（工商管理专业论文）内蒙古移动安全监控体系设计方案.pdf

摘要 随着移动通信行业日新月异的迅猛发展，内蒙古移动公司的网络规模也经 历了快速发展的历程。移动网络各类主机设备、网络设备、安全设备的数量迅 速增长，且种类繁多、部署分散，且缺乏专业的安全监控人员、安全技术人员 和全网统一的安全监控平台，这种发展态势正逐步给安全管理工作带来一些危 机性的问题。 内蒙移动网络缺乏统一的安全监控平台，也影响全网的安全事件管理水 平。主机设备、网络设备、安全设备的安全管理模式基本是相互孤立、相互分 散的，人工监控的工作量大、效率低，而且由于无法统一搜集、汇总和关联分 析所有安全日志与安全告警信息，不利于全面、快速、准确的响应发生的安全 事件；针对安全告警信息和安全预警信息无法自动进行资产关联分析，无法主 动进行安全告警和预警信息的手工或自动派单，从而影响安全告警和预警的快 速响应：监控人员、系统维护人员、安全技术人员在处理安全事件的过程中缺 乏专业化的安全知识库支撑服务，影响安全事件响应效率。 本论文从实现安全告警信息由分散查看、分散处理到集中查看、集中分析、 集中监控响应角度考虑，对如何构建“主动安全管理自动化、被动安全管理智 能化”安全监控平台进行了详细描述。 关键词：安全监控体系，设计，方案 a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fm o b i l ec o m m u n i c a t i o ni n d u s t r yc h a n g i n gr a p i d l y ， t h en e t w o r ks c a l eo fi n n e rm o n g o l i am o b i l ec o m p a n ya l s o e x p e r i e n c e dr a p i d d e v e l o p m e n th i s t o r y t h em i m b e ro fa ! lk i n d so fm o b i l en e t w o r kh o s te q u i p m e n t s ， n e t w o r ke q u i p m e n t s ，s e c u r i t ye q u i p m e n t si sg r o w i n gr a p i d l y a n daw i d er a n g eo f d i s p e r s i o n ，d e p l o y m e n t ，a n dt h es i t u a t i o n t h a t t h e l a c ko fp r o f e s s i o n a ls e c u r i t y m o n i t o r i n g ，s e c u r i t yp e r s o n n e lt e c h n i c a lp e r s o n n e la n daf u l ln e t w o r k u n i f o r m s e c u r i t ym o n i t o rp l a t f o r mi sg r a d u a l l yb r i n g i n gs o m ec r i s i sp r o b l e mt ot h es a f e t y m a n a g e m e n tw o r k t h en e t w o r ko fi n n e r m o n g o l i am o b i l ec o m p a n yl a c k su n i f i e ds e c u r i t yp l a t f o r m ， a n da l s oa f f e c t st h e s e c u r i t ye v e n tm a n a g e m e n to ft h ew h o l en e t w o r k t h es e c u r i t y m a n a g e m e n tm o d eo ft h eh o s td e v i c e s ，t h en e t w o r ke q u i p m e n t s ，a n dt h es e c u r i t y e q u i p m e n t si si s o l a t e df r o me a c ho t h e r a n di ti sn o tc o n d u c i v et oac o m p r e h e n s i v e ， t a s t ，a c c u r a t er e s p o n s et ot h eo c c u r r e n c eo fs e c u r i t yi n c i d e n t s ，t h a t sb e c a u s ea r t i f i c i a l m o n i t o r i n gw o r k l o a d ，l o we f f i c i e n c y ，t h ei n a b i l i t yo fu n i f i e dc o l l e c t i o n ，a g g r e g a t i o n a n da s s o c i a t i o na n a l y s i so fa l lt h es e c u r i t yl o ga n ds a f e t ya l a r m i 1 1 f 0 m a t i o n a i m i n g a tt h es e c u r i t ya l a r mi n f o r m a t i o na n ds e c u r i t ye a r l yw a r n i n gi n f o r m a t i o ni s u n a b l et o c u r r e n t l ya n a l y z ea u t o m a t i ca s s e t ，i n i t i a t es a f e t ya l a r ma n dm a n u a l l yo ra u t o m a t i c a l l y s e n das i n g l eo fw a r n i n gi n f o r m a t i o n ，w h i c hi sa f f e c t i n gt h es e c u r i t ya l a r m a 1 1 dt h e f a s tr e s p o n s eo fw a r n i n g i ta l s oa f f e c t st h es e c u r i t yi n c i d e n tr e s p o n s e e f f i c i e n c vd u e t ot h el a c ko fp r o f e s s i o n a l s a f e t yk n o w l e d g el i b r a r y s u p p o r ts e r v i c e s o ft h e m o n i t o f i n gp e r s o n n e l ，m a i n t e n a n c ep e r s o n n e l ，s a f e t ya n dt e c h n i c a lp e r s o n n e li nt h e p r o c e s s i n go fs e c u r i t ye v e n t s t h i st h e s i si sd e s c r i b e di nd e t a i lo nh o wt o c o n s t r u c tt h es a f e t ym o n i t o r i n g p l a t f o r mo f ”a c t i v es a f e t y m a n a g e m e n ta u t o m a t i o n ，p a s s i v es a f e t ym a n a g e m e n t i n t e l l i g e n t ”f r o mt h ei m p l e m e n t a t i o no fs e c u r i t ya l a r mi n f o r m a t i o ni sd i s p e r s e db vt h e v 1 e 砒d i s t r i b u t e dp r o c e s s i n gt o c o n c e n t r a t eo n ，f o c u s e do n a n a l y s i s ，m o n i t o r i n g r e s p o n s ep e r s p e c t i v e k e yw o r d s ：s a f e t ym o n i t o r i n gs y s t e m ，d e s i g n ，s c h e m e i i 第一篇引言 第一篇绪论 1 1 内蒙古移动安全监控体系产生的背景 随着移动业务，尤其是移动数据业务的大力发展，日益成熟的用户迫切的 希望内蒙古移动能为他们提供安全的网络服务，维护用户的合法权益，内蒙古 移动在很早就考虑到了网络安全部署的重要性，在网络部署的同时在各业务网 络中部署了必要的安全产品，基本上构建了内蒙古移动网管系统网络安全的基 本架构，解决了安全子系统从无到有的问题。 根据集团公司2 0 0 8 年5 月下发的关于开展集中化的7x2 4 小时网络与信 息安全监控工作的通知公文要求：“各省公司应抓紧进行基础安全监控手段( 如 防火墙操作维护系统等) 的部署”。目前内蒙古移动存在7 x 2 4 小时安全监控手 段不足的问题，需要尽快部署集中的安全监控平台，以完善我区安全支撑手段 并实现安全事件的集中监控，安全风险的统一展现。 传统的信息安全着眼于常规的信息系统安全设备部署，诸如防火墙、v p n 、 入侵检测系统、防病毒系统、认证系统等，构成了信息安全的防护屏障。随着 信息安全越来越被内蒙古移动重视，电信网络中部署了大量的安全产品，但是 大量的安全产品带来了巨大的安全监控及管理问题，安全监控及管理面临的主 要问题如下：安全产品的零散性；海量数据带来的效率低下和可管理性缺失： 缺乏统一的基于资产和风险的视图；来自公司内部和外部的法规要求。 如上所述，内蒙古移动工t 系统的安全部署和维护是一项复杂的系统工程， 需要从组织、运作、技术等多个层面综合考虑。但其中一个最关键、最基本的 层面就是针对层出不穷的安全事件的日常化、流程化的安全监控、响应、处理 管理。 本论文通过论述内蒙古安全管理及监控平台的需求、设计及系统部署的方 案，可以及时发现和处置网络攻击，防止有害信息传播，是网络和系统实施保 护的重要手段。根据电信网络安全运维、管理情况，安全管理及监控平台主要 可以实现集中化、信息化、流程化。 本期安全监控平台的部署目标是搭建以风险管理为核心的集中安全监控平 第一篇引言 台，实现对网络系统中采集到的安全事件进行集中监测，实现安全风险的计算 和综合呈现，建立安全策略管理基本框架，实现安全告警管理。初步建立安全 知识及预警应急体系。提高所管理系统的安全威胁实时检测率，降低被成功攻 击的概率，提高安全事件的响应速度。 1 2 论文主要内容 中国移动内蒙古公司网络安全监控平台主要监控网络管理中心各专业安全 设备，包括各业务系统及相应的防火墙、i d s 、i p s 产品，对安全资产的告警信 息进行集中监控，集中响应，集中流程化处理。 研究内容共分六篇： 第一篇：绪论。阐述内蒙古移动安全监控体系产生的背景。 第二篇：安全监控体系设计的意义。 第三篇：系统总体设计。 第四篇：系统功能设计。 第五篇：系统部署方案和测试环境。 第六篇：方案优势及特色。 2 第二篇安全监控体系的意义 第二篇安全监控体系设计的意义 2 1 安全监控工作的意义和需求分析 为加强中国移动i t 系统的安全运维水平，提高网元设备的安全等级，从而 整体提高中国移动的安全管理及技术水平，中国移动正大力推进安全监控及安 全基线检查方面的工作，这也是本次内蒙古移动安全监控平台部署的核心目标。 内蒙古移动充分理解中国移动集团及内蒙古移动的需求，认为安全监控平 台的事件收集及综合分析功能能够有效地实现集团安全集中监控的目标，安全 监控平台脆弱性管理的功能能够有效地开展周期性的安全基线检查工作。 一旦建立起安全监控与安全基线检查的工作制度和工作流程，就可以依托 安全监控团队有效地开展安全监控与安全基线检查工作。 2 1 1 安全监控工作的意义 内蒙古移动工t 系统的安全部署和维护是一项复杂的系统工程，需要从组 织，运作，技术等多个层面综合考虑。但其中一个最关键、最基本的层面就是 针对层出不穷的安全事件的日常化、流程化的安全监控、响应、处理的管理。 根据以往实际安全运维、管理总结出的经验，安全监控及审计至少具有以下两 个方面的重要意义： 1 、将安全监控纳入正常运维工作是推进信息安全体系部署的根本办法 目前内蒙古移动基本都已经建立了较为完整的网管监控体系，有专门的监 控平台和监控队伍，但信息安全的部署工作起步较晚，虽然部署了大量的安全 产品、并定期进行相关的安全评估和加固工作，但安全产品的日常运维，安全 事件的日常监控并没有完全纳入现有的监控体系，造成了安全“必须有专人负 责”的局面，使得安全工作不能日常化，流程化地进行，是企业安全部署的一 大障碍。 2 、部署信息安全保障支持平台是促进安全运维日常化的前提 大量盼安全产品，海量的安全事件，使得日常的安全维护和安全监控变得 日益困难，部署一个以“安全运维”为核心的安全保障支持平台，对安全事件 第二篇安全监控体系的意义 进行进一步的分析和挖掘，找出最需要解决的安全问题并提供必要的维护支持 信息，是促进安全运维日常化的基本前提。 2 1 2 安全监控工作的需求分析 内蒙移动需要部署安全监控平台，定位于公司所有安全设备、4 a 和i t 审计 系统等安全系统、以及各业务系统的安全综合管理平台，实现以风险管理为核 心的集中安全监控和安全管理，实现对安全事件、高危审计事件、合规性检查 事件的集中监控，实现安全风险的计算和综合呈现，建立安全管理流程基本框 架，实现安全告警管理和安全工单派发，实现安全设备的集中管控。 1 、国家对信息安全部署的要求 依据2 0 0 6 2 0 2 0 年国家信息化发展战略，强调要全面加强国家信息 安全保障体系部署。要求各组织坚持积极防御、综合防范，探索和把握信息化 与信息安全的内在规律，主动应对信息安全挑战，实现信息化与信息安全协调 发展。其中一项内容就是要部署和完善信息安全监控体系，提高对网络安全事 件应对和防范能力，防止有害信息传播。高度重视信息安全应急处置工作，健 全完善信息安全应急指挥和安全通报制度，不断完善信息安全应急处置预案。 2 、中国移动集团对各省公司的要求 中国移动通信网络和支撑系统是国家基础信息设施，从国家要求和企业自 身业务的要求考虑，都迫切需要提高信息安全保障水平。集团公司拟订了安 全监控平台技术规范，从多个层面对业务支撑网的安全监控平台的建议工作 进行指导，为中国移动的网络与信息安全管理工作建立科学的体系，力争通过 科学规范的全过程管理，结合成熟和领先的技术，确保安全控制措施落实到位， 为各项业务的安全运行提供保障。 3 、内蒙古移动自身安全需求 目前内蒙古移动已经在各系统、网络边界部署了防火墙、i d s 、i p s 等安全 防护设备，部署防病毒系统、并且已经部署了针对用户管理和用户行为审计的 公司统一的帐号口令集中管理系统( 4 a 系统) 但对于安全工作的集中化处理： _ 缺乏集中进行安全监控的手段，无法开展7 2 4 小时的安全监控工 作； _ 对各种安全设备缺乏统一的管理平台； _ 监控人员技能尚待提高，需要掌握安全知识，深入理解告警信息； 4 第二篇安全监控体系的意义 一没有明确的安全监控、处理、安全管理流程和上报工作流程，缺乏事 件预处理手册； 一缺少安全事件分类和安全事件分级机制； 一安全告警信息没有与资产关联，各种设备和系统的安全信息也无法进 行管理分析，发现告警后无法定位和处理。 针对上述问题，根据网络与信息安全“风险管理”的本质，对风险进行有 效的控制，围绕“重要资产、重要告警、重点监控”的工作目标，以安全告警 和资产的关联为重点开展工作，在条件允许的情况下实施7 2 4 小时的安全监 控，并初步建立电子化、流程化的安全管理框架。 2 1 3 在中国移动安全管理框架中的地位 中国移动已经推出了四层的安全技术体系框架，该框架覆盖了中国移动安 全技术体系的全部层面： in m 、，- 攀麓霞霞嚣戮黧蠢慧群誉蠹： 陟中国移动通信集团公司网络部 翻圈墨匿疆匿翟燕圈i 二j 皂 圣避。寻銎篆， 图2 1安全技术防护体系 第二篇安全监控体系的意义 本架构的最高层面为安全监控平台( i s m p ，也可称为s o c ) ，安全监控平台 是实现安全管理，安全监控，安全运维支持的综合平台，架构的第二层一网元 自身安全功能和配置目前已经落实为主要依赖周期性的安全评估加固和日常安 全基线检查工作来完成。 2 1 4 集团安全监控工作的落实情况 集团于2 0 0 7 年就开始部署了安全集中监控部署工作，安全监控是随着中国 移动安全技术体系和管理体系的逐步完善，进一步加强安全运维体系部署的一 个有效的办法。一年多来，在集团的统一组织下，安全监控的思路、方法有了 近一步的完善，几个试点省公司( 广东，江苏等) 也都进行了专门的探讨并取 得了可见的效果。 安全监控是促进安全运维工作的必经之路，安全监控体系的部署涉及队伍 部署( 监控人员) 、技术体系部署( 监控手段) 、管理和维护体系部署( 监控管 理流程) 。 安全监控工作有如下特点： 是一项企业应日常进行的一项工作； _ 需要有人员，技术和工具的支撑； 很难一蹴而就； - 目标和效果体现在持续发现安全问题，推动安全部署和维护工作； - 应有阶段性的监控目标，在开始阶段要避免求大求全； _ 应在安全监控工作开展的同时进行安全教育及安全知识库的积累。 典型的安全监控工作的开展过程。 6 第二篇安全监控体系的意义 图2 - 2 安全监控工作开展流程 2 2 安全监控的内容要求 安全监控的内容一般可以分为“网元自身安全监控”及“安全事件威胁监 控 两大类，内蒙古移动本期安全监控平台主要解决“安全事件威胁监控”的 工作目标，实现针对安全设备的安全事件统一收集、分析及呈现。在具备一定 的安全监控平台运维管理经验后，根据系统的运行情况，再逐步将监控管理对 象扩展到其他类型设备及其它部门。 下文将对“网元自身安全监控 及“安全事件威胁监控”主要监控内容、 方式进行说明。 2 2 1 网元自身安全监控 网元自身的安全监控主要包含3 个方面： 网元运行状态监控； _网元安全配置监控； - 网元日志审计监控。 7 第二篇安全监控体系的意义 2 2 1 1 基本要求1 网元运行状态监控 系统的高可用性是安全的一个核心指标，因此需要通过对系统主要包括系 统内硬件设备的内存、c p u 、硬盘存储等的负荷、网络连通、时延、端口d 0 1 l r n u p 等状况的实时监控，来判断系统的运行情况及可用性。 上述运行状况一般可以通过s n m pq u e r y 、s s h 、t e l n e t 等方式查询获取， 目前对于中国移动的各业务系统而言，一般在上线时都会要求接入网管系统， 实现对上述信息的采集。因此在安全审计、监控平台的接入时，可以直接从网 管系统获取上述数据，或者直接由安全审计、监控平台从各设备获取。 2 2 1 2 基本要求2 网元安全配置监控 各个网元( 包括操作系统主机、网络设备、安全设备、应用服务等) 本身 都具备各种各样的安全选项和策略设置。如帐号口令安全配置、访问登陆安全 配置、补丁情况、文件权限、进程、服务、端口开放等。 目前移动集团总部已针对各种基本网元下发了相关的安全配置基线，相关 系统及网元在接入安全审计、监控平台时必须能够定期对各网元的安全配置情 况进行检查，需满足集团的相关基线要求。 随着萨班斯法案的推进和移动集团总部相关基线审计规范的制定，部分安 全厂商已开始提供相应的基线审计的解决方案。目前主要是通过2 种方式实现： 1 、客户端软件 在需要审计的目标网元上安装客户端程序，客户端程序会定期执行相关基 线审计的脚本，生成检查结果，并将检查结果报告给集中安全审计、监控平台。 2 、远程脚本执行 由安全审计、监控平台定期主动t e l n e t 或s s h 登录到目标网元主机，下载 基线审计脚本并执行，然后将检查结果报告给集中安全审计、监控平台。 2 2 1 3 基本要求3 网元日志审计及监控 各个网元本身都具备相应的日志记录功能开关，通过启用日志记录，可以 记录下网元运行过程中发生的各类主要事件，为系统管理员提供系统维护和分 析依据。 各个业务系统的网元在接入安全审计、监控平台时必须启用网元自身的日 志记录功能，并将日志记录发送到集中安全审计、监控平台进行统一分析及处 第二篇安全监控体系的意义 理。 网元日志记录的采集一般采用类似s e m s i m 安全事件管理系统予以实现。 通过在各业务系统部署专门的日志采集服务器，完成个系统内部网元的日志记 录采集。 日志采集服务器应能支持通过s y s l o g 、s n m pt r a p 、o d b c 、s o c k e t 接口、 o p s e c 接口、第三方a g e n t 、文件等各种方式获取目标网元日志。 日志审计系统应具备对日志事件进行标准化、集中存储、合并、关联分析 和统计等的基本功能，同时，日志审计系统还应支持对于事件的过滤、归并、 关联分析等功能。 2 2 2 安全事件威胁监控 随着i t 系统的不断庞大和复杂化，所面对的安全风险、漏洞、及攻击等事 件及威胁也越来越多样化，如访问控制、病毒蠕虫、黑客攻击、网络滥用、误 操作等等。不同的风险及漏洞、攻击都对应着一些相应的安全检测、发现及防 护技术和产品。下面将主要针对集中审计监控需求所需要满足的一些基本安全 检测防护技术和手段及部分可选安全检测防护技术和手段进行说明。 2 - 2 2 1 基本要求4 防火墙 防火墙是一种网关级访问控制设备，“防火墙的目的是在内部、外部两个网 络之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流， 实现对进、出内部网络的服务和访问的审计和控制”( 参见国标g b t 1 8 0 1 9 - 1 9 9 9 ) 。防火墙技术当前已经成为网络安全领域的最为重要的、活跃的领 域之一，成为保证网络安全、保护网络数据的重要手段，必选的网络安全设备 之一。 随着移动集团安全域及边界整合优化工作的逐步展开，各个业务系统通过 在业务系统边界部署防火墙产品达到对业务系统内部保护和访问控制是一项基 本要求。 防火墙除了能实现对网络访问的控制及一些一本攻击行为的防护，防火墙 本身也能对进出网络的所有访问流量进行日志记录，防火墙所产生的网络访问 日志是我们监控网络运行状态、分析和控制风险源头的一个重要依据。同时， 大多数的防火墙本身的日志事件存储容量有限，因此各业务系统在使用防火墙 9 第二篇安全监控体系的意义 时必须将防火墙的相关日志记录统一发送到集中安全审计、监控平台进行集中 分析、审计、监控，防火墙应能支持s y s l o g 、s n m pt r a p 等远端日志发送功能。 2 2 2 - 2 基本要求5 i d s 入侵检测系统 防火墙仅仅能记录一些基本的网络访问及通讯情况，大多数情况下，防火 墙本身并不能直接产生关于网络安全风险方面的监控告警事件。而i d s 入侵检 测系统则是一个专门的风险监控发现告警系统。是我们网络安全风险状况监控 的一个最直接的来源。 入侵检测系统入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩 展了系统管理员的安全管理能力( 包括安全审计、监视、进攻识别和响应) ，提 高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信 息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹 象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情 况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。 _ 监视、分析用户及系统活动； _ 系统构造和弱点的审计； _ 识别反映己知进攻的活动模式并向相关人士报警； - 异常行为模式的统计分析； 评估重要系统和数据文件的完整性； - 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 i d s 入侵检测系统是实现对网络安全风险、漏洞、攻击事件等检测监控的 一个最直接的手段，因此各个业务系统在接入集中安全审计、监控系统时应统 一部署i d s 入侵检测系统。 各个业务系统至少应在网络的核心汇聚层部署i d s 入侵检测系统，对整个 业务系统内部的全部或主要通讯访问流量进行检测，及时发现网络中的异常、 恶意或者攻击流量，并实时报告给集中安全审计、监控平台。 2 2 | 2 3 基本要求6 漏洞扫描系统 各个业务系统里面都包含有多种操作系统、应用等，而操作系统、数据库 系统及其它应用系统层出不穷的安全漏洞导致网络存在非常高的安全风险，虽 然相关厂商会经常地对这些漏洞或弱点进行修补和升级，但我们却无法保证我 们修复了所有那些可能对我们系统造成严重威胁的漏洞，即使通过一些专业的 1 0 第二篇安全监控体系的意义 安全服务如安全评估及加固服务，我们也只能保证系统在此次安全7 b u r n 务后 的一段时间内的安全，而现在各种漏洞的发现和被利用是越来越多并且时间越 来越短，因此为了保证整个系统的长期安全，必须有相关的工具能够经常地、 主动地发现操作系统、数据库系统和其它应用系统的安全漏洞，并提出行之有 效的解决建议，保证整个网络的长期安全。 网络安全扫描技术就是一种通过主动探测，发现目标主机或应用系统所存 在的安全性脆弱点的技术。 通过漏洞扫描器，我们可以达到以下功能： _ 扫描目标主机识别其工作状态( 开关机) ； _识别目标主机端口的状态( 监听关闭) ； 识别目标主机系统及服务程序的类型和版本； - 根据已知漏洞信息，分析系统脆弱点。 上述信息都是我们在进行安全审计监控时应该重点关注的一些安全信息及 事件，因此作为一项基础安全防护技术体系，各业务系统应至少在系统内部范 围内部署一套漏洞扫描设备( 与系统内其它设备物理可达即可) ，漏洞扫描系统 应可支持集中管理，可以集中下发扫描策略、扫描任务，并且生成扫描报告集 中传送给安全审计、监控平台。 2 3 安全监控工作落实建议 安全监控的一项最重要的工作就是对安全事件的处理及分析工作。安全事 件复杂多样，同一个事件针对不同的业务环境处理的方法流程也可能不同。 根据其它一些省市公司类似安全监控管理平台的使用运行情况，考虑到安 全工作的复杂性，安全技能、安全运维经验的积累性，本次内蒙古移动安全监 控平台项目将要求提供原厂驻点技术支持服务。不仅提供基础的技术支持服务， 内蒙古还将通过驻点人员及后端其它专业安全技术人员，为内蒙古移动提供针 对安全事件的分析及处理进一步技术支持，保证安全监控工作得到最有效的落 实及执行。 内蒙古移动落实主要安全监控工作如下： 第二篇安全监控体系的意义 2 3 1 针对巨量安全事件的过滤 信息安全事件的一个突出特点就是信息量巨大，海量的安全事件数据常常 让我们的安全产品变得没有任何意义，同时也让我们的安全事件监控及处理人 员茫然无措和无从下手。各种安全产品即使经过调整和优化的策略，也充斥着 无意义数据和误报。入侵监测等安全产品也正是因为这种原因被人诟病。有些 无效数据是由安全产品的机制自身导致的，他本身无法彻底解决该问题。 企业面临的难题是，必须减少但不丢失安全事件，这样才能让我们对安全 产品、安全事件的管理变得可能和有效率。 针对多种设备、安全产品上报的海量安全事件问题，为了避免一些噪音事 件对其它重要安全事件的干扰，提升安全事件的管理及处理效率，我方将在驻 点人员及相关技术专家的支持下以及内蒙古移动相关系统维护人员的配合下， 对安全事件告警进行定制及过滤工作。 目前主要有以下2 中过滤机制： 一是针对所有相关安全事件的关联分析及过滤； 二是针对特定安全事件的策略过滤。 下面将对这两种事件过滤方式进行简单说明： l 、安全事件的关联分析及过滤 关联分析的主要作用是把不同设备或者同一设备产生的多个安全事件通过 一定的关联规则，将其重新定义成一个或者一类事件，从而大大降低所产生的 安全事件告警的数量，提高对大量安全事件的处理能力。安全事件关联分析的 过程如下： ( 1 ) 黑客对网络中的设备发起攻击 安全监控平台在黑客攻击的时候，获取其攻击产生的安全事件，记录安全 事件的内容，并且将安全事件标准化，存储到内存中便于进一步的关联分析。 ( 2 ) 不同设备中产生大量的安全事件 黑客攻击过程中，安全监控平台从各种设备包括网络设备，安全设备，主 机设备中获得大量的安全事件，在内存中存储准备关联分析。 ( 3 ) 采集机采集各类设备的安全事件 安全事件通过标准化后统一提交给关联分析引擎进行分析。 ( 4 ) 所有内存中的安全事件，统一由关联分析引擎根据各种关联规则进行 1 2 第二篇安全监控体系的意义 关联分析 对接受的安全事件匹配关联分析规则； 关联引擎将所有的安全事件一一匹配已经设置的关联分析规则。 ( 5 ) 关联分析的主要规则主要包含2 种情况： 不同设备产生的同一个安全事件。比如说防火墙、i d s 等设备上都记录 到了针对某台主机的扫描探测、口令猜测等攻击事件。那么可以根据事件发生 的时间、源目的地址、内蒙古内容等进行关联，将其关联成同一个事件。 同一个事件在某个时间内出现的频率。比如说主机记录到登陆失败信息。 比如说一个用户在某段时间内登录失败1 次或2 次，那么有可能是合法用户偶 尔的误输入，那么关联引擎或过滤到该事件，不进行告警。但若是某一个用户 在某段时间连续登陆失败( 比如说1 分钟内登陆失败1 0 次、1 0 0 次) ，那么这 个事件很可能是有人再进行恶意的口令猜测，那么关联引擎会对其产生告警 ( 6 ) 匹配到关联分析规则后，产生关联分析事件，该事件的风险值提高， 并且提交到响应引擎，提醒安全管理员对其进行处理；同时，该告警事件到界 面中进行呈现。 s e l l 采集 服务器 _ 卅 里宏犁墓器看到关联噬 事件告警 9 图2 - 3 事件关联分析过程 l 雷i l l 、 u se t ：i t d v d ：a m t d v d ：b h b p v d c c c u s e r ：t o o p y d ：d d d u s 匕r ：i 。 t p v d ：c c c u s c r ：r o o t 用户屈 务器 口令猜 猜攻击 0l罗圈 呋i刘污 距分擎 第二篇安全监控体系的意义 2 、针对特定安全事件的策略过滤 通过关联引擎关联和过滤后产生的初始告警事件，在一些大型网络里面， 仍然会比较多，事件处理起来也是一件比较庞大的工作。 针对这类事件，内蒙古驻点技术支持人员将和相关系统管理人员的配合下 完成了对这些特定事件的策略过滤，目前过滤策略主要包含以下： ( 1 ) 如果事件的源地址和目的地址都不为内蒙古移动的资产，就直接进行 过滤处理； ( 2 ) 部分一般性的安全审计记录事件，直接写入数据库，不在告警界面显 示； ( 3 ) 根据各系统的不同特点，对部分事件进行了风险降级或提高处理； ( 4 ) 对一些确认过的一些合法业务访问所产生的一些告警，采取了容忍忽 略的过滤策略。 通过上述过滤策略的实施，可以极大的降低每天产生的安全事件告警量， 提高安全告警的处理效率。 如内蒙古移动对告警事件进行过滤工作，内蒙移动数据网原始事件大致是 每天三四十万条，初始告警量四五百条左右，在内蒙古移动维护人员的共同努 力下，过滤后安全事件告警控制在大概每天1 0 条左右。极大的提高了安全事件 的分析过滤及处理效率。 2 3 2 针对主要安全事件的梳理及预处理手册 以往安全监控平台运维的一个问题就是懂业务的人不一定了解相关安全事 件，懂安全事件的人又不一定充分了解业务特点，因此不能或者是不知道一个 安全事件到底该如何处理。 为了提高对一些重要的、常见的安全事件的处理效率，内蒙古将在个系统 维护管理人员的配合下，针对不同的业务系统的一些常见安全事件，进行梳理 及总结，完成并编制相关的处理手册及派单原则，为安全事件的监控处理提供 了有力的支持。 1 4 第三篇系统总体设计 3 1 总体模型 第三篇系统总体设计 一个良好的信息安全管理体系应包括安全策略体系、安全组织体系、安全 技术体系、安全运作体系。 其中，安全策略体系是整个信息安全体系的核心，为整个信息安全体系提 供指导和支持。如下图所示“信息安全策略体系”，通过人的因素( 组织体系) ， 依据信息安全技术体系，针对各个业务系统，对具体实施、运行过程进行监督、 指导和考核( 运作体系) 。 馘 图3 1安全监控平台总体模型 内蒙古安全监控( 管理) 平台就是一个结合了技术和管理的综合概念，通 过对信息安全管理体系中相关要素的综合考虑及统一组织和管理，有机的将管 理与技术相融合，将企业部署的安全产品结合成为一个整体，使得企业安全工 作可量化、可考核。安全监控( 管理) 平台可以将本次项目涉及的产品类系统 1 5 回o 第三篇系统总体设计 贯穿成为一个整体，发挥更好的作用。 3 2 系统定位 内蒙古移动认为，安全管理一安全管理中心是一种管理形式，是介于现有 安全系统和管理者之间的一种管理形式。安全管理系统并不实现防火墙、i d s 、 防病毒等安全产品系统的具体安全功能，而是实现一种管理职能：从而可能派 生出一些常规安全产品所不能实现的特定安全功能。 图3 - 2 安全监控平台的系统定位 对于现有安全系统而言，安全监控( 管理) 平台的地位是管理者，汇总所 有的安全问题，集中管理和监控；对于企业的安全管理组织结构，安全监控( 管 理) 平台是一个技术实现平台，管理者可以利用安全监控( 管理) 平台开展日 常的安全工作，使得安全工作日常化、制度化。 针对中国移动内蒙古公司而言，本次部署的安全监控平台在公司的信息安 全日常运维及管理的作用和地位如下图所示： 1 6 1i一一二一一 墨圈 第三篇系统总体设计 图3 - 3 安全监控平台的作用及地位 安全监控( 管理) 平台在内蒙古移动o s s 系统中承担安全运维、管理的职 责。本期安全监控平台的定位为实现针对网络管理中心彩铃、短信、w a p 、g p r s 等2 0 个业务系统防火墙、入侵检测系统、入侵防御系统的安全事件的集中收集， 进行基于资产的风险分析，实现7 x 2 4 小时的安全监控。 3 3 体系结构设计 安全管理系统体系结构设计如下图： 1 7 第三篇系统总体设计 图3 4 安全监控平台体系结构设计 内蒙古安全监控平台由安全门户、风险管理、事件管理三大系统组成，它 们及下属模块之间关系如下： 统一w e bp o r t a l ：u i 采用集中统一的w e b 方式，既免除了安装繁琐的客户 端软件，又能在统一的界面中操作，所有安全产品通过统一安全门户管理。 风险管理平台：收集和分析事件、漏洞，结合资产信息开展各类分析，并 将风险、事件、漏洞、审计信息呈现给用户，用于日常监控和问题排查。 服务管理平台：结合配置数据库，实现基于i t i l 的各种安全服务管理，包 括统计报表分析等。服务管理平台中的配置数据库包括资产管理等配置数据。 专业安全系统：内蒙古提供或者非内蒙古提供的专项安全管理功能，通过 p o r t a l 进行集成，这种系统一般有专门接口，而非通用的接口发送数据。 接口：安全监控平台提供主动和被动接口，方便和其他系统进行交互，可 以交互数据包括配置库、流程管理数据、风险数据等，可以交互接口包括 ) ( m l s o a p 、a p i 、s y s l o g 、s n m pt r a p 、短信、e m a i l 、应用程序等。 1 8 第三篇系统总体设计 安全监控平台以信息资产的属性信息及相关安全事件输入为基础，通过各 个功能模块的处理，最终将系统处理结果与信息资产的属性信息进行关联，完 成安全信息数据在系统中的闭环流转。 风险管理平台主要是完成资产安全风险的计算和对安全事件信息、安全漏 洞信息、资产配置信息的管理，详细的模块结构图如下： 零簧：兰兰! 竺竺兰j 兰竺三璺竺竺塞| 剿型到! 型l 数据采 集管理 二 。 j 事件l 。漏洞配置l 资产i 性能| 型塑型剑邋 3 4 配置分析 图3 5 风险管理平台模块机构 基础信息的采集设计到网络管理中心所维护的相关系统及与安全设备，包 括彩铃、短信、w a p 、g p r s 等2 0 个业务系统所有防火墙、i p s 、w e b 防火墙和等 设备。 3 4 1 存储容量分析 容量计算方法如下( 容量分析模型表) ： 19 表3 1 容量计算方法 管理范围 防火墙审计 1 l r e b 防火墙2i d s i p sn - i d s 2 防毒总计 设备类型 1系统防护设备 设备型号千兆百兆千兆 百兆 每日告警数量 1 ，0 0 0 ，0 0 05 0 0 ，0 0 01 0 0 ，0 0 05 0 ，0 0 01 5 ，0 0 0 i 0 5 0 ，0 0 0 过滤比例 9 0 8 0 0 0 0 0 o s m p 收到告警数1 0 0 ，0 0 0 1 0 0 ，0 0 0i 0 0 ，0 0 05 0 ，0 0 01 5 ，0 0 0 1 0 5 0 ，0 0 0 告警大小( 字节) 2 0 0 2 0 05 0 05 0 05 0 05 0 05 0 0 每日存储空间( m ) 2 02 05 02 580 2 5 一天的秒数8 6 4 0 08 6 4 0 0 8 6 4 0 08 6 4 0 0 8 6 4 0 0 8 6 4 0 08 6 4 0 0 采集主机需要e p s1 1 ，65 ，81 ，20 ，60 ，20 ，0 0 ，6 单台占用平均带宽( k )1 8 ，59 ，34 ，62 ，30 ，70 ，02 ，3 s m p 需要e p sl ，21 ，2 l ，2 0 ，60 ，20 ，00 ，6 设备数量4 201 0o1i 0 0 0 041 0 0 5 7 每日事件数( 条) 4 2 0 0 0 0 00i 0 0 0 0 0 001 5 0 0 01 0 0 0 0 02 0 0 0 0 05 5 1 5 0 0 0 每天采集配置数( 台) 00o0004 0 04 0 0 每天扫描设备数( 台) 000o0o4 04 0 总计需要存储空间( m ) 8 4 0o5 0 0085 01 0 0 l ，4 9 8 总计s m p 需要e p s4 8 ，6 0 ，o 1 1 ，6 0 ，0 0 ，2 l 22 ，3 6 3 ，8 总计采集服务器e p s4 8 6 ，1 o ，o11 ，6o ，o 0 ，2 1 ，2 2 ，3 5 0 1 ，3 总计占用带宽( k )7 7 7 ，8 o ，o 4 6 ，3 0 ，0 0 ，7 4 ，6 9 ，3 根据上表，本期项目安全监控平台存储1 个月数据需要的存储空间为： 1 4 9 8 木3 0 1 0 0 0 = 4 4 ，9 2 5 g b 。根据数据在线保持6 个月，离线保存一年的需求， 可知本期项目需要：4 4 ，9 2 5 * ( 6 + 1 2 ) = 8 0 8 ，6 5 0 g b 的空间需求，考虑安全事件 爆发的可能性，本期项目建议为s m p 提供1 0 0 0 t b 可用存储空间。 2 0 第三篇系统总体设计 3 4 2 服务器性能分析 安全监控平台涉及到服务为核心服务器，其中承载了核心服务、采集服 务、数据库服务与w e b 服务，根据本期项目峰值时设备能力利用率不大于8 0 的要求，进行t p m c 值计算如下表所示： 表3 2t p m c 值 服务器各组件t p m c 值 部署方式组件名称事务量 比例t a s ksftct p m ct p m c 合计 s y s l o g s e r v e r5 ，5 1 5 ，0 0 0 1 ，0 5 5 1 5 0 0 02 1 ，5 7 2 01 2 2 ，9 7 91 1 5 ，8 1 5 a g e n t m a n a g e r5 ，5 1 5 ，0 0 00 ，8 4 4 1 2 0 0 08 1 ，5 7 2 01 7 3 ，5 3 3 采集服务 a g e n t c lie n t 4 4 0 1 ，0 4 4 041 ，51 2 012 2 扫描器 4 0 1 ，0 4 04 0 1 ，5 6 01 4 0 a g e n t s e r v e r 4 4 0 2 0 ，0 8 8 0 0l o 1 ，5 1 2 0l 1 ，1 0 0 核心引擎 4 ，4 1 2 ，0 0 01 ，0 4 4 1 2 0 0 0 3 1 ，5 7 2 0 1 2 7 ，5 7 5 关联引擎4 ，4 1 2 ，0 0 00 ，1 4 4 1 2 0 01 51 ，57 2 01 1 3 ，7 8 8 审计引擎4 ，4 1 2 ，0 0 00 ，1 4 4 1 2 0 01 0i ，57 2 01 9 ，1 9 2 统计引擎 2 4 3 2 ，0 7 6 82 01 ，52 419 6 0 响应中心1 0 0l ，0i 0 0 2 1 ，5 2 1 1 5 0 基础数据处理组件1 ，0 0 0l ，0 i 0 0 02 1 ，5 6 015 0 认证中心1 ，4 4 01 ，0 1 4 4 02 1 ，5 6 017 2 核心服务2 4 2 ，3 0 0 任务调度组件 4 4 0 1 ，0 4 4 04 l ，5 6 014 4 组件状态监控 8 ，6 4 01 ，0 8 6 4 0 4 1 ，5 6 0 1 8 6 4 运行日志处理组件1 0 ，0 0 0l ，0 1 0 0 0 06 l ，5 4