互联网资产信息采集监测系统项目建设方案.docx

目录第一章项目概述11、项目名称12、项目背景13、指导思想24、建设原则25、建设目标与任务5第二章需求分析61、业务目标需求分析结论62、系统功能指标分析73、信息量指标分析84、系统性能指标分析9第三章总体建设方案111、总体设计原则111.1、总体框架111. 2、总体技术路线132、总体目标与分期目标132. 1、总体目标133. 2、分期目标143、总体建设任务与分期建设内容144. 1、总体建设任务144、系统总体结构和逻辑结构155. 2、系统逻辑结构15第四章本期项目设计方案161、建设目标、规模与内容161.1、建设目标161. 2、建设规模161.3、 建设内容172、标准规范建设内容172. 1、项目建设标准172.3、 项目先进性标准193、信息资源规划和数据库设计203. 1、信息资源规划204. 2、数据库设计214、应用支撑系统设计225、应用系统设计235.1、资产识别235.2、资产查询245.3、资产数据分析挖掘255.4、业务领先的资产指纹识别能力255.5、准确的资产与漏洞检测能力255.6、独有扫描机制265.7、系统抓取分析技术266、数据处理和存储系统设计276.1、数据处理设计276.2、数据存储系统设计317、终端系统及接口设计378、网络系统设计3810、备份系统设计39H、运行维护系统设计4012、系统配置及软硬件选型原则4414、系统软硬件物理部署方案44第五章人员配置与培训461、人员配置计划461. 1技术力量和人员配置461.2、 人员培训需求和计划461.3、 项目建设的实施策略462、人员培训方案471.4、 人员培训计划471.5、 培训目标472. 3、培训对象482、 4、培训讲师483、 5、培训时间492. 6、培训课程492、 7、培训方式503、 8、培训意见反馈52第八章效益分析541、前期项目建设成效分析542、本期项目效益分析54第一章项目概述1、项目名称互联网资产信息采集监测系统建设项目2、项目背景目前，随着各类开源系统的逐渐丰富，安全问题也随之逐步暴露，全球范围内的通用漏洞开始呈现出爆发式的增长趋势。伴随着今年StrUtS2漏洞的再次爆发，黑客利用通用漏洞进行攻击的案例越来越多。2017年6月，“永恒之蓝”勒索软件漏洞影响了全球近千万台服务器，仅我国境内受影响服务器多达4万多台。可以看到，针对通用组件的攻击将成为未来很长一段时间的主旋律。反观我们国家整体的安全建设，网络防火墙、Web应用防火墙、下一代防火墙、IDS、IPS、扫描器等等设备一应俱全，为何仍会在StrUtS2及“永恒之蓝”等漏洞出现时束手无策。由此可见，在新的网络安全形势下，已有的安全监控及防护手段存在着极大的不足和滞后性，无法及时反映出信息系统、网络设备的信息及安全状况，缺少一种高效精准的技术手段了解这些系统和设备开放的组件、服务和端口情况，以至于在出现严重漏洞时既不知道受不受影响，也不知道影响范围有多大。因此亟待采取有效的措施来进行弥补，了解并掌握网络资产状况，一旦高危漏洞爆发时，能够更快速、精确的发现存在问题的站点并发出预警及利用。互联网资产信息采集监测系统的推广将会在这个过程中起到至关重要的作用，帮助技术侦查部门掌握足够的真实数据以做出了解判断并及时预警、响应，同时可以加以利用，获取有价值的信息，信息系统化的方式大量节约人力和时间。3、指导思想以“情报信息主导”理念为导向，紧密结合工作实际，按照“因地制宜，分类指导，稳步推进”的原则，全力推动信息化建设工作。从基础建设、加强执法管理、业务流程等环节入手，切实推动基础工作信息化，使工作和队伍管理真正融入到信息化平台，不断提升信息化应用的整体水平。4、建设原则互联网资产信息采集监测系统建设应遵循如下基本原则： 全面性互联网资产信息采集监测系统的框架设计，应遵循科学的设计理念，各个组成部分均符合当代信息技术发展形势，满足未来各种业务对信息系统的要求，提供统一系统应用，选择先进的平台软件，提供针对各种数据源的接口支持。 开放性在现有应用系统和手段建设中有大量资源，包括软硬件环境资源和大量信息资源，在实现资源共享时要统一规划，最大限度实现各类资源共享，支持多重业务工作的开展。系统需提供多种数据访问、服务调用和资源管理接口，实现资源和服务对其他业务手段和使用人员的共享。 灵活性各警种未来在数据类型、数据规模、业务应用方面都会有不断扩展和演化，系统设计需采用灵活架构实现可配置，动态可扩展和自定义，有较强的可扩展性。 融合性工作涉及到海量数据、多用户。良好的数据融合和应用融合可以帮助在日常工作和情报分析工作中快速、有效、准确的获得成果。 标准化数据中心的设计与开发应坚持标准化、规范化原则，采用业界成熟的标准化技术，遵循国家和部制定的相关标准和技术规范。只有基于标准化的处理方式，数据资源才能有序、完好的汇聚到数据中心，系统才能横向或纵向的可持续发展。安全性系统必须有高可靠性，能够长时间运行而不宕机，要保证系统使用的连续性。建立全局的数据安全机制，建立统一的访问控制机制，实现统一的身份认证、访问控制、审计等安全机制。 实战化系统的建设以保证围绕为一线民警提供强有力的手段为原则，确保系统的易操作性，功能的实用性，业务的全面性，切实满足实战需要。同时，系统的建设也要能够提升数据资源的成果转化，提升工作人员的信息化技战实力。 先进性在保证实用性、标准化、可靠性的前提下，系统在达到设计思想先进性的同时，也能够与现有主流应用系统技术兼容，其体系结构应采用先进的架构和成熟技术。 易维护性项目涉及面广、复杂度高、规模较大，系统的可管理性和可维护性是系统能否持续运行的关键，系统需要具备可解决问题并易于管理的系统。贯彻面向最终用户的原则，部署快捷，具有了友好的用户界面，操作简单、直观、灵活，易于学习和掌握。5、建设目标与任务漏洞危机带来的新的威胁以及网络环境的日趋复杂，脆弱性扫描正朝着集成化、智能化方向发展。脆弱性扫描的新趋势具体包括：集成系统漏洞、数据库漏洞、Web漏洞、安全配置漏洞的发现能力，并可生成风险分析报告；支持对扫描资产的管理，并能够结合漏洞评价，计算主机和网络的脆弱性风险，为风险评估和风险监控提供必要支撑；支持对不同软件、系统类别的漏洞进行统一评级，并保证评级的开放性和客观性，为漏洞评级的交流提供方便；支持对历次扫描结果中的漏洞情况、脆弱性风险的变化趋势进行分析，为漏洞管理策略合理化调整提供决策依据；厂商必须具备持续性的漏洞跟踪及研究能力，以确保产品中漏洞知识库的全面性、准确性和权威性，并且能够做到及时更新，甚至能够对重大的突发漏洞事件进行应急；厂商在漏洞检测领域有长期的积累，以保证产品应用的成熟度。互联网资产信息采集监测系统利用基于指纹库的组件识别技术，进行网络信息采集，可识别的设备类型包括：路由器、交换机、邮件服务器、网站服务器、数据库服务器、防火墙、打印设备、摄像头设备等；可识别的网络设备软件包括：LinUX（操作系统）、Windows（操作系统）、IIS（Web容器）、APaChe（Web容器）、WebLOgiC（Web容器）、WOrdPreSS（CMS系统）、Discuz（论坛系统）、MySQL（数据库）、MongoDB（数据库）等。互联网资产信息采集监测系统是针对网络设备资产进行信息普查和风险感知的手段。通过对全球互联网IP段、端口等参数进行探测，掌握应用系统、网络设备的存活情况、开放端口、组件信息、服务信息，并通过周期性监控，及时发现信息变化。第二章需求分析1、业务目标需求分析结论随着企业的发展和IT信息化建设的快速开展，承载企业业务的资产越来越多，接入互联网的设备也是五花八门的，除了个人PC机和服务器，还包括交换机、路由器、打印机、视频监控、移动设备、物联网设备等。这些设备共同组成了企业等单位所处的网络空间。互联网资产信息采集监测系统是一个针对全球互联网中，包括政府、高校、企事业单位开发的网络空间资产检索系统，能够自动获取网络空间存活的资产和开启的服务，然后进行协议识别，根据协议的信息对资产进行指纹识别，并且还可以出具各种资产统计报表。要求系统具有快速、全面、准确等优势。可采用全球领先的端口扫描程序，可快速获取到企业的存活资产。包含IlO多种协议的识别，覆盖网络常用端口，能够全面识别出来资产开放的服务，超过7000多条识别规则能够识别出资产的指纹信息。要求系统可以解决防火墙等设备导致的端口开放的误报情况，使结果更加准确。互联网资产信息采集监测系统建设，通过对于网络空间资产的检索、扫描、漏洞验证、报送呈现，为后期业务工作提供基础数据资源。将有利于加快推进技术侦查工作的步伐，实现“以网管网”的工作目标，有效打击涉网犯罪，更好地促进互联网环境健康发展。2、系统功能指标分析在全面网络资产识别基础上，重新定义了安全事件处理和漏洞扫描形式，基于漏洞匹配符合特征的网络资产进行专项扫描，并结合资产分布统计、安全态势分析等功能，形成集资产探测管理、安全事件验证、智能统计分析、安全态势感知、持续安全监控为一体的全方位安全体系。3、信息量指标分析资产搜集系统可自动搜集网络空间中的存活资产，在线资产识别比例超过95%。资产检索支持针对资产的模糊检索；支持根据资产IP地址、资产名称、端口、服务、操作系统、设备类型、厂商、组件、设备地区、业务应用进行高级检索。端口扫描支持全网端口扫描，深度识别240个以上的常用网络端口，包括协议的默认和非默认端口，并支持自定义端口。协议识别支持110种以上的主流协议识别，包括数据库、SSH.FTP、HTTP、程序组件、工控等类型；支持协议扩展。指纹识别预置超7000条指纹识别规则，包括视频监控、安全产品、路由器、交换机、OA、财务、邮件、项目管理等。扫描速度扫描100oO资产，网络常用端口（240个）5M带宽30分钟。高准确度能够准确识别协议的开放情况，由于连接重置和防火墙导致的误报率低于3%o漏洞快速扫描系统支持单个漏洞的快速扫描，IW以内资产单个漏洞扫描速度5分钟。IOW以内资产，单个漏洞扫描速度15分钟。分析报告包括资产分析、漏洞分析；针对资产的设备类型、厂商、端口、操作系统、数据库使用、地区分布、资产总量变化进行统计分析；针对漏洞的分布、影响进行统计分析；支持饼图、柱形图、折线图、地图等多种图表形式；支持添加自定义图表。4、系统性能指标分析互联网资产信息采集监测系统的各种性能要求如下表:项目分类时间响应时间IP查询<2秒端口查询<2秒资产查询<3秒漏洞查询<3秒采集入库时间IP入库<15分种端口入库<15分种资产入库<20分种协议入库<10分种指纹入库<15分种漏洞入库<15分种连接建立时间资产搜集<5秒资产检索<5秒端口扫描<5秒协议识别<5秒指纹识别<10秒漏洞验证<15秒第三章总体建设方案1、总体设计原则1.1、总体框架WEB服务层资产展示IPHOSTPORT管理检索报表胃