1、需求背景
随着信息技術的快速發展、應用系統的深化普及,各單位信息系統的安全與管理面臨着越來越大(dà)的安全威脅和嚴峻的挑戰,信息資(zī)産面臨着極大(dà)的安全風險。
安全問題日益突出,爲了應對這些安全問題,各單位部署了很多安全産品,如防病毒、防火(huǒ)牆、入侵檢測、安全審計、流量監控等。各單位網絡設備、安全設備衆多,而且這些安全
産品大(dà)多均是在一(yī)定程度上滿足了客戶的特定需求,緩解了局部的安全問題。但這些産品多是不同廠家開(kāi)發、不同時期部署,網絡平台林立,網管各自爲營,使得這些産品獨立運行、各自爲政,這樣就帶來了新的問題:
各安全子系統的信息難以及時溝通,造成報警信息散亂、管理人員(yuán)缺乏對網絡整體(tǐ)安全狀況的認識,安全事件發生(shēng)後,難以快速定位事件誘因或根源,恢複正常的運行秩序耗費(fèi)的時間較長;
頻(pín)繁購置和部署各類安全産品增加了企事業單位的經濟負擔,安全産品種類繁多複雜(zá),加重了網絡管理人員(yuán)的工(gōng)作負擔。
缺乏對安全事件的綜合分(fēn)析、缺乏安全風險評估,安全預警能力較差。
如何解決上述問題,集成各個
産品的優點,更好地發揮安全
産品的作用,是網絡管理人員(yuán)面臨的重大(dà)挑戰。運用一(yī)體(tǐ)化思想整合信息安全的管理,形成一(yī)體(tǐ)化集中(zhōng)管理平台,使數據應用由分(fēn)散轉變爲集中(zhōng),解決信息安全中(zhōng)的孤島問題是信息化建設的迫切需求。
本産品立足于“實時感知(zhī)、綜合評估、全局防禦”的思想,從多元資(zī)産出發,采用多層次、多領域态勢感知(zhī)和風險評估能力理論與技術,建立具有主動、實時、智能特性的IT綜合安全管理平台系統,實現持續性按需防禦,從系統、全局、協同的角度保障大(dà)規模網絡安全穩定運行。
2、産品概述 中(zhōng)網IT綜合安全管理平台軟件是湖北(běi)中(zhōng)網公司開(kāi)發的基于web的IT綜合安全管理産品。該産品能夠對網絡設備、服務器、操作系統、數據庫、中(zhōng)間件、應用系統以及安全系統等資(zī)産進行全方位實時監測、預警、報警、防範與事件處置,對安全事件進行綜合分(fēn)析、對安全狀态進行風險評估,是一(yī)套一(yī)體(tǐ)化的信息系統綜合安全監控管理平台。
該産品可廣泛應用于政府、教育、科研、軍工(gōng)、生(shēng)産制造、電(diàn)信運營等行業的信息系統。部署該産品後,可提高網管人員(yuán)的運維工(gōng)作效率、提高服務水平、降低運維成本、增強網絡的安全穩定性、提升信息系統抗風險的能力。
目前該産品已取得軟件著作權登記證書(shū)及軟件産品登記證書(shū)。
該産品已由武漢市科技局進行了成果鑒定,鑒定結果是“在國内處于領先地位”。
該産品在基于XML的事件描述和數據交換、基于數據挖掘的态勢感知(zhī)技術、基于人工(gōng)免疫的安全态勢感知(zhī)技術、自适應故障診斷和定位技術等方面具有獨創性和先進性。
爲便于市場銷售,“中(zhōng)網IT綜合安全管理平台軟件”産業化項目中(zhōng)的産品形态爲兩種形态:其一(yī)爲純軟件産品,其二爲軟硬件一(yī)體(tǐ)化的産品。軟硬件一(yī)體(tǐ)化的産品是将軟件産品灌裝在專用硬件(2U或1U機架式、4個千兆網口)上。
3、産品功能
“中(zhōng)網IT綜合安全管理平台軟件”實現的具體(tǐ)功能如圖1所示:
圖1 中(zhōng)網IT綜合安全管理平台軟件功能結構圖
(1)網絡拓撲視圖管理包括拓撲展示、拓撲維護和拓撲掃描三種功能。拓撲管理可自動發現網絡管理域的真實連接,生(shēng)成物(wù)理拓撲圖,用戶可以方便地修改、完善生(shēng)成的拓撲圖并保存;在拓撲圖上,用戶可以查看每個網絡設備、每個子網以及每條鏈路的狀态信息;同時爲用戶提供了個性化拓撲展示功能,用戶可以從自己感興趣的角度查看拓撲圖。拓撲管理以真實視覺效果的可視化方式展示拓撲視圖,通過拓撲視圖可查看各種網絡設備、通信鏈路、業務服務以及應用系統等資(zī)産的運行狀況。
(2)資(zī)産監測管理模塊以設備真實外(wài)觀顯示的實物(wù)視圖形式展示網絡資(zī)産的運行狀态,通過對網絡資(zī)産的實時監控,以及對網絡資(zī)産所産生(shēng)的告警事件進行風險分(fēn)析,評估大(dà)型企事業信息系統存在的脆弱點和風險,以便針對性的實施安全防護措施,從而維護大(dà)型企事業信息系統中(zhōng)各種網絡資(zī)産的安全性、可靠性和可用性。
(3)風險評估管理模塊,基于資(zī)産監測管理、事件告警管理和(網絡/系統監測)監測模塊中(zhōng)所提供的各項原始數據,分(fēn)析風險的三要素(資(zī)産、威脅、脆弱性);從單個網絡設備、業務系統、安全域等多個維度獲取大(dà)型企事業信息系統的安全風險狀況,同時給出安全防護的建議。
(4)事件告警管理提供實時事件邏輯管理、實時事件監測、事件邏輯運算(含事件過濾、歸并)、事件關聯分(fēn)析、事件統計、事件浏覽、事件告警、告警處理等功能,網絡管理人員(yuán)可以分(fēn)析和處理網絡中(zhōng)的各類事件,得出告警原因和故障定位。
(5)故障處理工(gōng)單管理以自動工(gōng)單和人工(gōng)工(gōng)單形式記錄故障發生(shēng)資(zī)産、原因、故障現象、處理建議、負責人、故障處理結果等信息,部分(fēn)故障采用自恢複技術自動修複,對于其他故障處理,系統給出故障處理的輔助決策建議方案。
(6)資(zī)産背景信息維護。資(zī)産背景信息的基本内容包括但不限于:資(zī)産屬性、資(zī)産域、資(zī)産類型等相關信息。資(zī)産屬性包括但不限于資(zī)産名稱、IP地址、MAC地址、主機名稱、外(wài)部ID号、資(zī)産别名、資(zī)産擁有者用戶名稱、資(zī)産創建信息、資(zī)産最近一(yī)次更新信息以及資(zī)産其它相關信息的描述等内容。資(zī)産背景信息維護包括背景信息維護、業務系統管理、資(zī)産分(fēn)組管理、字典維護等。
(7)分(fēn)析統計管理。分(fēn)析統計管理用于生(shēng)成和管理各類資(zī)産運行狀态、事件及資(zī)産信息的報表,報表管理子系統以組的方式對系統中(zhōng)的報表對象進行管理,同樣,以組的方式對系統中(zhōng)已經生(shēng)成的報表進行管理,通過手工(gōng)生(shēng)成報表和計劃生(shēng)成報表,爲用戶提供了各類統計信息的直觀綜合的視圖。
(8)日志(zhì)與備份管理。日志(zhì)管理記錄本産品内用戶的所有操作以及信息的處理過程,以便在發生(shēng)入侵或者故障後進行審計追蹤。備份管理包括系統内關鍵信息備份,确保關鍵信息的可用性和可靠性。
4、技術特色 技術特色與水平說明如下(xià)。
4.1 多Agent分(fēn)布協同采集技術
本産品采用分(fēn)布協同數據采集技術,可在複雜(zá)、帶有損毀的環境條件下(xià),通過多路Agent同時采集,經采集設備資(zī)産的狀态數據,同時滿足實時性、真實性,保證大(dà)型企事業信息系統運維管理的“發現快、看的準、抗打擊”要求。
4.2 協議結構分(fēn)析與智能軟網關技術 由于大(dà)型企事業息系統上裝備有多種不同資(zī)産,各種資(zī)産使用的數據标準、通信方式和通信協議各不相同,因此在系統采集層所獲得的數據必須進行統一(yī)的格式轉換和内容整理。
智能軟網關技術可實現協議智能轉換,即實現動态自适應的雙向的協議轉換,将采集的數據包識别後解碼成本産品統一(yī)的數據交互格式,而反饋數據則轉換成外(wài)圍系統所需的作戰裝備/作戰系統的數據标準和編碼格式,經過傳輸通道向外(wài)發送。
4.3 自适應故障診斷和定位技術
該技術主要通過故障檢測維修系統和故障診斷專家系統來實現故障診斷和定位。
故障檢測維修系統主要擔負整個網絡中(zhōng)系統的性能檢測、設備狀态在線監測、設備故障診斷與定位、設備離(lí)線測試、維修數據庫管理等功能。其中(zhōng),實時在線監測軟件和系統性能測試軟件安裝于實時監測計算機上;設備故障診斷與定位、設備離(lí)線測試、維修數據庫管理安裝于監測維修計算機上。
故障診斷專家系統作爲故障檢測維修系統的子系統,主要完成故障的輔助識别與診斷,診斷的對象主要包括計算機類設備、短波通訊類設備、局域網類設備、地域網類設備、電(diàn)源類設備。
4.4 定量實時風險評估技術
對風險分(fēn)級及關聯性分(fēn)析,定量評估系統風險,爲主動實時響應提供準确的決策依據,重點需解決安全策略的柔性調整問題。
脆弱性管理,通過脆弱性管理可以掌握大(dà)型企事業信息系統中(zhōng)各種資(zī)産存在的安全漏洞情況,結合當前的安全動态和預警信息,有助于各級安全管理機構及時調整安全策略,開(kāi)展有針對性的安全工(gōng)作。
安全事件關聯分(fēn)析,安全事件關聯分(fēn)析是安全管理平台的核心模塊。中(zhōng)網IT綜合安全管理平台軟件,可以通過有效的關聯安全事件給出更加精确的判斷及有效的攻擊分(fēn)析,提高IDS之類設備的信噪比,減少安全管理員(yuán)的分(fēn)析工(gōng)作。
安全事件關聯分(fēn)析技術通過對安全事件的關聯,可以有效的幫助用戶過濾安全事件,在大(dà)量事件、甚至是誤報事件中(zhōng)提取有用的信息。實時關聯來自不同設備的事件,可以大(dà)大(dà)的降低誤報率,發現引發事件的真正原因和隐藏的威脅。
風險評估技術,基于資(zī)産管理、事件管理和(網絡/系統監測)監測模塊中(zhōng)所提供的各項原始數據,分(fēn)析風險的三要素(資(zī)産、威脅、脆弱性);從單個資(zī)産、業務系統、安全域、物(wù)理地域等多個維度獲取大(dà)型企事業信息系統的安全風險狀況。本産品風險評估包括風險分(fēn)析和風險計算兩個階段。
中(zhōng)網IT綜合安全管理平台軟件采用定量的風險評估方法,可以根據資(zī)産的價值、面臨的威脅、内在的漏洞以及已采取的安全措施等因素,綜合分(fēn)析出資(zī)産所面臨風險數值。風險分(fēn)析需要明确風險分(fēn)析參數、風險分(fēn)析權值。
4.5 态勢感知(zhī)技術
态勢感知(zhī)的目的是在大(dà)規模網絡環境下(xià),對能夠引起網絡安全态勢發生(shēng)變化的安全要素進行獲取、理解和預測,它包括對當前态勢分(fēn)析和态勢預測。安全态勢感知(zhī)包括以下(xià)幾個方面的内容:實時的态勢獲取、安全态勢的挖掘、多源異構傳感器數據的融合、安全事件預警與聯動響應、潛在的未知(zhī)的威脅檢測、自動響應和實時的安全态勢可視化。
4.6 多層柔性體(tǐ)系結構
爲克服複雜(zá)的網絡環境和多種網絡協議、通訊方式等困難,需要構建靈活可擴展的軟件體(tǐ)系結構。在體(tǐ)系結構的設計中(zhōng),我(wǒ)們運用更多的柔性技術來應對這複雜(zá)多變的環境。以一(yī)個環境抽象層來實現這種需求,不同的環境要素根據其特點分(fēn)門别類,同類的要素以相同的内容結構和類别标示來進行劃分(fēn),統一(yī)了上層的接口調用。下(xià)層以插件的方式進行管理。每種新的環境要素都以插件方式注冊 進入正規模塊,這不僅減輕了上層的複雜(zá)程度,也方便了具體(tǐ)環境要素應對方式的管理和更新。
本産品采用的柔性軟件體(tǐ)系結構劃分(fēn)爲四大(dà)層次:采集層、彙聚層、邏輯層、展示層。
