汉邦云安全管理平台解决方案.docx
《汉邦云安全管理平台解决方案.docx》由会员分享,可在线阅读,更多相关《汉邦云安全管理平台解决方案.docx(23页珍藏版)》请在冰豆网上搜索。
汉邦云安全管理平台解决方案
汉邦云安全管理平台解决方案
北京北信源软件股份有限公司
2010年10月
1前言
为了不断应对新的安全挑战,越来越多的行业单位和企业先后部署了防火墙、UTM、入侵检测和防护系统、漏洞扫描系统、防病毒系统、终端管理系统等等,构建起了一道道安全防线。
然而,这些安全防线都仅仅抵御来自某个方面的安全威胁,形成了一个个“安全防御孤岛”,无法产生协同效应.更为严重地,这些复杂的IT资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件,形成了大量“信息孤岛”,有限的安全管理人员面对这些数量巨大、彼此割裂的安全信息,操作着各种产品自身的控制台界面和告警窗口,显得束手无策,工作效率极低,难以发现真正的安全隐患。
另一方面,企业和组织日益迫切的信息系统审计和内控要求、等级保护要求,以及不断增强的业务持续性需求,也对客户提出了严峻的挑战。
对于一个完善的网络安全体系而言,需要有一个统一的网络安全管理平台来支撑,将整个网络中的各种设备、用户、资源进行合理有效的整合,纳入一个统一的监管体系,来进行统一的监控、调度、协调,以达到资源合理利用、网络安全可靠、业务稳定运行的目的。
2安全现状
2.1问题和需求分析
在历经了网络基础建设、数据大集中、网络安全基础设施建设等阶段后,浙江高法逐步建立起了大量不同的安全子系统,如防病毒系统、防火墙系统、入侵检测系统等,国家主管部门和各行业也出台了一系列的安全标准和相关管理制度.但随着安全系统越来越庞大,安全防范技术越来越复杂,相关标准和制度越来越细化,相应的问题也随之出现:
1、安全产品部署越来越多,相对独立的部署方式使各个设备独立配置、管理,各产品的运行状态如何?
安全策略是否得到了准确落实?
安全管理员难以准确掌握,无法形成全局的安全策略统一部署和监控。
2、分散在各个安全子系统中的安全相关数据量越来越大,一方面海量数据的集中储存和分析处理成为问题;另一方面,大量的重复信息、错误信息充斥其中,海量的无效数据淹没了真正有价值的安全信息;同时,从大量的、孤立的单条事件中无法准确地发现全局性、整体性的安全威胁行为。
3、传统安全产品仅仅面向安全人员提供信息,但管理者、安全管理员、系统管理员等不同的角色都需要从不同的角度了解安全的状况,包括整体的安全态势和全局的安全信息等。
4、安全管理员每天面对复杂的网络环境和形形色色的安全事件,通过一个系统帮助他们正确理解安全事件,并自动化的调整安全策略,或将其分配到不同的系统管理员去人工处理并跟踪处理结果,是安全运维的切实需求.
上述问题和需求,决定了安全管理运营中心(SOC:
SecurityOperationCenter)已成为网络安全建设的新重点.安全管理运营中心,也称为安全管理平台,之所以称为SOC,是与NOC(NetworkOperationCenter,即网络运行中心)相对应而言.NOC强调对客户网络进行集中化、全方位的监控、分析与响应,实现体系化的网络运行维护。
SOC强调各个分离的安全体系统一管理、统一审计、统一运营,形成一个完整的安全保障体系,从而实现了高效、全面的网络安全防护、检测和响应。
从这个阶段开始,网络安全开始走上统一安全的新台阶。
2.2传统SOC面临的问题
传统SOC保证信息资产的安全,采用集中管理方式统一管理相关安全产品,搜集所有安全信息,并通过对收集到的各种安全事件进行深层的分析,统计和关联,及时反映被管理资产的安全基线,定位安全风险,对各类安全事件及时提供处理方法和建议的安全解决方案。
但总体而言,传统SOC系统在建设的过程中通常也存在一些问题,主要表现在如下方面.
(1)管理信息模型缺乏
在典型的网络中,SOC系统需要管理多种安全设备,并与这些安全设备之间实现互操作来阻断或者消除安全攻击或者安全事件。
为了更好地保障安全,部署的各种设备之间应该实现互操作,共同解决企业中的安全问题。
目前的安全设备或安全系统缺乏统一的管理信息模型,SOC系统在管理不同厂家生产的同一类安全设备时,只能分别根据不同厂家产品提供的管理接口进行相应的管理以及信息获取,这样就难以在SOC系统中形成统一的对安全设备的管理功能。
同类设备之间缺乏统一的管理信息模型导致不同的安全设备之间难以实现互操作,如防火墙和IDS之间。
在大型网络中,不同类型的设备之间可以实现互联互通,共同完成一定的功能,但是在安全设备共同组成的管理系统中,因为没有统一的管理信息模型,导致各种安全设备不能互操作共同完成一定的安全管理功能,各种安全设备只能独立地进行基于一个视点的安全管理功能.
部分安全管理功能只能依赖SOC系统等这样的上级管理系统。
因为统一管理信息模型的缺乏,安全设备之间不能进行互操作,所以只能由上级的SOC系统对所有的安全事件进行关联分析,然后做出相应的判断并通过人工调整安全设备的方式进行相应配置处理。
因为没有统一的管理信息模型,SOC系统定位问题后,也难以自动地向安全设备发出相应配置改变指令.
缺乏统一的管理信息模型致使SOC系统对安全设备的管理功能不明确,SOC管理应该有哪些功能,管理到什么粒度等都比较模糊。
(2)SOC系统管理功能不统一
目前SOC系统应该包括哪些功能模块在业界内没有形成统一的认识,也没有相关的标准组织对此制定相应的规范。
运营商中的网管系统、BOSS支撑系统等都有一些标准组织制定的规范可以作为厂家实现时的参考,如ITU的TMN相关标准,TMF的NGOSS相关规范等。
但是目前为止,国际相关组织对安全管理相关的规范大多还仅仅面向具体的安全技术,对安全管理系统还没有相关的标准或者规范。
这样,不同的SOC厂家对SOC系统的理解不同,对同样的功能模块理解也不相同,导致SOC系统的功能多样化.因此,针对SOC系统需要类似运营支撑系统中的eTOM这样的通用过程框架来指导SOC系统的建设。
(3)SOC系统与其他系统关系的定位不明确
在大型网络中,部署着各种运营支撑系统、网络管理系统、企业管理系统等,为了实现企业中的过程自动化,这些系统各自功能定位非常明确,系统之间的关系也比较明确,系统之间的接口也相对明确。
SOC系统应该要为这些系统提供安全支撑,但是其与这些系统之间的关系并不很明确,与这些系统之间的数据交互目前也没有确定。
因此,目前来讲,SOC系统还是一个“安全信息孤岛"。
(4)对海量数据分析存在瓶颈
传统SOC限于自身系统架构的原因,面对海量数据的分析仍然存在着响应不及时的问题,尤其是在事件关联分析方面,计算处理模式仍然比较单一,缺乏对大量安全事件进行统一处理、归并、过滤的能力,随之而来呈现给用户的自然存在着无法找到用户关注点、呈现不直观、关联失效等大量问题,随着安全数据的与日俱增,传统SOC在数据分析处理能力方面自然存在着较大瓶颈。
而随着云计算技术的不断发展,基于“云计算"技术的云安全管理平台的搭建就很好的解决了当前传统SOC系统在运行中面临的诸多问题。
3应对方案
为了应对上述安全风险和传统SOC面临的各种问题,北信源公司基于十余年的终端安全管理产品研发经验,特提出了北信源云安全管理平台(VRVC-SOC:
Cloud—SecurityOperationCenter)解决方案。
该方案在系统架构上分为如下几个部分:
1、计算云层
在计算云层,VRVC—SOC云平台计算引擎采用云计算技术对采集的海量数据进行分布式计算、分析、识别、响应和控制。
2、服务云层
在服务云层,VRVC—SOC对被管对象实现业务数据的“接入(采集)",包括采集终端层和网关层设备的数据。
3、网关层
网关层,包括传统SOC平台和VRV终端云管理平台两部分,传统SOC平台面向的主要安全对象,包括防火墙、入侵检测、病毒防护系统、漏洞扫描系统等相关安全设备,而VRV终端云管理平台所涉及的终端系统管理、终端策略配置、终端互动管理在网关层上与终端层进行终端数据的信息交互.
4、终端层
终端层所管理的对象主要指最终用户所使用的终端计算机,如终端计算机信息的收集、控制策略的执行、集中管控和审计等。
北信源云安全管理平台系统架构图如下图:
系统架构图
4北信源云安全管理平台解决方案
北信源云安全管理平台解决方案采用云计算技术将终端安全管理和传统SOC系统纳入到一个统一的云安全管理平台。
该方案除了通过北信源终端安全管理平台实现对终端的有效管理,同时还采集分析网关的安全系统和设备(防火墙、入侵检测、防病毒、漏洞扫描、系统审计等)产生的数据,最后统计进行资产管理、事件关联分析、综合风险监控、实时预警和反制,并形成专业的安全知识库。
其实现架构图如下图:
北信源云安全管理平台架构图
4.1资产分布式管理
资产管理主要是管理云安全管理平台监控范围的各个系统和设备,主要包括:
网络设备(如:
路由器,交换机等)、主机设备(如:
计算机,服务器等)、安全设备(如IDS,防火墙等),资产管理是风险管理、事件监控协同工作和分析的基础。
实现对网络综合安全运行管理系统所管辖的设备和系统对象的管理。
它将其所辖IP设备资产与风险的重要程度关系,依据风险评估的结果、定期的漏洞扫描结果和本模块的信息资产相结合,基于资产CIA属性,按照资产信息、漏洞、补丁与备件分类导入或登记入库,并为其他安全运行管理模块提供信息接口,比如响应管理中心、综合分析与预警平台等.具体功能实现详述如下:
4.1.1资产流程化管理
VRVC-SOC对资产的管理不仅仅是对资产信息的简单收集和分类,而是将资产的管理与实际的用户业务管理流程统一结合起来,对资产进行流程化的管理.从资产的入库到资产的运行状态跟踪、资产的变更,一直到资产的注销、报废,整个资产的生命周期,VRVC-SOC都对其进行跟踪和监控,且用户可随时对资产状态进行更新,可随时根据资产的最新情况对资产进行核对、调用。
VRVC-SOC还根据资产的各种安全属性,进行资产的分类统计,并提供相应的统计图形和报表.
资产流程化管理
4.1.2资产域分布
根据资产所处的地理位置、逻辑位置,自定义对资产进行域分布管理,将资产进行分布式统计分类后,呈现给用户的是一目了然的资产分布信息,这无论对于用户进行资产的综合统计,还是有针对性的对资产进行分区域管理都提供了基础的资产管理平台信息。
资产域分布
4.2事件行为关联分析
事件关联分析至少具有以下三个关键特性:
1)海量事件处理能力:
是指关联分析能够高效地采集海量的异构安全事件,并能够进行关联匹配和输出,还能够将安全事件进行可视化展示,以及将海量安全事件和告警信息进行及时地存储;
2)实时性:
是指关联分析的整个处理过程必须保持实时、不间断的工作;
3)基于规则的:
是指关联分析的核心引擎至少应该包括一套实时高速的规则引擎,实现模式匹配,这也是“关联分析中的事件质变”的要求。
4.2.1事件采集与处理
VRVC-SOC事件管理功能首先要完成对事件的采集与处理。
它通过代理(Agent)和事件采集器的部署,在所管理的骨干网络、不同的承载业务网及其相关支撑网络和系统上的不同安全信息采集点(防病毒控制台、入侵检测系统控制台、漏洞扫描管理控制台、身份认证服务器和防火墙等)获取事件日志信息,并通过安全通讯方式上传到云安全管理平台中的安全管理服务器进行处理.
4.2.2事件过滤与归并
在事件收集的过程中,事件管理功能还将完成事件的整合工作,包括聚并、过滤、范式化,从而实现了全网的安全事件的高效集中处理。
事件管理功能支持大多数被管理设备的日志采集,对于一些尚未支持的设备,可通过通用代理技术(UA)支持,确保事件的广泛采集。
4.2.3事件行为关联分析
在事件统一采集与整合的基础上,安全管理中心提供多种形式的事件分析与展示,将事件可视化,包括实时事件列表、统计图表、事件仪表盘等。
此外,还能够基于各种条件进行事件的关联分析、查询、备份、维护,并生成报表。
事件管理
行为关联分析系统主要的任务是记录和分析用户当前的行为,并将该用户当前的行为与其正常的历史行为进行分析比较,从而发现其异常的行为,并根据异常行为的级别,给出异常警报。
行为关联分析系统的分析框架模型如下图所示。
行为关联分析系统框架
从该分析模型可以看出基本分析思路是:
在系统启动前,首先要建立一个初始的用户行为模式库,作为用户行为的参考,该模式库在系统运行的过程中不断自我学习和更新;系统运行过程中,通过系统日志监控模块,不断监视并获取用户的当前行为;然后将用户的当前行为与行为模式库中的正常行为进行模式匹配,并计算其相似度,做出入侵判断,同时记录保存相应的入侵数据,为系统的响应提供依据。
4.3资产脆弱性分析
终端系统和网络设备的脆弱性是影响网络安全的重要潜在风险。
对其进行脆弱性扫描和评估,对高风险问题尽早的进行补救可以减少网络安全的威胁。
脆弱性管理主要包括两方面的内容,即漏洞管理和配置管理。
资产脆弱性分析
VRVC—SOC以资产为核心,驱动漏洞的定期扫描、评估。
用户可以在C-SOC界面中针对资产定制定期扫描或者发起一次单独的扫描,通过C-SOC界面驱动扫描系统,通过相应的脆弱性采集脚本采集脆弱性信息,扫描的结果会返回到C—SOC系统中,所有信息经过标准化后存放在统一的数据库中,漏洞信息和资产信息可以方便地关联使用,扫描结果还可以自动触发安全响应流程,保证一发现漏洞就进行解决.
通过以资产为核心的漏洞管理,系统可以提供比传统的漏洞扫描器更加详尽的信息、更快的响应以及更强的信息交互和关联,并且可以实现统一的控制管理。
4.4风险综合监控
风险是指资产遭受到安全威胁后,产生损失的大小及可能性。
构建在事件管理基础上,与安全管理更加密切的一方面就是风险管理和控制,也是符合安全管理标准体系ISO27000系列标准的要求和规范。
内容包含风险的定量化、跟踪和定位。
风险定量化应支持根据风险评估过程结果获取的风险定量取值,依据风险的机密性、完整性、可靠性等属性取值并自动计算风险结果值,同时能够支持用户自定义风险计算公式。
风险跟踪是指系统自动监控和跟踪资产风险状况,风险状况可以随时间推进而变化.
风险定位是指对特定阶段和周期内,提供对业务风险状况显示,并实现对高、中、低风险区域的查询、显示。
风险管理是企业安全的关键,我们在进行安全的监控和管理的时候,不应该割裂地看待企业的安全事件、脆弱性和资产风险,而是应该把他们综合在一起,以风险作为唯一的指标来检查和管理企业安全.
4.4.1风险管理
VRVC—SOC风险管理是从事件监控模块获得安全事件信息、从资产管理模块获得资产和业务单元的安全需求信息、从脆弱性管理模块获得资产的脆弱性信息,将上述的信息加以综合分析计算,将计算后的结果提交给用户界面和用户报表进行风险显示,并对风险进行相应的预警和响应处理。
域风险管理
4.4.2风险监控
综合安全风险分析是分析整个组织面临的威胁和确保这些威胁所带来的挑战处于可以接受的范围内的连续流程,通过风险综合分析监控,用户可一目了然的了解到当前网络中各种安全资产所面临的安全风险,同时,VRVC—SOC还对收到的信息进行关联分析,对分析后的结果产生预警和响应工单,为用户了解安全风险提供了数据和图形化的依据,并帮助用户及时作出管理决策。
风险综合监控
4.5预警管理与发布
4.5.1预警管理
安全预警平台体系建设原则采用适应性、可管理性、安全及可靠性、开放性、便利性、标准化,实现了安全预警功能模块可根据获取的各种信息,对信息数据制定策略和阈值配置,进行自动化、智能化分析,提取可能影响网络安全可靠运行的各种异常情况,自动生成预警提示.
其处理流程图如下图:
安全事件预警处理流程图
Ø生成安全预警信息的目的是为了提高安全快速反应,安全应急处置。
Ø安全预警信息在第一时间自动通过网页、短信、邮件等方式发送给相关人员。
Ø各级安全管理人员能够迅速发现网络运行的各种异常情况,及时准确定位并进行处置,第一时间做好安全整改,减少安全事故的发生。
Ø安全预警模块所产生的安全预警提示信息需各级安全管理人员对事件及问题进行及时整改,对于未在规定时间内进行整改的事件将自动转为通报。
Ø安全预警的种类和阈值可由系统管理人员进行设置。
预警查看
4.5.2预警发布
VRVC—SOC预警管理对信息安全预警系统的预警目标、预警模式、监测内容、管理元素等做出创新发展,对动态的攻击提供主动式的早期发布与通报,让安全管理人员能够提前预测和判定风险,及早防范,从被动的“事中”防护走向“事前”预警,做到防患于未然.
预警发布
4.6实时响应与反控
事件监控和发现并不是最终目的,解决问题和消除影响才是安全管理的关键。
应急响应管理作为云安全管理平台的重要组成部分之一为响应服务实现工具化、程序化、规范化提供了管理平台。
安全事件响应系统提供全网安全事故的集中处理服务,事件的响应可通过各系统的联动、向第三方提供事件信息传递接口、输出任务工单等方式实现。
系统之间联动是指通过集合防火墙、入侵监测、防病毒系统、扫描器的综合信息,通过自动调整安全管理中心内各安全产品的安全策略,以减弱或者消除安全事件的影响的响应机制,同时对产生事件的相应设备进行策略的反向控制。
系统反向控制
提供第三方接口的目的是指通过SNMPTrap、API等输出告警信息到其它网管系统或从其他网管系统接收SNMPTrap、API等信息、实现各网管系统的联合响应。
工单处理即对于人工干预的事件,通过定制的流程,反馈给特定的管理员。
该模块包括工单生成、下发、返回/消单、关闭、状态查询等功能。
在处理工单时能方便地关联查询相关资产的漏洞列表、风险列表、历史事件。
并能关联到安全知识中的相关内容,为事件处理人员提供帮助和指导信息。
通过调用本程序,接收网络与安全事件监控模块、脆弱性管理模块、综合分析与预警模块等模块的预警信息。
实现与网络与安全事件监控模块、脆弱性管理模块、综合分析与预警模块等模块的接口,接收这些模块产生的预警信息,启动预警处理流程处理预警。
4.7知识库管理
为了保证全网信息通畅和管理信息的高效、安全的传递,也为了实现安全信息的共享和利用,VRVC-SOC提供一个集中存放、管理、查询安全知识的管理平台。
其主要功能是传递各类安全管理信息,同时将处理过的安全事件方法和方案收集起来,形成安全共享知识库,为培养高素质网络安全技术人员提供培训资源。
信息内容包括SOC事件库、设备原始事件库、案例库、安全策略管理、安全公告、处置预案库、漏洞库和安全链接等栏目的信息发布管理和浏览等安全信息。
同时,知识管理还支持知识库的定期自动更新,手动更新.具体功能实现如下:
4.7.1知识共享和转化
典型案例是许多企业的IT支持人员常常重复解决用户的相同问题。
如果多数问题及其解决方案都可以从知识库中简单、方便获取,从而将IT支持人员从重复性的工作中解放出来,着手解决其他新的问题,从而达到提升工作效率,降低IT维护成本的目的.
知识库的建立极大地促进了知识转化,有利于提高IT服务部门的整体水平。
知识共享同时也意味着避免信息孤岛和知识流失。
许多隐性知识集中在岗位工作人员的脑子里,一些IT应用的操作或故障解决方法可能起初只有开发人员知道,知识库管理可以有效避免由人员流失造成的知识流失。
4.7.2响应速度和质量
质量、数量及知识结构都达到一定标准的知识库,作为IT运维的强大储备库,加之运维知识库工具应具备方便、高效的搜索功能,无疑是快速响应IT服务需求的捷径.而能够进入知识库的解决方法一般来说是最正确、标准和高效的。
快速、高质量的解决故障意味着提升客户满意度,而这无疑是IT运维的最终目的.
4.7.3信息挖掘与分析
运维知识库不仅作为一种信息收集、整理工具,同时还是一种数据分析、统计工具。
从FAQ、知识点击率、解决的用户请求数量,知识的生命周期等等统计数据中,不难挖掘出许多有用的信息.便于IT服务提供者发现潜在问题、进行趋势分析,帮助拟定未来的工作重点、计划及预算等.
4.8综合报表管理
报表管理根据不同部门、不同操作系统提供软硬件资产、报警、状态及其他情况汇总报表,提供多种报表功能,以对客户端资产情况、网络流量进行统计,并形成不同的报表形式。
尤其针对专用网络终端数目庞大、规模复杂、各地网络管理员工作繁重等原因,提供的管理报表和报警功能有效地提升了管理效能,使得网络管理人员掌握网络情况,对网络运维情况和违规行为等做到了有据可查,及时处理出现的问题。
资产报表管理
综合报表显示
VRVC-SOC支持按计划调度生成报表;可以针对单台或多台网关进行统计,也可以针对整个网络信息进行统计;统计的信息包括监控信息和报警信息等。
报表格式支持HTML格式,并可以通过WEB方式进行浏览.模板方式定义报表统计内容,支持多种报表模板,管理员可根据需要选择模板生成报表。
5北信源云安全管理平台方案特性
北信源云安全管理平台(VRVC-SOC:
Cloud—SecurityOperationCenter)解决方案以“云计算”技术为基础,以终端安全管理为优势,集监控管理、分析管理、响应管理于一体,将网络中的安全产品、服务器、网络设备、用户终端等独立功能部件通过资源整合形成一个完整的协同防御体系,实现统一安全管理。
它位于网络安全体系的统一管理层,对于现有安全系统而言,VRVC-SOC的地位是管理者,汇总所有的安全问题,实现集中管理和监控;对于企业的安全管理组织及人员而言,VRVC—SOC是一个技术实现平台,管理者可以利用VRVC—SOC开展日常的安全工作,使得安全工作规范化、制度化.
北信源云安全管理平台VRVC-SOC的特性包括:
5.1终端安全管理与传统SOC的有机结合
北信源云安全管理平台VRVC-SOC采用云计算技术将终端安全管理和传统SOC系统纳入到一个统一的云安全管理平台.
终端是直接面向使用者的,终端安全在整个网络安全体系中占有至关重要的地位,终端是否安全直接影响着用户业务的正常进行,北信源VRVC—SOC由于具备终端安全管理的独特优势,通过北信源特有的终端安全管理系统实现对终端的信息数据采集,可实现对终端实时响应和系统反向控制。
同时,采集分析网关的安全系统和设备(防火墙、入侵检测、防病毒、漏洞扫描、系统审计等)产生的数据。
终端安全管理与传统SOC的结合
通过终端安全管理与传统SOC系统的完美结合,既实现了对安全管理的最终目标—-终端的重点有效安全管理,又将各自独立的安全系统和设备纳入到了一个统一的监管体系,形成一个完整的安全服务体系,对大量分散的各类安全事件进行汇总、过滤、管理分析、响应和处理,形成统一的安全决策综合系统,为不同安全需求的用户,提供个性化的、专业全面的信息安全服务。
5.2基于云计算技术的分层化处理
VRVC-SOC采用云计算技术实现分层化业务处理。
对被管对象通过“服务云”实现业务数据的“接入(采集)”,而通过“计算云"对核心业务进行“分析、识别、响应和控制"。
分层化业务处理架构
采用基于云计算技术的分层化业务处理模式,既保证了“服务云”数据采集的及时和可控性,同时又不会对“计算云”进行数据的分析处理进行干扰,使整体数据采集分析的结构合理化,层次清晰。
5.3海量数据的标准化采集和处理
VRVC-SOC利用SNMP、SYSLOG、ODBC等技术对终端设备、网络设备以及安全设备的日志信息、运行状况、安全事件等大量数据信息进行标准化采集。
VRVC-SOC将采集到的海量数据进行降噪处理,将离散的数据整合成规则的安全事件信息,对安全事件进行深度查询、审计分析及安全威胁风险评估,并在分析掌握全网安全状态的基础上,将危害严重的安全事件与设备资源、用户资源相结合,进行准确的安全定位.
在对
升级会员 