1、天融信智能运维管理平台技术指标1.1 平台的功能指标功能指标网络管理拓扑管理在拓扑管理方面提供了完整强大的网络拓扑自动发现、网络物理拓扑管理与分区域分层次展示功能。(1)自动物理拓扑发现:系统能够自动搜索网络、发现网络节点(包含2层、3层设备的发现),节点类型包括:网络设备、服务器、打印机、PC主机、网络服务、业务应用、VLAN等。还支持不可网管网络设备和HUB的自动发现。(2)物理拓扑手工发现与位置调整:对于一些没有直接路由的网络节点或不支持标准网管协议的设备,系统可以采用指定发现的方式进行网络节点手工发现,保证整个网络中路由器、交换机、安全设备等所有需要管理的节点都被发现。物理拓扑图上支持
2、鼠标拖放网络设备,用户可以将物理拓扑图中的单个设备摆放到符合日常操作习惯的位置上;同时支持整体拖放,可将一组设备整体摆放到合适的位置上。(3)物理拓扑的展示:在发现网络节点后,能够自动生成网络视图,进行自动布局,可以定制不同设备的显示方式,也可以使用缺省方式来表示设备(自动将常见、主流厂商的设备用特定的图标或文字显示)。为了更直观的表现网络拓扑结构,默认物理拓扑图展示基于网络的二层连接关系。使用户能够了解设备之间的实际连接,并可以通过视图扩展到各种终端设备。物理拓扑分为两级:一级:网络中的主要交换、路由设备及其之间的连接;二级:包括连接在骨干交换机上的HUB和主机设备;(4)物理拓扑图与各种信
3、息关联运维管理平台能够自动刷新网络拓扑,及时反映当前网络状况;可以定制网络地图(MAP),适应不同的网络需求。设备管理设备管理除了提供通常意义上的设备参数配置外,同时提供了网络资源以及设备资产管理等功能,方便了用户管理网络资源。查询和配置指定设备信息,对于常见的设备,我们提供定制的面板,一般设备则使用通用面板,并提供与流量、开关端口、故障信息等关联;(1)设备端口健康状态、使用情况、性能压力、告警级别等都可以直接在面板上展示。 (2)通过SNMP协议获取和设置路由设备上的路由表,同时也提供Telnet,Ping,TraceRoute等辅助工具;(3)能够获取MAC-IP-PORT之间的映射关系
4、,并允许用户设定MAC-IP,MAC-PORT等绑定关系,有效的管理网络资源的使用;(4)在设备或链路图标上按住Ctrl,即可显示此设备的重要信息。(5)如果设备支持,可以直接从设备上的获取必要的信息如:软硬件版本信息,使用者、部门、场所、联系方式等信息;否则,提供手工编辑方式维护设备资产表;(6)支持网络设备类型思科、华为(华为3COM)、博达、迈普、神州数码、中兴通信、Juniper、锐捷网路(原实达网路)、烽火网络等主机管理监控方式: SNMP等标准协议(无需安装代理程序) 主机代理程序HostAgent具体监控指标包括: CPU使用率,针对多个CPU分别监控; 磁盘和I/O 使用情况,
5、可细化到分区和卷; 实际内存、虚拟内存使用情况、利用率; 监控已使用和未使用的交换空间百分比等; 各种监测点都提供设定检测门限,并触发告警; 进出流量中各类高层协议的流量及其所占比率,并能以流量高低来排序显示; 显示所有多播的主机(或设备)和流量信息; 最近一天的活动状态,并用颜色标示流量大致比率; 服务器主机的通断状态; 安装软件列表; 进程的性能状态列表; 监测服务器网络延时。监控的主机类型包括: Windows NT/2000/XP/2003 Redhat Linux 7/8/9/Ent 2/3 IBM AIX SUN Solaris HPUNIX故障管理网络管理可以监视,检测网络故障,
6、实现了告警相关性分析。当故障发生的时候能够及时给网管人员提示。(1)故障告警产生方式: 监控轮询中门限越界产生告警 主动接收和分析trap,syslog事件,得到告警资源绑定、资源合法性检查,产生告警(2)轮询策略:针对不同的监测点配备相应的轮询策略,以满足客户对各种资源的合理监控。策略属性包含: 轮询方式 时间周期 策略执行优先级 策略部署方式(3)告警展示与响应: 根据网管系统的惯例,故障发生时网络管理将视告警严重度的不同,采用图像闪烁、颜色变化和声音提示等方式给出告警; 完成告警的定位分析,真正实现故障根源性分析,能从众多的告警噪声中剥离出真正的告警源; 告警确认是指操作人员已经知道这个
7、告警的存在确认后,告警的状态发生变化,并更新确认时间.确认后,告警可以被清除成为历史告警; 提供当前和历史告警统计,可以针对不同的过滤条件进行统计(比如:发生的时间段,严重度,端口位置,IP地址等); 智能快速告警浏览:系统自动选择当前区域的最重要的250条信息向用户展示,以剔除噪声告警: 事件:最近发生的,最值得关注的250条事件 告警:最近发生的,最值得关注的250条告警 端口流量TOP-N:管理范围内的流量最高的端口列表 响应时间TOP-N:管理范围内的响应时间最慢的设备、端口列表 内存使用情况:管理范围内的内存使用率最高的节点列表 问题节点:管理范围内所有目前存在告警的节点。 丰富的门
8、限和轮询策略。对于各种可以产生告警、事件的运行参数,系统根据重要程度预先选择了部分参数缺省进行监控,同时允许修改监控参数范围,监控粒度和频度; 除了常见的声光告警以外,当特定的告警发生时,我们还提供E-Mail/短信通知方式。流量管理流量管理能够帮助网络管理员监测网络性能、分析和确定网络的瓶颈。例如可以对网络设备指定的端口进行流量监视,从而判断出网络流量瓶颈等问题。 可以通过SNMP、Sniffer等手段。对指定的交换机、路由器以及服务器的端口进行监视;也可以对指定的网段进行监视; 旁路接入网络,不改变现有网络结构。接入分析网卡不配置IP,非常隐蔽安全。 客户端零安装,用户只需要浏览器就能够对
9、系统进行管理。 以列表和图形方式显示当前网络中总报文数、单播、多播、广播报文个数和比率。统计所有报文均长,以及各个长度区间内分布的个数和比率。 以列表和图形方式显示当前网络中总字节数,并分别列出IP报文、非IP报文、IP分片报文的总字节数。列表和饼图显示各个TTL区间内分布的个数和比率。 显示当前网络累计平均吞吐量、峰值吞吐量、最近10分钟吞吐量。 显示当前网络各类2-3层协议的流量和所占比率,并以柱图显示。支持IP、IPX、ARP、OSI、STP等多种L2-3协议。 显示当前网络各类TCP/UDP高层协议累计的流量和所占比率,并以柱图显示。支持web、ftp、dns、telnet、mail、
10、bt、kazza、snmp、msn messenger、netbios等常见应用层协议,并能设定对特定的应用进行监控 能对上网行为进行审计,对内网主机访问过的网站进行记录,对企业的内网滥用行为进行监管。 能以曲线图显示各类流量指标的时间序列图、趋势图。 显示当前网络中最近使用的tcp/udp端口的rx/tx总流量,以及访问它们的客户端机器情况。 对于每台被监控的网络设备,均缺省提供流量历史统计功能,按照天,周,月,年的粒度来保存。 能设定一定的监控规则,对特定的应用、特定的对象进行实时监控,并实时报警。 链路流量与拓扑关联 能设定一定的流量门限参数,一旦超过门限,则实时报警,能有效地监控不明流
11、量、异常流量。 能对IP-MAC进行绑定,能有效地发现终端随意接入的行为。 能对异常流量进行实时阻断。 对于SNMP设备,还可以对于关心的参数进行长期跟踪,并自动生成报表。 专线和区域流量分析按照IP地址范围定义区域或专线,统计和分析监测点上各区域或专线的协议分布和流量大小资源管理IP地址资源管理: 计算子网中IP地址资源的占用情况,并允许对网络地址进行规划(释放,占用,保留); 灵活设定IP-MAC,MAC-PORT以及IP-MAC-PORT之间的绑定关系,并能够设置绑定违规报警动作; 绑定关系可以在应用层也可以直接设置到设备上去(需要设备支持); 统计管理和显示:IP、MAC、所属的VLA
12、N、名字(主机名或网络设备的系统名)、部门、所有者、资产编号、最近响应时间、连接的设备、设备类型、端口、位置(网络设备的location)等信息。 IP使用率检测:针对所有子网内的IP占用进行设置。 能够对网络上的IP地址资源使用情况进行计算,并允许用户进行IP地址规划;子网管理: 所有子网显示列表,可检索、排序、分页、导出html,excel格式的文件。 子网信息包括:子网号,子网掩码,子网名字,子网范围(起止)。 可设置的检索条件:子网号,掩码,名字。MAC管理:MAC信息包括:MAC、对应的主机IP列表(可能有多个,可按照分隔符来风隔显示)、活跃状态、MAC代表的设备名(SNMP设备的系
13、统名或主机名)、设备类型、MAC代表的设备上的端口、MAC连接的设备IP和端口。端口管理: 使用不同图标表示各种状态。状态包括up/down/close/优先端口/虚拟端口/alarm 端口信息可进行过滤,检索,排序,导出成html,excel格式文件等。端口信息包括:设备IP,端口名,端口类型,端口状态。 端口利用率:按照端口的百分比或使用个数进行检测。可按照全网,区域来查看端口的使用情况,并可设置检测规则。链路管理: 列表显示所有骨干网络的链路(所有拓扑图上能展示的链路)信息。 链路信息:四元组、名称、容量、告警情况、实时流量大小、链路类型。 可排序、过滤、导出等操作。Vlan管理在物理拓
14、扑发现过程中,网络中的所有VLAN都被识别出来,提供统一管理VLAN的界面入口资产变更管理:IP/MAC快照比较:将当前的IP/MAC快照(应该当前拓扑轮询获取到的IP资源)与某次保存的IP/MAC快照进行比较。有两种变更比较的标准:1 针对子网内的IP地址状态的变化情况。2 针对每个IP对应的MAC、名字(主机名或系统名)、连接的设备、端口,只要有一项发生变化,都作为一个变化提供给用户。不活跃资源监测:可将选中的不活跃IP删除,也可一次删除多个不活跃IP,删除后其历史告警和其他数据依然保留。删除后自动置为未使用状态。IP不活跃在系统配置中进行统一设置。合法资源库管理:合法资源库来源:用户已有
15、的合法资产信息和实际扫描发现网络资产信息。合法资源信息包括:IP地址,主机名,MAC地址(可选),部门(可选)。这些信息会自动更新到网络管理的IP资产信息库中,为IP/MAC绑定,资产变化等作为依据。应用服务器监视网络管理可以发现网络中已经存在的各种应用服务,并对应用服务进行监控。包括: 数据库服务器,包括:Oracle,MS SQLServer,MySQL;并有良好的扩展,能够方便的支持其他数据库。 管理数据库的表空间,对表空间的使用情况进行分析和预警; 监控连接数据库的会话,并能够在连接数据库出现问题时发送消息到管理平台; 对SQL的执行效率进行分析; 对性能参数进行关联性分析,定期综合报
16、告; 能够实时监控ORACLE数据库的SGA的各种参数(包括:Buffer Cache大小、Log file个数等); Web服务器:监视响应时间和请求变化趋势,监视I/O数据量,监视连接数; 应用服务器,如:Weblogic,JBoss等,能够对服务器的各种运行参数进行查看或者配置; 集群、域的监视,包括状态等指标; 队列性能的监视,包括队列执行线程比率(): 队列执行线程比率的阀值;队列吞吐量的阀值;队列中等待处理个数的阀值; 应用服务器JAVA虚拟机的性能监视; 活动连接的性能监视,包括当前活动连接句柄数比(),当前活动连接句柄数,总连接句柄数; 服务器安全状态监视,包括非法登陆总次数,
17、正常退出总次数等; 部署信息的监视,包括对JTA、JDBC Pool、JMS、EJB(包括Session Bean,Message-Driven Bean,Entity Bean)的性能指标的监视。 SMTP服务器:监视响应时间和请求变化趋势,监视I/O数据量; NTP(Network Time Protocol)服务器;安全管理安全管理是基于用户组和区域的权限管理,系统安全管理包括系统用户管理、用户组管理、用户权限分配、用户行为检测、管理区域范围和系统日志管理等功能。用户管理 普通用户:可以查询自身的用户属性,修改自身的用户密码和描述信息,管理授权区域; 系统管理员:具有最高权限可对所有网元
18、执行所有操作,包括增加用户、修改用户、删除用户、查询用户属性、分配用户组等。用户组管理Apex将需要相同权限的用户归入一个用户组。用户组管理功能包括: 创建用户组 删除用户组 查询用户组属性 修改用户组属性等。用户权限 分配用户组功能权限细化到了Apex界面每一个功能按键。 对于普通用户对其登录时间、登录期限及登录主机进行限制。 普通用户的权限是建立在用户组权限基础之上,同一用户组的用户拥有相同权限。用户区域管理 根据地理位置、行政组织等逻辑关系定义区域范围; 定义用户可管理区域范围; 管理范围允许指派一个区域(包括其下的子区域); 结合权限设定,能够灵活的设定用户的管理范围和权限。操作审计
19、登录控制:只有名称和密码正确的用户才允许登录到系统中。若一用户连续多次被拒绝登录,则系统应能锁定该用户。 操作控制:网管系统具有对用户实施的操作进行鉴权的功能,保证具有权限的用户才能实施相应的操作。 用户各种操作都被记录,便于日后审计辅助工具网络管理提供各种辅助工具帮助网管人员进行管理工作。包括: Ping 图形化TraceRoute Mib浏览器 Telnet 抓取数据包分析 子网计算工具 端口扫描工具安全策略管理l 实现安全策略的定义、导入、存储、修订、查询以及安全策略的集中管理;l 支持安全策略的不同格式的数据导出、安全策略的数据统计、实现所有安全策略的全流程管理;l 主要子功能:策略发
20、布、策略存储、策略修订、策略查询等;安全资产管理l 支持多种资产属性的定义,至少包含:资产名称、资产类型、IP地址/MAC地址信息、CIA属性值、资产赋值、物理位置等;l 支持针对资产的多种操作方式,至少包含:新增、修改、删除、导入、导出、查询、批量导入导出等;l 支持资产的自动发现;l 可以配置资产所在地理位置,并且能在资产属性中配置资产所在地理位置;l 可以查看资产的CIA属性值、归属安全域、风险状态、漏洞信息;安全事件管理l 通过采集、过滤、汇聚、关联分析等手段充分缩减并甄别信息系统中可能产生安全事故的安全事件信息,并对安全事件进行严重性排序,优先呈现和处理严重性级别较高的安全事件;l
21、监控主要类型:攻击行为、异常活动和状态、病毒以及安全告警等;l 侧重体现系统实时的安全事件状况;l 支持防火墙、IDS、IPS等主流安全设备;采集方式支持syslog、XML、ODBC、JDBC等通用协议;l 该具备很强的扩展性,能够方便的支持现有及未来的各类设备和专用用系统;l 对新设备或新系统的定制支持完成时间小于5个工作日;l 事件属性至少包括:事件类型、事件名称、事件描述、报警级别、事件源IP、事件目的IP、事件源端口、事件目的端口、用户名、采集设备类型、采集设备来源IP、原始事件名、原始事件描述、接收时间、事件发生时间等字段;l 事件过滤条件至少包含以下属性字段:事件类型、事件原始I
22、D、源IP地址、源端口、源MAC地址、目的IP地址、目的端口、目的MAC地址、事件发生时间等;l 事件归并条件至少包含以下属性字段:事件类型、事件原始ID、源IP地址、源端口、源MAC地址、目的IP地址、目的端口、目的MAC地址等;l 支持采用多个查询条件进行联合查询,如“事件类型”、“事件名称”、“事件描述”、“报警级别”、“ 事件源IP”、“事件目的IP”、“接收时间”、“发生时间”、“采集设备IP”、“采集设备类型”等;l 提供基于安全知识库的关联,能够将信息安全事件与现有知识库进行关联,如与IDS事件与知识库辅助决策模块的关联;l 提供基于资产的关联,可以将当前发生的信息安全事件与预先
23、定义的信息安全资产进行相关,从而不仅可以有效判断事件的优先级,还能够协助评估当前资产遭到威胁的状况;l 能够实时给出高风险安全事件和相关资产的列表;l 事件该按照风险级别或威胁程度划分报警级别;l 能够实时监视上报的事件,并可以根据事件属性定义监视过滤规则,有针对性地进行实时监视;规则的可选条件至少包括:事件类型、事件名称、事件描述、报警级别、事件源IP、事件目的IP、事件源端口、事件目的端口、设备类型、设备IP;l 能够根据安全模型对海量事件的事件属性特征和分布特征进行基线分析和安全态势分析,并能准确定位攻击特征事件和展示宏观安全态势;l 安全事件管理主要子功能:安全事件采集、安全事件格式化
24、、安全事件过滤、安全事件关联、安全事件的处理、安全事件统计分析和报表、安全事件源数据存储及追溯等;l 支持实时监控事件;l 监视事件对象可管理人员自由选择,各种事件和过滤条件可组合在一起,形成监视事件对象;l 监控画面显示模式支持:幻灯片模式,框架模式;l 监控画面表现形式支持:表格、图表、树形;l 可设置图表的颜色、形状、背景色、长度、宽度等;安全预警管理l 接收安全预警信息,将预警信息转发给相安全对象的管理责任人;预警可支持通过网页告警、短信及告警邮件等方式呈现;l 能够进行全局预警,宏观展示当前风险状态级别和趋势并根据设定阈值进行报警;安全风险管理l 依据国家标准GB/T 20984-2
25、007 信息安全技术 信息安全风险评估规范及相关国际标准,以安全资产管理的建立为基础,实现对信息资产及其漏洞、面临威胁的管理;l 实现动态的风险管理,支持资产与安全事件、安全漏洞的关联;l 从不同的视图对信息资产进行组织和展现,列表呈现外还具备拓扑呈现功能,拓扑中的节点能够与信息资产库中的信息关联;l 风险管理主要子功能:安全威胁管理、安全漏洞管理、风险管理;安全知识管理l 围绕信息系统的安全生命周期,统一管理各种安全信息,具体包括:漏洞库、安全历史事件库等;l 漏洞库要求:1)能够将漏洞扫描设备的扫描结果导入系统参与风险计算、风险预警等;2)内置对2种以上的主流漏洞扫描产品的支持;3)能够进
26、行多次扫描结果之间的对比分析;4)能够将扫描结果与资产的原有属性进行比较,并给出冲突项提交用户确认;5)能够查看资产和安全域的脆弱性指标;6)支持漏洞的标准化称谓和描述,如CVE;安全综合分析和展现l 支持多维度生成和展示报表,如风险报表、事件报表、资产报表、脆弱性报表、管理设备报表、用户报表、工单报表、源IP TOP10报表、目的IP TOP10报表、客户化自定义报表等;l 能够定期生成各类设备的安全周报和月报;l 报表系统支持用户自定义,即允许用户根据自己的需求定制化报表;l 能够提供多种宏观展示方式,如柱状图、折线图、饼状图等,帮助用户全面直观地了解各类安全状况和趋势特征;l 可以实时监
27、视事件的实时收集和报警情况及资产风险值TOP10 和资产脆弱性TOP10 等图表;工单管理l 支持将需要处理的安全事件以工单的形式下发给负责人,并按照流程化管理工单;l 可以手工创建、派发工单,也可以设定规则由系统在一定条件下自动创建、派发工单;l 工单表项至少包括:工单名称,工单级别,当前状态,派单人,当前处理人,处理期限,处理操作,事件信息,历史处理信息等;l 支持工单响人在安全管理系统中,看到全部本人待处理的工单;l 支持派单人查看跟踪工单的处理情况;l 支持派单人取消工单、关闭工单、重新打开工单和更新工单;l 工单处理完毕后,可将工单添加到事故案例库中;用户管理l 支持用户按角色管理;
28、l 支持用户和角色的权限管理;l 角色的权限可控制到每个主要功能项的读、写、修改删除、执行等操作;l 可控制每个角色显示不同的功能菜单;l 可控制用户的登陆IP,登陆次数,有效时间等;系统数据备份l 支持每季度进行一次数据备份l 具有自动定时备份机制和导入导出功能l 支持随时、任意时期的备份数据导入系统技术要求l 具备适合需求的可靠性、可维护性、高度的可扩展性、足够的处理能力;l 提供备份、恢复操作以及访问控制;l 能够在不连接互联网的前提下实现知识库升级;l 能够定期提供系统本身的升级和/或更新软件包,以光盘形式提供;1.2 平台的性能指标性能指标网络支持支持100M、1000M以太网环境;事件采集性能单事件采集器的采集性能=5000条/秒(在所要求硬件条件下达到这些指标)事件分析性能=每秒3000个事件(在所要求硬件条件下达到这些指标)控制台和管理中心的通讯方式通过http/https协议进行通讯平均无故障运行时间MTBF3000(H)1.3 其他指标项其他指标项通用指标l 支持B/S模式管理安全管理系统;l 全部功能提供联机帮助文档;l 支持多级部署;资质计算机信息系统安全专用产品销售许可证涉密信息系统产品检测证书军用信息安全产品认证证书软件著作权