安全运维管理中心白皮书

1.   产品简介

随着信息化基础建设的逐步完成和不断发展，维护信息化安全的任务日趋繁重 。面对复杂的信息化环境、众多的信息化软件、海量的信息化数据，如何能高效地保障信息化安全，是当今每个信息安全管理部门需要面对的挑战。

瑞达安全运维管理作为保障信息化安全的指挥中心，通过采用一体化综合监控、分布式探测、分级管理等先进技术，实现了对信息化安全全方位的“监”、“审”、“控”，从IT系统集中管理的角度为企业信息化安全提供坚实保障。产品的开发参照了ISO 27000、 GB17859-1999等一系列国际、国内安全管理标准规范，以业务系统管理和资产管理为基础、以风险管理为核心、以安全审计和响应执行为手段、以信息化安全为目标，通过对安全策略的统一管理以及对第三方安全监控管理工具的无缝衔接，实现了统一的信息安全管理，为信息化安全的需求提供强有力的支持 。

2.  系统架构

安全运维系统主要功能架构包括对象层、对象采集层、数据处理层、数据展现层、外部接口等。

安全运维系统的管理对象包括：网络设备、安全设备、机房环境、主机系统、数据库系统、应用系统等，数据采集的方式多种多样，支持分布式主动轮询或被动接受的方式采集数据，支持标准的SNMP、Syslog、WMI、Telnet等协议的数据采集，支持数据库接口采集，支持应用API接口采集等多种方式，支持集成第三方管理平台组件进行数据采集,还可以根据用户的要求定制相应的接口，将相应系统的信息纳入网络管理系统中，形成统一管理。

安全运维系统采用开放的数据存储平台Oracle或SQL Server来进行系统的数据存储，能够保存两年以上的历史故障数据和性能数据以便生成相应的趋势分析报告。安全运维系统能够针对告警事件提供灵活的过滤，提供对告警级别、告警类别、告警消息等配置的能力，告警划分成几种颜色，提供多种工具和方法定位问题的根源。

安全运维系统的性能数据采集能够支持秒级单位的采样周期，能够提供原始采样频率的数据。安全运维系统经过一段时间的记录，能够通过对性能数据的对比，生成相应的阀值告警事件。

安全运维系统通过Web访问的方式为用户展示物理拓扑结构，并通过物理拓扑结构为用户提供全网的状态信息，并通过颜色表现表示出来，帮助用户及时发现网络潜在的故障隐患点，从而为用户提供管理数据的分析、诊断机制和运维管理流程。

安全运维系统标准的Syslog、Telnet、API等接口，可以将安全管理系统以及相关环境的管理数据，纳入安全运维系统中实现集中管理。  

3.      安全运维系统部署

安全运维系统在结构设计上允许集中式和分布式数据采集与计算，根据企业的管理需求可选择集中式或分布式部署。

集中式部署允许数据的采集与计算在网络的同一位置，通过单一平台进行配置和管理。

分布式部署允许数据的采集端分布在网络的不同位置，最后通过统一的平台进行配置和管理，方便用户配置操作。

分布式数据获取有如下优点：

l        考虑到数据采集量，贴近管理对象的分布式管理数据采集对管理的效率与功能的提升有极大意义。

l        分布式数据采集有效支持了多种不同的数据采集方式，将数据采集与数据处理有效分离。

l        支持安全管理模式，考虑到数据安全，某些管理数据是不允许远程跨网段传输。

4.      安全综合运维系统功能特点

l        一体化的资源展示

从业务管理、区域管理、系统功能、IP分段等多角度同时对系统资源进行监控，一体化展示系统的拓扑结构和业务构架，实现对系统运行状态的全面掌控。

 

l        综合的系统监视

各资源特有的属性信息、500项有效KPI指标、资产运维信息、图形式的事件告警提示。

 

l        精确的事件源定位

对资源的多角度、多方式监视，准确发现事故根源，并且可以通过关键字查询方式实现对资源的精准识别和快速定位。

 

l        强大的事件分析能力

通过统计、关联等多种方式进行事件分析；通过特有的关联分析算法，剔除错误报警，压缩重复事件，大幅减少报警事件数量，极大程度减轻管理人员的分析负担，减少对威胁的响应时间。

 

l        强大的审计分析能力

通过综合安全漏洞、威胁事件、操作指令、产生时间等众多要素对正在发生和已经发生的事件进行审计，对事故追根究源。

 

l        强大的风险评估能力

对系统的运行、安全进行全局的统计、分析与评估，及早发现系统隐患和存在威胁，生成报告及打印。

 

l        多样化的响应与执行

采用大屏、声音、短信、E-mail等多种方式进行告警提示；统一的响应处理；与工单系统联动。

 

l        分级的管理能力

系统用户、操作用户、审计用户分权管理，系统监控数据库与审计数据库分离。

（未完待续）