汉邦云安全管理平台决方案.doc

汉邦云安全管理平台解决方案汉邦云安全管理平台解决方案 北京北信源软件股份有限公司北京北信源软件股份有限公司 2 20 01 10 0 年年 1 10 0 月月 云安全管理平台解决方案 /webmoney 2 目录目录 1前言前言4 2安全现状安全现状5 2.1问题和需求分析5 2.2传统 SOC 面临的问题6 3应对方案应对方案8 4北信源云安全管理平台解决方案北信源云安全管理平台解决方案.10 4.1资产分布式管理11 4.1.1资产流程化管理.11 4.1.2资产域分布.12 4.2事件行为关联分析13 4.2.1事件采集与处理.13 4.2.2事件过滤与归并.14 4.2.3事件行为关联分析.14 4.3资产脆弱性分析15 4.4风险综合监控16 4.4.1风险管理.17 4.4.2风险监控.18 4.5预警管理与发布18 4.5.1预警管理.18 4.5.2预警发布.20 4.6实时响应与反控21 4.7知识库管理 .22 4.7.1知识共享和转化.22 4.7.2响应速度和质量.23 4.7.3信息挖掘与分析.23 4.8综合报表管理23 5北信源云安全管理平台方案特性北信源云安全管理平台方案特性.25 5.1终端安全管理与传统 SOC 的有机结合25 5.2基于云计算技术的分层化处理26 5.3海量数据的标准化采集和处理27 5.4深入事件关联分析28 5.5面向用户服务的透明化29 6北信源云安全管理平台部署北信源云安全管理平台部署 31 7方案总结方案总结 32 云安全管理平台解决方案 /webmoney 3 1前言前言 为了不断应对新的安全挑战，越来越多的行业单位和企业先后部署了防火 墙、UTM、入侵检测和防护系统、漏洞扫描系统、防病毒系统、终端管理系统 等等，构建起了一道道安全防线。然而，这些安全防线都仅仅抵御来自某个方 面的安全威胁，形成了一个个“安全防御孤岛” ，无法产生协同效应。更为严重 地，这些复杂的 IT 资源及其安全防御设施在运行过程中不断产生大量的安全日 志和事件，形成了大量“信息孤岛” ，有限的安全管理人员面对这些数量巨大、 彼此割裂的安全信息，操作着各种产品自身的控制台界面和告警窗口，显得束 手无策，工作效率极低，难以发现真正的安全隐患。另一方面，企业和组织日 益迫切的信息系统审计和内控要求、等级保护要求，以及不断增强的业务持续 性需求，也对客户提出了严峻的挑战。 对于一个完善的网络安全体系而言，需要有一个统一的网络安全管理平台 来支撑，将整个网络中的各种设备、用户、资源进行合理有效的整合，纳入一 个统一的监管体系，来进行统一的监控、调度、协调，以达到资源合理利用、 网络安全可靠、业务稳定运行的目的。 云安全管理平台解决方案 /webmoney 4 2安全现状安全现状 2.1 问题和需求分析 在历经了网络基础建设、数据大集中、网络安全基础设施建设等阶段后， 浙江高法逐步建立起了大量不同的安全子系统，如防病毒系统、防火墙系统、 入侵检测系统等，国家主管部门和各行业也出台了一系列的安全标准和相关管 理制度。但随着安全系统越来越庞大，安全防范技术越来越复杂，相关标准和 制度越来越细化，相应的问题也随之出现： 1、安全产品部署越来越多，相对独立的部署方式使各个设备独立配置、管 理，各产品的运行状态如何？安全策略是否得到了准确落实？安全管理员难以 准确掌握，无法形成全局的安全策略统一部署和监控。 2、分散在各个安全子系统中的安全相关数据量越来越大，一方面海量数据 的集中储存和分析处理成为问题；另一方面，大量的重复信息、错误信息充斥 其中，海量的无效数据淹没了真正有价值的安全信息；同时，从大量的、孤立 的单条事件中无法准确地发现全局性、整体性的安全威胁行为。 3、传统安全产品仅仅面向安全人员提供信息，但管理者、安全管理员、系 统管理员等不同的角色都需要从不同的角度了解安全的状况，包括整体的安全 态势和全局的安全信息等。 4、安全管理员每天面对复杂的网络环境和形形色色的安全事件，通过一个 系统帮助他们正确理解安全事件，并自动化的调整安全策略，或将其分配到不 同的系统管理员去人工处理并跟踪处理结果，是安全运维的切实需求。 上述问题和需求，决定了安全管理运营中心（SOC：Security Operation Center）已成为网络安全建设的新重点。安全管理运营中心，也称为安全管理 平台，之所以称为 SOC，是与 NOC（Network Operation Center，即网络运行中 心）相对应而言。NOC 强调对客户网络进行集中化、全方位的监控、分析与响 应，实现体系化的网络运行维护。SOC 强调各个分离的安全体系统一管理、统 一审计、统一运营，形成一个完整的安全保障体系，从而实现了高效、全面的 云安全管理平台解决方案 /webmoney 5 网络安全防护、检测和响应。从这个阶段开始，网络安全开始走上统一安全的 新台阶。 2.2 传统 SOC 面临的问题 传统 SOC 保证信息资产的安全，采用集中管理方式统一管理相关安全产品， 搜集所有安全信息，并通过对收集到的各种安全事件进行深层的分析，统计和 关联，及时反映被管理资产的安全基线，定位安全风险，对各类安全事件及时 提供处理方法和建议的安全解决方案。 但总体而言，传统 SOC 系统在建设的过程中通常也存在一些问题，主要表 现在如下方面。 （1）管理信息模型缺乏）管理信息模型缺乏 在典型的网络中，SOC 系统需要管理多种安全设备，并与这些安全设备之 间实现互操作来阻断或者消除安全攻击或者安全事件。为了更好地保障安全， 部署的各种设备之间应该实现互操作，共同解决企业中的安全问题。 目前的安全设备或安全系统缺乏统一的管理信息模型，SOC 系统在管理不 同厂家生产的同一类安全设备时，只能分别根据不同厂家产品提供的管理接口 进行相应的管理以及信息获取，这样就难以在 SOC 系统中形成统一的对安全设 备的管理功能。 同类设备之间缺乏统一的管理信息模型导致不同的安全设备之间难以实现 互操作，如防火墙和 IDS 之间。在大型网络中，不同类型的设备之间可以实现 互联互通，共同完成一定的功能，但是在安全设备共同组成的管理系统中，因 为没有统一的管理信息模型，导致各种安全设备不能互操作共同完成一定的安 全管理功能，各种安全设备只能独立地进行基于一个视点的安全管理功能。 部分安全管理功能只能依赖 SOC 系统等这样的上级管理系统。因为统一管 理信息模型的缺乏，安全设备之间不能进行互操作，所以只能由上级的 SOC 系 统对所有的安全事件进行关联分析，然后做出相应的判断并通过人工调整安全 设备的方式进行相应配置处理。因为没有统一的管理信息模型，SOC 系统定位 问题后，也难以自动地向安全设备发出相应配置改变指令。 云安全管理平台解决方案 /webmoney 6 缺乏统一的管理信息模型致使 SOC 系统对安全设备的管理功能不明确， SOC 管理应该有哪些功能，管理到什么粒度等都比较模糊。 （2）SOC 系统管理功能不统一系统管理功能不统一 目前 SOC 系统应该包括哪些功能模块在业界内没有形成统一的认识，也没 有相关的标准组织对此制定相应的规范。运营商中的网管系统、BOSS 支撑系 统等都有一些标准组织制定的规范可以作为厂家实现时的参考，如 ITU 的 TMN 相关标准，TMF 的 NGOSS 相关规范等。但是目前为止，国际相关组织对 安全管理相关的规范大多还仅仅面向具体的安全技术，对安全管理系统还没有 相关的标准或者规范。这样，不同的 SOC 厂家对 SOC 系统的理解不同，对同 样的功能模块理解也不相同，导致 SOC 系统的功能多样化。因此，针对 SOC 系统需要类似运营支撑系统中的 eTOM 这样的通用过程框架来指导 SOC 系统的 建设。 （3）SOC 系统与其他系统关系的定位不明确系统与其他系统关系的定位不明确 在大型网络中，部署着各种运营支撑系统、网络管理系统、企业管理系统 等，为了实现企业中的过程自动化，这些系统各自功能定位非常明确，系统之 间的关系也比较明确，系统之间的接口也相对明确。SOC 系统应该要为这些系 统提供安全支撑，但是其与这些系统之间的关系并不很明确，与这些系统之间 的数据交互目前也没有确定。因此，目前来讲，SOC 系统还是一个“安全信息 孤岛”。 （4）对海量数据分析存在瓶颈）对海量数据分析存在瓶颈 传统 SOC 限于自身系统架构的原因，面对海量数据的分析仍然存在着响 应不及时的问题，尤其是在事件关联分析方面，计算处理模式仍然比较单一， 缺乏对大量安全事件进行统一处理、归并、过滤的能力，随之而来呈现给用户 的自然存在着无法找到用户关注点、呈现不直观、关联失效等大量问题，随着 安全数据的与日俱增，传统 SOC 在数据分析处理能力方面自然存在着较大瓶颈。 而随着云计算技术的不断发展，基于“云计算”技术的云安全管理平台的 搭建就很好的解决了当前传统 SOC 系统在运行中面临的诸多问题。 云安全管理平台解决方案 /webmoney 7 3应对方案应对方案 为了应对上述安全风险和传统 SOC 面临的各种问题，北信源公司基于十余 年的终端安全管理产品研发经验，特提出了北信源云安全管理平台（VRV C- SOC： Cloud- Security Operation Center）解决方案。该方案在系统架构上分为 如下几个部分： 1、计算云层 在计算云层，VRV C-SOC 云平台计算引擎采用云计算技术对采集的海量数 据进行分布式计算、分析、识别、响应和控制。 2、服务云层 在服务云层，VRV C-SOC 对被管对象实现业务数据的“接入（采集） ” ，包 括采集终端层和网关层设备的数据。 3、网关层 网关层，包括传统 SOC 平台和 VRV 终端云管理平台两部分，传统 SOC 平台面向的主要安全对象，包括防火墙、入侵检测、病毒防护系统、漏洞扫描 系统等相关安全设备，而 VRV 终端云管理平台所涉及的终端系统管理、终端策 略配置、终端互动管理在网关层上与终端层进行终端数据的信息交互。 4、终端层 终端层所管理的对象主要指最终用户所使用的终端计算机，如终端计算机 信息的收集、控制策略的执行、集中管控和审计等。 北信源云安全管理平台系统架构图如下图： 云安全管理平台解决方案 /webmoney 8 系统架构图 云安全管理平台解决方案 /webmoney 9 4北信源云安全管理平台解决方案北信源云安全管理平台解决方案 北信源云安全管理平台解决方案采用云计算技术将终端安全管理和传统 SOC 系统纳入到一个统一的云安全管理平台。该方案除了通过北信源终端安全 管理平台实现对终端的有效管理，同时还采集分析网关的安全系统和设备（防 火墙、入侵检测、防病毒、漏洞扫描、系统审计等)产生的数据，最后统计进行 资产管理、事件关联分析、综合风险监控、实时预警和反制，并形成专业的安 全知识库。其实现架构图如下图： 云云安安全全管管理理平平台台框框架架 主主机机、网网络络设设备备、安安全全产产品品、应应用用系系统统、数数据据库库，防防火火墙墙等等 SOCKET SYSLOG SNMP ODBC 数数据据采采集集系系统统 数数据据处处理理系系统统 事事件件监监控控接接口口 资资产产关关联联分分析析 风风险险评评估估风风险险 威威胁胁关关联联分分析析 漏漏洞洞关关联联分分析析 安安全全信信息息处处理理 D DB B/ /K KB B 系系统统 管管理理 脆脆弱弱 性性管管 理理 用用户户 管管理理 显示报表 策策略略 管管理理 资资产产 管管理理 事事件件 管管理理 用用户户 管管理理 风风险险 管管理理 预预警警 管管理理 响响应应 管管理理 知知识识 管管理理 报报表表 管管理理 北信源云安全管理平台架构图 云安全管理平台解决方案 /webmoney 10 4.1 资产分布式管理 资产管理主要是管理云安全管理平台监控范围的各个系统和设备，主要包 括：网络设备（如：路由器，交换机等） 、主机设备（如：计算机，服务器等） 、 安全设备（如 IDS，防火墙等） ，资产管理是风险管理、事件监控协同工作和分 析的基础。实现对网络综合安全运行管理系统所管辖的设备和系统对象的管理。 它将其所辖 IP 设备资产与风险的重要程度关系，依据风险评估的结果、定期的 漏洞扫描结果和本模块的信息资产相结合，基于资产 CIA 属性，按照资产信息、 漏洞、补丁与备件分类导入或登记入库，并为其他安全运行管理模块提供信息 接口,比如响应管理中心、综合分析与预警平台等。具体功能实现详述如下： 4.1.1 资产流程化管理资产流程化管理 VRV C-SOC 对资产的管理不仅仅是对资产信息的简单收集和分类，而是将 资产的管理与实际的用户业务管理流程统一结合起来，对资产进行流程化的管 理。从资产的入库到资产的运行状态跟踪、资产的变更，一直到资产的注销、 报废，整个资产的生命周期，VRV C-SOC 都对其进行跟踪和监控，且用户可随 时对资产状态进行更新，可随时根据资产的最新情况对资产进行核对、调用。 VRV C-SOC 还根据资产的各种安全属性，进行资产的分类统计，并提供相 应的统计图形和报表。 云安全管理平台解决方案 /webmoney 11 资产流程化管理 4.1.2 资产域分布资产域分布 根据资产所处的地理位置、逻辑位置，自定义对资产进行域分布管理，将 资产进行分布式统计分类后，呈现给用户的是一目了然的资产分布信息，这无 论对于用户进行资产的综合统计，还是有针对性的对资产进行分区域管理都提 供了基础的资产管理平台信息。 云安全管理平台解决方案 /webmoney 12 资产域分布 4.2 事件行为关联分析 事件关联分析至少具有以下三个关键特性： 1) 海量事件处理能力：是指关联分析能够高效地采集海量的异构安全事件， 并能够进行关联匹配和输出，还能够将安全事件进行可视化展示，以及将海量 安全事件和告警信息进行及时地存储； 2) 实时性：是指关联分析的整个处理过程必须保持实时、不间断的工作； 3) 基于规则的：是指关联分析的核心引擎至少应该包括一套实时高速的规 则引擎，实现模式匹配，这也是“关联分析中的事件质变”的要求。 4.2.1 事件采集与处理事件采集与处理 VRV C-SOC 事件管理功能首先要完成对事件的采集与处理。它通过代理 （Agent）和事件采集器的部署，在所管理的骨干网络、不同的承载业务网及其 相关支撑网络和系统上的不同安全信息采集点(防病毒控制台、入侵检测系统控 制台、漏洞扫描管理控制台、身份认证服务器和防火墙等)获取事件日志信息， 并通过安全通讯方式上传到云安全管理平台中的安全管理服务器进行处理。 云安全管理平台解决方案 /webmoney 13 4.2.2 事件过滤与归并事件过滤与归并 在事件收集的过程中，事件管理功能还将完成事件的整合工作，包括聚并、 过滤、范式化，从而实现了全网的安全事件的高效集中处理。事件管理功能支 持大多数被管理设备的日志采集，对于一些尚未支持的设备，可通过通用代理 技术（UA）支持，确保事件的广泛采集。 4.2.3 事件行为关联分析事件行为关联分析 在事件统一采集与整合的基础上，安全管理中心提供多种形式的事件分析 与展示，将事件可视化，包括实时事件列表、统计图表、事件仪表盘等。此外， 还能够基于各种条件进行事件的关联分析、查询、备份、维护，并生成报表。 事件管理 行为关联分析系统主要的任务是记录和分析用户当前的行为，并将该用户 当前的行为与其正常的历史行为进行分析比较，从而发现其异常的行为，并根 据异常行为的级别，给出异常警报。 行为关联分析系统的分析框架模型如下图所示。 云安全管理平台解决方案 /webmoney 14 记录证据 历史行为模式 特定行为模式 其他 模式库 当前用户行为 用户异常行为检 测分析引擎 响应处理 异常 数据提取 是 否 行为关联分析框架模型 行为关联分析系统框架 从该分析模型可以看出基本分析思路是：在系统启动前，首先要建立一个 初始的用户行为模式库，作为用户行为的参考，该模式库在系统运行的过程中 不断自我学习和更新；系统运行过程中，通过系统日志监控模块，不断监视并 获取用户的当前行为；然后将用户的当前行为与行为模式库中的正常行为进行 模式匹配，并计算其相似度，做出入侵判断，同时记录保存相应的入侵数据， 为系统的响应提供依据。 4.3 资产脆弱性分析 终端系统和网络设备的脆弱性是影响网络安全的重要潜在风险。对其进行 脆弱性扫描和评估，对高风险问题尽早的进行补救可以减少网络安全的威胁。 脆弱性管理主要包括两方面的内容，即漏洞管理和配置管理。 云安全管理平台解决方案 /webmoney 15 资产脆弱性分析 VRV C-SOC 以资产为核心，驱动漏洞的定期扫描、评估。用户可以在 C-SOC 界面中针对资产定制定期扫描或者发起一次单独的扫描，通过 C-SOC 界面驱动 扫描系统，通过相应的脆弱性采集脚本采集脆弱性信息，扫描的结果会返回到 C-SOC 系统中，所有信息经过标准化后存放在统一的数据库中，漏洞信息和资 产信息可以方便地关联使用，扫描结果还可以自动触发安全响应流程，保证一 发现漏洞就进行解决。 通过以资产为核心的漏洞管理，系统可以提供比传统的漏洞扫描器更加详 尽的信息、更快的响应以及更强的信息交互和关联，并且可以实现统一的控制 管理。 4.4 风险综合监控 风险是指资产遭受到安全威胁后，产生损失的大小及可能性。构建在事件 管理基础上，与安全管理更加密切的一方面就是风险管理和控制，也是符合安 全管理标准体系 ISO27000 系列标准的要求和规范。内容包含风险的定量化、跟 踪和定位。 云安全管理平台解决方案 /webmoney 16 风险定量化应支持根据风险评估过程结果获取的风险定量取值，依据风险 的机密性、完整性、可靠性等属性取值并自动计算风险结果值，同时能够支持 用户自定义风险计算公式。 风险跟踪是指系统自动监控和跟踪资产风险状况，风险状况可以随时间推 进而变化。 风险定位是指对特定阶段和周期内，提供对业务风险状况显示，并实现对 高、中、低风险区域的查询、显示。 风险管理是企业安全的关键，我们在进行安全的监控和管理的时候，不应 该割裂地看待企业的安全事件、脆弱性和资产风险，而是应该把他们综合在一 起，以风险作为唯一的指标来检查和管理企业安全。 4.4.1 风险管理风险管理 VRV C-SOC 风险管理是从事件监控模块获得安全事件信息、从资产管理模 块获得资产和业务单元的安全需求信息、从脆弱性管理模块获得资产的脆弱性 信息，将上述的信息加以综合分析计算，将计算后的结果提交给用户界面和用 户报表进行风险显示，并对风险进行相应的预警和响应处理。 域风险管理 云安全管理平台解决方案 /webmoney 17 4.4.2 风险监控风险监控 综合安全风险分析是分析整个组织面临的威胁和确保这些威胁所带来的挑 战处于可以接受的范围内的连续流程，通过风险综合分析监控，用户可一目了 然的了解到当前网络中各种安全资产所面临的安全风险，同时，VRV C-SOC 还 对收到的信息进行关联分析，对分析后的结果产生预警和响应工单，为用户了 解安全风险提供了数据和图形化的依据，并帮助用户及时作出管理决策。 风险综合监控 4.5 预警管理与发布 4.5.1 预警管理预警管理 安全预警平台体系建设原则采用适应性、可管理性、安全及可靠性、开放 性、便利性、标准化，实现了安全预警功能模块可根据获取的各种信息，对信 息数据制定策略和阈值配置，进行自动化、智能化分析，提取可能影响网络安 全可靠运行的各种异常情况，自动生成预警提示。 其处理流程图如下图： 云安全管理平台解决方案 /webmoney 18 安全事件预警处理流程图 生成安全预警信息的目的是为了提高安全快速反应，安全应急处置。 安全预警信息在第一时间自动通过网页、短信、邮件等方式发送给相关人 员。 各级安全管理人员能够迅速发现网络运行的各种异常情况，及时准确定位 并进行处置，第一时间做好安全整改，减少安全事故的发生。 安全预警模块所产生的安全预警提示信息需各级安全管理人员对事件及问 题进行及时整改，对于未在规定时间内进行整改的事件将自动转为通报。 安全预警的种类和阈值可由系统管理人员进行设置。 采采 样样 和和 分分 析析 策策 略略 数数据据库库 人人工工处处置置自自动动处处置置 数数据据接接口口 主主机机监监控控 防防病病毒毒 入入侵侵检检测测 漏漏洞洞扫扫描描 数数据据分分析析 分分析析结结果果 策策 略略 调调 整整 预预警警发发布布和和通通告告 数数 据据 入入 库库 云安全管理平台解决方案 /webmoney 19 预警查看 4.5.2 预警发布预警发布 VRV C-SOC 预警管理对信息安全预警系统的预警目标、预警模式、监测内容、 管理元素等做出创新发展，对动态的攻击提供主动式的早期发布与通报，让安 全管理人员能够提前预测和判定风险，及早防范，从被动的“事中”防护走向 “事前”预警，做到防患于未然。 预警发布 云安全管理平台解决方案 /webmoney 20 4.6 实时响应与反控 事件监控和发现并不是最终目的，解决问题和消除影响才是安全管理的关 键。应急响应管理作为云安全管理平台的重要组成部分之一为响应服务实现工 具化、程序化、规范化提供了管理平台。安全事件响应系统提供全网安全事故 的集中处理服务，事件的响应可通过各系统的联动、向第三方提供事件信息传 递接口、输出任务工单等方式实现。 系统之间联动是指通过集合防火墙、入侵监测、防病毒系统、扫描器的综 合信息，通过自动调整安全管理中心内各安全产品的安全策略，以减弱或者消 除安全事件的影响的响应机制，同时对产生事件的相应设备进行策略的反向控 制。 系统反向控制 提供第三方接口的目的是指通过 SNMP Trap、API 等输出告警信息到其它网 管系统或从其他网管系统接收 SNMP Trap、API 等信息、实现各网管系统的联合 响应。 工单处理即对于人工干预的事件，通过定制的流程，反馈给特定的管理员。 该模块包括工单生成、下发、返回消单、关闭、状态查询等功能。在处理工 云安全管理平台解决方案 /webmoney 21 单时能方便地关联查询相关资产的漏洞列表、风险列表、历史事件。并能关联 到安全知识中的相关内容，为事件处理人员提供帮助和指导信息。 通过调用本程序，接收网络与安全事件监控模块、脆弱性管理模块、综合 分析与预警模块等模块的预警信息。实现与网络与安全事件监控模块、脆弱性 管理模块、综合分析与预警模块等模块的接口，接收这些模块产生的预警信息， 启动预警处理流程处理预警。 4.7 知识库管理 为了保证全网信息通畅和管理信息的高效、安全的传递，也为了实现安全 信息的共享和利用，VRV C-SOC 提供一个集中存放、管理、查询安全知识的管 理平台。其主要功能是传递各类安全管理信息，同时将处理过的安全事件方法 和方案收集起来，形成安全共享知识库，为培养高素质网络安全技术人员提供 培训资源。信息内容包括 SOC 事件库、设备原始事件库、案例库、安全策略管 理、安全公告、处置预案库、漏洞库和安全链接等栏目的信息发布管理和浏览 等安全信息。同时，知识管理还支持知识库的定期自动更新，手动更新。具体 功能实现如下： 4.7.1 知识共享和转化知识共享和转化 典型案例是许多企业的 IT 支持人员常常重复解决用户的相同问题。如果多 数问题及其解决方案都可以从知识库中简单、方便获取，从而将 IT 支持人员从 重复性的工作中解放出来，着手解决其他新的问题，从而达到提升工作效率， 降低 IT 维护成本的目的。 知识库的建立极大地促进了知识转化，有利于提高 IT 服务部门的整体水平。 知识共享同时也意味着避免信息孤岛和知识流失。许多隐性知识集中在岗位工 作人员的脑子里，一些 IT 应用的操作或故障解决方法可能起初只有开发人员知 道，知识库管理可以有效避免由人员流失造成的知识流失。 云安全管理平台解决方案 /webmoney 22 4.7.2 响应速度和质量响应速度和质量 质量、数量及知识结构都达到一定标准的知识库，作为 IT 运维的强大储备 库，加之运维知识库工具应具备方便、高效的搜索功能，无疑是快速响应 IT 服 务需求的捷径。而能够进入知识库的解决方法一般来说是最正确、标准和高效 的。 快速、高质量的解决故障意味着提升客户满意度，而这无疑是 IT 运维的最 终目的。 4.7.3 信息挖掘与分析信息挖掘与分析 运维知识库不仅作为一种信息收集、整理工具，同时还是一种数据分析、 统计工具。从 FAQ、知识点击率、解决的用户请求数量，知识的生命周期等等 统计数据中，不难挖掘出许多有用的信息。便于 IT 服务提供者发现潜在问题、 进行趋势分析，帮助拟定未来的工作重点、计划及预算等。 4.8 综合报表管理 报表管理根据不同部门、不同操作系统提供软硬件资产、报警、状态及其 他情况汇总报表，提供多种报表功能，以对客户端资产情况、网络流量进行统 计，并形成不同的报表形式。尤其针对专用网络终端数目庞大、规模复杂、各 地网络管理员工作繁重等原因，提供的管理报表和报警功能有效地提升了管理 效能，使得网络管理人员掌握网络情况，对网络运维情况和违规行为等做到了 有据可查，及时处理出现的问题。 云安全管理平台解决方案 /webmoney 23 资产报表管理 综合报表显示 VRV C-SOC 支持按计划调度生成报表；可以针对单台或多台网关进行统计， 也可以针对整个网络信息进行统计；统计的信息包括监控信息和报警信息等。 报表格式支持 HTML 格式，并可以通过 WEB 方式进行浏览。模板方式定义报表统 计内容，支持多种报表模板，管理员可根据需要选择模板生成报表。 云安全管理平台解决方案 /webmoney 24 5北信源云安全管理平台方案特性北信源云安全管理平台方案特性 北信源云安全管理平台（VRV C-SOC： Cloud- Security Operation Center） 解决方案以“云计算”技术为基础，以终端安全管理为优势，集监控管理、分 析管理、响应管理于一体，将网络中的安全产品、服务器、网络设备、用户终 端等独立功能部件通过资源整合形成一个完整的协同防御体系，实现统一安全 管理。它位于网络安全体系的统一管理层，对于现有安全系统而言，VRV C- SOC 的地位是管理者，汇总所有的安全问题，实现集中管理和监控；对于企业 的安全管理组织及人员而言，VRV C-SOC 是一个技术实现平台，管理者可以利 用 VRV C-SOC 开展日常的安全工作，使得安全工作规范化、制度化。 北信源云安全管理平台 VRV C-SOC 的特性包括： 5.1 终端安全管理与传统 SOC 的有机结合 北信源云安全管理平台 VRV C-SOC 采用云计算技术将终端安全管理和传 统 SOC 系统纳入到一个统一的云安全管理平台。 终端是直接面向使用者的，终端安全在整个网络安全体系中占有至关重要 的地位，终端是否安全直接影响着用户业务的正常进行，北信源 VRV C-SOC 由于具备终端安全管理的独特优势，通过北信源特有的终端安全管理系统实现 对终端的信息数据采集，可实现对终端实时响应和系统反向控制。同时，采集 分析网关的安全系统和设备（防火墙、入侵检测、防病毒、漏洞扫描、系统审 计等)产生的数据。 云安全管理平台解决方案 /webmoney 25 终端安全管理与传统 SOC 的结合 通过终端安全管理与传统 SOC 系统的完美结合，既实现了对安全管理的最 终目标终端的重点有效安全管理，又将各自独立的安全系统和设备纳入到 了一个统一的监管体系，形成一个完整的安全服务体系，对大量分散的各类安 全事件进行汇总、过滤、管理分析、响应和处理，形成统一的安全决策综合系 统，为不同安全需求的用户，提供个性化的、专业全面的信息安全服务。 5.2 基于云计算技术的分层化处理 VRV C-SOC 采用云计算技术实现分层化业务处理。对被管对象通过“服务 云”实现业务数据的“接入（采集） ” ，而通过“计算云”对核心业务进行“分 析、识别、响应和控制” 。 云安全管理平台解决方案 /webmoney 26 调调度度 中中心心 云云服服务务 管管理理和和业业务务支支撑撑 虚虚拟拟化化 服服务务器器 资资源源 服服务务云云服服务务云云 计计算算云云计计算算云云 系系统统 管管理理 脆脆弱弱 性性管管 理理 用用户户 管管理理 策策略略 管管理理 资资产产 管管理理 事事件件 管管理理 用用户户 管管理理 风风险险 管管理理 预预警警 管管理理 响响应应 管管理理 知知识识 管管理理 报报表表 管管理理 终终端端 云安全管理平台网络架构 网络设备 数据库防火墙 应用系统 入侵检测系统 服务器安全产品 分层化业务处理架构 采用基于云计算技术的分层化业务处理模式，既保证了“服务云”数据采 集的及时和可控性，同时又不会对“计算云”进行数据的分析处理进行干扰， 使整体数据采集分析的结构合理化，层次清晰。 5.3 海量数据的标准化采集和处理 VRV C-SOC 利用 SNMP、SYSLOG、ODBC 等技术对终端设备、网络设备 以及安全设备的日志信息、运行状况、安全事件等大量数据信息进行标准化采 集。 VRV C-SOC 将采集到的海量数据进行降噪处理，将离散的数据整合成规则 的安全事件信息，对安全事件进行深度查询、审计分析及安全威胁风险评估， 并在分析掌握全网安全状态的基础上，将危害严重的安全事件与设备资源、用 云安全管理平台解决方案 /webmoney 27 户资源相结合，进行准确的安全定位。 在对海量数据进行分析处理的过程中，根据系统当前负载、资源实现本系 统动态负载均衡和容错，避免造成数据分析过程中造成的负载和资源占用瓶颈， 同时通过计算云将任务分布在大量的分布式服务器进行处理，大幅加快数据处 理、分析的速度，从而提高海量数据的处理效率。 5.4 深入事件关联分析 对于一个典型的用户而言，经过较为系统的安全建设后，都会部署较多的 安全产品。这些安全产品每天产生的事件量是巨大的，如下表所示： 安全目标安全目标安全产品安全产品每天产生的日志量每天产生的日志量 防火墙400 万条 网络设备（交换机、路由器）1000 条 网络安全 网络入侵检测100 万条 防病毒/桌面管理防病毒服务器、防病毒网关8 万条 内网安全桌面终端管理系统1000 条 保护关键业务系统主机审计系统、数据库服务器审计系统、 应用程序审计系统 10 万条 典型用户的日志每日产生量分析 显然，对于安全管理平台而言，收集和分析上述海量的安全事件是一个巨 大的挑战，而能否做到这点将直接决定一个安全管理平台的成败。同时，安全 管理平台决不能简单地将这些海量的信息直接展示给客户，否则，用户面对这 些海量的安全事件将束手无策，管理运维效率将不升反降。此外，大量的安全 事件汇聚到一起，根据其安全属性的相关性，可能隐含了新的更严重的安全事 件，这种相关性是管理人员难以用肉眼观察出来的。安全管理平台的目标就是 要收集这些海量事件，并通过有效的分析手段输出很少量的、真正值得管理员 关注的安全事件。 1. 事件关联分析含义：事件关联分析含义： 1) 将大量的安全事件过滤、压缩、归并，提取出少量的、或者是概括性的 云安全管理平台解决方案 /webmoney 28 重要安全事件，相当于“关联分析中的事件量变”； 2) 从大量的安全事件之中发掘隐藏的相关性，产生新的不在之前事件之中 的安全事件，相当于“关联分析中的事件质变”。我们知道，外部入侵和内部违 规行为从来都不是单一的行为，都是有时序或者逻辑上的联系的，黑客的攻击 和内部的违规操作往往是分为若干步骤的，每个步骤都会在不同的设备和系统 上留下蛛丝马迹，单看某个设备的日志可能无法发现问题，但是将所有这些信 息合到一起，就可能发现其中的隐患，而这正是关联分析的目的所在。 2. VRV C-SOC 的核心技术点：的核心技术点： 1) 事件关联分析实现海量安全事件的抽取、降噪，剥离无用信息，提升后 续安全管理工作的效率，降低安全管理工作的复杂性； 2) 事件关联分析是风险分析的基础，关联分析的结果导出的关联事件可以 提升为威胁，从而参与风险计算，并且实现风险计算自动化、定量化； 3) 事件关联分析是计算机安全事故应急响应处理流程的关键步骤。 5.5 面向用户服务的透明化 无论云安全管理平台采用多么复杂的系统架构以及云计算与分析技术，对 于用户而言，需要看到的只是其所关心的结果展示，以及基于相关分析结果所 能实现的安全策略，所以 VRV C-SOC 在实现对终端和网关系统的同一化处理 的基础上，提供分布化、虚拟化、位置和服务透明化的云计算安全管理。 对于在任何客户端及其它安全设备发现的异常情况，客户端和其它安全设 备都会及时汇报给云端，进行分析处理，反馈给用户，同时云端会把不同用户 得来的最新安全分析结果分享给所有用户，让用户能够最快的发现不安全因素， 极大的减少安全威胁，实现双赢，这也正是云安全管理平台的核心理念之一。 同时，VRV C-SOC 体现了当前安全需求以 “信息保障”为中心的理念，对 信息和信息系统的安全属性及功能、效率进行保障的动态行为过程进行跟踪和 调整，它运用源于人、管理、技术等因素所形成的预警能力、保护能力、检测 能力、反应能力、恢复能力和反击能力，在信息和系统生命周期全过程的各个 状态下，保证信息内容、计算环境、边界与连接、网络基础设施的真实性、可 用性、完整性、保密性、可控性、不可否认性等安全属性，从而保障应用服务 云安全管理平台解决方案 /webmoney 29 的效率和效益，提高信息系统的保障能力。同时作为信息保障能力的安全管理， 把分散的技术因素、人的因素，通过政策规则、运作流程协调整合成为一体， 充分体现了“三分技术，七分管理”的重要性。 同样，VRV C-SOC 系统的体系架构，包括了对各种安全解决方案所产出的 数据进行收集，在此基础上通过分析、关联进行过滤和简化，转化为用户真正 可管理的信息或知识，并帮助用户在安全知识的指导下可对此及时采取有效的 行动，提高系统的安全度。 云安全管理平台解决方案 /webmoney 30 6北信源云安全管理平台部署北信源云安全管理平台部署 标准架构：一般网络（例如 1 个 C 类地址或若干个 C 类地址的局域网范围） 可使用一套本系统平台，集中管理所属区域内的所有设备。 级联架构（大型网络）：大规模的多个局域网或者跨地域广域网（包括基 于国家、省、市、县等多级管理模式的网络结构） ，可使用本系统提供的多区域 级联集中管理架构，即一个或多个网段各拥有一套独立云平台管理引擎，上级 中心参数设定、策略控制等可层层执行下发，而下级区域的运维信息、日志操 作等数据可逐级上报，使得上一级管理人员对整个级联区域网络的设备状况能 够完全掌握，实现全网的分布式统一管理。 其部署架构如下图所示： 入入侵侵检检测测 系系统统 邮邮件件服服务务器器 防防火火墙墙 管管理理服服 务务器器 安安全全信信息息采采 集集器器 交换机 路由器 被被管管网网络络 入入侵侵检检测测系系统统 数数据据库库 漏漏洞洞扫扫描描 系系统统 防防病病毒