云平臺風險管控解決方案

方案總體設計

云風險管控解決是以“云管控”作為建設重點，結合現有優勢安全防護產品，實現虛擬化平臺安全管理，實現云安全的整體防護。云管控安全解決方案由以下部分組成：

● 云安全管控平臺。

● 虛擬化防火墻及虛擬化UTM系統。

● 虛擬化威脅與智能分析系統。

● 虛擬云漏洞掃描產品。

● 虛擬化業務操作審計產品。

● 虛擬化桌面管理系統。

● 虛擬化身份認證系統。

● 虛擬化防病毒系統。

● 云計算安全運維管理。

在傳統的運維模式下，IT資源的增多使IT運維者的工作越來越復雜，IT資源的規劃、購買、部署和安裝等流程，會因為技術的更新和資源的增多，為運維者增加工作難度和強度，也會帶來大量的電力消耗和人力維護成本。

云計算IT運維服務達成了對硬件、軟件、網絡和存儲等IT資源的集中管理和監控，實現了自動的系統接入和維護，客觀上減少了對維護人員的需求，且降低了IT運維成本，釋放了被占用的企業資源。從長遠的角度來說，可以給企業整體帶來運維管理制度的改革，IT服務管理的價值就會隨著企業IT規模的發展而日益體現出來。

云計算管控平臺設計

1.綜合展示

用戶登錄即可進入綜合展示界面。通過該界面，能夠快速導航到各個功能。用戶能夠通過儀表板從不同的方面進行一體化安全管控，可以在一個屏幕中看到不同安全域的資產信息、實時安全事件曲線、統計圖，以及網絡整體運行態勢、待處理告警信息等。綜合展現頁面的主要作用是為用戶提供整體安全管理的一覽圖，方便用戶對安全態勢做出評估，并判斷當前安全管理工作的先后優先級。

2.安全事件管理

安全管理平臺支持事件收集、事件整合和事件可視化功能，能夠統一采集和存儲所采集到的各種事件信息，并對采集的事件信息進行匯聚、歸并、過濾、范式化處理；根據預先定義的分類規則科學合理地對事件進行歸納分類，提供盡量豐富的事件顯示和查找的功能；安全管理平臺提供多種形式的事件分析與展示，包括實時事件列表、統計圖表、事件儀表盤等。此外，還能夠基于各種條件進行事件的關聯分析、查詢、備份、維護，并生成報表。

（1）事件采集

能夠采集各種不同廠商的安全設備、網絡設備、主機、操作系統、以及各種應用系統產生的日志，能夠支持通過Syslog、SNMP Trap、FTP、OPSEC LEA、NETBIOS、ODBC、WMI、Shell腳 本、VIP、Web Service等協議進行采集。用戶僅需安裝部署審計中心，無需另裝采集器，即可實現對日志的采集工作；同時支持通過日志采集器和日志代理的方式采集日志。

（2）事件范式化與分類

系統支持對所采集到的日志自動進行范式化處理，將各種類型的日志格式轉換成統一的格式。提供的范式化字段包括日志接收時間、產生時間、持續時間、用戶名稱、源地址、源MAC地址、源端口、操作、目的地址、目的MAC、目的端口、日志的事件名稱、摘要、等級、原始等級、原始類型、網絡協議、網絡應用協議、設備地址、設備名稱及設備類型等。

（3）事件過濾與歸并

系統能夠對采集到的日志進行基于策略的過濾和歸并。通過過濾操作，用以剔除無用的日志信息；通過歸并操作，將短時間內滿足一定條件的多條日志合并成一條日志，減少日志的存儲量。用戶自可定義日志過濾和合并策略。

（4）事件實時監視

系統提供實時審計視圖，用戶可根據內置或者自定義的實時監視策略，實時觀測安全事件的走向，并可以進行事件調查、鉆取，并進行事件行為分析和來源定位。用戶可以實時監視防火墻、IDS、防病毒、網絡設備、主機和應用的高危安全事件；可以實時監視各個部門、各個業務系統、各個安全域、各個業務系統的重點安全事件；可以實時監視全網的違規登錄事件、配置變更事件、針對關鍵服務器的入侵攻擊事件等。

（5）事件統計分析

系統提供統計視圖，用戶可根據內置或者自定義的統計策略實時進行安全事件統計分析，并以柱圖、餅圖、堆積圖等形式進行可視化的展示。用戶可查看一段時間內的主機流量排行、主機登錄失敗次數排行、活躍病毒排行、網絡設備故障排行、最多訪問用戶排行等。

（6）事件查詢

系統提供日志的查詢功能，便于從海量數據中獲取有用的日志信息。用戶可自定義查詢策略，基于日志時間、名稱、地址、端口、類型等各種條件進行組合查詢，并可導出查詢結果。系統還提供快速查詢和模糊查詢功能。

（7）事件存儲

系統將收集來的日志統一安全存儲和備份。系統支持TB級的海量數據加密存儲，滿足等級保護的相關需求。系統支持數據的自動或手動備份，備份數據可手工恢復，用作日志回查。

（8）事件關聯分析

系統能夠依托綜合關聯分析技術完成各種安全關聯分析功能，將原始的設備報警進一步規范化并歸納為典型安全事件類別，從而協助使用者更快速地識別當前威脅的性質。系統至少支持基于規則的事件關聯分析、統計關聯分析和漏洞關聯分析。

（9）事件處置

能夠根據設備類型、事件類型、事件級別等設置或自定義的選項，選擇性地進行事件處置，例如郵件報警、發送短信報警等。

3.安全KPI考核

支持安全評估管理功能，能夠針對各業務系統、各安全域進行安全評估情況及安全整改的跟蹤和管理工作。

支持建立、導入安全評估調查問卷方式進行安全評估工作；用戶能夠按照時間、名稱、問卷狀態等對歷史問卷進行查詢。安全問卷調查能夠觸發工單，將問卷調查工作分發至相關部門和相關人員，并能夠跟蹤調查問卷填寫工作，接收反饋結果。平臺預先內置國家及證券期貨業等級保護各級別的管理要求和技術要求問卷模板，用戶能夠根據業務需要對問卷模板進行修改，或者生成新的問卷模板，模板文件支持上傳和下載。平臺能夠對調查后的問卷自動生成調查評估報告，評估報告內容圖文并茂，能夠以餅狀圖、圖表等方式統計各類評估項，并對每項的符合度進行詳細描述。

4.虛擬化環境管理

虛擬環境管理提供了一個總體性的視圖來展示隱蔽在虛擬平臺中的各類虛擬節點，并對虛擬節點的邏輯關系、運行狀態進行展現。

通過與虛擬平臺或虛擬管理平臺的通訊，云安全管控系統可以自動發現虛擬平臺上部署的各類虛擬節點，如虛擬路由器、虛擬交換設備、分布式交換設備、虛擬接口組、虛擬主機、虛擬安全設備并形成圖形化邏輯拓撲圖。云安全管控系統能發現虛擬設備類型，自動讀取虛擬設備的屬性信息，拓撲圖可以編輯、調整，在形成拓撲圖同時，可以根據管理層次形成樹形管理目錄。所有虛擬設備在拓撲圖上能清楚展示，邏輯關系清晰。

在拓撲圖上可直接展示各虛擬設備節點的運行狀態，節點的告警信息用不同的顏色標示設備的運行情況，可修改拓撲圖的背景，并提供對節點管理的工具，如遠程的連接登錄接口SSH、Telnet和Ping等，可直接查看節點的詳細信息，如節點的名稱、設備類型、IP、設備描述等。

5.虛擬安全產品庫管理

虛擬安全產品庫管理通過安全設備模板進行部署，在虛擬平臺上部署安全設備，就是以模板為基礎，結合具體環境，把模板變成實際的虛擬節點，對虛擬環境中其他設備提供安全防護。

云安全管控系統提供模板管理的功能，可以增加、刪除安全設備模板，不同類型的模板分類存放，模板也可以導入導出。

設備模板至少具有以下屬性，名稱、設備類型、生成時間、版本、部署模式、描述等。

模板提供設備的配置信息提示，如設備名稱、設備管理IP地址、部署模式、默認策略、接口IP等。

模板還提供虛擬性能指標要求，如CPU、內存、存儲空間要求等。

6.虛擬安全產品部署

虛擬安全產品部署管理功能是云安全管控系統核心功能，系統提供可視化部署功能，可直接在拓撲圖上實現虛擬安全設備的部署。添加部署的設備可從設備模板中選取，部署的虛擬安全設備自動適應拓撲圖的邏輯連接關系，部署完成后自動調整邏輯連接關系。

虛擬安全設備部署時根據不同類型的設備可提供不同的部署模式和配置界面，部署的虛擬安全設備在管理平臺上可刪除和修改，刪除和修改后的邏輯關系能自動更新和修改。根據模板要求，部署時可配置設備的基本信息，并自動檢查確認授權情況，可對虛擬設備運行的性能指標進行修改。

7.虛擬化安全監控

云安全管控系統提供虛擬平臺和虛擬設備的監控功能，可對虛擬平臺和虛擬設備進行性能監控，針對不同的設備類型提供不同的監控指標和圖形化的監控面板。

通過建立監控任務，可以配置監控的時間間隔，監控閾值等各項參數，可以對監控的閾值設置上上限、上限，下限和下下限，當監控任務超過閾值將會觸發告警。對告警可設置告警動作。能夠保存各個監控的數據，用戶可以查看最近24小時、最近7天的實時曲線圖形，可以查看自定義時間段的歷史數據，可以根據用戶設定的時間段生成報表。管理員可以實時查看監控數據，提供實時數據和圖形展示。

8.等級保護管理

支持等級保護合規性管理功能，能夠針對各業務系統、各安全域及其等級，依據等級保護中的技術要求和管理要求分別采用調查問卷方式進行等級保護合規性評估；用戶能夠按照時間、等級、時間、問卷狀態對歷史問卷進行查詢。

平臺預先內置等級保護各級別的管理要求和技術要求問卷模板，用戶能夠根據業務需要對等級保護合規性問卷模板進行修改，或者生成新的問卷模板，模板文件支持上傳和下載。

9.告警響應管理

云安全管控系統提供告警響應管理功能，虛擬設備運行狀態發生變化會觸發告警，性能監控超過設定的閾值也會觸發告警。這些告警都能產生告警事件，觸發一定動作。告警的動作有Syslog、SNMP Trap、彈出對話框、短信、郵件、即時通訊等。告警產生的信息能準確反映告警事件的具體內容，告警通知可指定發送的用戶，用戶可通過管理平臺對告警進行確認和處理。系統可過濾不需要的告警和消除重復告警。系統可對告警進行查詢和存儲。告警列表和告警查詢的結果列表支持導出為文件保存，支持導出為Excel文件。