段，無 法對(duì)系統(tǒng)的安全狀況進(jìn)行量化的分析和科學(xué)的管理 。 ? 缺乏專業(yè)的安全組織結(jié)構(gòu)和明確的管理流程（如應(yīng)急響應(yīng)流程），出現(xiàn)信息安全緊安全管理平臺(tái)方案建議書 第 6 頁 急事件缺乏規(guī)范化的響應(yīng)手段 。 ? 操作系統(tǒng)和應(yīng)用軟件系統(tǒng)存在 安全漏洞。蠕蟲、病毒、垃圾郵件帶來 的數(shù)據(jù)破壞和泄露風(fēng)險(xiǎn)。 ? 大量的、分散的安全資源的整合和集中管 理，以及海量安全事件和告警需要 大量人力資源處理 ，帶來 管理和成本風(fēng)險(xiǎn)。 圖 安全信息系統(tǒng)改造后 . 集團(tuán)信息安全 需求 綜合分析集團(tuán)信息安全所面臨的各種安全風(fēng)險(xiǎn)，建議建設(shè)一個(gè)全面安全保障體系，包含貫穿始終的安全策略、風(fēng)險(xiǎn)評(píng)估、安全管理，以及終端用戶行為監(jiān)管。具體在技術(shù)層面上需要考慮綜合采取多種保護(hù)措施。除了保護(hù)網(wǎng)絡(luò)和安全域邊界、網(wǎng)絡(luò)及基礎(chǔ)設(shè)施、終端計(jì)算 環(huán)境的安全的現(xiàn)有安全措施之外，重點(diǎn)進(jìn)行 安全管理平臺(tái) 等支撐性安全設(shè)施的建設(shè)。 在網(wǎng)絡(luò)系統(tǒng)建設(shè) 安全管理平臺(tái) ，作為網(wǎng)絡(luò)的一種支撐性基礎(chǔ)設(shè)施，實(shí)現(xiàn)風(fēng)險(xiǎn)的集中管理和實(shí)時(shí)呈現(xiàn)，將信息安全管理融入業(yè)務(wù)體系和運(yùn)營流程之中，為 集團(tuán) 的運(yùn)營提供強(qiáng)有力的安全保障。 安全管理平臺(tái) 主要包括 幾個(gè) 部分：安全 運(yùn)行預(yù)警 、安全 現(xiàn)狀監(jiān)控 ， 安全事件響應(yīng)、安全事件快速定位、系統(tǒng)自身管理， 具體實(shí)現(xiàn)以下功能 ： ? 風(fēng)險(xiǎn)查看 ? 資產(chǎn)管理 安全管理平臺(tái)方案建議書 第 7 頁 ? 脆弱性管理 ? 安全事件管理 ? 安全任務(wù)單管理 ? 安全預(yù)警管理 ? 報(bào)表管理 ? 策略管理 ? 系統(tǒng)管理 ? 安全知識(shí)庫 安全管 理平臺(tái) 建議管理范圍包括： ? 所有的基于 IP的網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的安全：包括 網(wǎng)絡(luò)系統(tǒng)中包含的各個(gè)信息系統(tǒng)、相關(guān)的路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備，以及重要的服務(wù)器和主機(jī) ； ? 安全體系的實(shí)時(shí)管理和監(jiān)控都應(yīng)當(dāng)受到 安全管理平臺(tái)的管理，管理對(duì)象包括 防火墻，入侵檢測系統(tǒng)，防病毒網(wǎng)關(guān)，終端安全管理系統(tǒng)、認(rèn)證授權(quán)系統(tǒng)等等 ； ? 應(yīng)用系統(tǒng) 應(yīng)該通過一定途徑將安全相關(guān)信息輸送到 安全管理平臺(tái) 中，保證及時(shí)安全時(shí)間的發(fā)現(xiàn)、分析和響應(yīng) 。 安全管理平臺(tái) 在技術(shù)方面，主要需要完成以下幾個(gè)功能： ? 基于資產(chǎn)的風(fēng)險(xiǎn)管理 和 集中的安全策略管理 ； ? 集中的安全配置管 理 ； ? 幫助實(shí)現(xiàn)全網(wǎng)實(shí)時(shí)各種安全事件的檢測、相關(guān)分析和可視化 ； ? 作為全網(wǎng)安全體系的中樞，發(fā)揮寶貴的“專家智慧”資源，統(tǒng)一指揮各種安全事件下的響應(yīng)和恢復(fù) 。 安管平臺(tái)性能需求 ? 單中心能夠同時(shí)支持 50臺(tái)以上設(shè)備的管理，每秒處理的報(bào)警數(shù)量在 2020條以上 ； ? 支持多級(jí)部署 。 . 集團(tuán) 安全 管理平臺(tái) 建設(shè)目標(biāo) 根據(jù)系統(tǒng)的特性，本系統(tǒng)應(yīng)在技術(shù)上具有先進(jìn)性，具有適當(dāng)?shù)某靶院洼^強(qiáng)的可擴(kuò)充性。系統(tǒng)應(yīng)充分利用現(xiàn)有的通訊方式，實(shí)現(xiàn)最有效的信息溝通，采用開放式和具有可擴(kuò)展性的結(jié)構(gòu)方案，保證系統(tǒng)的不斷擴(kuò)充。 更為重要的是，隨著安全管理 平臺(tái)的建成與開通，能夠 全面提升系統(tǒng)信息安全管理、運(yùn)安全管理平臺(tái)方案建議書 第 8 頁 行水平 ， 使信息系統(tǒng)管理人員集中精力于核心業(yè)務(wù)系統(tǒng)， 為 公司 事業(yè)提高整體工作水平和效率。 本工程的總目標(biāo)為工程完成后，建成 集團(tuán) 網(wǎng)絡(luò)安全管理平臺(tái)。 安全管理平臺(tái)方案建議書 第 9 頁 第 2 章 安管平臺(tái)現(xiàn)狀與 市場 . 安管平臺(tái)的定義 安全管理平臺(tái) 是針對(duì)傳統(tǒng)管理方式，尤其是針對(duì)安全管理和運(yùn)營維護(hù)方式的一種重大變革，它將不同位置、不同安全產(chǎn)品鐘分散且海量的安全事件進(jìn)行收集、過濾、重組和關(guān)聯(lián)分析，得出全局角度的安全風(fēng)險(xiǎn)，融合技術(shù)手段與管理手段，發(fā)揮網(wǎng)絡(luò)安全集中管理的整體優(yōu)勢，及時(shí)有效的監(jiān)控和處理網(wǎng)絡(luò)安全事件，維持整 體網(wǎng)絡(luò)的安全性和可用性一直在一個(gè)較高的等級(jí)上。 安全管理平臺(tái) 可以解決當(dāng)前客戶 的三個(gè)問題： 一、通過關(guān)聯(lián)分析，處理海量事件； 二、可視化集中管理與決策平臺(tái)； 三、通過風(fēng)險(xiǎn)評(píng)估，降低運(yùn)維成本 。 安全管理平臺(tái) 的核心價(jià)值在于針對(duì)客戶的 IT 資產(chǎn)所面臨的安全威脅 ， 給出及時(shí)有效的響應(yīng)支撐和協(xié)作支撐以及決策支撐 。 從而最終體現(xiàn) IT安全工作的價(jià)值 ， 保護(hù) 集團(tuán) 的投資和正常運(yùn)行 。 安全管理平臺(tái) 的核心功能是通過預(yù)先植入的各種安全代理采集安全事件，進(jìn)行 歸并、整理、規(guī)范化之后統(tǒng)一存儲(chǔ)，進(jìn)行關(guān)聯(lián)分析。 關(guān)聯(lián)分析應(yīng)結(jié)合被管系統(tǒng)的信息交互，生成系 統(tǒng)的風(fēng)險(xiǎn)預(yù)警和有針對(duì)性的資產(chǎn)報(bào)警信息。通過已經(jīng)發(fā)生的安全事件計(jì)算當(dāng)前系統(tǒng)或資產(chǎn)的風(fēng)險(xiǎn)等級(jí)。滿足管理人員對(duì)系統(tǒng)整體安全現(xiàn)狀的掌握的要求。 還有一種場景是通過未發(fā)生的安全事件（通過知識(shí)庫積累），與信息資產(chǎn)弱點(diǎn)關(guān)聯(lián)事前告警，提供事前預(yù)警機(jī)制，提供安全策略支持。 安全管理平臺(tái)方案建議書 第 10 頁 圖 安全管理平臺(tái) 圖 職責(zé) 作為一個(gè)安全運(yùn)營機(jī)構(gòu)，作為一個(gè)專家決策系統(tǒng)的執(zhí)行系統(tǒng)， 安全管理平臺(tái) 應(yīng)具備安全運(yùn)營機(jī)構(gòu)的全部職能，包括： 7 24 時(shí) 時(shí)監(jiān)控、 執(zhí)行安全管理體系、制定安全策略、提供安全緊急事件的安全響應(yīng)、提供安全預(yù)警、時(shí)時(shí)評(píng)估系統(tǒng)安全狀態(tài)等。 減少風(fēng)險(xiǎn)和停機(jī)時(shí)間 對(duì)于多數(shù)網(wǎng)絡(luò)和業(yè)務(wù)，最重要的要求是保證網(wǎng)絡(luò)以可接受的風(fēng)險(xiǎn)級(jí)別運(yùn)行并且無停機(jī)時(shí)間。 安全管理平臺(tái) 必須通過智能性地、預(yù)防性地適時(shí)向合適的人員警告重要的安全事件，來支持組織 的信息系統(tǒng)穩(wěn)定可靠運(yùn)行 。如果在安全事件開始攻擊關(guān)鍵業(yè)務(wù)系統(tǒng)之前可以減輕危險(xiǎn)，那么 IT 人員就不必關(guān)閉關(guān)鍵業(yè)務(wù)系統(tǒng)。 保證系統(tǒng)正常穩(wěn)定運(yùn)行。 控制和防止 威脅 組織必須確保威脅被預(yù)防或被限制。預(yù)防和限制威脅涉及到及早通知可 疑的活動(dòng)，并能夠快速實(shí)施限制機(jī)制。例如，如果 IDS 和網(wǎng)絡(luò)管理系統(tǒng)報(bào)告有 惡意軟件以 某一目標(biāo)主 機(jī)為對(duì)象實(shí)施 攻擊 ，則操作員可以對(duì)此 進(jìn)程 提高警惕，并在主機(jī)被破壞前將此 軟件 從目標(biāo)主機(jī)中刪除。 有些威脅可能無法完全預(yù)防，但可以通過阻止其在網(wǎng)絡(luò)上傳播來降低這種威脅造成的影響。如果某一網(wǎng)絡(luò)系統(tǒng)受到破壞， 安全管理平臺(tái) 可以快速識(shí)別受影響的主機(jī)并將其鎖定，使安全管理平臺(tái)方案建議書 第 11 頁 其無法與網(wǎng)絡(luò)的其余部分聯(lián)網(wǎng)。系統(tǒng)管理員可對(duì)路由器、交換機(jī)和 VLAN 進(jìn)行重新配置以限制這些系統(tǒng)的擴(kuò)展，從而防止威脅擴(kuò)散，并為管理員提供時(shí)間在進(jìn)一步破壞發(fā)生前降低危險(xiǎn)。 為了對(duì) 安全事件進(jìn)行可行的牽制和預(yù)防，必須快速而準(zhǔn)確地 發(fā)布 重要的警告信息，以采取相應(yīng)措施。 安全管理平臺(tái) 必須能夠 準(zhǔn)確提供 告警 信息 ，并以各種警告機(jī)制（如電子郵件、短消息 或故障單）將重要信息實(shí)時(shí)或接近實(shí)時(shí)地提供給重要人員。 減少管理開銷 集團(tuán) 實(shí)施了各種 安全 系統(tǒng)，來保護(hù) 集團(tuán) 免受安全事件的影響。由各個(gè)獨(dú)立系統(tǒng)（如入侵檢測系統(tǒng)、防毒系統(tǒng)、防火墻、操作系統(tǒng)日志、訪問控制系統(tǒng)）生成的上百萬條警告 無法及時(shí)進(jìn)行閱讀和整理 。有些 單位 有 人員 來 專門處理這些安全事件高警信息 。 這樣會(huì)增加集團(tuán)的安全管理成本，而且， 也很難找到 有能力能夠閱讀和處理所 有安全設(shè)備日志信息的 安全管理人員 。 安全管理平臺(tái) 盡可