1项目的设计要求与方案.doc

公安部某信息化建设项目 预公告技术需求 1 项目的设计要求与方案 该项目通过镜像方式采集网络流量信息，依据安全策略实现对网络流量及应用访问情况的监测与分析。管理员根据应用系统、网络状况、安全管理等需求，设置不同的安全监测与防护策略，实现对关键应用服务的网络流量进行全面实时监测，针对触发策略的行为及时报警。系统报警后，由管理员针对异常行为情况进行处置，并将处置结果上报上级管理部门。 1.1 系统设计 该系统分为管理区域和监测区域两个部分，其中管理区域由报警处置子系统和集中监管子系统两部分组成，分别部署在报警处置服务器和集中监管服务器上；监测区域由总中心和分中心组成，可进行分级管理。 1.1.1 管理区域描述 报警处置子系统 “报警处置子系统”集成事件采集、信息分发、事件处置、统计管理、原因分析等功能。 报警采集：采集已注册的“网络流量安全监测系统”产生的报警信息。 授权访问：通过PKI证书对用户进行权限控制。 信息分发：通过消息发布实现快速响应及重点事件的督办。 事件处置：由管理员适时处置。 统计管理：各类统计报表。 原因分析：针对事件报警分类情况，分析报警事件产生的根本原因。 集中监管子系统 “集中监管子系统”包括设备管理、应用展现、策略管理、统计分析及报警事件流转功能。 设备管理：包括设备名称、部署位置、设备负责单位和人员等情况。 应用展现：包括应用系统配置数量、配置主机/服务情等情况。 策略管理：了解设备策略有关情况。 统计分析：可对采集信息进行归类分析，按照设备、应用、策略使用等统计。 报警信息：包括各应用系统报警统计、报警排名情况、报警处置情况等。 1.1.2 监测区域描述 监测区域由网络流量安全监测系统组成，包括硬件监测设备及监控管理与WEB服务子系统构成。 网络流量安全监测设备 ? 网络流量监测模块 该模块全面收集网络运行状态数据，把网络信息收集、整理、汇总在统一的数据库中，并自动分类、自动识别主机信息、流量信息和会话信息，为网络和应用监控提供详细、准确、及时的基础数据。 ? 网络行为监测模块 为防止并追查重要信息资源被违规下载，防止内部用户的恶意泄密或破坏，监督、审查、限制及规范网络的使用行为以及了解网络资源的分配使用情况，需要实时采集、分析和处理关注主机的网络流量信息。 ? 网络入侵检测模块 系统可采用分类检测、特征匹配等技术，检测拒绝服务攻击、SQL注入、网络扫描等异常现象。定期手动或自动更新知识库，增强对事件的分析处理能力。 ? 地址过滤检查模块 系统可根据地址表格自动关联IP地址。 ? 追踪取证模块 针对网内的可疑或异常的网络行为，实现对指定IP的网络行为进行解析、重现和记录，形成安全审计，供取证和备查。 监控管理与WEB服务子系统 ? 监测对象管理模块 监测对象管理模块分为监测对象配置和安全策略管理等模块。 监测对象管理： ? 管理应用系统对象； ? 管理追踪主机，追踪主机即需要确认异常行为或对异常行为取证时，可以把嫌疑主机添加成追踪主机； ? 管理信任主机，信任主机即用户认可的主机，信任主机与应用系统之间的网络行为不会触发报警策略，通常将管理员客户端设置成信任主机； ? 提供应用系统相关的网络层、传输层流量以及网络会话情况； ? 可对异常情况快速定位、及时报警，实现快速响应； ? 实现级联信息上报。 安全策略配置管理： （1）流量及连接策略 ? 连接数：当远端主机与关注主机的连接数达到设定的阀值时进行报警，可针对关注主机或者远端主机分别设置； ? 连接持续时间：当远端主机连接关注主机时间超过设定的阀值时进行报警； ? 流量累计：当关注主机自身流量累计超过设定的阀值时进行报警； ? 流量阶跃：当关注主机在一定周期内的流量超过上一周期的百分比时进行报警； （2）数据库策略：包括MySQL、DB2、SQL Server、Oracle和Sybase等通用数据库。 ? 端口：该数据库类型的默认端口号，可根据实际情况进行更改。 ? 命令：包括常见的SQL命令，SELECT、UPDATE、DELETE、INSERT、DROP、TRUNCATE及自定义命令。 ? 关键字：可以是完整的SQL语句，也可以是字段名、表名等任何可以出现在SQL语句中的关键字。 （3）端口及关键字策略：包括TCP包和UDP包。 ? 端口号 ? 关键字：指定端口中出现的字符或字符串 ? URL ? 访问次数：指定时间内累计访问次数限制进行设置。 （4）追踪策略： ? 文件传输追踪（FTP访问） ? 邮件发送追踪（SMTP服务） ? 邮件接收追踪（POP3服务） ? MYSQL追踪 ? SQL SERVER追踪 ? Oracle追踪 ? 异常报警管理模块 系统应具备异常报警发现、处理功能，并配置多种异常报警方式，每条报警均提供详尽的报警信