XX移动无线网络接入管理平台需求方案.docVIP

XX移动无线网络接入管理平台需求方案 特为以下单位制作: XX移动 制作日期： 修订版本号： 1.0 报告形式： Draft 其它参考文件： 目录 1. 功能概述 4 2. 系统功能架构图 5 3. 功能模块说明 6 3.1. 远程组件 6 3.1.1. 无线网络接入设备（AP） 6 3.1.2. 有线入侵检测系统 6 3.1.3. 防病毒系统 7 3.1.4. 漏洞扫描系统 7 3.1.5. 无线入侵检测 8 3.1.6. 身份认证服务器 8 3.2. 本地组件 8 3.2.1. 安全策略配置管理 8 3.2.2. 显示 10 3.2.3. 报表 11 3.2.4. 实时操控 12 3.2.5. 事件监控中心功能 12 3.2.6. 漏洞管理功能 13 3.2.7. 用户接入管理 14 3.2.8. 响应管理 15 3.2.9. 综合分析和预警中心 16  功能概述 功能分为两大部分： 一、在06年科技项目的基础上，在XX移动全面部署无线网络，使这些楼层实现移动办公，提高办公和大型会议组织效率，并将无线网络安全的研究成果加以应用。 二、建立一个能够对无线网络接入安全涉及的所有设备统一管理，集中进行安全监控和安全策略配置的平台，实现对无线网络安全管理的全面支撑。该平台应有如下功能： 能够集中监控无线网络接入安全涉及的安全设备，集中监控安全设备的运行状态（例如在线状态、网卡流量、CPU利用率等）。 收集多种安全设备的报警信息，包括无线接入设备（AP）日志、无线接入身份认证日志、无线入侵检测报警、有线入侵检测报警、防病毒系统报警、漏洞扫描系统报告等。 解决安全设备分散管理导致的安全信息分散不互通，安全策略和配置难于统一协调的问题：通过接口对不同类型、不同格式的设备日志进行采集、范式化，并通过平台界面进行集中显示；对各种日志进行关联分析，从风险管理的角度量化各类安全事件的优先级，制定统一的无线网络安全接入策略，通过与无线接入设备（AP）和身份认证服务器的联动，达到统一控制无线网络安全接入的目的。 能够将无线网络接入的安全管理制度流程内化到管理平台中，通过与身份认证服务器以及无线接入设备（AP）的联动，使得无线网络的接入申请流程华，杜绝不合规范的无线网络接入。 建立及时地安全事件响应机制，响应机制是对事件的持续跟踪，也是风险管理与事件管理的必要结果。因此及时地安全事件响应机制是管理平台中十分关键的一环。响应处理模块可以通过工作流系统实现，可提供邮件、短信等方式。 根据具体需要，为管理平台的各个功能提供报表支持。报表输出可转换为Word，Excel、PDF、Html等多种常用的标准格式。 系统功能架构图 系统分为两类组件，分别为本地组件和远程组件。其中本地组件又分为管理控制台组件，后台处理组件。本地组件之间通过基于TCP/IP的自定义应用层协议通讯，本地组件与远程组件之间的通讯在每个模块的需求描述中分别说明。 管理控制台组件是整个管理平台的配置管理界面，通过Web界面实现。管理控制台组件内有安全策略配置管理、事件及日志显示、事件及日志报表、实时操控等4个模块。 后台处理组件中的所有组件从安全策略配置管理模块获取安全策略，执行管理平台的核心功能，通过响应管理、显示、报表与管理员交互，通过与身份认证服务器和AP互动与接入用户交互。 远程组件是在本地组件之外独立运行的设备或系统。独立的设备需要通过标准的接口或API与本地组件交互，独立的系统除了通过标准的接口或API与本地组件互动外，还可以通过自定义的应用层协议与本地组件互动。 在本方案中，无线入侵检测、身份认证服务器经过06年的科技项目建设，已经完成，不再开发，但可能需要修改，以配合本平台要求的其他功能。无线接入设备、有线入侵检测、防病毒系统、漏洞扫描系统、漏洞管理、安全策略配置管理可采用第三方现有产品，但第3方产品需满足本平台特定的要求或提供指定的开放接口。本平台需要完全重新定制的功能为事件监控中心、综合分析及预警中心、响应管理、显示、报表、实时操控等组件。 功能模块说明 远程组件 无线网络接入设备（AP） AP在无线网络接入中，负责与用户电脑建立链路层会话。在建立连接过程中，独立验证或者通过第3方的认证服务器验证用户身份。当登录用户注销，或者管理平台要求强制阻断用户会话，AP将断开连接会话。AP作为管理平台的第三方设备，要求其支持SNMP协议，并且支持通过SNMP协议对用户连接会话进行实时阻断。 有线入侵检测系统 有线入侵检测系统作为管理平台的第三方系统，要求能够提供远程开发接口，能使用该开发接口远程调用系统日志，入侵检测系统并且能够向