安全挑战
随着各行各业计算机网络和信息系统的不断建设,各企事业单位的管理经营模式逐步由传统模式向信息化管理模式转变。特别是全国性的单位机构,其信息系统网络由总部核心区、对外服务区、总部办公区、各个地市分支办公局域网、分支业务网等共同组成。因此在网络中部署了大量的各个厂家不同型号的网络设备,安全设备和应用系统,例如防火墙、数据库系统、中间件系统以及各种应用系统等。
与此同时各企事业单位大量应用信息系统相继上线,整个信息系统面临的各种安全风险也日益严重,如何确保信息系统安全运行、降低运维管理成本,成为公司信息系统建设过程中面临的主要问题。目前企业面对的主要有以下挑战:
由于网络和设备环境情况复杂,使管理者无法了解企业网络信息系统的整体运行状况;
网络出现故障后出现的海量安全事件,不能及时诊断快速定位,影响业务进行;
无法对全网、各类业务系统的安全运行态势进行整体把控。
大量的异构安全产品的采用形成了安全信息孤岛,不能对风险进行有效的关联。
解决方案
针对上述挑战,天融信提出了面向监管、业务运维、态势感知等不同角度的安全监控管理解决方案,该方案通过基于TSM-TopAnalyzer建立的安全监控管理平台,实现全面的网络态势感知与监控预警系统,对网络活动行为进行动态的监控与评判,提升对网络、互联网出口、核心业务系统、重要网站的主要安全威胁的可知、可控、可管能力。
天融信安全监控管理架构图安全监控管理平台是一个三层的架构,包括数据采集层、数据处理功能模块层和展现层。数据采集层包括流量、配置、性能、告警、业务采集和预处理;数据处理功能模块层包括系统监控管理、风险管理等,主要是对采集层采集的数据进行分析、处理,实现监控、处理、分析、响应、管理;数据展现层通过综合运维门户实现系统的综合信息发布:系统监控视图、业务监控视图、态势分析、综合报表、告警通知等。与此同时天融信可针对不同客户需求,在此平台基础上通过定制开发满足,用户个性化需求。
数据呈现
安全监控平台是使用人员和维护人员在日常工作中的操作管理界面,是各类安全运行摘要信息、安全指标数据、统计分析数据的集中呈现界面,是平台的入口和工作平台页面。平台通过趋势图、汇总表、地图、网络图等形式,为管理者提供基于地理位置、网络拓扑、统计表格、监控对象、技术趋势指标等各类形式的呈现方式。
事件归一化
监控平台在收集到海量的事件后,必然需要进行事件归一化处理。来自不同设备和系统的事件千差万别,只有将这些大量的异构数据转化为平台内部统一的数据格式才能进行后续的关联事件分析,才能为客户提供一个全局统一的事件监控界面。
关联分析
事件关联分析实现海量安全事件的抽取、降噪,剥离无用信息,提升后续安全管理工作的效率,降低安全管理工作的复杂性。事件关联分析是风险分析的基础,关联分析的结果导出的关联事件可以提升为威胁,从而参与风险计算,并且实现风险计算自动化、定量化;
风险管理
安全风险管理是安全监控平台的核心,通过风险管理,系统可以动态、实时地对用户所面临的风险进行评估分析,根据分析的结果提供各类风险视图,并对到达一定级别的风险自动地做出响应。
该模块是基于资产管理、事件管理和评估管理中所提供的各项原始数据,从单个资产、业务系统、安全域、物理地域等多个维度获取信息系统的安全风险状况。
事件管理
安全事件管理是一种实时的、动态的管理模型,通过安全事件收集、安全事件标准化、安全事件过滤、安全事件归并和安全事件关联后分析来自于不同地点、不同层次、不同类型的信息事件,帮助我们发现真正关注的安全风险,且提高安全报警的信噪比,从而可以准确的、实时的评估当前的安全态势和风险,并根据预先制定策略做出快速的响应。
安全预警
安全预警管理是根据来自内部预警信息、外部预警信息分析获得对可能发生的威胁的提前通告,提供各类安全威胁、安全风险、安全态势、安全隐患等信息,该模块提供规则设定功能,以便准确定位用户所关心的安全问题,以便有针对性的进行响应处理。
脆弱性管理
脆弱性管理模块,主要实现对重要主机系统和网络设备安全脆弱性信息的收集和管理,达到为管理员更好了解网络设备和主机的相关安全脆弱性情况。模块分为漏洞管理、配置管理、完整性检查等三个子模块。
安全响应
安全监控平台的安全响应管理主要功能是根据当前的网络安全状态,及时调动有关资源做出响应,降低风险对网络的负面影响。实现了安全事件从采集、处理、告警到人工的运维处理的自动化和流程化管理,对安全告警,在安全响应模块里进行响应处理,实现安全风险与运维管理的紧密联系。
知识库管理
平台实现安全监控管理和安全服务管理的各类支持库的集合,实现安全信息的共享和利用,提供了一个集中存放、管理、查询安全知识的环境。其主要功能是将处理的安全事件方法和应急方案,标准漏洞信息和标准事件信息收集起来,形成安全共享知识库。
数据报表管理
平台的报表统计管理功能是对各类安全运行数据的统计、挖掘、分析的呈现。通过各种形式化的报表报告实现对数据结果的展现。
平台融合
平台支持与网管系统、垃圾邮件处理系统、攻击溯源分析系统、异常流量监控系统、工单处理系统等系统的集成接口,能够实现与上述安全系统相关安全事件日志、告警信息、资源信息等共享及传递,同时还可实现下级安全监控平台与上级安全监控平台之间信息的互通和共享,可以发送信息指令、安全策略、工单指令、预警信息、考核结果、共享知识库信息及各类数据报表等。
方案优势
以业务风险为核心的全新安全视角
本方案从客户的战略目标出发,在全面、深入的了解客户业务的基础上,抽取出相应的安全目标,并结合一系列国际、国内以及行业标准和规范,为客户定制专用的业务风险计算模型和计算方法,做到从安全事件、弱点入手、结合资产价值和业务特性,实现客户实时的、持续的、全面的业务风险管理。
可视化监控
运行监控中心具备丰富的可视化监控设计,能够通过丰富的图、表、线形象直观地展示IT资源当前的运行状况。典型的可视化包括:状态曲线、运行快照、健康曲线,等
开放式安全监控平台框架
方案所设计的安全监控平台框架为快速构建分布式终端安全防护和安全事件管理系统及其他网络事件分析处理系统提供基础平台,提供了构建安全监控平台基础服务和流程定义。通过开发和扩展框架中的组件,可以快速构建不同的安全监控平台。
多级的分布部署能力
由于客户自身的不断发展,信息安全监控预警系统的应用规模的不断增大、范围不断扩展。安全监控系统通过事件采集代理的分布式部署,实现了多级信息安全监控预警系统进行数据同步或者数据交互,可实现大型广域网环境下的集中安全管理。
极高的处理性能
面对客户复杂的信息系统环境和海量的安全事件,在海量数据数据的分析处理方面,采用数据建模的方式,可根据用户的业务需求灵活构建分析模型,实现对海量数据的实时分析和处理。同时硬件代理设备还提供了本地缓存功能以保证由于网络故障等通信异常因素造成的数据丢失。通过分布式的预处理,解决了海量日志所造成的系统瓶颈问题。
灵活的智能化处理
安全监控系统解决方案中设计了辅助决策系统,该系统中预置了大量的脚本和程序,可以由用户配置,实现对部分安全问题的自动响应,响应方式包括关闭网络设备端口、自动升级补丁、自动配置防火墙策略等。实现了从被动防守到主动防御的转变。
全方位、细粒度监控技术
监控中心能够对IT资源中构成业务信息系统的各种网络设备、安全设备、安全系统、主机操作系统、数据库以及各种应用系统的运行指标进行全方位、细粒度的监控。对每个类型的IT资源应该能够获取尽可能细节的监控指标数值。只有足够细致的监控力度,才能较全面地反映出某个IT资源的运行全貌,从而更好地表征这个IT资源的运行健康状况。
应用领域
电信
各省电信企业都建设有IP骨干网、城域网、各业务网、专线网等各类网络,同时网内有各种路由交换设备、业务支撑系统、用户接入设备、服务器等,种类各异、数量繁多。因此为保障给用户提供高质量的网络服务,网络设备、业务系统、服务器的安全运行非常关键。当前的安全工作将重点定位在保护关键网络可用性和业务支撑系统安全上。随着网络的扩大和用户数量的迅猛增长,单纯的人工保障手段面临越来越大的压力,处理效果极为有限,因此建立一个全网监控的安全平台显的至关重要。在湖南电信项目中,天融信提出以风险感知为核心的监控解决方案,帮助湖南电信提升本省IP网络安全管理水平,提高网络安全性水平,增强网络竞争力,湖南电信通过一期、二期、三期进行网络安全监控平台的建设,实现了针对安全态势感知、DDOS攻击防范、网络蠕虫流量的监测和过滤、异常流量分析和垃圾邮件投诉处理等功能。
电子政务外网
为贯彻落实国家信息化领导小组制定的中办发[2003]27号文中提出的“建设信息安全监控体系,及时发现和处置网络攻击,防止有害信息传播,对网络和系统实施保护,完善信息安全监控预警系统,提高对网络攻击、病毒入侵、网络失窃密的防范能力,防止有害信息传播”。因此为加强对政务外网的安全监管力度和安全保障能力,满足政府关于政务外网的整体安全规划和应用需求,构建信息安全监控预警系统,解决对政务外网、互联网出口、政务网站和重要信息系统的全方位安全监控难点,提升发现、识别安全事件,及时掌握安全状态,为预警、应急响应和事件调查的能力。在各省通管局安全监控平台项目中,通过建设一期建立省级政务网站安全监测预警系统,对全省机关网站和部分重要信息系统提供监测预警服务,二期推动各市级政务网站安全监测子系统建设,同时将建成后的各市子系统与省级系统联通构成全省政务网站及重要信息系统安全监测平台,实现对电子政务外网进行实时、高效的监控与预警。