1、安全監(jiān)控系統(tǒng)快速使用手冊版本控制版本號日期狀態(tài)變更說明修訂人審核人V1.02009/9/30C創(chuàng)建俞加鳴狀態(tài)標(biāo)識：C - Created A - Added M - Modified D - Deleted目錄 TOC o 1-5 h z HYPERLINK l bookmark1 o Current Document 版本控制2 HYPERLINK l bookmark4 o Current Document 告警監(jiān)控平臺登陸4登陸帳號4WEB登陸方式4客戶端登陸方式（僅監(jiān)控班使用）5 HYPERLINK l bookmark7 o Current Document 告警分類6 HYPERL

2、INK l bookmark10 o Current Document 事件-威脅-風(fēng)險-告警7 HYPERLINK l bookmark18 o Current Document 漏洞-風(fēng)險-告警9 HYPERLINK l bookmark26 o Current Document 配置收集-脆弱性計算-告警12 HYPERLINK l bookmark33 o Current Document 配置變更-變更狀態(tài)計算-告警14告警監(jiān)控平臺登陸登陸帳號請各位使用自己帳號登陸后，點擊系統(tǒng)右上角密碼修改處修改自己帳號密碼。登陸帳號密w使用人majind7tskj馬進kongqingchuang2

3、rbto孔慶川wangzhe9f7a1t王喆wangjianq7vleu王建wangziliangtfiqwq王自亮liuwenjiesp3w7i劉文杰jiankongGszpiK監(jiān)控室WEB登陸方式 HYPERLINK :8080/ISMP :8080/ISMP點擊首頁左上部“信息概覽”中的“告警監(jiān)控”，彈出告警監(jiān)控窗口，如下圖所示:未處理告警序號告答名稱總族紋別I告警類別對象對象IP業(yè)務(wù)系統(tǒng)標(biāo)準(zhǔn)系統(tǒng)最后產(chǎn)生時間操作1（529）用戶登錄驗證失敗404一般告警其他% sdjn-ps-wap4-ywl8WAP 4Windows 200309-09-2619:54:58清降確認(rèn)2（68。）帳戶登錄

4、384一般告警耳他sdjn-ps-wap4-ywl8WAP 4Windows 2003Lig-09-2619:54:58清除確認(rèn)3mssql_sql2k: sql_slamm er_worm_alert2一般告警耳他刊 SDJN-PS-WAP1-GW14WAP1Linux09-09-2618:47:57消院確認(rèn)4mssql_sql2k: sql_slamm er_worm_alert2一般告警其他郭 SDJN-PS-WAP1-059WAP1Linux09-09-2618:36:57涪除確認(rèn)5ddos_tfn:tfn_command1一般告警苴他夷 SDJN-PS-WAP1-GW10WAP1Li

5、nux09-09-2517:56:18洛除確認(rèn)6mssql_sql2k: sql_slamm er_worm_alert1一般告警其他F SDJN-PS-WAP1-UIDB01WAP1Linux09-09-2517:53:18涪除確認(rèn)7mssql_sql2k: sql_slamm er_worm_alert1一般告警苴他如 SDJN-PS-WAP1-GWD6WAP1Linuxog-og-2517:40:17洛除確認(rèn)8badfiles_bmp:bmp_hea der_alert15一般告警郭 SDJN-PS-WAP4-JF2ID.18.120.79WAP 4Linuxg-og-2517:33:1

6、6清除確認(rèn)gmssql_sql2k :sql_slamm er_worm_alert1一般告薯郭 SDJN-PS-WAP1-UIDB03ID.15.5D.31WAP1Linuxg-og-2517:30:16清除確認(rèn)10ddos_tfn:tfn_command1一般告警* SDJN-PS-WAP1-GW1ID.15.5D.22WAP1Linuxg-og-2516:58:13清除確認(rèn)已理認(rèn)告警更拳|序號告警名稱總沈縹別+告警類別對象:對象IP業(yè)務(wù)系統(tǒng)標(biāo)準(zhǔn)系統(tǒng)最后產(chǎn)生時間操作告警監(jiān)控分為未處理告警列表和已確認(rèn)告警列表兩個部分。在告警列表中，點擊告警名稱，可查看告警的詳細信息?？蛻舳说顷懛绞剑▋H監(jiān)控班

7、使用）采用客戶端方式進行安全監(jiān)控，可以在告警發(fā)送到客戶端的同時，產(chǎn)生聲音告警。登陸帳號和使用方法和WEB方式都是一致，告警分類惡意軟件類告警計算機病毒木馬蠕蟲僵尸軟件網(wǎng)頁病毒漏洞攻擊代碼間諜軟件混合攻擊后門程序其他網(wǎng)絡(luò)攻擊類告警拒絕服務(wù)攻擊后門攻擊漏洞攻擊網(wǎng)絡(luò)掃描探測口令攻擊非法訪問其他信息破壞類告警信息篡改信息假冒信息內(nèi)容安全類告警垃圾郵件安全設(shè)備故障類告警硬件故障軟件故障配置違規(guī)類告警日志類用戶類網(wǎng)管類路由配置類訪問控制類補丁類審計類其他類漏洞類告警Windows 漏洞UNIX漏洞網(wǎng)絡(luò)設(shè)備漏洞應(yīng)用系統(tǒng)漏洞數(shù)據(jù)庫漏洞其他漏洞綜合類資產(chǎn)綜合指標(biāo)防火墻指標(biāo)入侵檢測指標(biāo)賬號口令管理指標(biāo)操作審計指標(biāo)

8、防毒管理指標(biāo)漏洞管理指標(biāo)配置審計和變更管理指標(biāo)其他事件-威脅-風(fēng)險-告警ISMPserver的事件來源是sem的核心引擎，ISMPserver通過其專用的事件端口 3021接收并 處理事件。接收事件關(guān)聯(lián)資產(chǎn)風(fēng)險計算1（5秒）DataBase寫事件到全局緩沖區(qū)局緩沖區(qū)取事件并寫 至到：:據(jù)庫事件日志類型以 I及日志詳細類型 分類的事件發(fā)送事件信息到響應(yīng)中心將事件發(fā)送至KP處理模塊過濾SOC事件，只保留與指標(biāo)計算相關(guān)的事件并保存數(shù)據(jù)至全局?jǐn)?shù)據(jù)區(qū)定時器調(diào) 一用5秒保存KP風(fēng)險及其詳細信息函數(shù)保存KP事件至外部文件回調(diào)同步基礎(chǔ)數(shù)據(jù)至內(nèi)存同步KPI規(guī)則定時評估KPIIDS事件數(shù)量異常指標(biāo)IDS單一事件出

9、現(xiàn)頻度異常指標(biāo)高危操作（審計事件 ）數(shù)量異常指標(biāo)日志數(shù)量異常指標(biāo)高危操作（審計事件）確認(rèn)及時指標(biāo)KP指標(biāo)防火墻登入登出問題指標(biāo)非法操作被阻斷指標(biāo)/用戶登錄成功指標(biāo)用戶登錄失敗指標(biāo)發(fā)送事件到統(tǒng)計引擎對事件進 行備份實時評估KPI將KP風(fēng)險發(fā)送至告警模塊KP指標(biāo)資產(chǎn)未產(chǎn)生KP風(fēng)險歸類事件評價判斷級別是否合系統(tǒng)未確認(rèn)如相同告 警則合并保存告警信定時器調(diào)1分鐘調(diào)用告警對象風(fēng)險 緩沖區(qū)寫入全局?jǐn)?shù)據(jù)緩沖區(qū)5分鐘調(diào)告警和對象ID類型/KPIID/|標(biāo)識字段緩沖區(qū)計算告警寫風(fēng)險到數(shù)據(jù)庫圖：事件-威脅-風(fēng)險-告警流程圖1）接收事件的主要流程：接收到SEM事件對其進行解析通過事件的源IP地址、目的IP地址、設(shè)備I

10、P地址，去匹配關(guān)聯(lián)到源資產(chǎn)、目的資產(chǎn)、設(shè) 備資產(chǎn)。在這里，過濾掉未匹配到任何資產(chǎn)的威脅事件。計算事件的資產(chǎn)風(fēng)險。對于IDS事件，通過IDS事件中目的資產(chǎn)去關(guān)聯(lián)相應(yīng)資產(chǎn)上的漏洞， 提高目的資產(chǎn)風(fēng)險。將事件暫時存放在全局緩沖中發(fā)送事件到響應(yīng)中心，以及向統(tǒng)計引擎發(fā)送實時事件2）由定時器每5秒對緩沖區(qū)的事件進行處理一次。主要功能是將事件發(fā)送至KPI處理模塊 并對事件進行備份。3）在kpi處理模塊中，首先經(jīng)過過濾器過濾ISMP事件，且只保留與指標(biāo)計算相關(guān)的事件, 具體主要是需過濾以下五類事件：windows和unix類主機訪問類日志（用戶登錄/注銷，用戶切換）防火墻類配置，登入/登出類日志入侵檢測系統(tǒng)日

11、志安全網(wǎng)關(guān)類日志APMS系統(tǒng)日志然后實時評估其事件的風(fēng)險（實時評估指標(biāo)一般和事件、漏洞、配置脆弱性以及配置變更相 關(guān)）。4）將KPI風(fēng)險發(fā)送到告警模塊。如果此風(fēng)險適合告警，是則添加到告警全局緩沖告警數(shù)據(jù) 中，由定時每一隔一分鐘寫一次告警信息到數(shù)據(jù)庫，如果產(chǎn)生風(fēng)險，則又定時器每分鐘 寫一次數(shù)據(jù)到風(fēng)險數(shù)據(jù)庫。5）在其設(shè)定的定時回調(diào)函數(shù)中對風(fēng)險時間進行定時的處理。其處理流程和原則大致跟接收 事件中對風(fēng)險的處理過程相似。漏洞-風(fēng)險-告警進行漏洞掃描前需要對掃描引擎進行配置配置。1）掃描漏洞通過定制任務(wù)實現(xiàn)，有兩種實現(xiàn)，一種是通過前臺與后臺的消息通信實現(xiàn)的實 時掃描，一種是通過前臺定制任務(wù)并寫道數(shù)據(jù)庫，

12、后臺通過定時刷新數(shù)據(jù)庫實現(xiàn)的定時 掃描。2）ISMPserver里的漏洞是用掃描器掃描后寫到數(shù)據(jù)庫，ISMPserver通過定時刷新數(shù)據(jù)庫來 獲得最新的漏洞信息。目前只支持領(lǐng)信掃描器。3）漏洞掃描必須配置掃描引擎，在一臺安裝了 linux操作系統(tǒng)的機器安裝引擎服務(wù)器上安 裝并啟動掃描器引擎。配置掃描器是通過cvms的系統(tǒng)管理的頁面來添加的。新建一個 掃描器需要配置內(nèi)外網(wǎng)地址以及引擎的監(jiān)聽端口；通過地址區(qū)間可以配置掃描器的掃描 的地址區(qū)間；通過掃描器參數(shù)提供的默認(rèn)的選項可以配置掃描選項；通過插件升級可以 對掃描引擎的插件進行升級，具體掃描器的詳細配置可以參照有關(guān)的掃描器文檔。4）在cvms頁面上

13、通過系統(tǒng)管理的一任務(wù)調(diào)度中心一領(lǐng)信漏洞掃描計劃，可以定制實 時和定時的任務(wù)。在漏洞管理一資產(chǎn)漏洞一資產(chǎn)列表中，可以定制實時的任務(wù)。見 任務(wù)分解圖如下。5）在漏洞-風(fēng)險-告警流程圖中，在定時器調(diào)度漏洞風(fēng)險計算任務(wù)中刷新資產(chǎn)的最新漏洞表。 然后判斷資產(chǎn)是否有漏洞，如果沒有則刪除資產(chǎn)緩沖區(qū)中的漏洞信息；有則根據(jù)任務(wù)ID 和子任務(wù)ID號計算漏洞風(fēng)險，然后發(fā)響應(yīng)中心，并且將本次漏洞計算結(jié)果發(fā)送至KPI 模塊。進KPI進行實時評估。由定時器5秒鐘對保存KPI風(fēng)險及其詳細信息函數(shù)調(diào)用一 次，其主要是對KPI信息進行處理然后與數(shù)據(jù)庫進行數(shù)據(jù)交換更新。圖：任務(wù)分解圖漏洞風(fēng)險計算以及產(chǎn)生告警流程圖如下:定時器調(diào)度

14、漏洞 風(fēng)險計算任務(wù)根據(jù)資產(chǎn)ID 刷新漏洞表判斷是否資產(chǎn)是否有漏洞信息無漏洞刪除緩沖區(qū)里-的漏洞信息有漏洞開始根據(jù)漏洞計算風(fēng)險根據(jù)任務(wù)號子任務(wù)號以及資產(chǎn)讀取數(shù)據(jù)庫獲得具體漏洞信息 VID先刪除原來資 產(chǎn)的漏洞信息清空資產(chǎn)的遠程脆弱性累計如果漏洞 已容忍根據(jù)漏洞的嚴(yán)重級別換 的風(fēng)險值算成soc系統(tǒng)E資產(chǎn)的漏 洞計數(shù)加1如果資產(chǎn)的漏洞風(fēng)險值大于換算后的漏洞的風(fēng)險把資產(chǎn)換算后的漏洞的風(fēng)險值賦給資產(chǎn)的漏洞風(fēng)險值保存KPI風(fēng)險及 其詳細信息函數(shù)如果漏洞沒被確認(rèn)并且資產(chǎn)的換算后的漏洞同步基礎(chǔ)數(shù)同步KPI掃描漏洞 比例指標(biāo)計算告警定時器調(diào)告警對象風(fēng)險 緩沖區(qū)保存告警信 息到數(shù)據(jù)庫系統(tǒng)未確認(rèn) 告警寫風(fēng)險到數(shù)據(jù)庫

15、告警和對象 ID/類型/KPIID/ 標(biāo)識字段緩沖區(qū)寫入全局?jǐn)?shù) 據(jù)緩沖區(qū)如相同告 警則合并圖：漏洞-風(fēng)險-告警流程圖配置收集-脆弱性計算-告警配置收集執(zhí)行前必須安裝代理服務(wù)器和代理，并且配置相應(yīng)的代理去收集。配置步驟如下:1）啟動相應(yīng)的代理服務(wù)器和代理2）在CVMS頁面上系統(tǒng)管理-代理管理-代理-新建，添加代理，添加代理時要選 擇屬于哪個代理服務(wù)器，即有哪個代理服務(wù)器來驅(qū)動此代理，3）選擇配置收集或者是路由器配置收集，輸入需要收集的IP地址或IP地址段4）配置完成之后可以進行檢測，如果連接正常就可以定制配置收集任務(wù)了。配置收集的任務(wù)分為定時和實時兩種定制配置收集任務(wù)，在CVMS頁面上系統(tǒng)管理-

16、任務(wù)調(diào)度中心-配置收集任務(wù)，配置 要收集的機器的屬于的子網(wǎng)名稱以及IP地址，也可以配置資產(chǎn)的名稱，之后選擇收集類別， 下面是任務(wù)的調(diào)度方式可以是實時也可以是定時。詳細流程：由定時器定時調(diào)度刷新獲取配置任務(wù)。判斷是否是定時任務(wù)，是定時任務(wù)的話則 轉(zhuǎn)化任務(wù)的執(zhí)行間隔時間為秒。分析處理范圍，主要范圍分為兩部分，即IP地址段和資產(chǎn)， 生成相應(yīng)的任務(wù)，加入任務(wù)列表數(shù)據(jù)中。判斷指定的agent的ip地址是否在資產(chǎn)結(jié)合的ip 列表中。獲取Agent Server相關(guān)信息，由任務(wù)網(wǎng)絡(luò)編號和Agent server網(wǎng)絡(luò)編號均不為0的 時才判斷網(wǎng)絡(luò)是否匹配。根據(jù)任務(wù)表中配置收集任務(wù)或及時完整性掃描請求消息刷新Ag

17、ent 相關(guān)信息。寫任務(wù)到數(shù)據(jù)庫，向Agent Server發(fā)消息。更新其狀態(tài)。在接收到Agent Server 完整性檢查信息后，獲取其本次結(jié)果的屬性和配置項。判斷當(dāng)前的基線是否存在，如果存在 則取當(dāng)前基線的屬性和配置項，然后比較本次收集和當(dāng)前基線的屬性，并置標(biāo)志位，修改其 數(shù)據(jù)的Type屬性，通知KPI管理模塊。如果是IP地址段一轉(zhuǎn)換ip段的起始ip 地址的形式（整型）定時器定時調(diào)度接收到AgentServ er的完整性檢查消息刷新獲取配置任務(wù)如果是定時任務(wù)轉(zhuǎn)化任務(wù)的執(zhí)行間隔時間為秒處理收集 范圍如果是資產(chǎn)一找到取資產(chǎn)的 第一個IP地址獲取本次結(jié)果的屬 性和配置項判斷是否存在當(dāng)前 一的基線

18、如果存在獲取當(dāng)前基線的屬 性和配置項比較本次收集和當(dāng)前的基線的配置項和屬性并且置標(biāo)識位修改數(shù)據(jù)的 Type屬性通知KPI管理模塊任務(wù)列表生成任務(wù)加入任務(wù)歹俵查找指定的 agent的IP是否 在資產(chǎn)集合的IP列表中匹配標(biāo)準(zhǔn)系統(tǒng)類型查找標(biāo)準(zhǔn)系統(tǒng)信息*Agent相關(guān)L信息一獲取AgentServ er相關(guān)信息任務(wù)網(wǎng)絡(luò)編號和Agent Serv er網(wǎng)絡(luò)編號均不為0時才判網(wǎng)絡(luò)是否匹配加入子任務(wù)列表讀取任務(wù)列表中 的配置收：:任務(wù)接收即時完整性 掃描請求消息刷新Agent.相關(guān)信息獲取任務(wù)序列號寫任務(wù)到數(shù)據(jù)庫一向 AgentServ er發(fā)消息更新任務(wù)狀態(tài)圖：配置收集-脆弱性計算-告警流程圖配置變更-變更狀態(tài)計算-告警需說明變更狀態(tài)的計算依據(jù)，如什么情況下配置項的狀態(tài)會變?yōu)閯h除或未知。1）置變更主要是由用戶的實時任務(wù)和后臺的定時器刷新配置變更任務(wù)表來做的。2）定時任務(wù)根據(jù)數(shù)據(jù)庫中的數(shù)據(jù)進行判斷是否刷新