北京海思科信息系统安全运营监控平台

信息系统安全运营监控平台

建设方案

2008年3月

目 录

第一章 需求分析概述 (4)

1.1需求分析 (4)

1.2建设目标 (6)

第二章 信息系统安全监控平台建设方案 (7)

2.1“监控平台”概述 (7)

2.2“监控平台”体系架构 (9)

2.3“监控平台”技术特性 (10)

第三章 “信息系统安全监控平台”功能介绍 (13)

3.1监控中心（M CENTER）主界面 (13)

3.1 (14)

3.2网络设备日志备份及故障告警 (15)

3.3病毒监控告警 (16)

3.4主机服务器及应用安全运行监控 (16)

3.4.1. WINDOWS SERVER监控预警：WIN2000 SERVER、WIN2003 SERVER (17)

3.4.2. UNIX SERVER监控预警： SCO UNIX、AIX、SUN SOLARIS、HP UNIX、RED LINUX、红旗LINUX

等各种UNIX、LINUX (18)

3.4.3. 数据库监控 (20)

3.4.4. 中间件监控...............................................................................................................错误！未定义书签。

3.5网络设备安全运行监控 (23)

3.5.1. 交换机监控 (24)

3.5.2. 路由器监控 (24)

3.5.3. 防火墙监控 (25)

3.6拓扑监控-物理拓扑功能 (26)

3.6.1. 拓扑自动生成 (27)

3.6.2. 拓扑手动编辑功能 (28)

3.6.3. 对网络设备管理 (30)

3.6.4. 对主机系统管理 (31)

3.6.5. 实设备面板图查看 (32)

3.6.6. IP-MAC地址绑定、报警及快速定位 (33)

3.6.7. 实时监控设备端口及链路状态检测报警 (34)

3.6.8. 故障诊断工具 (36)

3.7拓扑监控-逻辑拓扑功能 (38)

3.8网络流量分析功能 (40)

3.8.1. 深层次、全方位、实时的流量分析统计 (40)

3.8.2. 纵向、横向、多曲线流量对比分析 (40)

3.8.3. 任意时段的流量查询统计分析 (41)

3.8.4. 端口流量监视 (42)

3.9资产监控功能 (43)

3.9.1. 计算机资产信息维护 (45)

3.9.2. 硬件资产信息自动搜集 (45)

3.9.3. 软、硬件资产变更统计 (47)

3.9.4. 软件资产采集 (48)

3.9.5. 网络配置信息 (50)

3.9.6. 实时进程监控 (51)

3.9.7. 实时文件监控 (52)

3.9.8. 实时服务监控 (53)

3.10应用程序监控 (54)

3.10.1 应用程序分组 (54)

3.10.2 策略设定 (55)

3.10.3 应用程序历史记录查询 (56)

3.10.4 应用程序运行统计分析 (56)

3.11软件分发功能 (56)

3.12补丁管理功能 (58)

3.13终端接入监控功能 (60)

3.14外设管理功能 (61)

3.15桌面流量监控功能 (63)

3.16漏洞监控功能 (63)

3.17行为监控功能 (64)

3.18远程协助功能 (65)

3.19预测分析功能 (67)

3.20综合报警功能 (68)

3.21报表与数据导出 (71)

3.22对外接口 (72)

第四章 荣誉客户 (72)

第一章需求分析概述

1.1 需求分析

信息中心是贵单位系统业务管理和数据处理的核心，在整个信息化体系中具有举足轻重的地位。7×24小时安全、稳定的运行极为重要，信息中心为业务、财务等部门的信息处理提供基础支撑，数据处理速度、运行稳定性、数据安全性不仅直接关系到数以亿计的资金安全，还关系到柜面业务办理的效率，安全稳定运行对外代表了济南华夏银行信息化发展的形象和水平。

随着IT软、硬件应用的不断增加，网络系统越来越复杂，设备种类越来越多，管理内容越来越广泛，IT管理人员的工作压力越来越大，给网络管理和安全维护带来难度。所面临的问题可以归结为以下几个方面：

第一，在日常管理中，对于路由器、交换机、防火墙、IDS设备等网络设备的日志管理及故障监控是很重要的一个环节，它是所有系统稳定、可靠的保证。为保证网络畅通、系统稳定运行，信息中心维护人员需要对现有各网络设备的运行状况进行7X24的监控，经常对设备进行日志备份及故障告警日志分析，这使得整个安全运维管理工作变得很繁琐，工作量极大，严重影响了运维人员的工作效率。

第二，各应用和业务系统在网络上运行越来越多，对网络的依赖越来越大，要求对网络管理的内容必然日趋增多，包括网络管理、性能管理、应用管理、使用管理、安全系统等内容。

第三，各种设备及系统的运行信息、告警信息的多样化，要求对这些信息进行集中化的管理，进行智能化的分析、统计，提供强有力数据报告，使能更有效、更快捷的解决问题。

第四，还面临着不能对网络设备、服务器系统资源及应用软件的运行状况进行实时监控，无法实现对整个系统的集中、统一管理，很难从整体上把握系统性能等问题。

第五，对于贵单位所辖区终端PC和服务器的系统补丁无法进行统一的管理和升级，一旦出现严重的安全漏洞，将使各种病毒、入侵及流氓软件利用系统漏洞感染计算机造成系统瘫痪，并造成数据损失。

第六，对于非本行计算机或行内未经授权计算机接入内部网络没有有效智能化的安全接入管理机制，极有可能对于内部数据及网络的安全性构成威胁，一旦造成损失，后果极其严重。

第七，贵单位根据网络安全需要已在网络内布署安全设备，并制定双向访问策略，但发生不符合访问策略规则的大量数据流量时不能及时有效发现，并告警于维护人员。若发生大量异常流量，有可能使整个网络瘫痪，严重的造成不估量的损失。

第八，由于辖区内计算机数量众多，使用人员的计算机水平参差不齐，常常一些非计算机故障使维护人员还要现场解决，造成维护量加大，迫切需要一个有效、跨公网的远程协助手段来解决远程故障。

根据以上分析，便产生以下需求：

网络设备及病毒服务器日志自动备份及故障日志分析报告集中告警自动化；

网络设备、服务器、数据库、中件间及应用运行状况监控实时化，并提供性能趋势分析报告；

终端设备安全接入流程规范化；

终端设备网络行为及流量监控实时化；

终端设备远程管理、维护方便化；

通过病毒服务器对终端设备感染病毒情况实时监控；

出现任何故障问题时集中及时告警。

需要一个满足“集中监控、集中维护、集中告警分析”的现代化信息系统安全监控平台。

1.2 建设目标

信息系统安全监控平台建设目标是建成贵单位的综合监控平台（以下简称“综合监控平台”），实现对信息中心的网络设备、服务器以及安全设备等的运行实时监控，对所有终端设备进行远程监控管理，为用户直接提供与应用相关的集中监控的能力、手段和工具。

信息系统安全监控平台重点建设目标是：

日志备份及分析报警：对防火墙，路由器，交换机，IDS，防病毒服务器日志能够进行自动备份，并能设定间隔时长查看以上设备有无错误日志，且能够对于错误日志能够进行分析并报警。

终端接入监控：即对外来人员或未经授权接入的计算机自动发现报警，正常情况下，如果有一台计算机需要接入内部网络，首先需要相关领导在“信息系统安全监控平台”里审批允许（禁止）接入，若在系统里设置“允许接入”，即此时计算机可以接入网络，否则接入告警。

行为监控：对于对外防问的计算机，可以设定，允许或禁止防问哪些网段或服务器；对于需要防问内部的计算机，可以做到做允许哪些计算机访问内部哪些网段或服务器。当发现数据流量不符合制定的“策略规则”时，判断为非安全流量，并发出报警。

综合系统集中监控：对于网络设备、服务器、数据库、中件间、应用系统及桌面终端集中监控管理、性能数据的集中报告及故障告警，以全面提高网络安全；

终端设备监控管理：对所有终端PC实现远程管理、桌面流量分析、漏洞自动发现、补丁自动

安装并告警；

设备性能分析：进行网络设备性能分析，实现设备运行稳定性的量化管理；

报告自动生成：对各种网络设备的监控报告自动生成管理；

最终，建设成一个满足“集中监控、集中维护、集中告警分析”的现代化信息系统安全监控平台，管理模式需要的面向业务的、面向市场的界面美观、友好的信息系统安全监控平台，实现端到端的管理，最终实现网络设备、业务系统安全稳定运营。

第二章信息系统安全监控平台建设方案

2.1 “监控平台”概述

信息系统安全监控平台监控流程图

“信息系统安全监控平台”主要对局域网、广域网和互联网上的网络设备、服务器及辖区内终端PC 的故障监控和性能管理，是集中式、跨平台的综合监控管理软件，可以对各种主机、网络设备及终端PC 进行全面深入的监控管理。通过开放式的API接口和分布式实施方案，可满足各种规模的企业系统管理的需求。

“信息系统安全监控平台”平台的技术优势主要体现在以下几个方面：

针对中国用户需求开发，适合各种规模网络的管理；

采用高度模块化设计；

拥有全部自主产权，提供源代码级的技术支持；

为客户提供面向管理和需求的应用定制及开发；

提供符合用户需要的管理功能、界面和报表；

采用C++开发，C/S架构，支持分布式架构，实现海量监控；

在开发及应用上采用国外先进技术，与国际标准接轨；

安全性极高，符合金融行业安全要求。

“信息系统安全监控平台”平台，其本质是安全运维支持系统，用于提高行为工作效率。“信息系统安全监控平台”专门为运维人员及管理层设计的，帮助运维人员及管理层进行自动化的监控和管理，最终目的是减少故障，从而提高IT效率，增加行内安全，真正体现信息系统安全监控平台的产品价值。”信息系统安全监控平台”平台，可以将复杂的系统管理工作简单化，帮助运维人员提高工作效率，节省工作时间，保障网络7X24持续、稳定运行。

“信息系统安全监控平台”独特的数据采集方式，将监控系统对信息平台性能可能造成的影响降至最低。自推出以来，由于其卓越的性能、实用易用的设计理念和源代码级的技术支持，很好地满足了广大企业自动化、智能化网络管理方面的需求。

“信息系统安全监控平台”采用C/S架构，安全、保密性强。开发工具采用VC++、Unix Shell、Unix C。”信息系统安全监控平台”是基于Xml即时通讯技术的C/S结构应用系统，它作为服务运行于监控主机上，监视信息平台及其应用运行状况、发送故障警告、自动生成信息平台性能分析报告。用户可以通过客户端程序了解信息平台运行状况、配置系统信息。”信息系统安全监控平台”信息平台运营维护系统采用高度模块化设计，同时提供扩展接口，方便用户与其它系统管理软件实现无缝集成。

主要由以下功能模块组成：

综合监控模块

（包括网络设备、数据库、中间件、服务器操作系统、应用系统监控模块）

拓扑监控模块

漏洞监控模块

桌面流量监控模块

软件分发模块

资产监控模块

应用程序监控模块

补丁管理模块

日志备份及分析模块

接入监控模块

行为监控模块

远程协助模块

外设管理模块

监控报警模块

权限管理模块

第三方接口模块

2.2 “监控平台”体系架构

“信息系统安全监控平台”包括监控服务中心（Server）、监控中心（MCenter）和被控端（Client）三个组成部分。

被控端模块安装在每一台需要被管理的计算机上，守候指定端口，响应监控服务中心的各种命令。

监控中心模块给PC管理员使用，在这里管理人员可以完成添加被控计算机以及管理这些计算机等所有功能，一般安装在公司的管理人员的计算机上，也可以和服务器模块安装在同一台计算机上；另外管理的可以安装多台，分别由不同的管理者使用，协同管理企业内的所有计算机。

监控中心给网络设备维护人员使用，可以完成对所有网络设备、服务器及各种应用系统运行状况的监控，并对其日志进行自动备份管理，并对故障日志进行分析报警。

监控服务中心是管理中心和被控端模块的服务端模块，包括数据库及运行的所有后台服务进程，一

般安装在一台服务器上。

三个模块的结构层次说明如下：

1)服务中心（Server）被设计成二个层次：各种进程服务层、数据服务层等。

2)监控中心（Mcenter）被设计成二个层次：终端监控层、网络设备及服务器监控层等。

3)被控端（Client）被设计成三个层次：业务响应层，业务实现层，通信层等。

2.3 “监控平台”技术特性

优势：

*优异的即时通讯平台：

采用即时通讯平台，使产品的结构合理性和网络适应性得到充分的保证。

*良好的用户接口

操作简单，速度迅捷，无需WEB用户操作界面，提供良好的用户接口，是管理员能够方便快捷的进行管理。

*连续稳定运行

网络管理平台能连续、稳定、无故障的运行。

*支持多种报警方式

“信息系统安全监控平台”对监控到的故障，能通过定制的多种报警发给管理员，支持手机短信、MAIL、声音、语音多种报警方式。

结构特性：

1、可扩充性强

用独立分割的模块来组织复杂的功能，扩充功能只要更换相应的模块即可，无需更新整个程序。

2、系统稳定性高

平台体系是一种“高内集、低耦合”的结构，服务中心、管理中心及被控端协同工作，用户界面、业务功能实现和数据服务各层分割清晰，运行稳定，效率高。

3、该平台系统结构设计目标是满足客户化、方便性、集成性的要求。

客户化：用户可以自行配置各种功能；

方便性：用户界面操作方便、人性化；

集成性：可以和其他系统数据共享、无缝集成。

技术特性：

1、基于标准通信协议，适应性强

基于TCP/IP、XML、HTTP隧道加密技术标准协议，可广泛应用于大中型企业。

2、被控端功能模块插件化

被控端各个功能模块均采用插件技术实现，被控端服务程序运行时自动加载相应插件。运用插件技术，可以轻易实现被控端的功能升级，以及任意添加新功能，同时，极大地提高了被控端程序的稳定性。

3、实时监视所有被控计算机的状态

可以实时监视每个被控计算机的运行状态。包括计算机是否线，硬件资源是否被更换或增添，计算机上是否安装或删除了应用软件，计算机上正在运行哪些进程。甚至可以监视被控计算机屏幕，掌握计算机操作的第一手资料。

4、被控计算机软硬件资源分析

以丰富的图、文报表的方式，统计被控计算机的资源情况，包括硬件资源和软件资源。统计报表可按部门进行分组统计。被控计算机IT资源分析还额外引入了物理位置、使用者、购买日期……等指标信息，并且可以记录历史，大大地强化了计算机设备的管理手段。

5、计算机设备管理技术

可任意监控被控计算机的光驱、软驱、USB存储设备（如U盘，USB移动硬盘等）、键盘、鼠标等。对于USB存储设备，完全可以进行绝对的监控。只要管理中心把被控计算机的USB端口封闭，除非管理中心授权打开，被控计算机永远不能使用。

6、完备的被控计算机运维手段

拥有完备的被控计算机运行维护功能。

可以实时获取被控计算机的系统信息；

可以实时获取被控计算机的Log日志；

管理员一旦发现被控计算机有运行问题后，可以立即通过远程监控来清除被控计算机问题；

被控计算机一旦发现问题也可以主动呼叫管理中心进行求助；

管理员和被控计算机的对话记录可以永久保存，便于管理员跟踪问题的源头。

7、精确的设备扫描

管理员只要指定IP地址段，可以自动快速搜索，并列举出哪些计算机安装了被控端软件，哪些已经被管理了。IP地址段可以保留为历史记录，方便下次查询。

8、完善的权限和安全机制

引入了完善的安全机制，充分尊重被控计算机的隐私。对于一般级别的管理员，不能随意对被控计算机进行远程监控，远程监控前必须征得被控计算机的授权。

9、远程监控

采用了最新的远程监控技术，适应各种带宽环境，抓取屏幕速度快，并且可以设置屏幕的颜色深度，操作简单。

10、详细的日志记录

管理者对被控计算机的所有操作，被控计算机的开关机记录和操作等，系统均会保存记录日志，方便查询和故障诊断。

第三章“信息系统安全监控平台”功能介绍 3.1监控中心（Mcenter）主界面

3.2网络设备日志备份及故障告警

对防火墙，路由器，IDS，防病毒服务器等各种网络设备日志能够进行自动备份，可根据需要制定策略备份日志。

例如：何时备份？

备份哪些日志？

备份到哪里？

备份日志保留时长？

并能设定间隔多长时间查看以上设备有无错误日志，能够对于错误日志进行分析并报警。

日志管理界面

3.3病毒监控告警

自动读取“病毒服务器”里的报告信息，据此分析哪台服务器中病毒。一旦发现病毒及时告警。病毒服务器其中有一项功能，当有计算机有毒后，该服务器会弹出报告。

3.4主机服务器及应用安全运行监控

服务器运行监控:可以监控Windows 2003 Server、LINUX、AIX、HP等各种服务器操作系统。

3.4.1.WINDOWS SERVER监控预警：WIN2000 SERVER、WIN2003

SERVER

1） WINDOWS CPU 监控器： 监测CPU的使用率.

2） WINDOWS MEMORY监控器： 监测系统内存的使用率及剩余可用内存的大小.

3） WINDOWS DISK监控器: 监测各磁盘的剩余空间容量。

4） WINDOWS PORT: 监测是否能连接到指定 TCP Port。

5） WINDOWS PROCESS监控器： 获取远程主机进程信息。

6） WINDOWS SERVICE监控器： 监测指定 Service 运行状况。

7） WINDOWS FILE监控器： 监测指定文件的信息。

8） WINDOWS EVENTLOG监控器： 监测NT事件日志

主机监控界面

3.4.2.UNIX SERVER监控预警： SCO UNIX、AIX、SUN SOLARIS、

HP UNIX、RED LINUX、红旗LINUX等各种UNIX、LINUX 1） UNIX CPU 监控器： 监测CPU的使用率.

2） UNIX MEMORY监控器： 监测系统内存的使用率及剩余可用内存的大小. 3） UNIX DISK监控器: 监测各磁盘的剩余空间容量。

4） UNIX PORT: 监测是否能连接到指定 TCP Port。

5） UNIX PROCESS监控器： 获取远程主机进程信息。

6） UNIX SERVICE监控器： 监测指定 Service 运行状况。

7） UNIX FILE监控器： 监测指定文件的信息。

8） UNIX LOG监控器： 监测系统文件日志。

UNIX监控页面图

3.4.3.数据库监控

可以对SQL SERVER、ORACLE、SAYBASE、INFORMIX、DB2、MYSQL等各种数据进行监控,下面主要介绍常用的SQL SERVER、ORACLE、INFORMIX 、DB2、SAYBASE监控。

SQL SERVER监控预警

1） SQL SERVER 数据库性能监控器： 监测数据库的性能。包括下面参数：注销/秒(s)、加锁请求数/秒(s)、用户连接数(个)、加锁请求数/秒(s)、加锁内存数(KB)、匹量请求/秒(s)、缓存点击率(%)、索引查询/秒(S)、事务/秒(s)。

2） SQL SERVER 用户状况监控器： 监测监测SQL Server的用户使用状况。包括下面参数：用户连接数(个)、每秒启动的登录数(个)、每秒开始的注销操作总数(个) 。