***网络日志分析管理系统建设项目
需求分析报告
1. 需求分析
1.1. 现状及存在的问题
***网络环境持续建设,院属各单位应用系统集中托管等重大举措落地实施,***网络资源扩展丰富的同时,网络设备产品品牌繁杂、数量庞大等所带来的管理难度随之凸显,网络设备日志数据尚未有效汇聚分析,设备操作行为审计及事件追溯缺少技术手段,网络侧设备安全状态无法真正做到实时监测,发生故障后无法快速进行响应及恢复。
围绕***智慧企业的信息化发展需求,结合院信息资源的集中整合、服务平台化的建设思想,亟需加强网络基础资源的合规化集中管理以及网络侧安全风险的挖掘发现,为全院网络安全态势进行基础网络数据支撑。
1.2. 需求分析
针对目前*********网络基础资源集中管理及风险发现的建设需求,逐步整合网络基础资源,提升网络运维人员管理效率,及时发现网络资源异常及安全风险,全力保障***业务的稳定运行。具体建设需求总结如下:
(1)日志采集及分析
收集网络设备的故障信息、安全告警信息等日志数据,提供告警信息的汇总与分析,帮助运维人员进行快速定位、查找故障根源,确认故障影响的范围。
具备基础数据推送与多平台联动能力。可实现与态势感知平台对接,将网络资源的告警信息推送至安全态势平台,与态势平台流量探针采集的流量日志进行规划整合,做到网络侧的统一分析。
(2)行为审计及配置备份
提供资源化配置和软件管理功能,提供了配置模板库和设备软件库的管理,维护网络设备配置模板文件、用户常用的配置模板片段等资源。实现自动化建立可追溯的网络配置,基于自动备份功能,完成周期性设备配置的历史备份,自动建立可追溯的网络配置,同时提供网络设备故障后快速恢复现有配置等功能。
(3)资源纳管及状态监测
对*********中网络设备进行集中纳管,提供路由器、交换机、UPS等网络设备访问参数的批量配置和校验功能,支持***H3C、Cisco、华为等多品牌多类型的网络设备管理,为运维人员提供统一化操作界面进行网络资源管理功能。
统一展现各网络设备CPU利用率、内存利用率、带宽利用率、设备响应性能、设备不可达等关键性能指标,形成统计报表,及时发现网络性能瓶颈问题。
2. 功能汇总
1) 日志采集及分析
系统基于SNMP、ICMP等协议持续监测网络系统各项运行参数,根据预先设定的运行监测参数跟踪网络拓扑的变化,基于TRAP、Syslog等协议采集网络设备故障日志信息,当发生网络设备故障、重要网络链路故障、网络协议故障等事件时,自动汇总全网中故障设备,形成故障设备列表,并在全网中进行可视化展现。
2) 行为审计及配置备份
系统提供全网设备的配置文件、软件版本信息集中式展示,包括设备的当前软件版本、最近备份时间、是否已加入自动备份计划等信息;提供设备软件升级与恢复、设备软件基线化管理能力,当网络状态固化确定后,可自动保存设备配置信息,形成配置库基线化管理能力,当配置变化时,可进行核查及告警;提供设备配置部署、设备配置备份与恢复能力,周期性完成设备配置的历史备份,设备故障等事件发生后,可做到快速响应及恢复。
网管工具自身提供用户日志、系统日志的管理,并根据实际使用需求动态设置日志存储时间,一般设置为留存6个月以上。用户日志记录用户对纳管网络资源的各项操作信息,包括对各个功能模块和系统配置的增加、删除、修改等信息,做到事件发生后行为可追溯、操作有记录。其中,如用户对网络资源进行直连操作,主要依赖网络资源是否具备操作记录配置日志留存功能,如可记录,则系统可通过采集网络资源日志进行记录。
3) 资源纳管及状态监测 ? 资源统一纳管
资源管理作为系统网络资源管控的基础能力,支持设置种子(即“中心节点”)的简易方式、路由方式、ARP方式、IPSec VPN、网段方式等五种自动发现方式自学习网络资源及网络拓扑,自动识别包括:路由器、交换机、存储设备、监控设备、语音设备、UPS、服务器在内的多种类型网络设备。
? 拓扑自发现
网管工具可识别***中的Cisco、H3C、华为等多品牌厂商的网络设备,并对个别类型设备进行手动添加。通过对资源的纳管生成网络拓扑,并提供了拓扑的动态跟踪和更新功能,有效反应网络拓扑现状。
? 状态监测
系统根据网络规模和网络协议应用情况,绘制网络设备、负载均衡设备、代理服务器等资产信息,检测设备连通性;根据网络设备和网络链路的实际使用情况,设定不同工作状态临界点的阈值,区分正常负荷工作状态、高负荷工作状态和超负荷工作状态,最终在全网拓扑中将设备状态、链路带宽流量、告警故障等信息进行可视化展现。
3. 项目规划
网络日志分析管理工具为安全工具组件,仅面向院信息技术中心网络运维人员开放,建议部署在***中心机房安全管理服务区内,与各网络设备网络可达,同时被纳管资源需开放SNMP等协议端口。具
体部署模式如下图:
用户终端用户终端入侵检测系统漏洞扫描系统服务器交换机安全管理服务区网管系统服务器防火墙安全产品核心交换机核心交换机服务器防火墙服务器交换机业务应用服务器区统建应用系统
4. 数据调用方式
网络设备日志资源相关信息和性能相关信息通常数据量较大,数据的紧急程度相对较低,若后续态势平台有相关基础资源数据需求,建议双周为周期,定期调用采集。
告警日志数据量通常不大而紧急程度较高,若后续态势平台有相关网络侧安全需求,建议采用实时推送方式。
CMMI过程文档 - 系统集成项目 - 需求报告 - 图文
