南瑞 ISG-3000 网络安全监测装置技术白皮书
报文提供给厂站安全监测装置。
第 6 页 共 26 页
北京君誉科技有限公司 17610078837
文档下载junyu2016.com
MMS
南瑞 ISG-3000 网络安全监测装置技术白皮书
3.2.2. 安全分析与告警
3.2.2.1. 安全分析
1) 以小时为单位,重复次数累加的告警应能定时(15 分钟,可配置)归并; 2) 对主机关键文件变更、用户权限变更、危险操作,对网络设备流量超过阈值,配 置变更等事件进行安全性分析。
3.2.2.2. 安全告警
1) 安全事件类告警 对运行过程中监视到非法访问、操作时产生的安全事件进行实时监视并形成告警,
包括如下内容: a)主机设备非法网络外联告警(紧急);
b)纵向加密、隔离、防火墙设备拦截到的不符合安全策略的访问(重要); c)纵向加密、隔离、防火墙设备修改策略、配置的操作(普通); d)主机设备发现的用户异常操作告警(普通); e)主机设备发现的非法设备接入告警(重要); f)网络设备发现的非法网络接入告警(重要); g)主机设备外设设备配置告警(重要)。 2) 运行异常告警功能 应能够对运行过程中监视到运行异常进行实时监视并形成告警,包括以下内容: a)通过监视安防设备 CPU 利用率信息分析出的 CPU 使用越限告警(普通); b)通过监视安防设备内存利用率信息分析出的内存使用越限告警(普通); c)网络设备检测到的流量突变告警(普通)。 3) 设备故障类告警
能够对监视对象的硬件状态异常进行实时监视并形成告警,包括以下内容: a)监视对象自身检测到的电源故障告警(重要);
第 6 页 共 26 页
北京君誉科技有限公司 17610078837
文档下载junyu2016.com
南瑞 ISG-3000 网络安全监测装置技术白皮书
b)监视对象自身检测到的风扇故障告警(重要)。
3.2.2.3. 告警上传 安全监测装置采集及分析得到的告警,上传至主站内
网安全监管平台。
3.2.3. 本地安全管理
3.2.3.1. 资产管理 安全监测装置具备资产管理功能,包括资产的录入、修改、删除
等功能,资产信息
应包括:设备名称、设备 IP、MAC 地址、设备类型、设备厂家、序列号、系统版本、责 任人等。
3.2.3.2. 安全运行状态展示
安全运行状态支持本地图形化直观展现,具体内容包括: 1) 资产统计信息:监视对象信息、数量;
2) 安全运行状态统计:近 12 个月每月告警数量,并按照级别归并; 3) 实时安全事件:包括时间、对象、类型、级别、内容; 4) 实时操作行为:包括时间、对象、类型、内容。 3.2.3.3. 告警管理 告警内容进行本地存储,
并支持调阅查询:
1) 具备对告警的查询功能,查询条件应至少包括告警对象、时间范围、告警级别、 告警类型、告警内容关键字等;
2) 具备告警查询结果导出功能;
3) 能够以时间为维度提供事件汇总及分析,并自动生成安全运行态势报告。
北京君誉科技有限公司 17610078837
文档下载junyu2016.com
第 7 页 共 26 页
南瑞 ISG-3000 网络安全监测装置技术白皮书
3.2.3.4. 装置运行状态监测
对安全监测装置的运行情况进行监视,包括电源、CPU 利用率、内存利用率、硬盘存 储空间、通信链路状态、用户登录、异常操作等。
3.2.3.5. 告警生成策略管理
支持对告警生成策略的管理,策略可由远方进行修改。
3.2.4. 告警上传
具备将告警信息上传至上级内网安全监管平台的功能: 1) 对收集的实时告警,立即上传; 2) 对重复发生的告警,归并后上传;
3) 对需分析的告警,能根据安全策略分析后上传; 4) 具备基于调度数字证书的上线认证机制; 5) 告警信息基于 DL/T634.5.104 规约进行上传。
3.2.5. 服务代理 网络安全监测装置以服务代理的形式提供服务给网络安全管理平台调
用,服务代理 满足如下要求:
1) 支持远程调阅采集信息、上传事件等数据信息,支持根据时间段、设备类型、事 件等级、事件记录个数等综合过滤条件远程调阅数据信息;
2) 支持对被监测系统内的资产进行远程管理,包括资产信息的添加、删除、修改、 查看等;
3) 支持参数配置的远程管理,包括系统参数、通信参数及事件处理参数; 4) 支持通过代理方式实现对服务器、工作站等设备基线核查功能的调用;
北京君誉科技有限公司 17610078837
文档下载junyu2016.com
第 8 页 共 26 页
相关推荐:
loading