XX單位信息安全管理平臺建設解決方案2008年8月20日

文檔信息文檔名稱XX單位信息安全管理平臺建設規劃方案文檔編號保密級別商業機密文檔版本號制作人王鐵成制作日期2008年8月20日復審人復審日期擴散范圍XX單位、網御神州項目組擴散批準人王鐵成文檔說明本文檔是網御神州科技（北京）（以下簡稱網御神州）為XX單位提交的信息安全管理平臺建設解決方案，供XX單位信息安全管理相關人員閱讀。版本變更記錄時間版本說明修改人2008-8-20文檔創建王鐵成目錄一.項目規劃綜述 4二.信息安全管理面臨的問題 4三.信息安全管理平臺需求分析 5四.信息安全管理平臺建設解決方案 74.1SecFox-SNI系統部署說明 74.2SecFox-SIM系統部署說明 84.3“SecFox-SNI”產品功能 9資產管理 9網絡拓撲管理 9機房機架視圖 10集中監控 10網絡和安全設備監控 11主機監控 11應用和業務監控 12機房環境監控 13終端接入監控 14設備配置信息監控 14配置與診斷工具 14防火墻策略管理 15日志安全審計 154.3.14IP地址管理 16集中認證管理 16告警和響應管理 16報表管理 17權限管理 17系統管理 18與外部系統集成 184.4“SecFox-SIM”產品功能 18智能監控頻道 18資產管理 194.工單管理 20事件分析 20趨勢分析 21報表管理 22知識管理 23系統管理 24權限管理 25等級保護模塊 26與外部系統集成 26五.實施效果價值分析 26六.方案優勢總結 27項目規劃綜述XX單位非常重視信息化建設，各類相關業務都在朝著無紙化、網絡化、智能化應用的方向發展。依托網絡、借助信息化建設成果開展工作，已經成為XX單位提高辦公效率、服務內部客戶的重要手段。伴隨XX單位集團信息化建設正不斷向基層延伸，網絡的互聯互通導致網絡病毒，木馬程序擴散更為便利，波及范圍更廣。內網辦公人員違規操作、濫用網絡資源的現象開始抬頭。目前的情況是，XX單位早期采取的相關安全措施已經無法應對新一代的信息安全問題，無法有效保障各類業務的正常應用。信息安全管理面臨的問題管理制度缺乏技術依據，安全策略無法有效落實盡管安全管理制度早已制定，但只能依靠工作人員的工作責任心，無法有效地杜絕問題；通過原始方式：貼封條、定期檢查等相對松散的管理機制，沒有有效靈活實時的手段保障，無法使管理政策落實。監控和管理界面過多、管理員手忙腳亂被管設備的多樣性，包括網絡設備，主機設備，安全設備，數據庫，中間件，機房環境控制系統等。各類設備都有獨立的管理工具，操作不方便，信息無法共享。無法迅速定位故障點對于XX單位而言，IT計算環境的管理本身不是目標，核心需求是要保障運行的應用的可用性、業務持續性，以及重要信息系統的安全性，因為應用和業務是企業和組織的生命線。現有的一些應用性能管理（ApplicationPerformanceManagement）系統或者業務服務管理（BusinessServiceManagement）系統雖然可以監控客戶的應用性能和工作狀態，但是卻沒有考慮到安全保障方面的因素。例如，一個應用無法訪問，可能是CPU利用率過高引起的，但是究其根源，可能是應用負載過高，也可能是應用服務器受到了蠕蟲感染。傳統的應用性能管理系統只能告訴客戶CPU利用率過高，卻不能再深入探究成因。缺乏有效地基于等級保護要求，進行綜合安全保護的支撐平臺在等級保護的每一級都有對安全控制的要求，其中，從第三級開始明確要求建立一個集中的安全監控與管理中心，并且要求對流量進行監控，對物理環境進行監控。而從第二級開始，就要求進行安全審計，尤其是日志審計，以及IP地址管理，還有設備和應用的監控。可以發現，為了達成等級保護的諸多控制要求，即便部署了大量安全設備也是不夠的，依然難以有效把控整體網絡的安全性，依然說不清當前的安全保障體系是否確實達到了等級保護的要求。網絡應用缺乏監控，工作效率無法提高上網聊天、網絡游戲等行為嚴重影響工作效率，利用QQ，MSN，ICQ這類即時通訊工具來傳播病毒，已經成為新病毒的流行趨勢；使用BitTorrent、電驢等工具瘋狂下載電影、游戲、軟件等大型文件，關鍵業務應用系統帶寬無法保證。缺少針對不同安全事件的關聯分析手段外部入侵和內部違規行為從來都不是單一的行為，都是有時序或者邏輯上的聯系的，黑客的攻擊一定是分為若干步驟的，每個步驟都會在不同的設備和系統上留下蛛絲馬跡，單看某個設備的日志可能無法發現問題缺乏便捷、高效、可視的安全事件分析手段大部分網絡設備、主機設備、數據庫產生的安全事件記錄都保存在文本格式的文件中，出現安全問題時面對成千上萬條日志記錄，無法快速、準確的定位出現問題的原因。信息安全管理平臺需求分析從上面分析得出，XX單位網絡安全管理需求主要包括：全面的IT計算環境運行監控能夠管理IT計算環境中的所有網絡設備、安全設備、主機和服務器、服務和應用系統，以及機房設備，為用戶提供一個全方位監控的統一管理平臺，使得管理員通過一個單一控制臺就能夠進行實時全網監控，確保企業和組織IT計算環境基礎設施的可用性，以及業務的持續性。可視化的監控管理手段針對IT計算環境的統一監控，必然會收集并呈現大量的信息。如果將這些信息進行有效的組織，呈現給管理員，并真正提升他們的管理效率是十分關鍵的。快速定位業務節點故障網絡節點出現故障時，系統將會產生告警事件，同時拓撲圖中的設備圖標也會顯示故障狀態；當一個管理子圖發生設備故障時，子圖圖標也會發生相應改變，因此管理員可以根據子圖快速定位故障。對于應用系統和機房環境的監控，管理員可以自定義監控指標的閾值，監控的時間間隔，監控的描述和告警方式，通過接收告警信息，管理員可以快速了解問題所在，及時采取措施。及時發現網絡流量異常管理員可以對重點設備的重點端口配置流量監控，并且可以配置閾值告警，當出現流量異常時及時通知管理員。統一安全事件監控、態勢感知能夠實時不間斷地將來自不同廠商的安全設備、網絡設備、主機、操作系統、用戶業務系統的日志、警報等信息匯集到管理中心，實現海量信息的集中分析，進行統一的安全事態監控和態勢感知，消除安全防御的孤島。實時安全事件關聯分析能夠實時地對采集到的不同類型的信息進行關聯分析、最大程度地消除誤報和錯報、找出漏報，協助安全管理人員迅速準確地識別安全事故，消除了管理員在多個控制臺之間來回切換的煩惱，同時提高工作效率。通過事件關聯分析，客戶可以實現從單點被動防御到全面主動防御的轉變。便捷、高效、可視化的事件分析符合等級保護的安全合規審計要求提供一套基于信息系統等級保護基本要求的合規審計包。該審計包按照等級保護的基本技術要求，針對二級以上的系統建立了一套規則庫、合規檢查頻道和場景、報表模板。信息安全管理平臺建設解決方案面對XX單位信息安全管理現狀與存在的問題，本方案推薦使用網御神州“SecFox-SNI”計算環境綜合監控平臺及“SecFox-SIM”安全信息管理系統來構建XX單位的信息安全管理平臺。以實現統一的信息安全管理為出發點，從全面的IT計算環境運行監控、快速定位業務節點故障、統一安全事件監控、態勢感知、實時安全事件關聯分析等多個角度構建一套完整的信息安全管理平臺，通過技術手段全面貫徹落實單位的安全管理策略。SecFox-SNI系統部署說明在XX單位省中心及管轄的各市州中心部署分別部署一套“SecFox-SNI”系統。SecFox-SNI運行的網絡環境有如下要求：TCP/IP網絡環境。網絡管理服務器需要開放相關管理端口。需要相關管理設備支持SNMP協議和Syslog協議。SecFox-SNI可應用于大中小各類型企事業單位，其辦公地點可能分布在許多地方，他們的業務系統需要跨越不同的局域網段來部署。它可以將關鍵設備的運行管理權利集中到一起，通過統一的安全管理系統，將分散在各地區、不同業務網絡上面的各種設備節點有機的結成一個整體。對于大型、全國性的、分級的網絡環境，SecFox-SNI可以進行級聯部署，多個SecFox-SNI管理分支可以統一接入到一個主SecFox-SNI管理中心。SecFox-SIM系統部署說明在XX單位省中心節點部署一套“SecFox-SIM”系統SecFox-SIM可應用于大中小各類型企事業單位，其辦公地點可能分布在許多地方，他們的業務系統需要跨越不同的局域網段來部署。典型的，SecFox-SIM管理中心服務器放置在網管中心或者安全中心，管理員通過瀏覽器可以從任何位置登錄管理中心服務器，進行各項操作，如下圖所示：“SecFox-SNI”產品功能資產管理資產是IT計算環境的基本元素，是信息安全的保護對象，也是本系統的監控對象。SecFox-SNI為管理員提供了一個管理各類待監控設備的資產庫。資產管理可以標明企業和組織關鍵業務路徑上的各資產等級，在對成百上千個監控指標進行監控時，可以分清告警信息處理的輕重緩急，按資產等級排列事件處理順序。網絡拓撲管理SecFox-SNI的拓撲和服務感知引擎（TopologyandServiceAwarenessEngine）能夠針對不同拓撲結構類型（大中型骨干網絡、中小型局域網絡）采用相適應的算法進行快速自動拓撲發現，并自動繪制網絡拓撲圖。拓撲管理為客戶提供了一幅IT計算環境的總覽圖，直觀地給出了整個網絡中網絡設備、安全設備、主機設備的分布和連接情況。拓撲圖支持縮放，具有鳥瞰功能，支持自動布局。管理員可以通過拓撲圖進行設備監控、配置管理和策略管理，可以通過拓撲圖實施對某個設備的ping，telnet等，以及激活它的web管理界面。通過拓撲圖可以直觀的反映設備的實際運行狀態，并根據設備的狀態變化而自動閃爍，方便管理員快速定位故障點。管理員選中拓撲圖中的某個設備，可以顯示出真實設備面板圖，形象化的展示出當前監控設備的端口面板，以及端口狀態信息。管理員可以對端口進行各種設置，也可以繼續查看端口的實時流量曲線。機房機架視圖SecFox-SNI能夠將基礎設施的物理位置呈現在機房機架視圖中。管理員可以清晰地獲悉每臺服務位于哪個機架，哪一層，還能夠看到機房環境動力設備。管理員可以在邏輯拓撲和物理視圖之間自由切換，點擊圖中的任何節點和連接線都能夠細致查看明細信息。集中監控SecFox-SNI通過統一的界面對計算環境中的網絡節點設備進行集中監控，對整個計算環境中所有設備和應用的運行狀態及性能進行分析，實時獲得告警，并采取應急響應行動。通過集中監控，管理員可以同時實時查看多個監控指標項，進行對比分析。管理員可以根據需要建立監控任務，設定監控和采集需要管理的參數。采集的數據可以保存，并可以生成相關報表。對于每個監控數值，可以定制監控閾值，當監控的數據超過了閾值，將會觸發事件告警。系統可以顯示每個監控任務的監控數據，在同一界面上顯示最近7天，最近24小時數據，管理員可以清楚地了解任務的當前狀況和歷史狀況。系統支持配置存儲監控數據，根據用戶需求能夠提供監控數據實定制報表，例如日報表，周報表，月報表和年報表，報表可以另存為HTML、EXCEL、文本、PDF等多種格式。管理員可以通過修改配置文件支持添加新的設備類型和設備監控參數，方便地進行擴展。網絡和安全設備監控SecFox-SNI能夠對支持SNMP協議的網絡設備和安全設備進行實時性能分析。主要分析參數包括：主機CPU利用率、主機存儲設備利用率、接口流量，等等。SecFox-SNI能夠實時顯示監控的性能參數，采用形象的曲線圖顯示監控信息，并且可以計算最大值，平均值和最小值。SecFox-SNI還能夠收集來自網絡和安全設備的告警和日志信息，進行統一的告警與響應管理。主機監控主機服務器是企業和組織IT應用承載的基石，主機的性能直接影響了企業和組織IT應用的性能，SecFox-SNI能夠對主機的CPU利用率、內存利用率、磁盤利用率、進程等進行全面的監控，也可以配置閾值告警，當出現性能異常時及時通知管理員。對于這些性能指標，管理員可以根據自定義的時間段生成報表，通過這些報表可以了解監控主機的實際運行負載情況，為主機管理和擴展提供有價值的參考數據。例如發現某個主機的CPU的利用率在某個時間段長時間處于比較高的狀態，那么管理員可以采取相應的措施進行調整。對主機監控提供監控快照，實時分析和詳細的監控指標，不是孤立地查看單個指標，可以在一個界面上查看所有的監控信息，提供圖形和數據等多種方式，便于管理員全面的了解和分析主機的性能和故障。應用和業務監控應用服務是企業和組織IT應用核心，SecFox-SNI采用先進的主動探測的監控方式，無需在應用服務系統中安裝任何代理或軟件，模擬應用數據直接監控這些應用服務，一旦這些服務出現無法響應或響應太慢，將會觸發事件告警及時通知管理員，管理員可以迅速采取相應的措施。管理員可以根據自定義的時間段生成監控報表，通過這些報表可以了解應用服務的實際運行性能，幫助管理員制定相關應變措施，幫助應用開發人員進行調整優化。SecFox-SNI可以監控企業和組織的各類應用服務，包括數據庫，中間件，Web服務，郵件服務，FTP，DHCP，DNS等，不但可以監控這些服務的狀態和響應時間，還可以監控系統的詳細性能指標，例如Oracle數據庫的表空間大小等，可以為管理員提供全面而詳實的參考信息。對應用系統的監控也提供監控快照，實時分析和詳細的監控指標，不是孤立地查看單個指標，可以在一個界面上查看所有的監控信息，提供圖形和數據等多種方式，便于管理員全面的了解和分析應用系統的整體狀態和性能。機房環境監控對于IT計算環境監控而言，物理的機房環境也是重要的組成部分。對物理機房的環境進行監控也有助于定位業務故障點，因為業務故障完全可能由于機房供電系統或者空調、UPS等設備出現問題而癱瘓。SecFox-SNI提供對機房環境的全面監控，支持對UPS、空調、測漏水設備、溫濕度、配電柜等設備的工作指標參數進行統一監控。終端接入監控SecFox-SNI具備終端接入監控的功能。通過對邊緣交換機端口的監控，清晰把握當前交換機連接的終端設備狀況，發現是否有ARP攻擊，是否有非法（MAC匹配）接入，并能夠主動阻斷端口，防止威脅入侵。設備配置信息監控SecFox-SNI可以采集自動地、定期地歸集網絡設備配置信息，進行配置版本管理。通過不同版本的配置項信息的比較發現對網絡設備配置的誤操作和惡意篡改。配置與診斷工具設備配置和診斷工具提供了一個批處理執行命令的外殼工具，可以自動調用自定義命令行腳本、TELNET或者SSH腳本，并可批量執行，方便用戶進行設備配置和故障診斷，而無需手工登陸到設備上。配置與診斷工具用途包括：設備的SNMP協議功能有限，一般只支持查看信息，配置能力弱，此工具可以調用TELNET或SSH，自動執行設置的腳本，可以實現所有信息查看和進行配置，例如自動重啟設備。某些設備和主機不支持SNMP協議，幾乎沒有辦法管理，例如UNIX，Linux主機和非網管設備，但是這些設備一般都支持TELNET或SSH，可以用工具進行管理，把經常需要使用的命令行做成腳本，需要管理時調用。能夠方便地批量配置設備，例如對多臺設備配置同樣的策略，可以將策略配置做成腳本，配置多臺只需要執行，無需登陸和手工配置，減少維護和配置的工作量。防火墻策略管理對于網御神州自有的SecGate系列防火墻/VPN，SecFox-SNI允許用戶對這些防火墻/VPN進行集中的策略管理，統一制定策略，批量下發，極大地方便防火墻管理員，降低他們的工作復雜度。防火墻日志管理：充當防火墻日志服務器，實現對防火墻日志的集中管理策略管理：實現防火墻/VPN的集中策略定義和可視化發布設備升級：實現防火墻/VPN設備的升級日志安全審計SecFox-SNI具有強大的安全審計功能，為系統的使用者，包括網絡安全管理員，IT部門負責人，公司負責人等提供了解網絡安全狀況的直觀方式。安全審計的主要功能是日志查詢、日志分析規則設置、安全審計報表。這些功能都具有在圖文顯示、文件導出和打印等輸出方式。SecFox-SNI的安全統計報表分類的方式有多種，從反映網絡安全總體狀況的角度進行統計和分析，得到網絡安全狀況報表；從所管理的安全設備的運行狀況出發，可以得到設備安全信息報表。能夠根據用戶的需求生成日報表，周報表，月報表和年報表等，報表可以另存為HTML、EXCEL、文本、PDF等多種格式。主要報表包括：安全管理信息Top10分析主機訪問流量TOP10：統計訪問流量最大的前10位主機站點被訪問流量TOP10：統計被訪問流量最大的前10位站點拒絕訪問類型TOP10：統計被拒絕次數最多的前10種訪問類型禁訪站點訪問嘗試次數TOP10：統計嘗試次數最多的前10位被禁止訪問的站點用戶訪問流量TOP10：統計訪問流量最大的前10位用戶安全管理信息統計分析主機訪問統計報表：統計所有主機的訪問數據用戶訪問統計報表：統計所有用戶的訪問數據站點被訪問統計報表：統計所有被訪問站點的訪問數據系統管理統計報表：統計管理員的所有系統操作數據系統模塊狀態統計報表：統計設備所有系統模塊的狀態數據IP地址管理SecFox-SNI可以管理企業和組織的IP地址資源，將企業和組織的IP地址按照子網分類列表，便于查看；提供了IP地址查詢，IP地址掃描，可以方便地查找和確定那些IP地址已經使用或者尚未使用，方便管理員的管理工作；提供了圖形化的IP地址分布查詢，可以通過圖形一目了然查看IP地址分布狀況。集中認證管理SecFox-SNI提供了監控對象認證集中管理，可以在一個界面集中管理所有監控對象的認證方式，例如SNMP設備的團體字符串，數據庫的用戶密碼等，便于管理員進行統一修改。告警和響應管理告警管理可以針對事件進行告警處理。這里，事件是指管理中心采集和偵聽到的來自于被管理設備的信息。對于產生的告警信息，系統可以通過多種方式進行通知：彈出窗口、控制臺突出顯示、電子郵件、有聲報警、短信、響鈴。特別地，SecFox-SNI可以通過Telnet、SSH或者SSH2協議與第三方網絡設備和安全設備進行策略聯動，可以執行任何預定義策略腳本，實現監控管理的閉環。報表管理除了日志審計和設備監控可以提供相關報表，SecFox-SNI提供了針對全網絡運行狀態的分析報表。這是進行綜合分析的數據報表，可以讓管理員了解和評估整個網絡系統的運行狀態，報表具有如下特點：能夠根據用戶的需求定制時間，例如生成日報表，周報表，月報表和年報表等；報表可以另存為HTML、EXCEL、文本、PDF等多種格式。報表類型包括實時分析最近5分鐘，最近1小時的網絡狀態，例如最近5分鐘設備運行狀況統計，不響應設備列表，最近5分鐘流量最大的10個設備，最近5分鐘流量最大的10條鏈路，最近1小時告警最多的設備等等。管理員可以根據自定義的時間段網絡運行報表，性能分析報表和可用性報表，例如：設備運行狀況統計，不響應設備列表，設備流量統計，鏈路流量統計，設備告警次數統計，設備資產分類統計，設備資產業務關注度分類統計等等。系統生成的報表可以自動通過電子郵件定期投遞到管理員指定的地址。權限管理本系統實現基于角色的用戶訪問控制機制。所有用戶（根用戶除外）都建立在角色之上。也就是說，在創建用戶之前，需要先創建角色，即定義這個角色具備的權限；然后，再創建用戶，并將用戶置于一個或者多個已經創建的角色中。所有對本系統的訪問都需要用戶帳號和口令；不同的用戶具有不同的系統使用權限，具體主要體現在用戶能夠使用的操作（功能）不同。系統管理完成對集中管理系統自身的各項配置工作。系統設置完成對集中管理系統自身的各項配置工作，包括系統的初始化配置、網絡拓撲管理需要的參數、設備配置管理和策略管理需要的各種參數的配置（例如證書）、用戶使用許可證管理，等等。系統日志用戶對本軟件系統的操作都記錄日志并進行持久化存儲，便于追蹤、審核和告警。系統日志格式的屬性包括：時間，源IP，用戶名，操作類型，操作說明，操作結果（成功/失敗）。用戶可以針對系統日志進行各種查詢。與外部系統集成SecFox-SNI提供了豐富的API接口，能夠與廣大第三方管理平臺（包括IBMTivoli，HPOpenViewOperations，BMC等）和服務控制臺（ServiceDesk）集成，包括監控信息的集成和告警信息的集成。“SecFox-SIM”產品功能智能監控頻道智能監控頻道為用戶提供了一個從總體上把握企業和組織整體安全情況的界面。通過監控頻道，用戶可以看到當前企業和組織的整體安全等級。每個監控頻道顯示某方面的安全信息，可以縮放、可以移動換位、可以更換布局、可以調臺，顯示管理員想看的內容。SecFox-SIM提供豐富的頻道切換器，在不同的頻道間切換。用戶也可以自定義頻道。資產管理ISO17799-2005中對資產的定義是：“任何對組織和企業有價值的事務”。資產是企業和組織的IT計算環境的核心，承載了當今絕大部分企業和組織的業務。重要的資產的安全決定了企業和組織的核心競爭力和命脈。企業安全管理的一個很重要的工作就是確保資產安全，評估和分析在遭受安全威脅的情況下資產的受影響程度，從而進行企業和組織的安全風險管理。SecFox-SIM按照資產重要程度和管理域的方式組織資產，提供便捷的添加、修改、刪除、查詢與統計功能，便于安全管理和系統管理人員能方便地查找所需信息資產的信息，并對資產屬性進行維護。對于每個資產，用戶可以設置資產的地理位置，便于將來在世界地圖上顯示出該資產相關的事件。基于SecFox-SIM的動態資產屬性（DynamicAssetAttribute）技術，用戶可以對資產屬性進行無限擴展，例如可以根據客戶自身的需要為資產增加業務重要性屬性、增加資產保護等級屬性、增加資產品牌、代號等任何信息。同時，所有這些附加資產屬性隨時都可以作為查詢條件進行檢索，也可以作為事件關聯分析時的規則的一部分。工單管理SecFox-SIM工單管理參照ISO17799、ISO20000（ITIL規范），以及ISO18044，為安全管理人員建立了一套安全事故處理流程。通過工單，實現了安全事故記錄從創建、處理到關閉的安全事故生命周期管理。工單管理是SecFox-SIM的核心流程，它的功能實現遵循ISO18044標準和ISO20000標準（ITIL）。處理過程中，派單人和責任人可以對現象描述、原因分析、處理意見、處理結果中增加內容，但不能修改以前人輸入的內容。系統需記錄增加的時間和增加人。在顯示工單時，會顯示所有的修改記錄。管理員在創建工單后，可以由系統自動發送郵件給指定的工單處理人，提醒其及時處理。事件分析事件分析是SecFox-SIM的核心，監控管理人員可以通過事件分析對來自企業和組織所有的事件，以及經過SecFox-SIM規則關聯后產生的事件進行可視化實時分析、歷史分析和事件統計，從而快速識別安全事故。SecFox-SIM采用基于場景的行為分析（Scenario-basedBehaviorAnalysis）技術，將所有的事件分析都以分析場景的方式列舉出來，管理人員可以方便的在各種分析場景之間快速切換，就像切換電視頻道一樣，大大提高分析工作的效率。針對每個場景，系統都會實時展示出該場景的事件列表，并且附上一副事件的動態雷達圖（DynamicRadarDiagram）。用戶可以實時觀察某個事件切片內的事件數量及其不同等級事件的時間分布。點擊每個時間切片上的事件方塊，可以查看該時切片的事件明細。對于發現的攻擊和威脅，用戶可以借助SecFox-SIM的iGPS事件全球定位系統在世界地圖上可視化地展示出發起和遭受攻擊IP的所在地理位置。用戶也可以對選中的事件生成可視化的實時主動事件圖（ActiveIncidentDiagram），形象地觀測到當前事件的安全態勢。用戶點擊主動事件圖上的IP節點，可以查看該節點的明細信息，點擊節點之間的連線可以查看事件的端口、協議等信息。主動事件圖可以放大、縮小、自由拖動。在事件分析中，SecFox-SIM還為用戶提供了一套進行深入的審計與追蹤工具——事件調查工具。借助網御神州獨有的啟發式事件搜索技術（HeuristicEventSearchingTechnology），管理員通過事件調查工具可以對某條感興趣的事件中的源IP地址、目的IP地址、或者目的端口進行相關性事件檢索。例如，管理員通過審計某條事件記錄發現某用戶違規訪問一個敏感的外部IP地址，那么管理員可以通過事件調查工具查找最近5分鐘內訪問同一個敏感外部IP的其它用戶的事件記錄，從而追蹤違規行為；管理員也可以查找某個事件記錄中目的端口的含義，是MSN端口？還是BT端口？抑或是蠕蟲端口？等等，從而快速了解當前用戶的行為特征。趨勢分析SecFox-SIM可以對設備的網絡連接數、網絡流量，以及時間數量等的趨勢進行分析，并以圖標的形式展示。趨勢分析的時間段可以動態調整，包括最近24小時、最近1天、最近1周，等等，用戶亦可自行設置。報表管理安全管理人員可以將事件分析的結果生成報表，作為工作內容匯報的一部分提交給相關部門。SecFox-SIM將報表分為系統預定義報表和用戶自定義報表兩大類。SecFox-SIM內置大量預定義報表，例如：當天，當月，該季度，該年度的出現率最多的十種安全事件統計分析報表，既能夠圖文并茂地顯示著十種安全事件的統計值，也能夠選擇察看具體的安全事件明細表；當天，當月，該季度，該年度的出現率最多的十個源IP地址統計分析報表，既能夠圖文并茂地顯示著十個源IP地址的統計值，也能夠選擇察看出現該IP地址的具體的事件內容；每月，每周事件告警嚴重程度級別趨勢表，分類統計每個月所有的安全事件的嚴重程度級別，察看其發展趨勢；每天的安全事件統計表，統計每一天的所有安全事件發生的總數；可以指定源IP，目的IP，源端口，目的端口一項或者幾項內容制作出對應安全事件的詳細報表。每天，每周，每月出現最多的十種病毒統計分析報表；每天，每周，每月的事故統計報表；每天，每周，每月的各種安全狀況的總覽表，在一張報表上圖文并茂地展示這一天，這一周，或者這個月的，全網的安全狀況的多種指標統計和趨勢圖表。SecFox-SIM具備強大的自定義報表功能。用戶可以通過報表編輯器，只需4步，即可方便地自己定義各種復雜的報表，包括報表的內容、布局，以及運行調度設置，滿足企業和組織自身不斷業務發展的需要。知識管理SecFox-SIM知識管理為用戶提供了一套面向業務的管理工具，方便用戶進行安全事件的識別和應急響應處理。SecFox-SIM知識管理包括黑白名單管理和案例管理。黑白名單管理黑白名單，是指需要格外關注的事件屬性，比如某黑白名單定義為某些符合規則條件的事件的某個屬性的列表。黑白名單是一個非常靈活的信息收集工具，它可以基于事件屬性的任意組合或自定義字段組監控活動，而不僅僅是IP地址。在記錄可疑的或惡意的IP地址以及有可能已被攻擊成功的目標方面，黑白名單非常有用。用戶可以手動增加黑白名單的內容，也可以通過規則響應動態地增加或刪除黑白名單中的記錄。例如，我們在發現一個惡意攻擊之后，可以將攻擊源添加到惡意列表中，并在以后嚴密監控該IP的各種行為。SecFox-SIM包含了大量預定義的黑白名單列表，比如惡意列表、可疑列表、受信任的列表、不受信任的列表、受威脅列表等等，用戶可以把它們作為模板使用。案例管理案例是由一組相關事件組成的有意義的、值得借鑒的情景，用于安全信息管理經驗和知識的積累。通過將安全信息管理運維過程中遇到的具有典型性的事件放入案例庫中，并記錄下當時事故的影響情況、采取的安全處理措施，為將來遇到類似事故提供輔助策略的依據。系統管理系統配置SecFox-SIM的系統管理員可以通過系統管理中的系統配置對SecFox-SIM系統自身進行各種參數配置，包括數據的備份與恢復、系統自身運行狀態的監控，等等；通過系統管理中的事件傳感器管理連接到SecFox-SIM平臺的事件傳感器；在系統管理中還有過濾器和資源定義模塊。事件傳感器是SecFox-SIM提供的、用于安裝在企業和組織網絡中的目標主機上的應用程序。通過事件傳感器，SecFox-SIM可以主動地采集目標主機上的事件，在管理服務器上進行事件分析。過濾器是構成