1、 企業信息安全運行中心可行性報告 讓企業安全變得簡單目 錄 TOC o 1-3 h z u HYPERLINK l _Toc9152176 1概述/背景 PAGEREF _Toc9152176 h Error! Bookmark not defined. HYPERLINK l _Toc9152177 2現狀與需求分析 PAGEREF _Toc9152177 h Error! Bookmark not defined. HYPERLINK l _Toc9152178 2.1現狀描述 PAGEREF _Toc9152178 h Error! Bookmark not defined. HYPER

2、LINK l _Toc9152179 2.2系統需求分析 PAGEREF _Toc9152179 h Error! Bookmark not defined. HYPERLINK l _Toc9152180 2.3安全運維管理平臺建設需求分析 PAGEREF _Toc9152180 h Error! Bookmark not defined. HYPERLINK l _Toc9152181 2.3.1IT資產管理功能需求 PAGEREF _Toc9152181 h Error! Bookmark not defined. HYPERLINK l _Toc9152182 2.3.2IT資產運行狀

3、態監控需求 PAGEREF _Toc9152182 h Error! Bookmark not defined. HYPERLINK l _Toc9152183 2.3.3安全事件可視化需求 PAGEREF _Toc9152183 h Error! Bookmark not defined. HYPERLINK l _Toc9152184 2.3.4安全事件實時監控需求 PAGEREF _Toc9152184 h Error! Bookmark not defined. HYPERLINK l _Toc9152185 2.3.5安全事件報警需求 PAGEREF _Toc9152185 h Er

4、ror! Bookmark not defined. HYPERLINK l _Toc9152186 2.3.6安全事件響應功能需求 PAGEREF _Toc9152186 h Error! Bookmark not defined. HYPERLINK l _Toc9152187 2.3.7安全事件采集功能需求 PAGEREF _Toc9152187 h Error! Bookmark not defined. HYPERLINK l _Toc9152188 2.3.8安全事件關聯分析需求 PAGEREF _Toc9152188 h Error! Bookmark not defined.

5、HYPERLINK l _Toc9152189 2.3.9異常流量監控功能需求 PAGEREF _Toc9152189 h Error! Bookmark not defined. HYPERLINK l _Toc9152190 2.3.10宏觀安全態勢感知功能需求 PAGEREF _Toc9152190 h Error! Bookmark not defined. HYPERLINK l _Toc9152191 2.3.11風險管理功能需求 PAGEREF _Toc9152191 h Error! Bookmark not defined. HYPERLINK l _Toc9152192 2

6、.3.12安全報表需求 PAGEREF _Toc9152192 h Error! Bookmark not defined. HYPERLINK l _Toc9152193 3項目目標與范圍 PAGEREF _Toc9152193 h Error! Bookmark not defined. HYPERLINK l _Toc9152194 3.1建設目標 PAGEREF _Toc9152194 h Error! Bookmark not defined. HYPERLINK l _Toc9152195 3.2建設原則 PAGEREF _Toc9152195 h Error! Bookmark

7、not defined. HYPERLINK l _Toc9152196 3.3建設范圍 PAGEREF _Toc9152196 h Error! Bookmark not defined. HYPERLINK l _Toc9152197 3.4系統要求描述 PAGEREF _Toc9152197 h Error! Bookmark not defined. HYPERLINK l _Toc9152198 3.4.1功能要求 PAGEREF _Toc9152198 h Error! Bookmark not defined. HYPERLINK l _Toc9152199 3.4.2管理范圍要

8、求 PAGEREF _Toc9152199 h Error! Bookmark not defined. HYPERLINK l _Toc9152200 3.4.3性能要求 PAGEREF _Toc9152200 h Error! Bookmark not defined. HYPERLINK l _Toc9152201 3.4.4影響性要求 PAGEREF _Toc9152201 h Error! Bookmark not defined. HYPERLINK l _Toc9152202 3.4.5安全要求 PAGEREF _Toc9152202 h Error! Bookmark not

9、defined. HYPERLINK l _Toc9152203 3.4.6接口要求 PAGEREF _Toc9152203 h Error! Bookmark not defined. HYPERLINK l _Toc9152204 3.4.7實施要求 PAGEREF _Toc9152204 h Error! Bookmark not defined. HYPERLINK l _Toc9152205 3.4.8使用要求 PAGEREF _Toc9152205 h Error! Bookmark not defined. HYPERLINK l _Toc9152206 3.4.9運維要求 PA

10、GEREF _Toc9152206 h Error! Bookmark not defined. HYPERLINK l _Toc9152207 3.4.10兼容性要求 PAGEREF _Toc9152207 h Error! Bookmark not defined. HYPERLINK l _Toc9152208 3.4.11擴展性要求 PAGEREF _Toc9152208 h Error! Bookmark not defined. HYPERLINK l _Toc9152209 3.4.12可靠性要求 PAGEREF _Toc9152209 h Error! Bookmark not

11、 defined. HYPERLINK l _Toc9152210 4總體方案設計 PAGEREF _Toc9152210 h Error! Bookmark not defined. HYPERLINK l _Toc9152211 4.1方案設計思路及依據 PAGEREF _Toc9152211 h Error! Bookmark not defined. HYPERLINK l _Toc9152212 4.1.1PPT模型 PAGEREF _Toc9152212 h Error! Bookmark not defined. HYPERLINK l _Toc9152213 4.1.2風險管理

12、思路 PAGEREF _Toc9152213 h Error! Bookmark not defined. HYPERLINK l _Toc9152214 4.1.3三觀安全思路 PAGEREF _Toc9152214 h Error! Bookmark not defined. HYPERLINK l _Toc9152215 4.2設計依據 PAGEREF _Toc9152215 h Error! Bookmark not defined. HYPERLINK l _Toc9152222 4.2.1遵循的國際國內標準和規范 PAGEREF _Toc9152222 h Error! Bookm

13、ark not defined. HYPERLINK l _Toc9152223 4.2.2參考的企業標準、規范和指南 PAGEREF _Toc9152223 h Error! Bookmark not defined. HYPERLINK l _Toc9152224 4.3總體設計思路 PAGEREF _Toc9152224 h Error! Bookmark not defined. HYPERLINK l _Toc9152225 4.4平臺總體功能設計 PAGEREF _Toc9152225 h Error! Bookmark not defined. HYPERLINK l _Toc9

14、152226 4.5平臺運維體系設計 PAGEREF _Toc9152226 h Error! Bookmark not defined. HYPERLINK l _Toc9152227 4.5.1巡檢流程 PAGEREF _Toc9152227 h Error! Bookmark not defined. HYPERLINK l _Toc9152228 4.5.2應急響應流程 PAGEREF _Toc9152228 h Error! Bookmark not defined. HYPERLINK l _Toc9152229 4.5.3預警通告流程 PAGEREF _Toc9152229 h

15、Error! Bookmark not defined. HYPERLINK l _Toc9152230 4.6平臺軟件架構 PAGEREF _Toc9152230 h Error! Bookmark not defined. HYPERLINK l _Toc9152231 4.7系統接口設計說明 PAGEREF _Toc9152231 h Error! Bookmark not defined. HYPERLINK l _Toc9152232 4.7.1接口原則 PAGEREF _Toc9152232 h Error! Bookmark not defined. HYPERLINK l _T

16、oc9152233 4.7.2事件采集接口 PAGEREF _Toc9152233 h Error! Bookmark not defined. HYPERLINK l _Toc9152234 4.7.3主要的定制接口類型 PAGEREF _Toc9152234 h Error! Bookmark not defined. HYPERLINK l _Toc9152235 4.7.4SOA接口設計 PAGEREF _Toc9152235 h Error! Bookmark not defined. HYPERLINK l _Toc9152236 4.7.5ITIL接口設計要求 PAGEREF _

17、Toc9152236 h Error! Bookmark not defined. HYPERLINK l _Toc9152237 5方案的收益 PAGEREF _Toc9152237 h Error! Bookmark not defined. HYPERLINK l _Toc9152238 5.1四維一體的全網安全管理與運維 PAGEREF _Toc9152238 h Error! Bookmark not defined. HYPERLINK l _Toc9152239 5.2日常安全運維工作的有力工具 PAGEREF _Toc9152239 h Error! Bookmark not

18、defined. HYPERLINK l _Toc9152240 5.3遵照等級保護的技術要求 PAGEREF _Toc9152240 h Error! Bookmark not defined. HYPERLINK l _Toc9152241 5.4契合信息安全管理體系的監測與評審要求 PAGEREF _Toc9152241 h Error! Bookmark not defined. HYPERLINK l _Toc9152242 6SOC建設規劃建議 PAGEREF _Toc9152242 h Error! Bookmark not defined. HYPERLINK l _Toc91

19、52243 6.1整體規劃、分步實施、逐步落實的思路 PAGEREF _Toc9152243 h Error! Bookmark not defined. HYPERLINK l _Toc9152244 6.1.1安全管理體系設計 PAGEREF _Toc9152244 h Error! Bookmark not defined. HYPERLINK l _Toc9152245 6.1.2安全管理平臺總體設計 PAGEREF _Toc9152245 h Error! Bookmark not defined. HYPERLINK l _Toc9152246 6.1.3安全管理平臺落實規劃 PA

20、GEREF _Toc9152246 h Error! Bookmark not defined. HYPERLINK l _Toc9152247 6.2技術與服務并重，建設與運維并舉的思路 PAGEREF _Toc9152247 h Error! Bookmark not defined. HYPERLINK l _Toc9152248 6.3充分利用代維服務，借助外腦 PAGEREF _Toc9152248 h Error! Bookmark not defined. HYPERLINK l _Toc9152249 6.4以業務為核心 PAGEREF _Toc9152249 h Error!

21、 Bookmark not defined. HYPERLINK l _Toc9152250 6.5安管網管一體化 PAGEREF _Toc9152250 h Error! Bookmark not defined. HYPERLINK l _Toc9152251 7項目實施計劃 PAGEREF _Toc9152251 h Error! Bookmark not defined. HYPERLINK l _Toc9152252 7.1投入技術力量 PAGEREF _Toc9152252 h Error! Bookmark not defined. HYPERLINK l _Toc9152253

22、 7.1.1項目人員組織結構 PAGEREF _Toc9152253 h Error! Bookmark not defined. HYPERLINK l _Toc9152254 7.1.2項目實施人員情況 PAGEREF _Toc9152254 h Error! Bookmark not defined.概述/背景經過十多年的信息與網絡安全建設，大部分企業和組織已經從信息安全的局部建設進入到了整體優化階段。當前的客戶更加關注全網的整體安全，強調從業務信息系統安全風險的角度，而非從單一安全威脅和防御機制的角度去更加主動地管理安全。要做好安全管理工作，就需要一套相應的安全管理體系。在這個體系中除

23、了組織保障和流程保障，很重要的一點就是技術保障。安全管理平臺就是一套配合企業和組織建設安全管理體系的技術支撐平臺。目前，安全管理平臺的需求主要源于客戶管理層和執行層不同角色人員對于安全管理工作的切身需要。對于管理層而言，高層領導、各業務主管領導和IT安全主管領導等都需要從各自的角度出發，對全網或相關業務信息系統的整體安全運行狀況有一個直觀的了解和清晰的掌控，能夠獲悉當前的安全態勢、攻擊分布、防護缺陷，掌握安全防御體系建設的水平和安全管理能力建設的水平。對于執行層而言，安全經理、安全管理員、運維工程師、安全分析員、應急響應人員等也都需要從各自的角度出發，通過單一的管理界面，對網絡和業務信息系統實

24、施有計劃地、持續地監視、檢測、審計、分析、評估、預警、響應和報告，并能夠實現相互之間的協同工作。隨著國家信息安全等級保護制度實施力度的不斷加強，各行業內控與合規要求的不斷增強，以及越來越多的企業和組織投入到信息安全管理體系（Information Security Management System，簡稱ISMS）的建設之中，客戶管理層更加需要一個安全管理技術支撐平臺來協助符合和體現等級保護及內控合規的相關具體要求，將等級保護和信息安全管理體系落到實處。而客戶執行層也希望有一個安全管理平臺幫助他們進行等級保護和信息安全管理體系建設過程中理順工作流程、提升工作效率。下圖是企業信息系統安全保障需求

25、驅動框架。需求框架Req.BCM.來自內部From Internal來自外部From External主動引導Active體系化Systematic政策性Policy被動要求Passive問題型Problem合規性Compliance現狀與需求分析現狀描述經過多年的信息與網絡安全建設，現代組織的業務大多已經遷移到了組織中的信息系統中，信息系統作為XXX客戶生產經營及業務實施的支撐平臺，其中任何相關信息技術環節出問題都將直接導致業務失敗，生產率降低，影響市場占有率、客戶滿意度、銷售收入和快速反應能力，或者對組織的公信力和信用形成破壞，嚴重的情況甚至導致公司經營管理癱瘓，組織工作無法開展。因此，信

26、息系統運營管理水平的高低直接影響到組織或企業戰略能否順利實施。伴隨著信息系統建設的同時還有信息系統安全的建設，經過前期的信息安全建設，XXX當前的整體安全拓撲如 REF _Ref346717530 h * MERGEFORMAT 圖31所示：請根據用戶實際情況進行填充圖 STYLEREF 1 s 3 SEQ 圖 * ARABIC s 1 1整體安全拓撲圖從 REF _Ref346717530 h * MERGEFORMAT 圖31中可以看出，XXX已經劃分了安全域，部署了大量的防火墻，以及SSL VPN、入侵檢測系統、入侵防御系統、WEB防火墻、防DoS設備、防病毒系統、身份認證系統等，已經初

27、步建立起了一個縱深安全防護體系。系統需求分析在經過多年的信息安全技術的發展和信息安全法律法規體系的建立和完善之后，各組織和客戶根據自己業務信息系統的需求和發展目標都進行了相應的信息安全建設。由于各組織的信息安全建設發展水平參差不齊，信息安全建設的現狀也各不相同。總體來說，各組織和客戶的信息安全建設大體分為三種情況。一、完成安全功能與產品的基礎建設；二、完成安全功能與產品的基礎建設并進行安全分析三、已建設部分集中管理系統以下分別對這三種情況進行詳述。一、僅完成安全功能與產品的基礎建設【無安管平臺、有一定安全基礎的需求分析】經過信息安全的建設，各組織信息網絡中已經部署了類似于防火墻、防病毒、入侵檢

28、測、漏洞掃描等一類的安全產品和技術，并在信息系統中得到了廣泛的應用。同時，安全評估、安全加固一類的專業安全服務業逐漸顯現價值，與各類產品一道發揮出其應有的安全防護與保障價值。但業務信息系統運行依然面臨諸多安全風險，主要的挑戰體現為：接到的保障電話只是反映網絡和系統的可用性問題，但實際上可能是由于網絡和系統自身導致的，也可能是安全問題引發的；網絡中既無網管系統，又無安管系統，而實際上運維過程中遇到的問題既與網絡有關，也與安全相關；發現可疑情況后，缺少分析、響應的手段和流程；總是事后響應，甚至是等到有關部門找上門來，難以提前發現安全問題；無法了解當前整個IT系統的整體運行狀況和安全狀態，風險和運維

29、管理全憑感覺；安全設備在過去幾年積累了大量的歷史數據，目前尚未有合適的方法對其進行有效分析，從而預測未來的趨勢，協助制定新的安全策略；現有的安全設備往往是針對技術的，并不能從信息資產價值、安全的投資回報率等方面對信息安全的風險提出有效的建議；過去的安全設備往往是針對某種特定威脅的：防病毒系統針對的是病毒的爆發，防火墻可以有效防范外部攻擊，但隨著信息安全事件的不斷復雜化，孤立的安全措施很難適應綜合的安全事件，也不能從根本上解決這些問題；安全設備的投入增加了維護的工作量，防火墻、入侵監測系統、防病毒系統等安全設備每天產生數百到數萬條事件，匯總、過濾、分析這些事件需要大量的人力，而目前這些重復的工作

30、只能由人工進行；對于XXX來說，特別是下屬機構，安全人員多數為兼職，不僅沒有足夠的時間和精力，也無法及時掌握各類實時更新的各種信息安全專業知識和信息；隨著內控的要求不斷提升，缺乏有效的技術手段和流程，無法將等級保護和ISO27000落實到日常的安全運維工作中去。二、完成安全功能與產品的基礎建設并進行安全分析【無平臺、已有較完整安全基礎的需求分析】該種情況下，客戶已經完成了安全功能和產品的基礎建設，這些安全產品可以較大程度上滿足客戶的安全功能的需求，可以有效地完成具體的安全功能和技術的需求，如訪問控制、入侵偵測、漏洞掃描、防病毒和反垃圾郵件等。同時，客戶對風險評估、安全加固等安全服務有一定的需求

31、并進行實踐，并希望能對安全信息進行初步的分析，促進安全設備和功能協調發展，共同保障信息資產和信息系統的安全運行。隨著信息安全需求的不斷增長，客戶的IT系統的管理運維人員逐漸發現他們很難去面對各種類型的專業安全產品，日常的使用、配置維護、管理分析都面臨很大的差異和對專業技能近乎苛刻的要求，于是依托于各類基礎安全措施，建設上層的安全管理專題平臺的需求開始愈發強烈。XXX信息系統現階段的安全需求主要集中在下述幾個方面：無法準確識別 /計算現有的各類風險現有的安全設備或軟件是針對具體安全問題的技術手段，不能從信息資產價值、信息安全投資回報率等方面針對信息安全風險管理提出有效的全局性建議。已有的安全風險

32、評估需要人工進行資產和威脅的識別，結合發現的漏洞進行人工計算，需要耗費專業人員的人力，對專業人員技術要求高且投入巨大。無法有效分析信息系統各設備和軟件的運行或檢測數據各網絡系統設備、安全系統設備及關鍵應用系統安全設備每天產生海量的日志數據，但目前尚未有合適的方法對其進行有效分析，籍此展現風險狀態和預測風險趨勢，協助制定新的安全策略。缺乏完備的安全體系，孤立的安全措施難以從根本上解決問題過去的安全設備是針對某種特定威脅的防病毒系統針對病毒爆發，防火墻可以有效防范外部攻擊但隨著信息安全事件的不斷復雜化，孤立的安全措施很難應對彼此牽連的綜合性安全問題，更不能從根本上解決這些問題。安全設備的投入導致工

33、作量劇增，技術人員面臨大量重復的手工操作安全設備的投入增加了維護的工作量防火墻、入侵監測系統、防病毒系統等安全設備每天產生數百到數萬條事件匯總、過濾、分析這些事件需要大量的人力，而目前這些重復的工作只能由專業的人員進行人工處理。專業安全人員不足對于公司來說，專業的安全人員很少或是由其它IT人員兼職，這樣就沒有足夠的時間和精力來處理如此繁雜的工作，而且無法及時掌握各類實時更新的安全信息和各種信息安全專業知識。對信息安全事件的響應速度無法達到業務連續性的要求對于公司來說，業務連續性非常重要，安全保障的目的就是保障（組織）公司主要業務的持續性和信息化的深入發展，業務系統的停頓往往意味著巨大的損失，現

34、有的安全措施很難保證在發生安全事故后能快速的響應和恢復；真正的預警會湮沒在大量的安全事件日志中，獨立分布的安全設備難以進行統一的指揮和協調，安全設備和組織之間也很難進行有效配合；同時也缺乏一套能夠對應急響應進行有效支撐的安全響應系統。三、已建設部分集中管理系統【已建設部分集中管理平臺或安管平臺的需求分析】在經過多年的信息安全技術的發展和信息安全法律法規體系的建立和完善之后，XXX根據自己業務信息系統的需求和發展目標進行了相應的信息安全建設。客戶已針對IT系統建設了部分專題管理平臺和集中管理系統，如網絡管理系統、防火墻設備集中管理系統等，有些客戶甚至已經建立了統一安全管理平臺，但在運維的過程中產

35、生了很多的困擾，主要困擾如下：（1）各類建設專題間的技術需求邊界很模糊、不規則、有交叉，這導致了各個專題項目的建設和管理局面愈發混亂；（2）專題間需求的合并、拆分和自由組合成為項目建設過程中普遍存在的問題；（3）日益增多的專題安全管理建設項目交付后的日常使用和運維工作成為難題；（4）不斷衍生的安全管理新需求無處落腳，很多新需求難以融入既有專題，而單獨建設新需求又難以復用既有的建設基礎。面對這些困擾，專業人士開始思考已建設的眾多專題管理平臺的建設在架構上大多很類似的采集/存儲/分析/展現的四層架構、在系統實現上強調專題間的專業區分、在數據方面各專題之間幾乎沒有太多的復用或共享、在管理支撐的各個專

36、題的定位上往往很單一，于是乎，迫于建設、管理與運維的多重壓力，綜合安全管理/管控平臺建設提上了日程。很顯然，綜合安全管理/管控平臺所要解決的問題就是融合各類專題安全平臺，其核心思想就是實現架構統一、系統綜合、數據共享、全面支撐。安全管理平臺是一套以資產為核心，以安全事件管理為關鍵流程，采用安全域劃分的思想，建立一套實時的資產風險模型，協助管理員進行事件分析、風險分析、預警管理和應急響應處理的集中管理系統。但是，早期的安全管理平臺建設實踐，以及國內其他行業的類似建設實踐表明，現在的安全管理平臺建設過程中存在一些局限，尤其是難以滿足XXX的實際需求，從而阻礙了這項工作的推進。這些局限主要體現在以下

37、四個方面：1）信息來源單一，安全分析不全面，分析結果缺乏指導性。安全管理平臺的一項核心功能就是將來自不同IT資源的信息匯聚起來，進行范式化和關聯分析，實現整體安全與風險的評估。但在實際環境中，往往由于缺少必要的信息輸入、以及獲取必要信息的相關手段，從而導致分析結果缺乏說服力。這種信息缺失是多方面的。例如，傳統的安全管理平臺基本處于被動運行狀態，僅僅被動接收設備的日志信息，對系統和設備的可用性和健康狀態無法做到主動和有效監控。結果當客戶的網絡和系統出現故障后，安全管理平臺收不到相關事件，其分析結果必定大打折扣。2）只關注設備資產的安全，而沒有關注關鍵業務系統的安全對于XXX系統而言，最寶貴的資產

38、不是網絡設備和主機設備，而是他們所承載的應用和數據！用戶進行一輪又一輪的安全防護體系建設，最終的防護對象不是網絡本身，而是網絡所承載的業務信息系統。這些業務系統的運行好壞、安全與否、系統中的各類數據是否安全可靠才是用戶所關注的核心問題。如果網絡一切運行正常，但是應用和數據遭到破壞，談何安全。不幸的是，傳統的安全管理平臺局限于對網絡、主機等設備資產的安全監控與管理，而忽視了對其上運行的業務系統的安全監控與管理，尤其是重要業務系統的安全保護。傳統安全管理平臺所帶的這種局限性不僅是理念上的，也是技術上的，如果不變革現有的平臺技術架構，不可能適應業務發展的需要。3）片面強調了發現安全問題的技術過程，而

39、忽略了處理安全問題的運維流程當前大部分安全管理平臺都把技術力量投入到了事件采集和分析上。這些技術固然重要，但都是屬于安全威脅及問題的發現階段的技術。當前的安全管理平臺大都忽略了幫助客戶處理和解決這些已知安全問題的過程。結果，很多管理員通過安全管理平臺獲悉安全問題后，無所適從，不知如何處理，進而產生了對安全管理平臺運用效果的質疑。4）自成一體，封閉管理，缺乏與其他管理系統的整合協同當前，不僅是網絡安全的集中化管理，XXX系統也正在積極地進行網絡運行的集中化管理、終端準入與安全的集中化管理、甚至是基于ITIL的IT運維管理系統建設。如何在做好網絡集中管理、安全集中管理和運維管理建設的同時，正確梳理

40、好三者之間的關系，確保不出現新的“管理孤島”，也是擺在系統IT基礎設施管理與運營建設者們面前的一個問題。當前的安全管理平臺大都自成一體，沒有考慮到其他管理系統之間的關系，停留在自我封閉管理的層次上，難以適應IT系統大集中、大平臺、大運維的總體發展思路。5）現有安全管理平臺無法有效實現上下級級聯管理當前，XXX客戶的業務系統實現了部委、省、地縣的分級部署、使用和管理，但傳統的安全管理平臺無法有效符合現有的二級管理模式，并無法滿足上下級管理系統進行級聯管理的需求。主要不滿足的地方包括：無法實現部委系統向各省市區系統集中下發事件采集策略、通信配置策略。無法實現集中下發安全策略和文檔、下發關聯分析規則

41、和泛化策略。部委系統無法實現對下級平臺的接入與管理。下級平臺無法按照上級平臺的要求按時按計劃上報事件、風險、報表和報告。各省市縣管理人員無法使用平臺有效地完成自己的安全管理工作。6）無法實現部委對各省市區安全管理的考核和衡量當前，各部委用戶建設管理管理系統時，如欲實現對客戶信息系統的有效安全管理，需部委和各省市區安全管理人員協同工作。如果能建立一套符合XXX客戶管理實際要求的安全管理指標體系，則有助于實現對省級平臺的安全管理水平的考核和評級，有效地幫助管理人員提高業務信息系統的安全管理水平。而現有管理系統無法提供該類管理需求。7）無法實現漏洞信息和安全配置信息的集中管理當前漏洞掃描和安全配置核

42、查作為日常安全管理作業變得日益重要。漏洞管理是信息系統安全風險評估的基礎，漏洞的發現、評級和消除是風險管理的重要內容之一；針對行業的業務系統建立安全檢查點與操作指南的基準安全標準，有效地消除信息系統潛在的安全風險，則成為各個行業安全管理人員最為緊迫的事情之一。因此，定期進行漏洞掃描和安全配置核查是日常安全管理的重要內容，現有平臺無法有效的驅動安全漏洞掃描和配置核查工具進行周期性作業并導入漏洞掃描和配置核查結果，而單獨驅動漏掃工具和安全配置核查工具作業并將檢查結果導入將增加安全管理人員的工作量，降低工作效率。安全運維管理平臺建設需求分析近年來，隨著XXXX業務的發展，公司正在成為實時企業（RTE

43、， Real Time Enterprise），企業所有的部門、客戶、供應商和合作伙伴都通過企業內部網、外部網和互聯網來進行高效連接，并要求公司的信息系統能夠在每周7日、每日24小時內發揮作用，實時地為管理者、合作伙伴以及客戶提供關鍵信息。可以說XXXX業務的開展，基本上依賴于永不停歇的IT系統。如何確保IT系統的高效安全？關鍵在于對IT系統的高質量安全運維管理。而安全運維管理平臺的建立，必須具備三個要素：即技術手段-安全運維管理平臺，安全管理制度流程化，高素質的安全運維團隊。而安全運維平臺作為基礎的技術手段，必須予以首先搭建。建立安全運維管理平臺的需求如下：IT資產管理功能需求ISO1779

44、9-2005中對資產的定義是：“任何對組織和企業有價值的事務”。設備資產是企業和組織的IT環境的核心，承載了當今絕大部分企業和組織的業務。重要資產的安全屬性決定了企業和組織的核心競爭力和命脈。企業安全管理的一個很重要的工作就是確保資產安全。目前公司信息化部門尚未建設安管或者網管系統，尚未實現資產管理的平臺化，建設資產管理功能能夠幫助公司信息化部門管理當前資產，評估和分析在遭受安全威脅的情況下資產的受影響程度，從而進行企業和組織的安全風險管理。IT資產運行狀態監控需求公司尚未建設設備運行狀態監控相關的系統或功能，信息化人員無法直觀的查看當前網絡中各設備的運行狀況，僅能在網絡使用出現故障時進行被動

45、的響應與設備查看，因此信息化人員日常工作需要有運行狀態監控功能來實時查看當前網絡中設備運行是否正常，從而及時發現設備故障等需要及時處理的問題。運行狀態監控功能功能能夠主動地、周期性地采集各種不同廠商的安全設備、網絡設備、主機、操作系統、以及各種應用系統的性能與可用性信息，采樣周期、采集參數都可以獨立配置。系統支持通過SNMP、TELNET、SSH、SSH2、ODBC、JMX、協議仿真等方式對IT資產進行性能與可用性信息的采集。管理中心內置性能信息采集，也提供獨立安裝的性能信息采集器。運行狀態監控功能功能對于各種監控對象都能進行全方位細粒度的監控，具有豐富的監控指標。管理員可以通過豐富的可視化圖

46、表查看監控指標信息；可以對監控指標設置告警閥值；可以將監控指標的數據保存起來，并進行歷史分析。運行狀態監控功能功能需提供各種性能監控指標的對比分析，如某段時間（小時、天、周、月）內某個資產的不同監控指標的對比分析、不同資產的相同監控指標對比分析，等等，并能夠將分析的結果以折線圖和柱狀圖的形式進行直觀展現。安全事件可視化需求針對IT計算環境的統一監控，必然會收集并呈現大量的信息。如何將這些信息進行有效的組織，呈現給公司信息化人員，并真正提升他們的管理效率是十分關鍵的問題。借助信息可視化技術實現安全事件的可視化展示，能夠大大提升信息化人員的安全運維工作效率，使信息化人員的日常工作實現從認知到感知的

47、跨越。安全管理平臺應該至少具備以下幾類安全信息可視化展示功能：基于業務信息系統或安全域的安全視圖功能，能夠在安全視圖上實時、動態反映核心業務系統或核心域的整體安全狀態；安全事件攻擊圖：反映安全事件之間的指向關系，并能夠在世界地圖上展示出來；安全事件時間線：動態的展示最近一段時間各個事件片的安全事件數量，以及每個事件片中不同等級的安全事件的數量和比例。安全事件實時監控需求事件實時監控功能是信息安全工作的主要組成部分。實時監控不依賴于事件存儲數據庫，而是直接從管控中心服務器的內存中進行事件分析，從而能夠幫助公司信息化人員及時高效地發現安全隱患。管理員可以自由地定義各類實時監視的場景，并在不同的場景

48、之間快速切換，即時掌握全網各類設備、主機和業務系統的安全運行狀態。實時監控的場景具有豐富的可視化展示能力，方便管理人員進行感知運維。安全事件報警需求為了快速、準確定位安全事件來源，及時處理安全事件，公司安全管理平臺需要具備實時報警功能，報警方式應該多樣化，如實時屏幕顯示、電子郵件和短信等。對于需要進行后續處理的重要安全事件，安全管理平臺能夠與電子工單系統對接，向電子工單系統自動提交電子工單。安全事件響應功能需求在事件管理系列功能成功發現當前網絡中的潛在威脅時，信息化人員需要對該威脅及時作出響應，這就需要建設適合公司信息化人員工作習慣的安全響應功能，在發生重要事件后能夠提醒相關人員及時處理，幫忙

49、公司信息化人員高效、準確的解決當前網絡中的問題。安全事件采集功能需求公司當前沒有建設集中的事件采集系統，信息化人員無法查看當前網絡中的重要日志，難以對一些設備故障或者高危操作做出及時響應，因此需要建設事件集中采集功能來實現當前網絡中的設備日志的采集與匯總工作。數據來源與內容：事件數據源需要包括公司信息系統各組件的日志產生點，如主機操作日志、操作系統日志、數據庫審計日志、安全設備日志等。網絡告警信息一般來自于網管系統，而數據庫日志和管理員操作日志來自于數據庫審計系統和運維審計系統。如果網管系統、數據庫審計系統及運維審計系統沒有覆蓋到，則需要管控平臺直接采集。數據分類：安全事件在采集后必須進行分類

50、，以便于管控平臺的安全管理人員能快速對事件進行分析安全事件關聯分析需求外部入侵和內部違規行為從來都不是單一的行為，都是有時序或者邏輯上的聯系的，黑客的攻擊和內部的違規操作往往是分為若干步驟的，每個步驟都會在不同的設備和系統上留下蛛絲馬跡，單看某個設備的日志可能無法發現問題，但是將所有這些信息合到一起，就可能發現其中的隱患，而這正是關聯分析的目的所在。為了解決目前日益嚴重的復合型風險威脅，公司安全管控系統需要具有關聯分析功能：將不同安全設備的響應通過多種條件關聯起來，以便于管理員的分析和處理。例如當一個嚴重的事件或用戶行為發生后，從網絡層面、主機/服務器層面、數據（庫）、安全層面到應用層面可能都

51、會有所反應（響應），這時候審計系統將進行數據挖掘，將上述多個層面、多個維度的事件或行為數據挖掘和抽取、關聯，將關聯的結果呈現給使用者。系統的關聯分析引擎不僅要能夠幫助管理員發現外部入侵，還要能幫助管理員識別內部違規行為，進行合規性審計。異常流量監控功能需求公司雖然已經建設了流量控制設備，但是流控設備并不擅長發現流量中的攻擊行為，異常流量監控功能通過DFI流量監測技術去分析發現當前流量中的攻擊行為，與IDS類檢測在攻擊行為的監測方式上形成互補，從而使安全管理平臺的安全監控功能覆蓋面更加廣泛而有效。宏觀安全態勢感知功能需求宏觀安全態勢感知功能分為技術指標和管理指標兩種方面，以宏觀的緯度與指標化的手

52、段來呈現當前網絡的運行態勢與信息化工作的完成情況。技術指標通過啟明星辰自行研發的宏觀分析模型對當前網絡訪問情況進行計算，從而判斷當前網絡運行狀況是否存在異常；管理指標則是結合管理層對信息化工作的管理要求，將其中能夠在網絡中進行采集或統計的管理項（如防病毒軟件安裝率）進行整合與計算，從而為領導呈現當前管理要求的實現狀況。風險管理功能需求風險（Risk）是資產價值、弱點度量值與威脅度量值根據量化算法而得到的一個量化的安全檢測結果。風險分析過程是建立在資產管理、弱點管理和威脅管理的基礎上的。安全管理平臺自動化、定量化計算資產及其業務系統的風險值的功能，能夠協助公司信息化人員進行定量的風險評估。通過對

53、當前網絡進行風險評估以及通過事件處理、故障排除等手段來降低當前網絡風險的過程，安全管理平臺實現了整個信息化網絡安全建設的良性循環。安全報表需求報表是信息化工作成果總結的主要手段，因此安全管理平臺需要具有報表功能，為公司呈現靈活多樣的報表功能。既有豐富的內置報表，也提供報表編輯器，供信息化人員自定義報表。報表支持多種格式導出，包括支持EXCEL格式的報表導出。信息化人員可以對報表生成制定計劃，定期自動生成報表，并支持郵件遞送。系統能夠針對存儲的海量事件快速生成月報、季報和年報。項目目標與范圍建設目標【以下內容僅供參考，請依據實際情況填寫】安全管理平臺的建設目標應滿足客戶安全管理需求，支撐客戶安全

54、管理工作方面存在的諸多全新的挑戰，保證客戶的信息安全管理有效、系統、完整并可持續改進地進行。安全管理平臺應實現海量信息的采集、分析與展示，多種管理類系統的整合，保證客戶業務信息系統的安全運營，應符合并體現信息安全管理體系和等級保護的要求，并能夠進行持續運營和改進。以下對這些建設目標進行詳細闡述：實現海量的分散安全信息采集、匯總、分析和展示安全管理平臺為了獲悉全網的整體安全態勢，就必須從現有的分散的各種安全系統和IT系統中采集相關的安全信息，而這些信息是海量的，每天的數據量可能數以百GB計。這些海量的安全信息是安全管理平臺的基礎，完整采集、分析并展示這些信息對安全管理平臺系統來說非常必要且重要。

55、首先，如果不能采集到這些海量信息，分析的準確性就可能打折扣，而安全問題的回溯和取證就可能出現信息缺失。其次，如果不能對海量信息進行快速分析、提取出真正有意義的安全事件，就無法讓安全管理人員聚焦到重要的安全事件上，反而陷入到數據的汪洋大海之中。最后，如果不能直觀的展示分析結果，并將分析結果與響應處理過程掛鉤，也就無法使執行層的安全管理流程運轉起來，更無法為管理層提供決策支持。因此，如何采集這些分散在網絡各處的海量信息，進行實時不間斷的處理、分析，并以客戶能夠接受的形式有效的展示出來，成為了考驗安全管理平臺技術水平的一把重要標尺。實現多種管理類系統的整合通過建設安全管理平臺，不僅要能夠打破安全防御

56、的孤島，將分散的安全設備和IT系統中的安全機制有效的集合到一起，還要能夠與針對不同管理目標的管理類系統有機的整合到一起，實現與各種管理類系統的協同工作。安全管理平臺必須厘清與客戶現有或待建的安全審計系統、終端/內網安全管理系統、身份管理系統、授權與訪問控制系統、網絡管理系統、應用服務管理系統、業務管理系統、資產管理系統、IT服務管理系統之間的關系，在全局性管理體系的指導下，制定好安全管理平臺與各類管理系統之間的接口和分工界面。否則的話，安全管理平臺的建設可能會導致“管理孤島”林立。保障業務信息系統的安全對于客戶而言，安全管理平臺建設的根本目標一定要保障客戶的核心業務系統的安全，從而有效的保障組

57、織的戰略。因此，需要從業務系統的高度去看待安全管理平臺。安全管理平臺的功能設計、分析對象以及展示角度都需要考慮到客戶業務系統的構成、運行和保護要求。符合并體現等級保護及信息安全管理體系的要求隨著信息安全的建設以及對安全管理的需求不斷提高，信息安全已經逐漸從技術上升到管理的高度，很多客戶需要形成完整有效的信息安全保障體系和安全管理體系，達到系統地、完整地保障組織的信息安全的目的。到對于越來越多的客戶而言，等級保護和信息安全管理體系/ISO27000建設已經成為了他們安全管理工作中必不可少的職責。安全管理平臺能否及如何符合和體現等級保護和信息安全管理體系的要求成為了安全管理平臺面臨的重大挑戰，這需

58、要對等級保護和ISO27000系列標準的深刻理解，以及對安全管理平臺功能的重新梳理。建成安全管理的長效機制客戶通過安全管理平臺不僅要實現全網的整體安全，還要實現持續的安全運營，成為安全管理長效機制得以落實的關鍵技術保障。因此，安全管理平臺必須具備持續監測的能力、安全量化的能力以及安全運維的能力。建設原則根據客戶的項目建設目標要求，在方案設計和軟硬件產品選型過程中將嚴格遵守以下項目建設原則：統一性原則：通過統一的信息安全管理平臺實現對各類資產的管理，即采用完全一致的上層數據處理邏輯來實現數據的處理、分析和展現；先進性原則：基于先進的IT管理理念，采用成熟的信息安全管理平臺產品，采用適當先進的技術

59、架構，把握信息安全管理平臺技術的發展潮流，最大化客戶的投資；實用性原則：信息安全管理的客戶行業不同，雖然大需求相同，但細微需求千差萬別。安全管理平臺應根據需要進行客戶化定制，滿足客戶實際的管理需要，做到有的放矢，真正解放管理人員的日常維護工作；可擴展性原則：充分考慮到未來技術的發展趨勢和客戶潛在需求的變化，安全管理平臺架構應具有靈活的可擴展性，方便擴充功能模塊及規模，不應由于新的管理功能或者被管對象的加入而產生架構上的變化；最小化影響性原則：項目建設和上線應盡可能小的影響系統和網絡的正常運行，不能對業務工作產生顯著影響（包括被管系統性能明顯下降、網絡擁塞、服務中斷等）；可靠性原則：為保證信息安

60、全管理平臺本身的可靠性，產品需具備可靠的自身管理機制，實時監控影響系統正常運行的可能因素（如資源利用率情況、服務異常等），保證系統不間斷工作；兼容性原則：能同第三方的管理軟件集成，充分保護客戶的原有投資；標準化原則：系統所采用的各項技術應遵循國家相關標準和技術體制，沒有相應國家標準則須遵循國際標準；可管理性原則：保證整個管理系統應具備較高的資源利用率并便于管理和維護。建設范圍【此處為示例性文字，需要針對具體項目修改】安全管理平臺應根據客戶的IT系統的現狀和需求進行分主次、分階段、分步驟的建設。有些行業客戶網絡建設水平高，網絡基礎設施完善，配套的信息安全設備齊備，數據也進行了集中管理，整體安全水