方案总体设计

云风险管控解决是以“云管控”作为建设重点，结合现有优势安全防护产品，实现虚拟化平台安全管理，实现云安全的整体防护。云管控安全解决方案由以下部分组成：

● 云安全管控平台。

● 虚拟化防火墙及虚拟化UTM系统。

● 虚拟化威胁与智能分析系统。

● 虚拟云漏洞扫描产品。

● 虚拟化业务操作审计产品。

● 虚拟化桌面管理系统。

● 虚拟化身份认证系统。

● 虚拟化防病毒系统。

● 云计算安全运维管理。

在传统的运维模式下，IT资源的增多使IT运维者的工作越来越复杂，IT资源的规划、购买、部署和安装等流程，会因为技术的更新和资源的增多，为运维者增加工作难度和强度，也会带来大量的电力消耗和人力维护成本。

云计算IT运维服务达成了对硬件、软件、网络和存储等IT资源的集中管理和监控，实现了自动的系统接入和维护，客观上减少了对维护人员的需求，且降低了IT运维成本，释放了被占用的企业资源。从长远的角度来说，可以给企业整体带来运维管理制度的改革，IT服务管理的价值就会随着企业IT规模的发展而日益体现出来。

云计算管控平台设计

1.综合展示

用户登录即可进入综合展示界面。通过该界面，能够快速导航到各个功能。用户能够通过仪表板从不同的方面进行一体化安全管控，可以在一个屏幕中看到不同安全域的资产信息、实时安全事件曲线、统计图，以及网络整体运行态势、待处理告警信息等。综合展现页面的主要作用是为用户提供整体安全管理的一览图，方便用户对安全态势做出评估，并判断当前安全管理工作的先后优先级。

2.安全事件管理

安全管理平台支持事件收集、事件整合和事件可视化功能，能够统一采集和存储所采集到的各种事件信息，并对采集的事件信息进行汇聚、归并、过滤、范式化处理；根据预先定义的分类规则科学合理地对事件进行归纳分类，提供尽量丰富的事件显示和查找的功能；安全管理平台提供多种形式的事件分析与展示，包括实时事件列表、统计图表、事件仪表盘等。此外，还能够基于各种条件进行事件的关联分析、查询、备份、维护，并生成报表。

（1）事件采集

能够采集各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的日志，能够支持通过Syslog、SNMP Trap、FTP、OPSEC LEA、NETBIOS、ODBC、WMI、Shell脚 本、VIP、Web Service等协议进行采集。用户仅需安装部署审计中心，无需另装采集器，即可实现对日志的采集工作；同时支持通过日志采集器和日志代理的方式采集日志。

（2）事件范式化与分类

系统支持对所采集到的日志自动进行范式化处理，将各种类型的日志格式转换成统一的格式。提供的范式化字段包括日志接收时间、产生时间、持续时间、用户名称、源地址、源MAC地址、源端口、操作、目的地址、目的MAC、目的端口、日志的事件名称、摘要、等级、原始等级、原始类型、网络协议、网络应用协议、设备地址、设备名称及设备类型等。

（3）事件过滤与归并

系统能够对采集到的日志进行基于策略的过滤和归并。通过过滤操作，用以剔除无用的日志信息；通过归并操作，将短时间内满足一定条件的多条日志合并成一条日志，减少日志的存储量。用户自可定义日志过滤和合并策略。

（4）事件实时监视

系统提供实时审计视图，用户可根据内置或者自定义的实时监视策略，实时观测安全事件的走向，并可以进行事件调查、钻取，并进行事件行为分析和来源定位。用户可以实时监视防火墙、IDS、防病毒、网络设备、主机和应用的高危安全事件；可以实时监视各个部门、各个业务系统、各个安全域、各个业务系统的重点安全事件；可以实时监视全网的违规登录事件、配置变更事件、针对关键服务器的入侵攻击事件等。

（5）事件统计分析

系统提供统计视图，用户可根据内置或者自定义的统计策略实时进行安全事件统计分析，并以柱图、饼图、堆积图等形式进行可视化的展示。用户可查看一段时间内的主机流量排行、主机登录失败次数排行、活跃病毒排行、网络设备故障排行、最多访问用户排行等。

（6）事件查询

系统提供日志的查询功能，便于从海量数据中获取有用的日志信息。用户可自定义查询策略，基于日志时间、名称、地址、端口、类型等各种条件进行组合查询，并可导出查询结果。系统还提供快速查询和模糊查询功能。

（7）事件存储

系统将收集来的日志统一安全存储和备份。系统支持TB级的海量数据加密存储，满足等级保护的相关需求。系统支持数据的自动或手动备份，备份数据可手工恢复，用作日志回查。

（8）事件关联分析

系统能够依托综合关联分析技术完成各种安全关联分析功能，将原始的设备报警进一步规范化并归纳为典型安全事件类别，从而协助使用者更快速地识别当前威胁的性质。系统至少支持基于规则的事件关联分析、统计关联分析和漏洞关联分析。

（9）事件处置

能够根据设备类型、事件类型、事件级别等设置或自定义的选项，选择性地进行事件处置，例如邮件报警、发送短信报警等。

3.安全KPI考核

支持安全评估管理功能，能够针对各业务系统、各安全域进行安全评估情况及安全整改的跟踪和管理工作。

支持建立、导入安全评估调查问卷方式进行安全评估工作；用户能够按照时间、名称、问卷状态等对历史问卷进行查询。安全问卷调查能够触发工单，将问卷调查工作分发至相关部门和相关人员，并能够跟踪调查问卷填写工作，接收反馈结果。平台预先内置国家及证券期货业等级保护各级别的管理要求和技术要求问卷模板，用户能够根据业务需要对问卷模板进行修改，或者生成新的问卷模板，模板文件支持上传和下载。平台能够对调查后的问卷自动生成调查评估报告，评估报告内容图文并茂，能够以饼状图、图表等方式统计各类评估项，并对每项的符合度进行详细描述。

4.虚拟化环境管理

虚拟环境管理提供了一个总体性的视图来展示隐蔽在虚拟平台中的各类虚拟节点，并对虚拟节点的逻辑关系、运行状态进行展现。

通过与虚拟平台或虚拟管理平台的通讯，云安全管控系统可以自动发现虚拟平台上部署的各类虚拟节点，如虚拟路由器、虚拟交换设备、分布式交换设备、虚拟接口组、虚拟主机、虚拟安全设备并形成图形化逻辑拓扑图。云安全管控系统能发现虚拟设备类型，自动读取虚拟设备的属性信息，拓扑图可以编辑、调整，在形成拓扑图同时，可以根据管理层次形成树形管理目录。所有虚拟设备在拓扑图上能清楚展示，逻辑关系清晰。

在拓扑图上可直接展示各虚拟设备节点的运行状态，节点的告警信息用不同的颜色标示设备的运行情况，可修改拓扑图的背景，并提供对节点管理的工具，如远程的连接登录接口SSH、Telnet和Ping等，可直接查看节点的详细信息，如节点的名称、设备类型、IP、设备描述等。

5.虚拟安全产品库管理

虚拟安全产品库管理通过安全设备模板进行部署，在虚拟平台上部署安全设备，就是以模板为基础，结合具体环境，把模板变成实际的虚拟节点，对虚拟环境中其他设备提供安全防护。

云安全管控系统提供模板管理的功能，可以增加、删除安全设备模板，不同类型的模板分类存放，模板也可以导入导出。

设备模板至少具有以下属性，名称、设备类型、生成时间、版本、部署模式、描述等。

模板提供设备的配置信息提示，如设备名称、设备管理IP地址、部署模式、默认策略、接口IP等。

模板还提供虚拟性能指标要求，如CPU、内存、存储空间要求等。

6.虚拟安全产品部署

虚拟安全产品部署管理功能是云安全管控系统核心功能，系统提供可视化部署功能，可直接在拓扑图上实现虚拟安全设备的部署。添加部署的设备可从设备模板中选取，部署的虚拟安全设备自动适应拓扑图的逻辑连接关系，部署完成后自动调整逻辑连接关系。

虚拟安全设备部署时根据不同类型的设备可提供不同的部署模式和配置界面，部署的虚拟安全设备在管理平台上可删除和修改，删除和修改后的逻辑关系能自动更新和修改。根据模板要求，部署时可配置设备的基本信息，并自动检查确认授权情况，可对虚拟设备运行的性能指标进行修改。

7.虚拟化安全监控

云安全管控系统提供虚拟平台和虚拟设备的监控功能，可对虚拟平台和虚拟设备进行性能监控，针对不同的设备类型提供不同的监控指标和图形化的监控面板。

通过建立监控任务，可以配置监控的时间间隔，监控阈值等各项参数，可以对监控的阈值设置上上限、上限，下限和下下限，当监控任务超过阈值将会触发告警。对告警可设置告警动作。能够保存各个监控的数据，用户可以查看最近24小时、最近7天的实时曲线图形，可以查看自定义时间段的历史数据，可以根据用户设定的时间段生成报表。管理员可以实时查看监控数据，提供实时数据和图形展示。

8.等级保护管理

支持等级保护合规性管理功能，能够针对各业务系统、各安全域及其等级，依据等级保护中的技术要求和管理要求分别采用调查问卷方式进行等级保护合规性评估；用户能够按照时间、等级、时间、问卷状态对历史问卷进行查询。

平台预先内置等级保护各级别的管理要求和技术要求问卷模板，用户能够根据业务需要对等级保护合规性问卷模板进行修改，或者生成新的问卷模板，模板文件支持上传和下载。

9.告警响应管理

云安全管控系统提供告警响应管理功能，虚拟设备运行状态发生变化会触发告警，性能监控超过设定的阈值也会触发告警。这些告警都能产生告警事件，触发一定动作。告警的动作有Syslog、SNMP Trap、弹出对话框、短信、邮件、即时通讯等。告警产生的信息能准确反映告警事件的具体内容，告警通知可指定发送的用户，用户可通过管理平台对告警进行确认和处理。系统可过滤不需要的告警和消除重复告警。系统可对告警进行查询和存储。告警列表和告警查询的结果列表支持导出为文件保存，支持导出为Excel文件。