泰合安全运营中心解决方案.docx
《泰合安全运营中心解决方案.docx》由会员分享,可在线阅读,更多相关《泰合安全运营中心解决方案.docx(32页珍藏版)》请在冰豆网上搜索。
泰合安全运营中心解决方案
泰合信息安全运营中心系统(TSOC)
XXXX项目解决方案建议书模板
北京启明星辰信息技术股份有限公司
BeijingVenusInformationTech.Inc.
二零一二年五月
1安全管理中心总体方案
北京启明星辰信息技术股份有限公司泰合信息安全运营中心系统解决方案(以下简称“安全管理中心”)以实用性和可扩展性为设计指导思想,将安全管理员从复杂的设备配置和海量日志信息中解脱出来,把精力专注于发现和处理各种重要安全事件;同时又将各自独立的安全设备组成为一个有机的整体,通过基于资产管理的事件关联分析和管理,及时发现安全风险、安全事件和业务安全隐患,并结合安全策略和安全知识的管理,提供多种安全响应机制,从而使得客户能够实时掌控网络的安全态势。
安全管理中心与客户可以已经部署的各类安全设备形成一个完整的安全保障体系,从而实现了高效、全面的网络安全防护、检测和响应。
它完全具备监控、预警、响应、追踪等功能,并具备可审计功能,即对内部安全管理人员的相关操作进行日志记录。
遵循的标准
安全管理中心总体设计及实施遵循以下标准和规范:
遵循的国际国内标准和规范
安全管理中心建设服务服从信息安全风险评估方法按照国信办颁发的《关于印发<信息安全风险评估指南>的通知》(国信办【2006】9号)
ISO-17799/BS7799/ISO27001信息安全管理体系国际标准,
公安部颁布的《信息安全等级保护管理办法(试行)》及相关规定
CC–ISO15408和GB/T18336信息技术安全性评估准则
ISO-13335IT安全管理指南
工作流管理联盟WFMC定义的工作流标准
软件开发服从CMM要求
参考的企业标准、规范和指南
信息安全保障框架(VISAF)系列模型
图1.VISAF模型
VISAF的保障功能要素模型(FEM---FunctionElementModel),或者用缩写表达式表示为AST(PPT*AIDARC)。
这个模型提出安全的最根本问题是被保护的资产、对于资产的威胁和防护措施。
防护措施又分为人(组织)、过程(策略、运营)和技术三个大方面。
技术则形成一个AIDARC模型。
鉴别和认证Identification&Authentication
逻辑访问控制AccessControl
检测、监控和预警Detection,Monitoring&Earlywarning
审计和跟踪AuditTrail
恢复和冗余Redundancy&Recovery
内容安全ContentSecurity
平台总体方案体系架构
功能体系架构
安全管理中心主要由以下部分组成:
资产信息管理模块、安全事件/业务监控管理模块、脆弱性管理模块、漏洞关联分析、统计关联分析和基于规则的关联分析模块、宏观趋势分析模块、流量分析模块、基线管理模块、风险评估管理模块、安全策略管理模块、网元管理模块、统一安全预警模块、综合显示和报表报告系统、响应管理系统、安全信息管理、系统健康管理和用户管理模块组成。
其功能体系架构如下图所示:
图2.功能体系结构
平台软件架构
安全管理中心软件总体体系架构如下图所示:
图3.软件总体结构
整个系统分为SMC、DAC和V-SIMS三部分。
SMC:
安全管理中心,安全管理中心以B/S/D三层架构实现监控、管理、响应、报表等功能;
DAC:
数据分析中心,其以后台服务方式实现综合分析、关联分析、资产发现、脆弱性信息采集分析等数据分析处理功能;
V-SIMS:
安全信息管理系统,它完成了安全信息的采集、过滤、聚并、入库等功能。
便于实现分布分级部署事件采集引擎。
安全管理中心按照三层软件架构体系设计,如下图所示:
图4.泰合信息安全运营中心三层体系结构
2平台的功能特点
安全管理中心的系统平台包括下列核心模块/功能:
统一入口模块
资产管理模块
脆弱性管理模块
事件安全管理模块
关联分析模块
宏观趋势分析模块
流量分析模块
基线管理模块
安全策略管理模块
网元管理模块
工作流管理模块
设备控制管理模块
多级管理模块
风险管理模块
安全预警模块
安全策略文档管理模块
安全知识管理模块
综合信息显示与报表模块
响应管理模块
用户管理模块
系统自身健康管理模块
下面将对这些模块的功能及技术实现作逐一描述。
系统平台WEB门户入口界面
统一WEB门户入口界面所提供的基本功能如下:
针对整个管理信息平台,提供用户集中管理的功能,对用户可以访问的资源进行细致的划分;
用统一的系统管理接口,各子信息系统的界面统一;
发布最新的漏洞说明、攻击特征说明;
具备安全可靠的分级及分类管理功能,具体要求支持用户的身份认证、授权等功能;支持用户口令修改;支持不同的操作员具有不同的数据访问权限和功能操作权限,系统管理员应能对各操作员的权限进行配置和管理;
系统设计采用模块化,具有良好的可扩展和自开发能力,能针对用户录入、删除、修改密码等功能分不同模块,以便针对以后不同的需求进行分模块修改;
系统有完整的安全控制手段,对用户和系统管理员的权限进行分级管理,相应的账号和口令都是加密后存放在数据库中的。
充分保证了用户信息的安全性。
对系统操作员的密码有安全保障机制;
用户数据管理严格,每天增量备份,保证其完整性和一致性,所以在系统出错的情况下,用户数据是安全的。
模块之间的敏感数据传输是加密的,因此TSOC组件之间的通信安全是可靠、安全的。
资产与业务域管理
在信息安全的资产管理系统中一个重要的概念是业务单元(BU)或称资产的逻辑网络区域,BU是企业业务的重要组成部分,它是各个资产的组合。
在资产管理中,BU的视图也是我们展示的一个重点。
资产的BU可以是在安全管理中心建设时依据事前风险评估划分出来的不同的安全域进行管理。
安全管理中心系统产品的资产管理属性集包含了客户所要求管辖的资产信息属性要求。
资产信息管理模块的域管理具备以下功能:
支持具有相同资产属性的域管理方式。
支持自动同步在不同域下的资产属性管理。
支持资产的域继承功能。
允许用户根据业务系统、网段等不同的属性对信息系统进行安全域划分。
支持同一资产隶属不同的安全域,支持多层次安全域管理。
用户可以对安全域进行重要性赋值。
用户可以对安全域进行事件监控、风险监控和脆弱性评估,了解其安全状况。
在某种程度上可以作为下级单位的信息安全建设考核指标参考。
域风险历史查询:
提供多种条件的安全域风险查询工具,可以更好地关注重要安全域的风险状况。
域配置:
提供各级安全域的添加、删除、修改维护功能,以及资产移入、移出安全域的功能。
资产管理
资产是企业、机构直接赋予了价值因而需要保护的东西。
它可能是以多种形式存在,有无形的、有有形的,有硬件、有软件,有文档、代码,也有服务、企业形象等。
它们分别具有不同的价值属性和存在特点,存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。
为此,有必要对企业、机构中的信息资产进行科学分类,以便于进行后期的信息资产抽样、制定风险评估策略、分析安全功能需求等活动。
所要管理资产(含安全设备、网络设备及主机及应用系统)包括:
【本处需要修改,调整为客户被管设备列表。
下表仅为示例。
】
序号
编号
类型
型号
数量
日志采集方式
支持情况
支持条件备注
1
Router1
城域网核心路由器
QuidwayNetEngine80E
1
Syslog
支持
2
Virus
防病毒软件
瑞星
900点
SNMP
支持
概括来讲,资产管理过程包括:
资产信息获取、配置,风险计算,结果呈献三个主要过程。
图5.资产管理工作过程
资产管理工作过程在平台中的实现如下:
遵循BS7799/ISO17799/ISO27001和ISO13335的资产管理规范,允许对信息资产的价值进行有效评估,从而确定信息资产的安全需求(完整性需求、保密性需求和可用性需求),可以协助用户有效管理信息资产的各类属性。
资产可通过手工录入、excel模板下载批量导入和资产自动发现的方式录入。
录入的资产具有详细的信息描述以及CIA特性(保密性、完整性、可用性)。
资产的CIA特性参与风险计算,用于计算资产风险和整体风险趋势。
通过用户界面对资产信息进行详细、直观的图表化展示。
平台支持资产状况信息批量导出,形成文档备份,便于日后查询。
显示界面示例如下图:
图6.域与资产管理
业务域管理
业务域由若干资产所组成,可以继承资产的属性,如资产CIA、资产权重等,同时参与风险计算。
业务域管理包括:
业务域配置、风险计算、结果呈献三个主要过程。
图7.业务域管理工作过程
业务域管理工作过程在平台中的实现如下:
对业务域进行配置,业务域中应该包括所包含资产信息、资产权重,同时对业务域进行必要的描述和标识。
对指定业务域可进行手工增加、录入资产信息,也可从已有资产信息库中批量选择导入资产信息。
业务域的CIA特性由所包含资产的CIA特性决定,参与风险计算,用于计算业务域风险和整体风险趋势。
用户界面对业务域资产分布、业务域风险进行图形化、直观的展示。
业务域实例:
漏洞信息采集与脆弱性管理
漏洞信息采集
漏洞信息采集包括:
多种方式漏洞信息采集、结果输入脆弱性管理模块两个主要过程。
漏洞信息采集在平台中的实现过程如下:
接收漏洞扫描器的扫描结果。
对于平台不支持的扫描器类型,可将扫描结果按照模板规范化后通过人工方式导入。
将人工审计信息通过模板规范化后人工导入。
通过漏洞信息采集模块将上面几种信息输入方式进行收集和处理后送给脆弱性管理模块,进行脆弱性关联(漏洞关联)分析,参与风险计算后将结果呈现。
脆弱性管理
脆弱性管理能够通过人工审计(风险评估)和漏洞扫描工具两种方式,收集整个网络的弱点情况并进行统一管理,对收集的信息进行统一的范式化处理后,对脆弱性信息提供查询和展现功能,使得管理人员可以清楚的掌握全网的安全健康状况。
平台目前提供与主流远程评估产品的接口,完成远程脆弱性信息的搜集。
支持远程评估产品为:
天镜、极光、Nessus等主流漏洞扫描产品。
脆弱性管理模块主要功能如下:
配置天镜漏洞扫描系统;
能够将漏洞扫描软件的扫描结果导入系统;
能够将多次扫描的结果进行归并分析,得出更为精确的扫描结果;
能够将扫描结果与资产的原有属性进行比较,并给出冲突项提交用户确认;
支持资产的脆弱性管理,允许查看资产和安全域的脆弱性指标;
提供基于漏洞的关联,自动判断当前发生的信息安全事件是否真的对目标资产构成威胁,对于并不存在相关漏洞的事件,系统会自动降低其优先级,对于存在相关漏洞的事件则提升其优先级,使得用户可以更专注于真正会造成危害的事件。
脆弱性管理包括:
漏洞扫描和人工审计信息采集、资产/业务域关联分析、结果呈献三个主要过程。
图8.脆弱性管理过程
脆弱性管理在平台中的实现如下:
通过天镜脆弱性扫描系统对资产进行定期自动扫描或手工扫描。
资产的扫描和人工审计所发现的脆弱性信息输入脆弱性管理模块。
脆弱性信息与资产信息进行关联并参与风险计算。
通过整体脆弱性展示,脆弱性排名等进行直观的脆弱性展示。
支持脆弱性数据查询和整体数据导出。
图9.脆弱性管理
事件/业务安全监控管理
事件/业务安全监控模块负责实时监控网络的安全事件。
通过事件/业务安全监控模块监控网络各个网络设备、主机应用系统等日志信息,以及安全产品的安全事件日志信息等,及时发现正在和已经发生的安全事件,协助进行安全决策,确保网络和业务系统的安全、可靠运行。
事件采集与整合
通过部署在事件采集服务器上的安全管理中心的事件集中采集系统--V-SIMS系统,在泰合信息安全运营中心所管辖网络和系统上的不同安全信息采集点(网络设备、主机系统,而且还涵盖已经部署的安全系统,包括入侵防御系统、VPN系统、防火墙系统、IDS系统、审计系统、防病毒系统等等),集中收集安全事件到泰合信息安全运营中心中的安全管理服务器进行处理,即:
根据可预先定义的配置进行聚并、过滤处理、并把各种类型的安全数据格式化成统一的格式,从而实现了安全事件的集中收集和处理,具备了实时事件/业务安全监控能力,又可利用安全事件查询的功能和强大的数据挖掘统计分析功能,具备了事后调查取证的能力。
信息安全事件管理中心的事件集中采集系统(V-SIMS)是完全具有自主知识产权的软件产品,属于泰合信息安全运营中心系统的一部分,包括管理服务(MS)、事件收集器(EC)、专用/通用代理管理(UAM)、专用/通用代理引擎(UAE)、专用/通用日志策略编辑器(UAPE)几个部分,负责在事件收集器和安全设备之间通信,用于采集、范化并上报安全设备的报警日志,同时采集并上报安全设备的状态,并提供对多种安全设备的管理能力。
V-SIMS系统拥有专用代理/通用代理(UniversalAgent)用以支持不同的设备及系统,V-SIMS引入的集中监管、分布式部署的多级管理体系,全面符合多级、分布式、跨地域的各类业务的管理模式,真正实现分布式产品的结构统一协调管理,建立安全信息的全局管理机制。
只有能够进行整个网络范围内的部署,才能管理整个网络中的安全设备,也才能够进行全网的事件管理。
全网范围内V-SIMS的分布式部署可能是不同城市、不同地区、甚至不同省份、不同国家的分布,这与网络规模和网络拓扑是相关的。
通过分布式分级部署,可以实现将各个独立的子系统连成一个分布式的整体安全事件采集体系。
安全事件采集包括:
分布代理收集信息、安全事件采集过滤、事件关联分析、结果输出展示几个主要过程。
事件集中采集系统--V-SIMS系统部分操作界面视图如下图所示:
图10.事件集中采集系统-过滤条件
图11.事件集中采集系统-添加新元件
目前,安全管理中心的事件集中采集系统--V-SIMS系统通过各种专用代理已经能够支持国内外主流的安全设备:
入侵防御系统、邮件过滤网关、抗拒绝服务攻击系统、VPN系统、防火墙系统、入侵检测系统、防病毒系统、漏洞扫描系统、安全审计系统等;主流操作系统:
Windows操作系统(NT/2000/XP/2003)、支持主流Linux系统,支持主流Unix系统等;主流应用程序:
Web、Mail、DNS等。
安全管理中心的事件集中采集系统--V-SIMS系统拥有通用代理工具包通过配置就完全支持SNMP、SYSLOG、ODBC、WMI等方式采集事件日志。
针对特定系统的日志格式,利用通用代理工具包配置实现。
事件/业务安全可视化监控
事件/业务监控模块及综合显示报表报告模块其功能完全满足以下要求:
1.事件显示和查询功能
提供丰富的事件显示和查找的功能,以便管理员对非法入侵事件和行为有很好的追踪和分析处理。
支持提供多种查询处理的方式,可以根据事件的各个字段来设定的过滤条件,查询到相关的事件记录;
支持传统的网格、线形图、圆饼图、条状图、区域图和重叠区域图等多种方式来显示特定事件;
支持用于关联业务情况的自定义事件图,并能满足业务网络和逻辑网络的多级显示;
支持在选定事件的范围内,根据事件的不同查询条件进行图形化显示。
2.支持安全态势的实时监视
支持按照资产类别、事件关联关系、地理事件图形、时间、最后状态、系统特征、特点前几位等类型进行实时监视;
支持过滤事件的各个字段进行自定义实时监视。
3.支持在线和离线的事件可视化
安全管理中心事件/业务监控模块部分显示界面示例视图如下:
根据需要,可通过配置监控条件及过滤条件的客户化实时事件监控界面
高危事件监控界面:
图12.事件监控-高危事件
域风险拓扑显示和GIS显示界面:
图13.全局域拓扑展示
图14.SOC安全域拓扑展示
事件报表报告界面示例
图15.高报警设备
宏观趋势分析
宏观趋势分析功能提供了对安全事件监测上报的事件和流量信息,进行综合的模型分析,并提供宏观的展示和丰富报表功能。
同时,系统自身对提供从宏观到微观的详细展示功能。
熵模型:
通过安全事件检测功能上报上来的事件,网络态势感知监控系统对所有的事件按照上报的引擎分类进行计算源地址熵和目的地址熵,同时也计算出源、目的地址熵的每个时间点的基线值。
利用EWMA的算法,判断当前时刻的熵值与学习期间的熵值相比判断各个线路的地址熵数据是否异常。
三元组模型:
通过安全事件检测功能上报上来的事件,网络态势感知监控系统对所有的事件按照上报的引擎分类进行,然后对事件按照<源地址、目的地址和事件类型>三个维度进行全组合分析,找出各个线路各种组合排名靠前的TopN的数据,并罗列出汇总的信息。
单一方式攻击:
源地址、目的地址、事件类型均相同的事件集合,说明:
攻击者采用同一方法,对同一目标进行反复攻击的态势。
多种攻击方式:
源地址、目的地址相同,事件类型任意的事件集合,说明:
攻击者尝试多种方法,对同一目标进行反复攻击的态势。
查找攻击目标:
源地址、事件类型相同,目的地址任意的事件集合,说明:
攻击者采用同一方法,查找可利用的目标的态势。
遭受同种攻击:
目的地址、事件类型相同,源地址任意的事件集合,说明:
同一目标被多个攻击者采用同种方法反复攻击的态势。
主要攻击来源:
源地址相同,目的地址、事件类型任意的事件集合,说明:
发出最多攻击事件主机的态势。
濒危受害目标:
目的地址相同,源地址、事件类型任意的事件集合,说明:
被攻击次数最多的主机的态势。
频发事件排名:
事件类型相同,源地址、目的地址任意的事件集合,说明:
被利用最多的攻击事件的态势。
热点事件模型:
通过安全事件检测功能上报上来的事件,网络态势感知监控系统对各个引擎关注的热点事件进行汇总,并分析每个引擎的每类事件的发展趋势,同时根据发展趋势和热点事件的历史基线指标进行对比,来判断各个线路的事件的发展趋势是否异常。
事件数量模型
本模型根据监控当前日志事件的在一段检测期中,各种类型事件的数量数目,来分析当前被监控网络中安全的态势指标是否有异常,并对总体的安全态势起到数据支撑的作用。
事件扩散模型
本模型根据监控当前日志事件的在一段检测期中,各种类型事件的数量变化,来分析当前被监控网络中安全的态势指标是否有异常,并对总体的安全态势起到数据支撑的作用。
综合关联分析
综合关联分析完成各种安全关联分析功能,关联分析能够将原始的设备报警进一步规范化并归纳为典型安全事件类别,从而协助使用者更快速地识别当前威胁的性质。
系统提供三种关联分析类型:
基于规则的事件关联分析、统计关联分析和漏洞关联分析。
根据此关联分析模块的功能,结合客户业务应用系统的事件特征、分析与制定安全域与业务安全控制策略和基于业务应用的流程异常监控,制定相关的特定关联分析规则。
关联分析包括:
对安全事件的规则关联、统计关联,对安全事件和安全漏洞的漏洞关联,结果输入风险管理模块几个主要过程。
图16.综合关联分析
规则关联分析
基于规则的事件关联分析是把各种安全事件按照时间的先后序列与时间间隔进行检测,判断事件之间的相互关系是否符合预定义的规则,从而触发分析总结出来的关联分析后事件。
配置关联分析规则显示界面示例:
图17.基于规则的关联分析
统计关联分析
统计关联分析是用户通过定义一定时间内发生的符合条件的事件量达到规定量,从而触发关联事件。
图18.统计关联分析
漏洞关联分析
漏洞关联分析是系统收集到的事件对应的漏洞编号或端口与系统中存在的资产的漏洞编号或端口号符合,从而触发关联事件。
目的是为了进一步降低系统的误报率。
图19.漏洞关联分析
流量分析模型
关于流量分析,我们从流量的角度来审视当前被监控网络内的安全态势情况,并为流量数据建立了各种模型,模型从整体,到局部,然后到细节分成总体流量、协议流量、端口流量和应用流量四个模型进行对流量数据进行分析。
平台也从总体到局部最后到细节全方位的来分析我们的安全态势。
总流量模型
根据流量基线算法,我们需要计算出被监控网络内总体流量基线,本模型对监控网络内的总体流量进行实时计算分析,根据学习到的总体流量的基线数据分析出当前流量是否异常。
同时,总体流量指标也是流量总体安全分析的基础数据之一。
协议流量模型
根据流量基线算法,我们需要计算出被监控网络内协议流量(TCP,UDP,ICMP,其他协议)基线,本模型对监控网络内的上述协议流量进行实时计算分析,根据学习到的上述协议流量的基线数据分析出当前各种协议流量是否异常。
同时,协议流量指标也是流量总体安全分析的基础数据之一。
端口流量模型
根据流量基线算法,我们需要计算出被监控网络内端口流量(注:
端口是用户可以进行自定义,用户可以根据需要配置相应端口数据,例如80,21等端口)基线,本模型对监控网络内的上述端口流量进行实时计算分析,根据学习到的上述端口流量的基线数据分析出当前各种端口流量是否异常。
同时,端口流量指标也是流量总体安全分析的基础数据之一。
应用流量模型
根据流量基线算法,我们需要计算出被监控网络内应用流量(注:
应用流量是用户可以进行自定义,用户可以根据需要配置相应端口和IP地址)基线,本模型对监控网络内的上述应用流量进行实时计算分析,根据学习到的上述应用流量的基线数据分析出当前各种应用流量是否异常。
同时,应用流量指标也是流量总体安全分析的基础数据之一。
基线管理
本系统从原来的单一的日志数据,扩展到日志和流量两种数据来分析网络内的安全态势问题,同时增加了更多的模型来帮助用户解决安全问题。
针对这些模型,我们为每个模型都建立了相应的基线。
TSOC的基线是动态基线,系统会通过自学习的过程为每个模型动态的建立起相应的基线,为每个模型分析安全态势提供了理论依据。
基线的学习周期用户可以根据自己的需要来配置,这个版本中,我们引入了如下的基线:
1地址熵基线
2热点验证基线
3高级事件数量基线
4高级事件扩散基线
5流量基线:
流量基线中包含了总体流量、协议流量、端口流量和应用流量基线
安全策略管理
安全策略管理模块可充分利用风险评估的结果进一步完善网络的安全策略管理体系建设,为全网安全运行管理人员提供统一的安全策略,为各项安全工作的开展提供指导,有效解决因缺乏口令、认证、访问控制等方面策略而带来的安全风险问题。
图20.安全策略管理
网元管理功能
拓扑监控
1)能发现网络的拓扑结构,并提供图形方式的拓扑结构展现
2)通过接收Trap信息和主动轮询两种方式及时地发现网络节点发生的各种故障,及时告警,通知管理员进行相关检查和管理
3)能在拓扑图上通过扩展能够显示cpu、内存、硬盘等信息
4)提供关于链路的连通性等信息
网元状态监控
1)能够监控网络设备、安全设备、主机等的状态信息
2)能够采集cpu、内存、延时等状态信息并且图形化展示
3)可以监控端口流量信息
TCP端口监控
可以监控指定ip地址的端口状态信息
数据库监控
1)支持对数据库状态信息的采集。
装填信息包含但不限于:
数据库类型、数据库服务器主机名、数据库服务器ip地址、数据库版本、数据库缓冲区大小、表空间利用率、数据库会话连接数、lock信息等
2)能够支持oracle、sqlserv
升级会员 