东软安全运维管理平台详细技术介绍方案（V2.0）东软公司2011年3月更改履历版本号更改时间章节号状态更改简要描述更改人批准人V1.0曹鹏V1.1曹鹏V1.22010-9-4曹鹏V2.02011-3-10M侯小东注：状态可以为N-新建、A-增加、M-更改、D-删除。目 录一、东软安全运维管理平台5.0系统亮点11.1触摸屏的全新操作模式11.2以晴雨表形象化比拟安全状态21.3业务系统的全面监控21.4基于地图或者组织结构的监控预警31.5海量异构数据收集、智能分析31.6平台支撑设备的运维细致到位3二、系统总体规划设计52.1系统业务架构52.2系统功能架构62.3系统数据架构8三、东软安全运维管理平台的技术路线103.1数据采集之“信息资源转换”103.2数据采集之“海量异构数据集成”103.3数据分析之“信息安全指数模型”133.4数据分析之“风险分析模型”143.5数据分析之“多源告警数据交叉确认机制”153.6数据分析之“安全审计模型”16四、核心功能184.1安全监控184.1.1宏观的安全态势展示184.1.2灵活的报警统计分析204.1.3基于地图/组织结构的监控预警204.1.4业务系统的深度监控214.1.5以责任单位为视角的宏观分析234.1.6对重要业务系统的宏观分析244.2运维管理254.2.1整体技术分析从全局角度关注安全254.2.2资产管理模块264.2.2.1责任单位管理264.2.2.2监控中心管理284.2.3安全报警管理与分析模块284.2.3.1详细的安全报警展现284.2.3.2广泛的数据采集范围304.2.3.3灵活多样的数据采集方式314.2.3.4分布式可自定义的事件采集策略314.2.3.5采集模块的多重合理化工作设计324.2.3.6自主设计避免事件误告与漏告的核心关联分析框架介绍324.2.3.7基于统计的关联分析使告警事件信息更加准确334.2.3.8基于规则的关联分析完成告警事件信息的深度挖掘354.2.4性能故障报警分析模块434.2.5业务系统综合分析模块444.2.5.1业务系统安全状况汇总444.2.5.2完整性检测454.2.5.3安全性检测464.2.5.4可用性检测464.2.5.5业务系统监控策略464.2.6符合国内运维习惯的工作流管理474.2.6.1工单的操作474.2.6.2工单的管理484.2.6.3根据报警触发的流程484.2.6.4设备使用流程494.2.6.5设备巡检流程504.2.6.6设备升级流程514.2.6.7设备故障处置流程524.2.7面对不同运维人员需求设计的报表管理模块534.2.8业务数据监控与处理554.2.8.1主机系统数据处理554.2.8.2数据库系统的数据处理574.2.8.3中间件系统的数据处理594.2.9可持续升级的安全知识库管理模块604.2.10平台支撑设备的运维服务614.3系统维护634.3.1用户与权限管理634.3.2可扩展的多引擎多应用管理654.3.3基础数据维护654.3.4系统策略配置654.3.5平台自身操作行为的日志管理66五、产品部署675.3.1产品基本形态介绍675.3.2标准网络环境部署方案675.3.3大型网络规模的分布式部署方案68一、 东软安全运维管理平台5.0系统亮点 中国安全管理平台起源于国内高端用户的需求，发展于行业用户的应用，SOC市场也是一直被用户称为具有中国特色的安全细分市场。在这个细分市场中，拼的不是硬件，而是软件；搏的不仅仅是性能，更是功能。东软NetEye安全运维平台(SOC) V5.0版本恰恰充分利用了东软的“软”优势，凭借东软在中国IT界软件领军的技术实力，真正实现了东软NetEye安全运维平台(SOC) V5.0版本的成功“软”着陆（这里的“软”指的是东软强大的自主软件研发能力）。2010年5月东软正式对外发布东软NetEye安全运维平台(SOC) V5.0版本。该新版本较之以前架构更先进、功能更强大，设计更新颖，更体现人性化。本次发布的东软SOC V5.0版本是东软自2005年发布SOC V1.0版本后，依靠连续5年在高端行业用户应用中所积累的实践经验而研发生产的。其中私有云的技术架构、基于触摸屏的操作模式、美观的界面展示、全面的数据采集、智能的关联风险分析、事件的快速响应和定位机制、在掌控整体安全状况下提供的细致分析报告功能、定制开发快速实现用户个性需求的软件研发优势和东软安全15年的安全行业整体解决方案服务能力，逐一在东软NetEye安全运维平台(SOC) V5.0版本中予以实现。东软NetEye SOC已成功实施部署在金融、电信、电力、政府、能源、航空、烟草等高端行业用户的网络系统中，采用模块化的灵活部署方式，东软SOC1000系列为中小型企业提供量身定制的SOC解决方案，满足日渐提升的细分行业市场安全运维管理需求。而东软SOC4000系列则是将不同高端用户需求再次深度挖掘，细加工之后奉献给高端用户的一件接近完美的软件作品。1.1 触摸屏的全新操作模式东软NetEye SOC V5.0系统突破传统的安全产品的鼠标键盘的操作模式，在所有安全厂商中率先将触摸屏操作机制兼容到系统平台操作中，使得图形化的人机交互界面变得更为直观易用。由专业人员针对系统的图标形状、文字大小、展示区域比例、导航伸缩等方面一一进行了细致设计，充分考虑到触摸屏操作时手指点击、滑动、拖动时的有效点，并兼顾系统展示的美观度。在保留原有数据分析的基础上，东软NetEye SOC V5.0系统还使用了大量的FLEX技术，力图将数据分析的结果用最好的展示效果来实现。1.2 以晴雨表形象化比拟安全状态以往安全状况多采用数字、文字、图表等方式进行描述，这种展示晦涩、美观度较差、不支撑宏观决策分析。东软NetEye SOC V5.0系统试图以一种全新的视角来诠释安全，因此在系统中，我们创新的采用了以天气预报中的晴雨表的方式形象化比拟被监控对象的安全状况，分别用晴天、多云、阴天、小雨、和大雨5种天气预报来比喻从很低到很高的5个不同等级的安全状况。在原有技术支撑的基础上，用晴雨表这种人性化形态来看待安全，使得NetEye SOC V5.0系统的宏观展示效果更为美观和直观。1.3 业务系统的全面监控业务系统监控，是东软NetEye SOC V5.0系统中的一个重要模块。我们的业务系统监控模块支持分布式部署，具备良好的扩充性，每个模块可支持同时对100个业务系统进行实时检测。 这个模块实现了针对B/S架构的业务系统，尤其是网站进行全面的监控，主要检测这些业务系统的可用性、安全性和完整性。落实到监控的具体功能点上，即为：系统是否服务中断、不可达，是否被挂马，是否被恶意篡改，如果是网站，是否包含一些敏感言论的关键词，从而进行相关的检索与查看。针对网页篡改，我们NetEye SOC V5.0系统主要通过：网页快照浏览器对比、文本对比、源代码对比、更改报告等几种方式来综合进行分析；针对网站挂马，系统采用静态分析和动态模拟技术，能够智能跟踪最新黑客挂马技术手段，对网页中出现的多层嵌套地址也能彻底分析，一旦发现挂马，系统自动生成挂马分析报告。1.4 基于地图或者组织结构的监控预警在用户的网络结构中，会涉及到众多的被监控的业务系统，安全设备，报警数据、安全事件等等，那么如何将虚拟网络世界这些杂乱无章的信息通过一种有序的方式将这些数据一一表现出来呢。 东软NetEye SOC V5.0系统直观的采用地图或者组织结构的方式进行业务系统、安全设备等静态信息的标注和报警数据、安全事件动态信息的分布展示。在地图或者组织结构中，东软NetEye SOC V5.0系统首先标注了责任单位、监控节点、重要信息系统这些基本信息。其次通过地图或者组织结构的方式展现SOC平台所收集的报警信息的分布情况，这些信息可以有效协助运维人员快速准确定位发生安全问题的具体单位以及其具体位置，在每次面临威胁攻击事件时，其设计可以更早的将事件信息通报到具体的责任单位相关人员，为安全事件的应急处理争取时间。1.5 海量异构数据收集、智能分析东软NetEye SOC V5.0系统的数据采集引擎支持分布式部署，从而实现海量数据的收集与分析。系统通过在分布式部署的数据采集引擎和中心服务器上配置的收集、分析策略实现对海量异构数据进行过滤、归并、分析和处理，大量过滤重复、无效数据。目前在一个较大的项目实施中，SOC平台每天收集的原始日志最高可达到6500万条，通过不断积累完善的归并、分析策略，平台每日上报的有效报警数据可以达到500条左右。当需要进行深入数据分析时，可随时将保存在数据采集引擎上的原始日志上调到中心。1.6 平台支撑设备的运维细致到位目前东软所实施一个较大的SOC平台案例，共涉及50余台SOC服务器、200余台安全设备与网络设备，那么支撑SOC平台运转的IT基础设施的运维也是技术人员的日常工作，为此，我们设计了一个专门的功能模块来协助运维人员针对IT支撑设施进行日常的运维、管理。通过总体健康度，可实时监控SOC平台整体运行情况，实时监控支撑SOC平台服务的所有核心服务器的关键运行指标，所有采集服务器的关键运行指标，所有IT支撑设备的性能故障异常报警。在设备监控中，可以按照监控节点或者设备类型，对支撑SOC平台服务的所有网络设备和安全设备进行实时监控，包括CPU、内存、磁盘等关键运行指标。并对根据各个设备的特点，设置了相应的阀值，一旦超出阀值，及时进行性能异常报警。上述这些平台支撑设备运维功能，实现了安全产品和SOC的紧密联系，达到了SOC平台自身以及其IT支撑设备的高效管理。二、 系统总体规划设计2.1 系统业务架构从上图可看出，东软NetEye SOC V5.0系统致力于实现：以监控预警为核心业务，以对监控数据进行获取和分析为主要手段的综合性业务平台。业务类型总体分为以下6个方面：业务系统监控。NetEye SOC系统实时监控、检测重要业务系统的运行情况，提供对重要业务系统，尤其是网站的可用性、网站的安全性、网站的完整性三方面的检测功能。网络监控。NetEye SOC系统提供对业务网络环境下的拓扑管理、链路管理、网络设备管理等具体业务功能。互联网出口监控。NetEye SOC系统实时监控、检测用户互联网接入点，可配合病毒入侵监测、互联网行为与内容审计、网络入侵行为监测安全设备来实现针对互联网出口的全面安全管理与监控功能。信息系统监控。NetEye SOC系统负责实时监控受保护下的各个重要信息系统的安全状况，可配合病毒入侵监测、