神州数码安全管理平台技术白皮书.docx
《神州数码安全管理平台技术白皮书.docx》由会员分享,可在线阅读,更多相关《神州数码安全管理平台技术白皮书.docx(32页珍藏版)》请在冰豆网上搜索。
神州数码安全管理平台技术白皮书
神州数码安全管理平台
技术白皮书
神州数码()
2009年5月
第一章前言
互联网的开放性,给网络运营带来了越来越多的安全隐患,互联网网络安全管理工作目前急需加强,相应的安全管理系统与检测手段的建设也势在必行。
大型企业的网络规模庞大、系统复杂,其中包含各种网络设备、服务器、工作站、业务系统等。
同时安全领域也逐步发展成复杂和多样的子领域,例如访问控制、入侵检测、身份认证等等。
这些安全子领域通常在各个业务系统中独立建立,随着大规模安全设施的部署,安全管理成本不断飞速上升,同时对这些安全基础设施产品和它们产生的信息的管理成为日益突出的问题。
具体体现在:
●海量事件
企业中存在的各种IT设备提供大量的安全信息,特别是安全系统,例如安全事件管理系统和漏洞扫描系统等。
这些数量庞大的信息使得管理员疲于应付,容易忽略一些重要但是数量较少的告警。
海量事件是现代企业安全管理和审计面临的主要挑战之一。
●孤立的安全信息
相对独立的IT设备产生了相对孤立的安全信息。
企业缺乏智能的关联分析方法,分析多个安全信息之间的联系,揭示安全信息的本质。
例如什么样的安全事件是真正的安全事件,它是否真正影响到业务系统的运行等。
●响应缺乏保障
安全问题和隐患被发掘出来,但是缺少一个良好的机制去保证相应的安全措施得到良好的执行。
至今困扰许多企业的安全问题之一弱口令就是响应缺乏保障的结果。
●知识孤岛
许多前沿的安全技术往往只由企业部少数人员了解,他们缺少一个途径将这些知识共享出来以提高企业整体的安全水平。
目前安全领域越来越庞大,分支也越来越细微,各方面的专家缺少一个沟通的平台保证这些知识的不断积累和发布。
●安全策略缺乏管理
随着安全知识水平的提高,企业在自身发展过程中往往制定了大量的安全制度和规定,但是数量的庞大并不能代表安全策略的完善,反而安全策略版本的混乱、容的重复和片面、关键制度的缺失等等问题在企业中不同程度的存在。
●习惯冲突
以往的运维工作都是基于资产的运维,但是安全却是基于安全事件的运维。
企业每出现一个安全问题就需要进行一次大围的维护,比如出现病毒问题。
这使得安全的运维工作不同于以往的运维工作习惯,造成运维工作效率低下,并且难以规划。
总的来看,随着IP技术的飞速发展,网络安全逐渐成为影响网络进一步发展的关键问题。
为提升用户业务平台系统的安全性与网络安全管理水平,增强竞争力,神州数码推荐采用神州数码安全管理平台(SOC)整体解决方案来实现安全管理中心的建设。
第二章系统结构
神州数码安全管理平台(SOC)产品功能从逻辑上分为四大部分容,包括基础安全管理、安全风险管理、安全评价管理和安全工单系统。
第三章神州数码安全管理平台(SOC)功能概述
神州数码安全管理平台(SOC)产品功能中基础安全管理分为:
资产管理模块、策略管理模块、安全知识库管理、安全公告模块。
安全风险管理是安全管理平台的核心模块,主要包括事件管理中心、风险管理中心和安全扫描管理三大部分。
安全评价管理实现对企业安全现状的评价,包括企业的资产状况、事件状况、风险状况等。
实现对企业安全工作的评价,包括公司级安全工作评价、部门级安全工作评价和个人安全工作评价。
评价的主要容是安全工作量和工作效率。
综合分析,包括生成符合运行维护规的综合数据;通过对数据的深层次挖掘,帮助企业发现问题根源。
安全工单系统派发指导操作的作业工单,解决目前网络中存在的安全事项,消除安全隐患。
工单系统对工单的流转做全流程的监控,提供工单的查询、统计等功能,同时提供和外部工单系统的接口。
3.1基础安全管理
3.1.1资产管理模块
资产管理模块是SOC的基础模块,它实现对安全管理平台所管辖的设备和系统对象的管理。
它将其所辖IP设备资产信息按其重要程度分类登记入库,并为其他安全管理模块提供信息接口。
资产管理模块支持以下的资产管理功能:
资产信息导入:
支持Excel、txt和指定格式资产信息数据的导入功能;
资产信息导出:
支持Excel、txt和指定格式(包括神码、三星、ISS等扫描产品可以识别的IP列表格式);
资产信息编辑:
支持资产信息人工的添加、修改以与删除功能;
资产信息查询:
支持资产各项属性关键字组合查询功能,能够帮助用户快速定位所需要查询的资产,查询的字段包括资产编号、资产名称、序列号、资产型号、操作系统、管理员、主机名称、所属管理部门、业务系统、资产类型、资产节点、资产位置、资产IP;
资产统计分析:
支持以资产各项属性为索引的统计分析能力,例如系统资产分布图表、资产类型分布图表、资产赋值分布图表等等;
资产树:
以树图形式列出所有资产,方便用户对资产进行浏览和操作,资产树图有多种浏览形式,包括:
业务资产树图,按照业务分类浏览;物理资产树图,按照资产的物理位置分类浏览;资产类型树图,按照资产的类型分类浏览等等;
资产属性管理:
支持根据需求对属性进行定制,例如编辑资产业务系统信息、编辑节点信息、编辑管理部门和人员信息、编辑资产类型信息、编辑操作系统信息等;
安全域管理:
建立资产所属的安全域信息,建立资产与安全域的关联关系。
资产变更管理:
资产变更管理主要用来跟踪资产属性的变化情况,以列表的形式将所有的变更记录展示出来,提供制定资产管理决策的依据。
资产的关键属性如下:
项目
描述
要求
资产编号
该业务资产的唯一编号
由GeneratorID类直接生成。
此字段在编辑时不可修改
资产名称
该业务资产的助记名称
可为中文,最大长度50个字符。
此字段在编辑时不可修改
固定资产编号
该业务资产的固定编号,一般为用户自己定义
字符串型数据,最大长度为20个字符
所属业务系统
该业务资产所属的上一级业务系统的ID号
此字段在编辑时不可修改。
同时显示平行显示所有业务系统(不包括“未分配”目录)。
资产类型
该业务资产的具体类型编号
在编辑资产时,由用户选择
网络节点
该业务资产所属的网络节点编号
在增加资产时,由用户选择
管理部门
该业务资产所属的部门
在增加资产时,由用户选择
管理员一
该业务资产所属的管理员一
在增加资产时,由用户选择
管理员二
该业务资产所属的管理员二
在增加资产时,由用户选择
主机名称
该业务资产所属主机的Hostname
字符型数据,最大长度为50字符
设备型号
该业务资产的设备型号
字符型数据,最大长度为50字符
序列号
该业务资产的序列号
字符型数据,最大长度为50字符
操作系统
该业务资产所属主机的操作系统名称
在增加资产时,由用户选择
安全域
该资产所属于的安全域属性
在增加资产时,由用户选择
应用软件
该业务资产上所安装的主要应用软件名称
字符型数据,最大长度为50字符
存放地点
该业务资产具体的存放地点
在增加资产时,由用户选择
固定成本
该业务资产的采购成本
浮点型,保留2位小数
保修期
该业务资产的具体保修时间
日期型数据
状态
该业务资产的运行状态
在编辑时由用户选择。
正常、维修、故障、迁移、注消
用途
该业务资产的具体用途
字符型数据,最大长度为256字符
IP地址
该业务资产对应的IP地址
在数据库中由另外一表来维护,资产与IP地址是一对多的关系
相关资产
与该业务资产相关的一些资产
在数据库中由另外一表来维护
性
该业务资产的性赋值
取值围1~5,为整型
性说明
该业务资产性赋值的说明
可为中文,最大长度256个字符
完整性
该业务资产的完整性赋值
取值围1~5,为整型
完整性说明
该业务资产完整性赋值的说明
可为中文,最大长度256个字符
可用性
该业务资产的可用性赋值
取值围1~5,为整型
可用性说明
该业务资产可用性赋值的说明
可为中文,最大长度256个字符
相对价值
该业务资产的安全价值,是性、完整性与可用性的函数值
取值围1~5,为浮点型,保留1位小数。
用户不可修改,由CIA三值计算而来
绝对价值
该业务资产相对于整个企业的绝对价值
浮点型,保留1位小数;用户不可编辑,由系统计算而来
备注
该业务资产的备注信息
可为中文,最大长度256个字符
资产管理有以下几个主要特性:
●属性设定符合ISO17799/BS7799和ISO13335风险评估要求;
●同时具备静态和动态的资产管理,静态资产管理管理当前资产现状,动态资产管理管理资产的变更状况;
●与安全域的结合,资产管理在结合安全域后能够更加精确的计算风险。
3.1.2策略管理模块
制订全网统一的网络安全策略,并有效贯彻执行这些安全策略,不仅有助于提高全网的安全水平,而且将这些安全策略上网发布也有助于知识的共享,让各级安全管理人员合理运用安全策略,有效地管理网络,保障网络的安全运行。
因此,安全策略管理模块将负责全网的基本网络安全策略模板的制订,并将安全策略转换为可执行的脚本,便于策略的有效执行和快速部署。
在安全管理系统统一界面提供安全策略模板和脚本的录入、更新以与查询等管理功能。
提供所有网络产品、安全产品、安全子系统、服务器等的安全管理策略。
安全策略管理模块协助用户制定各种级别的安全策略,实现企业安全策略的快速导入以与安全策略的集中分级管理。
支持安全策略的不同格式的数据导出、安全策略的数据统计、安全策略的定时发布、安全策略评估等功能,实现企业所有安全策略的全流程管理。
策略管理模块主要功能包括策略树、策略发布、策略讨论、策略更新、策略回顾、策略历史操作回顾等。
3.1.2.1模板定制
为添加、修改、发布、更新安全策略提供文档格式的模板定制功能,可以定制的容包括:
安全策略的标题信息,包括:
策略名称、策略领域、生效时间、策略级别、适用围、版本号等等;
安全策略的引用信息,包括:
上级策略、完整性说明、参考信息、相关策略脚本信息等等。
模板详细容参见如下:
项目
描述
策略名称
安全策略的名称
策略文件
显示为安全策略文件的名称,制定者可以将制定好的策略上传到SOC服务器,查阅者可以将策略文件下载到本地阅读
策略领域
指安全策略的所属的安全领域
策略级别
指安全策略的策略级别
业务系统
指安全策略所适用的业务系统
制定者
指该条安全策略的具体制定人
制定时间
指该条安全策略的制定时间
生效时间
指该条安全策略的生效时间
审核人
指该条安全策略的审核人
版本号
指该条安全策略的版本号
状态
该条安全策略目前所属的状态,包括:
“草稿”、“讨论”、“正式”、“删除”
性
指该条安全策略对性方面的要求
性说明
该条安全策略对性方面要求的说明
完整性
指该条安全策略对性方面的要求
完整性说明
该条安全策略对性方面要求的说明
可用性
指该条安全策略对性方面的要求
可用性说明
该条安全策略对性方面要求的说明
备注
该条安全策略附加的描述信息
父策略
该条安全策略上一级的父策略名称
策略脚本
该条安全策略所能够提供的附加推行脚本
3.1.2.2策略的制定和管理
策略制定是安全策略管理的主要功能,可以协助用户对安全策略进行集中统一的管理,其处理流程为:
●从安全策略模板文件中读出安全策略文件格式信息;
●根据安全策略文件格式信息显示安全策略编辑页面;
●导入安全策略文件的正文容;
●对策略文件的标题信息进行修正;
●指定策略文件的上级策略、下级策略、参考信息和策略脚本信息;
●讨论、更新、发布制定的策略文件。
制定一项安全策略的制定和管理流程图如下:
安全策略管理支持多种格式策略文件的导入功能,包括:
Word文档、Excel文档、HTML文档和XML文档。
系统对这些格式的文件进行自动的转换,统一以HTML的形式向用户呈现。
参考信息和策略脚本信息的引入,可以快速地浏览安全策略文件的出处、引用的文档等信息。
策略查询功能提供安全策略的组合条件查询功能,帮助用户快速定位所需要的策略信息。
这些查询条件包括:
策略编号;
策略领域;
生效时间;
适用围;
版本号;
参考信息;
安全策略支持策略树方式呈现策略,包括:
按策略级别;
按策略领域;
按业务系统;
安全策略导出功能可以帮助用户将指定的安全策略文件,按照用户所需要的文件格式导出到指定的存储设备中,可以支持的导出文件格式包括:
Word文件,Windows平台下常用的文件格式,一般用于备份存储;
Excel文件,Windows平台下常用的文件格式,一般用于备份存储;
HTML文件,任何操作平台,一般用于网络发布;
XML文件,任何操作平台,一般用于异构平台的数据交互,如集团公司与省公司之间的安全策略上传下达。
3.1.2.3安全策略的发布
安全策略发布支持的形式有:
E-Mail发布:
以的形式将指定的安全策略发布到相关管理人员;
预警发布:
当某个策略需要紧急发布时采用,将“策略需要被阅读”做为一条告警信息;
工单发布:
当某个策略需要紧急发布时采用,将“策略需要被阅读”做为一条工单信息,预警发布和工单发布可能面对的对象有所不同;
论坛讨论:
当某个策略需要更大围讨论或者分发时,将策略发到论坛中;
安全策略脚本管理对安全策略条款的具体执行脚本进行管理,帮助安全管理人员快速响应安全策略。
安全策略脚本管理功能包括维护脚本名称、脚本责任人、联系、地址、脚本说明等基本信息。
安全策略脚本本身的编写可通过相关的安全服务实现。
3.1.2.4安全策略统计与评估
安全策略统计功能可以帮助用户对安全策略的分级策略、版本信息、区域信息进行综合的分析,其中包括的功能有:
数量统计:
对安全策略文件的数量进行统计,包括策略总数目、分级策略数目;
版本信息:
对用户不同版本的安全策略进行统计分析,查看不同版本安全策略的变更情况;
区域信息:
对安全策略的区域信息进行统计分析,查看不同区域安全策略的制定情况。
安全策略评估功能支持用户对安全策略自身进行评估,发现策略自身存在的问题,形成风险信息,统一进入安全风险管理模块进行管理。
将安全策略统计和评估功能结合起来,能有效的帮助用户对现有管理体系进行审计,可以发现管理体系存在的缺失,例如企业在运行维护管理上很有经验,但是在安全组织建设上缺乏相应制度;同时可以发现具体安全策略的问题,例如某个安全策略可能由于某种原因很难实施等等。
3.1.2.5安全策略数据结构
安全策略的基本数据结构如下:
项目
数据库字段名
描述
策略名称
Name
安全策略的名称
策略文件
Path
安全策略文件的地址
策略领域
Domain
按照BS17799规,此安全策略所属的领域
策略级别
Plevel
安全策略的级别
业务系统
Range
安全策略适用于的业务系统名称
制定者
Creator
安全策略的制定者
制定时间
Createtime
安全策略的制定时间
生效时间
Validtime
安全策略的生效时间
审批人
Auditor
安全策略的审批单位/人
版本号
Version
此安全策略的版本号
状态
Status
安全策略目前的状态,包括:
草稿、讨论、正式、撤消等等状态
评估
Assessid
此安全策略的评估名称
性
Cvalue
安全策略性属性赋值
性说明
Cremark
安全策略性属性赋值说明
完整性
Ivalue
安全策略完整性属性赋值
完整性说明
Iremark
安全策略完整性属性赋值说明
可用性
Avalue
安全策略可用性属性赋值
可用性说明
Aremark
安全策略可用性属性赋值说明
备注
Description
父策略
Prepolicy
此安全策略的上一级策略名称
策略脚本
Script
该安全策略可执行的策略脚本
3.1.3安全知识库管理
安全知识库主要提供漏洞库类型统计、事件库类型统计、工单经验库类型统计、病毒库类型统计和补丁库类型统计。
漏洞库类型统计是根据SOC的标准分类标准统计各漏洞信息分布情况,帮助安全运维人员熟悉漏洞库的状况,便于日常运维和知识提高。
事件库类型统计是根据SOC的标准分类标准统计各安全事件信息分布情况,帮助安全运维人员熟悉事件库的状况,便于日常运维和知识提高。
工单经验库类型统计是根据SOC的标准分类标准统计各工单经验信息分布情况,帮助安全运维人员熟悉工单库的状况,便于日常运维和知识提高。
病毒库类型统计是根据SOC的标准分类标准统计各病毒信息分布情况,帮助安全运维人员熟悉病毒的状况,便于日常运维和知识提高。
补丁库类型统计是根据SOC的标准分类标准统计各补丁信息分布情况,帮助安全运维人员熟悉补丁的状况,便于日常运维和知识提高。
3.1.4安全公告模块
此模块的主要功能是提供与安全相关的公告信息,公告的来源包括来自于神码定期发布的安全公告包,甚至安全专员手工发送的安全公告信息。
安全公告是一种正式的安全信息发布平台,用于提升整个企业或部门的安全水平。
安全公告类型有紧急通知、漏洞信息、安全公告等。
安全公告系统通过新建公告、审核公告和发布公告等操作来实现安全公告的推行,使公司了解最新安全公告,与时应对最新的安全风险。
安全公告功能是SOC安全管理平台的重要功能之一,也是安全专员需要定期访问的功能,操作系统、第三方设备厂商定期发布的漏洞升级包可以在安全公告中发布,重要的安全公告需要通过安全工单系统在全网运维,保证所有操作系统、第三方设备的漏洞都得到修正,打上相应的补丁,保障全网的安全。
安全公告的数据结构如下:
项目
描述
主题
该安全公告的主题。
发布人
该安全公告的发布人、单位等信息。
发布时间
指该公告的发布时间。
公告类型
安全公告类型有:
紧急通知、漏洞信息、安全公告等。
重要性
指该公告的重要性程度:
高、普通、低三种程度。
接收部门
安全公告的具体接受部门。
综述
该公告的详细信息。
受影响的软件
指受公告影响的软件。
不受影响的软件
指不受公告影响的软件。
解决方案
针对该公告具体的解决方案。
3.2安全风险管理
3.2.1事件管理中心
事件管理中心主要关注于SOC安全管理平台实时发现的安全事件信息,并通过SOC安全管理平台所具备的事件关联分析技术将真实对业务系统构成威胁的安全事件呈现给用户,进行安全运维。
3.2.2风险管理中心
通过风险管理模块可以全面掌握全网各个系统资产的脆弱性以与威胁情况,并综合分析风险信息以与现有的安全措施的情况,计算全网(包含资产、系统和域)的安全风险状态。
在掌握全网风险状态的基础上,可以有效地开展风险控制工作:
发布预警信息,指导各级安全管理机构与时调整相应设备,开展有针对性的安全工作。
3.2.2.1漏洞威胁管理
该模块实现对IP网络中主机系统和网络设备安全漏洞信息的收集和管理。
可以选择配备远程漏洞评估工具,与时掌握网络中各个系统的最新安全风险动态。
漏洞威胁管理模块所包含的功能如下:
威胁管理:
系统定义威胁类型、威胁程度以与发生的概率,用户还可以对系统定制的威胁进行编缉,同时也可以增加新的威胁;
漏洞信息编辑:
支持漏洞信息的添加、修改以与删除功能;
漏洞信息导入:
支持第三方漏洞评估产品扫描结果的导入,包括神码、三星、ISS等漏洞扫描器。
导入过程将依据扫描作业的工具和时间对漏洞进行标识;
漏洞/威胁信息查询:
支持漏洞/威胁各项属性关键字查询;
漏洞/威胁信息导出:
对存在的漏洞/威胁信息支持Word、Excel、文本、HTML等格式的结果输出以与打印输出;
漏洞/威胁统计分析:
支持以漏洞/威胁各项属性为索引的统计分析,例如系统漏洞/威胁分布图表、漏洞/威胁等级分布图表、资产漏洞/威胁分布图表、TOPN、漏洞/威胁变化表(每个月新发现的漏洞/威胁数、消除的漏洞/威胁数、残留的漏洞/威胁数)、漏洞/威胁趋势分析图等;
资产树:
以树图形式列出所有资产,方便用户对该资产存在的漏洞信息进行浏览和操作,树图根依次为所属业务系统、所属节点和资产类型;
漏洞自动发现:
针对神码网警漏洞扫描器,可以在统一界面中设定扫描的时间、频率和策略,支持扫描结果自动导入漏洞库;
漏洞属性管理:
支持根据需求对属性进行定制,例如编辑厂商信息、漏洞类别信息,其中系统将置部分漏洞厂商信息和漏洞类别信息;
3.2.2.2整体管理
风险管理中心从使用上被分为风险管理和全网风险管理,两者的结合使用能够从整体和局部一起对风险进行分析。
风险管理中用户可以看到与本业务部门相关的安全风险信息,这些安全风险信息默认以风险绝对值进行排序。
此风险值代表本业务部门的风险状况,和其他部门没有关系,安全专员或安全运维人员可以通过此页面发现本部门相关资产存在的安全风险。
风险管理适用于部门级的维护。
全网风险管理与风险管理的本质区别在于更关注企业整体所面临的安全风险,它默认为以安全风险的严重程度从高向低排序,紧盯企业最需要解决的安全风险。
例如:
A部门可能发生的都是级别为中的安全风险,但因为A部门是核心部门,关系到企业的经济命脉,所以综合评定的风险影响值很高,在企业整体风险中排名靠前;与此同时B部门可能发生的是级别为高的安全风险,但因为B部门是二线部门,所以综合评定的风险影响值较低,在企业排名靠后。
针对所有风险,风险识别模块均建立相关模型,实现如下功能:
风险呈现:
支持不同风险模型关联后的风险呈现。
风险检索:
检索某一条安全风险信息的详细信息,包括该风险所涉与的资产、该资产上的漏洞情况、利用此漏洞已经发生的安全事件详细列表等信息。
风险跟踪:
跟踪指定目标(资产)、指定时间围所发生的所有安全事件,以与该目标资产中安全事件可能利用到“漏洞类”中的所有“漏洞”。
风险白:
所有列在风险白中的风险信息在预警时进行豁免处理,白功能具有时效性,在超过指定的豁免时间后,进行正常的预警操作。
风险黑:
所有列在风险黑的风险均以最高级别进行预警,用户可以优先看到这些预警信息。
风险信息查询:
支持各种风险模型下,风险各项属性关键字条件组合查询;
风险统计分析:
支持各种风险模型下,以资产各项属性为索引的统计分析,例如系统风险分布图表、风险等级分布图表、资产风险分布图表、TOPN、风险变化表(每个月新发现的风险数、消除的风险数、残留的风险数)、风险趋势分析图等;
资产树:
以树图形式列出所有资产,方便用户对资产存在的风险进行浏览和操作,树图根依次为所属业务系统、所属节点和资产类型;
风险响应设置:
系统定义响应策略包括:
预警、生成工单、EMAIL、SNMPTRAP、短信、其他定制方式等。
安全风险模型充分考虑了资产环境(安全域)、资产、漏洞和事件之间的关系,建立了风险模糊匹配模型,不再割裂地看待漏洞与事件。
同时对于企业用户最关心的病毒、DDOS和主体倾向事件也做了专门地呈现。
安全风险模型示意如下:
其中:
事件是指用户网络中出现的具体的安全事件,例如IDS发现的入侵事件、FW的日志、审计产品的日志等等。
威胁的标准定义为威胁将利用漏洞对系统造成损害。
威胁是事件和漏洞的联系纽带,因此威胁的设定应当综合各种情况,包括安全事件产品的事件类情况和漏洞情况来建立。
漏洞包括扫描器的漏洞和人工评估的具体漏洞。
安全域:
依据不同的保护等级、资产特性、环境、威胁等因素,资产将被赋予安全域属性。
安全域属性能够向用户表明该资产需要特定的保护等级,同时,通过本属性,能够了解到何种威胁对该资产起作用,可能性多大,该值可以认为是构成威胁可能性的一部分。
风险模型的数学表达或为:
风险=F(资产价值,漏洞值,威胁影响值,威胁可能性)
威
升级会员 