进程管理产品报告v10.doc

四川移动服务器进程管理产品 情况报告 四川奥城科技有限公司 2010年月  文档控制 起草： 更改记录： V1.0 保密情况： 一级 更新原因： 完成日期： 2010年8月 审核人 文档管理编号 项目背景 近年来，各省移动公司各个在专业通信网（Wap系统、短信网关、HLR等系统）中多次发生安全事件，这些安全事件大部分源于第三方合作伙伴/代维厂商人员利用合法账号登陆系统执行非法操作，比如入侵WAP网关业务主机并安装非法进程，并以此非法进程为代理，操控并进行订购关系恶意伪造等。 因此，对于四川移动网络内的数量众多的业务服务器，需要进一步强化服务器自身的安全防范能力。而强化的第一步就是对进程、网络端口进行监控，随时掌握服务器最新的安全状态，及时发现可疑的入侵行为。 《网通[2009]16号-关于进一步加强重要业务系统安全管理及运维工作的通知》中也重点强调了要“进一步加强对进程异常情况的监控，将重要业务进程和进程变化异常等现象纳入实时监控范围” 2．建设依据及目标 2.1依据： 《网通[2009]16号-关于进一步加强重要业务系统安全管理及运维工作的通知》 2.2目的： 梳理业务服务器进程和网络端口白名单，并对服务器正在运行进程和网络端口周期性监控，对以下安全事件进告警、审计、报告与呈现： （1）、监控进程白名单以外的违规进程启用，如未批准的业务测试进程、未批准的软件安装、可疑的恶意进程等 （2）、监控网络端口白名单以外的违规网络端口启用 （3）、监控进程是否有假死（僵尸）现象 （4）、监控服务器关键进程（如核心服务进程、安全守护进程）是否异常中止 3.赛门铁克Symantec Security Information Manager (SSIM)产品 Symantec Security Information Manager (SSIM) 使 IT 部门可以实时对安全威胁和遵从违规加以识别、确定优先级、进行调查并做出响应。它将安全问题实时关联功能与赛门铁克可靠的全球情报网络相结合，可以对事故做出有效响应，从而确保企业信息资产的完整性。 3.1SSIM 通过以下功能确保网络和关键资产的完整性和安全性： (1) 可通过赛门铁克和领先第三方的各种安全和网络产品（防病毒、防火墙、入侵检测/防御、漏洞管理、策略遵从等）捕捉、过滤、标准化并报告安全事件，从而使 IT 部门能够识别异构或复杂网络环境中的重大漏洞。 (2)可实时关联安全事件，帮助 IT 部门将日志转化为情报，并集中资源首先解决最严重的问题。 (3)可跟踪安全事故和相关响应活动从故障单创建到结束的整个生命周期，帮助 IT 部门快速有效地解决问题。 (4)可集成到包含现有管理和故障单生成系统的企业基础架构中，这样，IT 部门就能够充分利用以前的投资和流程。 (5)可提供主要的安全事故衡量标准，使企业能够了解安全流程的有效性和安全状况并加以改进。 (6) 可在易于部署、使用和管理的高性能硬件设备中实现一流的功能。 3.2 系统工作原理 在服务器中部署进程采集脚本程序，通过syslog方式发送进程列表给进程监控系统（不需要重启服务器，纯绿色，仅采集进程信息，通过Syslog发送给分析服务器，负荷小）。 （1）梳理各服务器运行进程白名单，确定白名单列表； （2）在服务器中部署进程采集脚本程序采集进程信息； （3）采集各服务器进程信息发送给进程监控系统； （4）对采集到的服务器进程信息与白名单列表进行对比； （5）获得异常进程信息，向监控人员发出告警； （6）定期总结相关告警报表；3 3.3系统软件功能 通过轻量级的脚本采集主机信息（无需安装客户端，不对系统造成修改） 脚本定时采集（例如5分钟为间隔）采集一次进程和端口列表 后台平台对输送的信息进行规则化处理、去重、比对 对异常进程、异常端口进行告警 提供报告分析与输出 可以向其它平台输送SYSLOG、SNMP消息，与下一步安全处理流程结合起来 4. Tivoli – IT 基础架构管理在典型的企业环境里，企业 IT 维护部门的日常活动涉及到两个方面，即：IT 运行维护 (Operation) 和 IT 服务(Service)。Tivoli 作为 ISM(IBM Servcie Manangement) 管理方案的重要承载平台，提供了从任务级、服务级，到流程级的与 IT 维护相关的功能。 业务需求： 业务(服务)对 IT 的依赖与压力正比增加； 面对部门的不断抱怨，缺乏非技术性沟通界面以缓解矛盾； 网络、操作系统、应用无有效管理工具； 从网络到应用交易, 管得不细，看得不全； 现存工具体系分离，无法综合分析，工程师常规性故障诊断耗时费力； 日常运维缺乏业务信息辅助； 工程师工作协同性缺乏操作流程支持。 主