安全告警监控快速使用手册.doc

1、安全监控系统快速使用手册 版本控制 版本号 日期 状态 变更说明 修订人 审核人 V1.0 2009/9/30 C 创建 俞加鸣 状态标识：C – Created A - Added M - Modified D - Deleted 目录

2、 版本控制 2 告警监控平台登陆 4 登陆帐号 4 WEB登陆方式 4 客户端登陆方式（仅监控班使用） 5 告警分类 6 事件-威胁-风险-告警 7 漏洞-风险-告警 8 配置收集-脆弱性计算-告警 11 配置变更-变更状态计算-告警 13 告警监控平台登陆 登陆帐号 请各位使用自己帐号登陆后，点击系统右上角密码修改处修改自己帐号密码。 登陆帐号 密码 使用人 majin d7tskj 马进 kongqingchuan g2rbto 孔庆川 wangzhe 9f7a1t 王喆 wangjian q7vleu 王建 wangzi

3、liang tfiqwq 王自亮 liuwenjie sp3w7i 刘文杰 jiankong GszpiK 监控室 WEB登陆方式 http://10.213.47.5:8080/ISMP 点击首页左上部“信息概览”中的“告警监控”，弹出告警监控窗口，如下图所示： 告警监控分为未处理告警列表和已确认告警列表两个部分。 在告警列表中，点击告警名称，可查看告警的详细信息。 客户端登陆方式（仅监控班使用） 采用客户端方式进行安全监控，可以在告警发送到客户端的同时，产生声音告警。 登陆帐号和使用方法和WEB方式都是一致， 告警分类 恶意软件类告警 计

4、算机病毒 木马 蠕虫 僵尸软件 网页病毒 漏洞攻击代码 间谍软件 混合攻击 后门程序 其他 网络攻击类告警 拒绝服务攻击 后门攻击 漏洞攻击 网络扫描探测 口令攻击 非法访问 其他 信息破坏类告警 信息篡改 信息假冒 信息内容安全类告警 垃圾邮件 安全设备故障类告警 硬件故障 软件故障 配置违规类告警 日志类 用户类 网管类 路由配置类 访问控制类 补丁类 审计类 其他类 漏洞类告警 Windows漏洞 UNIX漏洞 网络设备漏洞 应用系统漏洞 数据库漏洞 其他漏洞 综

5、合类 资产综合指标 防火墙指标 入侵检测指标 账号口令管理指标 操作审计指标 防毒管理指标 漏洞管理指标 配置审计和变更管理指标 其他 事件-威胁-风险-告警 ISMPserver的事件来源是sem的核心引擎，ISMPserver通过其专用的事件端口3021接收并处理事件。 图：事件-威胁-风险-告警流程图 1) 接收事件的主要流程： 接收到SEM事件对其进行解析 通过事件的源IP地址、目的IP地址、设备IP地址，去匹配关联到源资产、目的资产、设备资产。在这里，过滤掉未匹配到任何资产的威胁事件。 计算事件的资产风险。对于IDS事件，通过IDS事件中目的资

6、产去关联相应资产上的漏洞，提高目的资产风险。 将事件暂时存放在全局缓冲中 发送事件到响应中心，以及向统计引擎发送实时事件 2) 由定时器每5秒对缓冲区的事件进行处理一次。主要功能是将事件发送至KPI处理模块并对事件进行备份。 3) 在kpi处理模块中，首先经过过滤器过滤ISMP事件，且只保留与指标计算相关的事件,具体主要是需过滤以下五类事件： windows和unix类主机访问类日志(用户登录/注销,用户切换) 防火墙类配置,登入/登出类日志 入侵检测系统日志 安全网关类日志 APMS系统日志 然后实时评估其事件的风险（实时评估指标一般和事件、漏洞、配置脆弱性以及配置变更相

7、关）。 4) 将KPI风险发送到告警模块。如果此风险适合告警，是则添加到告警全局缓冲告警数据中，由定时每一隔一分钟写一次告警信息到数据库，如果产生风险，则又定时器每分钟写一次数据到风险数据库。 5) 在其设定的定时回调函数中对风险时间进行定时的处理。其处理流程和原则大致跟接收事件中对风险的处理过程相似。 漏洞-风险-告警 进行漏洞扫描前需要对扫描引擎进行配置配置。 1) 扫描漏洞通过定制任务实现，有两种实现，一种是通过前台与后台的消息通信实现的实时扫描，一种是通过前台定制任务并写道数据库，后台通过定时刷新数据库实现的定时扫描。 2) ISMPserver里的漏洞是用扫描器扫描后

8、写到数据库，ISMPserver通过定时刷新数据库来获得最新的漏洞信息。目前只支持领信扫描器。 3) 漏洞扫描必须配置扫描引擎，在一台安装了linux操作系统的机器安装引擎服务器上安装并启动扫描器引擎。配置扫描器是通过cvms的系统管理的页面来添加的。新建一个扫描器需要配置内外网地址以及引擎的监听端口；通过地址区间可以配置扫描器的扫描的地址区间；通过扫描器参数提供的默认的选项可以配置扫描选项；通过插件升级可以对扫描引擎的插件进行升级，具体扫描器的详细配置可以参照有关的扫描器文档。 4) 在cvms页面上通过系统管理的—〉任务调度中心—〉领信漏洞扫描计划，可以定制实时和定时的任务。在漏洞管理

9、—〉资产漏洞—〉资产列表中，可以定制实时的任务。见任务分解图如下。 5) 在漏洞-风险-告警流程图中，在定时器调度漏洞风险计算任务中刷新资产的最新漏洞表。然后判断资产是否有漏洞，如果没有则删除资产缓冲区中的漏洞信息；有则根据任务ID和子任务ID号计算漏洞风险，然后发响应中心，并且将本次漏洞计算结果发送至KPI模块。进KPI进行实时评估。由定时器5秒钟对保存KPI风险及其详细信息函数调用一次，其主要是对KPI信息进行处理然后与数据库进行数据交换更新。 图：任务分解图 漏洞风险计算以及产生告警流程图如下： 图：漏洞-风险-告警流程图 配置收集-脆弱性计算-告警 配置收集

10、执行前必须安装代理服务器和代理，并且配置相应的代理去收集。配置步骤如下： 1) 启动相应的代理服务器和代理 2) 在CVMS页面上系统管理---〉代理管理---〉代理--->新建，添加代理，添加代理时要选择属于哪个代理服务器，即有哪个代理服务器来驱动此代理， 3) 选择配置收集或者是路由器配置收集，输入需要收集的IP地址或IP地址段 4) 配置完成之后可以进行检测，如果连接正常就可以定制配置收集任务了。 配置收集的任务分为定时和实时两种 定制配置收集任务，在CVMS页面上系统管理---〉任务调度中心---〉配置收集任务，配置要收集的机器的属于的子网名称以及IP地址，也可以配置资产的

11、名称，之后选择收集类别，下面是任务的调度方式可以是实时也可以是定时。 详细流程：由定时器定时调度刷新获取配置任务。判断是否是定时任务，是定时任务的话则转化任务的执行间隔时间为秒。分析处理范围，主要范围分为两部分，即IP地址段和资产，生成相应的任务，加入任务列表数据中。判断指定的agent的ip地址是否在资产结合的ip列表中。获取Agent Server相关信息，由任务网络编号和Agent server 网络编号均不为0的时才判断网络是否匹配。根据任务表中配置收集任务或及时完整性扫描请求消息刷新Agent相关信息。写任务到数据库，向Agent Server发消息。更新其状态。在接收到Agent

12、 Server完整性检查信息后，获取其本次结果的属性和配置项。判断当前的基线是否存在，如果存在则取当前基线的属性和配置项，然后比较本次收集和当前基线的属性，并置标志位，修改其数据的Type属性，通知KPI管理模块。 图：配置收集-脆弱性计算-告警流程图 配置变更-变更状态计算-告警 需说明变更状态的计算依据，如什么情况下配置项的状态会变为删除或未知。 1) 置变更主要是由用户的实时任务和后台的定时器刷新配置变更任务表来做的。 2) 定时任务根据数据库中的数据进行判断是否刷新配置变更任务表，然后执行其下步操作进行匹配等工作。最后发完整性检查通知消息。 3) 在接收处理模块，先

13、清空上次检查结果，然后读取当前收集项的配置结果和属性，根据读取到的数据进行判断是否存在当前的基线。 (a)如果是当前基线，则先获取当前基线的属性和配置项，然后比较本次收集和当前的基线的配置项和属性并置标识位。读取数据库基线类型信息，将新增的配置项作为当前基线并将所有状态为新建的配置项改为当前基线。将出现在当前基线中但本次收集结果为未知的配置项改为删除状态。通知KPI管理模块。（b）如果不是则继续。 4) 发告警响应，更新数据库的任务信息。 图：配置变更-变更状态计算-告警 个人工作业务总结 本人于2009年7月进入新疆中正鑫磊地矿技术服务有限公司(前身为“西安中正矿业信息咨询有限公

14、司”)，主要从事测量技术工作，至今已有三年。 在这宝贵的三年时间里，我边工作、边学习测绘相专业书籍，遇到不懂得问题积极的请教工程师们，在他们耐心的教授和指导下，我的专业知识水平得到了很到的提高，并在实地测量工作中加以运用、总结，不断的提高自己的专业技术水平。同时积极的参与技术培训学习，加速自身知识的不断更新和自身素质的提高。努力使自己成为一名合格的测绘技术人员。 在这三年中，在公司各领导及同事的帮助带领下，按照岗位职责要求和行为规范，努力做好本职工作，认真完成了领导所交给的各项工作，在思想觉悟及工作能力方面有了很大的提高。 在思想上积极向上，能够认真贯彻党的基本方针政策，积极学习

15、政治理论，坚持四项基本原则，遵纪守法，爱岗敬业，具有强烈的责任感和事业心。积极主动学习专业知识，工作态度端正，认真负责，具有良好的思想政治素质、思想品质和职业道德。 在工作态度方面，勤奋敬业，热爱本职工作，能够正确认真的对待每一项工作，能够主动寻找自己的不足并及时学习补充，始终保持严谨认真的工作态度和一丝不苟的工作作风。 在公司领导的关怀以及同事们的支持和帮助下，我迅速的完成了职业角色的转变。 一、回顾这四年来的职业生涯，我主要做了以下工作： 1、参与了新疆库车县新疆库车县胡同布拉克石灰岩矿的野外测绘和放线工作、点之记的编写工作、1:2000地形地质图修测、1:1000

16、勘探剖面测量、测绘内业资料的编写工作，提交成果《新疆库车县胡同布拉克石灰岩矿普查报告》已通过评审。 2、参与了库车县城北水厂建设项目用地压覆矿产资源评估项目的室内地质资料编写工作，提交成果为《库车县城北水厂建设项目用地压覆矿产资源评估报告》，现已通过评审。 3、参与了《新疆库车县巴西克其克盐矿普查》项目的野外地质勘查工作，参与项目包括：1:2000地质测图、1:1000勘查线剖面测量、测绘内业资料的编写工作；最终提交的《新疆库车县康村盐矿普查报告》已通过评审。 4、参与了新疆哈密市南坡子泉金矿2009年度矿山储量监测工作，项目包括：野外地质测量与室内地质资料的编写，提交成果为《新疆哈密市

17、南坡子泉金矿2009年度矿山储量年报》，现已通过评审。 5、参与了《新疆博乐市浑德伦切亥尔石灰岩矿勘探》项目的野外地质勘查工作，项目包括：1:5000地质填图、1:2000勘探剖面测量、测绘内业资料的编写工作，最终提交《新疆库车县胡同布拉克石灰岩矿普查报告》评审已通过。 6、参与了《新疆博乐市五台石灰岩矿9号矿区勘探》项目的野外地质勘查工作，项目包括：1:2000地质测图、1:1000勘探剖面测量、测绘内业资料的编写工作，并绘制相应图件。 7、参与了《新疆博乐市托特克斜花岗岩矿详查报告》项目的野外地质勘查工作，项目包括：1:2000地质测图、1:1000勘探剖面测量、测绘内业资料的编写工

18、作，并绘制相应图件。 通过以上的这些工作，我学习并具备了以下工作能力： 1、通过实习，对测绘这门学科的研究内容及实际意义有了系统的认识。加深对测量学基本理论的理解，能够用有关理论指导作业实践，做到理论与实践相统一，提高分析问题、解决问题的能力，从而对测量学的基本内容得到一次实际应用，使所学知识进一步巩固、深化。 2、熟悉了三、四等控制测量的作业程序及施测方法，并掌握了全站仪、静态GPS、RTK等测量仪器的工作原理和操作方法。 3、掌握了GPS控制测量内业解算软件（南方测绘 Gps数据处理）以及内业成图软件（南方cass）的操作应用。能够将外业测量的数据导入软件进行地形图成图和

19、处理。 4、在项目技术负责的指导下熟悉了测量技术总结的编写要求和方法，并参与了部分项目测量技术总结章节的编写工作。 5、在项目负责的领导下参与整个测量项目的组织运作，对项目的实施过程有了深刻理解。通过在项目组的实习锻炼了自己的组织协调能力，为以后的工作打下了坚实基础。 二、工作中尚存在的问题 从事测绘工作以来，深深感受到工作的繁忙、责任的重大，也因此没能全方位地进行系统地学习实践，主要表现为没有足够的经验，对于地形复杂的地段理解不够深刻；理论知识掌握不够系统，实践能力尚为有限。以上问题，在今后工作中自己将努力做到更好。 三、今后的工作打算 通过总结四年来的工作，我无论从工作技术上，还是从世界观、人生观、价值观等各个方面，都有了很大的提高。今后，我会在此基础上，刻苦钻研，再接再厉，使自己在业务知识水平更上一层楼，为测绘事业的发展，贡献自己的力量。 16