【正文】 織網(wǎng)絡安全的技術手段，其通過風險管理展示了組織當前的網(wǎng)絡安全風險狀況，同時給出降低安全風險的方法，驅(qū)動 IT維護人員進行降低安全風險、解決安全問題的工作，使得管理員能夠?qū)⒔档桶踩L險在安全事件發(fā)生之前，在日常工作中有效的完成，并且可以降低組織的管理成本。 安全策略管理實現(xiàn) 安 全策略管理旨在控制整個網(wǎng)絡安全監(jiān)控平臺和安全分析系統(tǒng)的策略，指導網(wǎng)絡安全監(jiān)控平臺和安全分析系統(tǒng)如何運作，并且根據(jù)運行的情況不斷地調(diào)整相應的策略。該策略模塊中的所有策略均支持多維度的查詢。 2. 可自定義的定制收集范圍，包括：監(jiān)控對象、事件類型、緊急 程度（事件級別）、發(fā)生時間、攻擊事件的發(fā)生源地址、攻擊事件的發(fā)生源端口、攻擊事件的目標地址、攻擊事件的發(fā)生目標端口、通信協(xié)議類型、應用層協(xié)議類型、事件刷新的時間間隔（事件發(fā)生的時間）、設備的唯一識別號或者名稱、事件級別、廠家、用戶自定義等。 4. 定制收集后的傳輸目的地，包括本地、單個遠程地址（同步和異步）、多個遠程地址（同步和異步）。 脆弱性管理策略 負責在定制的事件對系統(tǒng)的部門或整體進行脆弱性分析的策略，可定制的內(nèi)容包含： 分析的事件范圍（起始，終止時間，時間間隔等）、分析的系統(tǒng)范圍、分析采用的方法等。 1) 安全事件處理策略針對每一種安全事件都可以定制的處理策略，該策略用流程來表示，可定制的內(nèi)容包括： a. 安全事件匹配規(guī)則，該規(guī)則可以根據(jù)安全事件的內(nèi)容的各個部分進行定制。并且流程中針對每個動作會進行跟蹤檢驗，針對每個動作的可能失敗情況給出相應的處理步驟。 安全狀況評估策略 控制評估的周期，范圍，內(nèi)容。 安全事件處理 工單 的實現(xiàn) 安全事件處理功能是日志審計平臺的核心功能。每一步處理步驟包括通知相關人員，給相關人員發(fā)送指令、跟蹤相關人員的指令完成情況以及調(diào)動相關資源做出響應等。 安全工單管理具備如下能力特征： ? 當發(fā)現(xiàn)有安全事件發(fā)生時，自動生成安全事件處理工單，并立即調(diào)用服務程序通過聲音、圖形、短信、郵件、代理程序響應或彈出窗口等方式對相關人員 發(fā)進行提醒。 ? 可針對安全事件的危害程度定義事件處理的優(yōu)先級別，保證優(yōu)先級高的安全事件比優(yōu)先級低的安全事件更快的處理；針對同一個處理流程或同一個處理人，高優(yōu)先級的事件可以搶斷低優(yōu)先級的事件，首先得到處理；根據(jù)事件處理中發(fā)生的不同情況（等待時間過長，事件被搶占，需要的資源無法獲得等），可以自動改變事件的優(yōu)先級和流程以及相應的干系人。 ? 安全事件處理的結果報表支持多種條件的報表定制（這些條件包括所有可以用于查詢的條件和查詢的表現(xiàn)形式），支持手動和自動報表產(chǎn)生，報表的格式支持文本、數(shù)據(jù)庫等多種格式。 工單 設計 安全事件處理模塊的設計思想就是要實現(xiàn)工單的電子化處理功能，通過計算機系統(tǒng)代替以 前的手動工單處理流程，通過電子流程再現(xiàn)、規(guī)范和優(yōu)化網(wǎng)絡維護部門的運維工作流程，實現(xiàn) “ 把工作嵌入流程中，把人嵌入工作中 ” 的高效運維工作模式，從而更好地提高用戶的工作效率。工單的派發(fā)面向整個受理部門，可以避免因為工作人員的離崗而造成工作的延誤； ? 當告警發(fā)生時，系統(tǒng)會采用自動和手動兩種方式從相關系統(tǒng)獲取 告警等方面的信息，按照一定的過濾原則，提取出需要派發(fā)工單的信息，并從信息中提取出有用的信息生成相關的工單，同時提示監(jiān)控人員有工單生成，監(jiān)控人員審查工單，如需要派發(fā)工單，則將工單派發(fā)至相關部門。 不同運維人員需求 報表 實現(xiàn) 報表是日常工作 必不可少的統(tǒng) 計工具 。 NetEye 安全管理平臺 系統(tǒng)提供了 強大的 報表功能： 預定義 了 14 種不同安全層面的圖形 化 統(tǒng)計功能； 預定義了 4 種針對業(yè)務設計的報表功能； 預定義了 2 種針對安全事件分析的綜合統(tǒng)計功能； 用戶 可根據(jù)自己 不同 的 需求 ，靈活 定制不同的統(tǒng)計報表； 報表的數(shù)據(jù)，可以根據(jù)特定的時間段或者時間周期生成 日、周、月、季和年報 ； 可根據(jù)時間、源 IP、目的 IP、源端口、目的端口等各種條件及條件組合生成TOP N 的統(tǒng)計報表； 為 不同人員（技術人員、業(yè)務主管、領導）的需要， 在系統(tǒng)中預定義了多種報表樣式。 三 . 東軟安全管理平臺的體系 結構 NetEye 安全管理平臺 的體系結構從總體上可分為數(shù)據(jù)采集、數(shù)據(jù)處理、應用服務、展示平臺四個邏輯層次。 ? 數(shù)據(jù)處理層：將采集到的原始安全信息進行關聯(lián)分析處理，并將所有安全信息進行格式標準化處理，根據(jù)策略進行數(shù)據(jù)歸并和壓縮后，存儲到數(shù)據(jù)庫中。 ? 展示平臺：實現(xiàn) NetEye 安全管理平臺 的統(tǒng)一 界面展示。 數(shù)據(jù)采集層 數(shù)據(jù)采集層負責 根據(jù) 策略 采集 各種安全信息。采集的對象包括： ? 路由器、交換機、幀中繼等網(wǎng)絡設備上相關的安全信息； ? 漏洞掃描子系統(tǒng)、入侵檢測子系統(tǒng)、防火墻子系統(tǒng)和防病毒子系統(tǒng)的安全信息，通過其各自的控制臺輸出，由數(shù)據(jù)采集層來接收采集； ? 主機系統(tǒng)的安全信息，由數(shù)據(jù)采集層直接從主機系統(tǒng)進行收集； ? 從日志服務器、網(wǎng)管服務器收集相關的安全信息； 數(shù)據(jù)采集層將所采集到的數(shù)據(jù)進行簡單歸并處 理，作為數(shù)據(jù)處理層的原始數(shù)據(jù)。 將從網(wǎng)絡設備、安全設備、主機系統(tǒng)等數(shù)據(jù)來源采集到的原始安全信息結合數(shù)據(jù)庫中的資產(chǎn)信息進行關聯(lián)分析，確認原始安全信息的真實性，并對確認后的安全信息進行格式標準化處理，按照指定的信息收集策略歸并安全信息，再經(jīng)過特定的數(shù)據(jù)壓縮后，存儲到數(shù)據(jù)庫中。 應用服務層 應用 服務層是展示平臺、數(shù)據(jù)庫和數(shù)據(jù)處理層之間銜接的接口。 展示平臺通過應用服務層從數(shù)據(jù)庫中提取信息，按照定制策略進行數(shù)據(jù)過濾、條件分析，以完成資產(chǎn)信息統(tǒng)計、脆弱性統(tǒng)計、工單統(tǒng)計、報表輸出等。 統(tǒng)一展示平臺 展示平臺實現(xiàn)了 NetEye 安全管理平臺 的統(tǒng)一 界面展示 。 安全管理平臺組成 NetEye 安全管理平臺 包括顯示平臺、數(shù)據(jù)采集引擎、應用服務器、數(shù)據(jù)庫服務器，結合原始數(shù)據(jù)來源設備，構成完整的安全 管理 解決方案。 CM 作為控制中心，提供了對整個模塊中各進程的實時監(jiān)控和配置管理接口。 Aggregation Engine(AE)：聚合引擎，根據(jù)事件的關鍵詞檢查并標明一系列事件的等同性。 Rulebased Correlation(RCE)：規(guī)則關聯(lián)，使用一系列自定義規(guī)則將一系列事件關聯(lián)起來形成意義更完整的新事 件。 四 . SOC安全管理平臺功能模塊 資產(chǎn)管理 保護信息資產(chǎn)是安全管理體系建設的核心目標，所有信息的存放，例如事件、漏洞都是以資產(chǎn)的視角來查看的，因此資產(chǎn)管理是安全管理平臺的核心，是開展安全管理工作的基礎。 NetEye 安全管理平臺系統(tǒng)可幫助組織視覺化的直觀掌控自己的資產(chǎn)，快速確定資產(chǎn)分布、資產(chǎn)的商業(yè)價值以及資產(chǎn) 的重要性 。 NetEye 安全管理平臺系統(tǒng)支持資產(chǎn)保密性、完整性、可用性的分級評估，從而實施不同的安全防護 等級。 資產(chǎn) 管理 方式 NetEye 安全管理平臺 系統(tǒng) 提供靈活、方便的 Web 方式，供管理員它將其所轄 IP設備資產(chǎn)信息按其重要程度進行分 類和登記入庫，為其他安全管理模塊提供信息 基礎 。 資產(chǎn)歸類工作包括： ? 按照資產(chǎn)的安全域進行歸類，并且可以為每個安全域指定一個管理員，將所在安全域授權給相應的管理員； ? 按照資產(chǎn)的業(yè)務屬性進行歸類； ? 按照資產(chǎn)的設備類型進行歸類； ? 按照資產(chǎn)的所屬網(wǎng)段進行歸類； 資產(chǎn)信息的屬性包括： ? 資產(chǎn)基本信息：資產(chǎn)編號、資產(chǎn)名稱、資產(chǎn)類型、所屬安全域、資產(chǎn)價值； ? 資產(chǎn)配置信息：資產(chǎn)的操作系統(tǒng)、接口數(shù)量 、 CPU、內(nèi)存、硬盤、 IP 地址、MAC 地址、資產(chǎn)開放的端口； ? 資產(chǎn)備注信息： 生產(chǎn)廠家 、 資產(chǎn)負責人 、購置時間等 。 事件 管理 關聯(lián)分析 模塊 事件管理模塊主要 負責從網(wǎng)絡設備、安全設備、主機系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應用程序、網(wǎng)管系統(tǒng)和日志服務器系統(tǒng)等采集數(shù)據(jù)。 事件管理模塊 將采用異構數(shù)據(jù)集成技術， 將這些孤立的數(shù)據(jù)源集成起來，提供一個統(tǒng)一的視圖，從這些資源數(shù)據(jù)中獲取所需要的信息。此接口主要是通過數(shù)據(jù)獲取組件來實現(xiàn)。 數(shù)據(jù)獲取組件 收到日志 后， 需要經(jīng)過一些 必要的 處理，包括去掉與設備無關的日志，去掉在短時間內(nèi)出現(xiàn) 的 大量相同日志。 數(shù)據(jù)采集模塊的功能包括：數(shù)據(jù)采集、數(shù)據(jù)格式標準化。該平臺支持多種數(shù)據(jù)采集協(xié) 議和接口，包括： SYSLOG 、 SNMP Trap、 SNMP 輪詢、 Tel/SSH、 HTTP、 JMX、 ODBC、 SOAP/XML、專用 Agent 等。該平臺將從包括主機系統(tǒng)、網(wǎng)絡系統(tǒng)、業(yè)務系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、安全系統(tǒng)在內(nèi)的各 IT系統(tǒng)收到的安全事件按照統(tǒng)一格式進行標準化處理，存儲到一個通用數(shù)據(jù)庫中，為平臺后期根據(jù)定制的安全策略分析數(shù)據(jù)提供基礎。 數(shù)據(jù)分析 數(shù)據(jù)分析模塊，實現(xiàn)對原始數(shù)據(jù)的核心處理。同時，該平臺設計提供自定義關聯(lián)規(guī)則的界面，以便給用戶提供更大的監(jiān)控選擇空間。 CM 作為控制中心，提供了對整個模塊中各進程的實時監(jiān)控和配置管理接口。 Aggregation Engine(AE)：聚合引擎，根據(jù)事件的關鍵詞檢查并標明一系列事件的等同性。 AE AE Central Manager DB Agent Agent Agent Desktop RC Engine fail over RPC Socket JDBC Mixed VC Engine WebServer Agent Rulebased Correlation(RCE)：規(guī)則關聯(lián)，使用一系列自定義規(guī)則將一系列事件關聯(lián)起來形成意義更完 整的新事件。 (一 ) 基于統(tǒng)計的關聯(lián)分析 基于統(tǒng)計的關聯(lián)分析，主要的依賴對象是關聯(lián)分析框架模型中的聚合引擎。同時，聚合引擎的輸出將作為其它高級關聯(lián)引擎（例如規(guī)則關聯(lián)引擎、脆弱性關聯(lián)引擎）的輸入。 AE 接受多個代理發(fā)送的規(guī)范化的安全事件，根據(jù)事件的聚合條件（ Criteria），檢驗并聚合事件，最后根據(jù)結果類型，將聚合 后的事件發(fā)送到后續(xù)的高級關聯(lián)引擎（ Correlation Engine）。關鍵詞序列存儲在數(shù)據(jù)庫中。一批等同事件，如果首尾發(fā)生的時間間隔小于該類事件的最大聚合間隔，則認為這批等同事件屬于聚合事件。 此外，聚合引擎還負責將事件新增到數(shù)據(jù)庫中，并在聚合發(fā)生時，更新事件的聚合次數(shù)以及蔓延時間等聚合信息。 從事件的流量上看，聚合引擎起到了一定的流量衰減作用。 (二 ) 基于規(guī)則的關聯(lián) 分析 所謂規(guī)則關聯(lián)分析（ Rulebased Correlation， RC），是通過規(guī)則關聯(lián)引擎（ Rulebased Correlation Engine， RCE）來實現(xiàn)的，規(guī)則關聯(lián)引擎接收來自收集代 理的原始安全信息（即格式化以后的安全日志，也稱為原始安全事件），根據(jù)預定義的安全信息分析策略（也稱為規(guī)則關聯(lián)策略，即攻擊場景） 中定義的 規(guī)則 順序先后匹配多種設備的多個 原始安全 事件，將多個 原始安全 事件 通過規(guī)則匹配，生成一條關聯(lián)分析后 事件。達到更準確 地 檢測攻擊 、 減少誤報的目的。 RCE 的主要用例有：事件監(jiān)聽、事件分配、事件匹配規(guī)則、入庫和發(fā)送給其它引擎。模塊的內(nèi)部是該引擎的線程，線程分別為事件監(jiān)聽線程、事件分配線程、動態(tài)工作線程、靜態(tài)工作線程、垃圾回收線程、入庫線程、結果處理線程、動靜態(tài)線程平衡、發(fā)送線程、引擎主線 程和心跳線程。 簡單規(guī)則 S 1S I P = “ 1 0 . 1 . 1 . 3 ”S p o r t = “ 8 0 8 0 ”M s g L I K E “ % a p p l i c a t i o n s t o p % ”S 1 該規(guī)則只有一個狀態(tài)節(jié)點： S1 定義為 SIP=、 SPort=8080、 Msg LIKE “ ％ application stop％ ” 。 順序結構規(guī)則 S 1S 2S I P = “ 1 0 . 1 . 1 . 3 ”S p o r t = “ 8 0 8 0 ”M s g L I K E “ % a p p l i c a t i o n s t o p % ”S 1S I P = “ 1 0 . 1 . 1 . 3 ”S p o r t = “ 8 0 8 0 ”M s g L I K E “ % a p p l i c a t i o n s t a r t % ”S 2 該規(guī)則包含兩個狀態(tài)節(jié)點： S1 定義為 SIP=、 SPort=8080、 Msg LIKE “ ％ application stop％ ” ； S2 定義為 SIP=、 SPort=8080、 Msg LIKE “ ％ application start％ ” 。 分支結構規(guī)則 S 1S 2 S 3 S 4S I P = “ 1 0 . 1 . 1 . 3 ”M s g L I K E “ % s s h l o g i n % ”S 1S I P = “ 1 0 . 1 . 1 . 3 ”M s g L I K E “ % s y s l o g d s t o p % ”S 3S I P = “ 1 0 . 1 . 1 . 3 ”M s