东软安全运维管理平台政府行业成功案例介绍-文字介绍.pdf

东软东软安全运维安全运维管理平台管理平台 政府行业政府行业成功案例成功案例介绍介绍 东软公司 2012 年 2 月 目录目录 一 政务网络安全现状 1 二 建设安全监控平台的必要性 2 2 1 政务网络安全运维要求 2 2 2 政府相关文件要求 2 2 3 各政府部门安全监控平台建设情况 3 三 领先的 NetEye 安全运维管理平台 4 3 1 基于 SaaS 模式的安全管理与分析平台 4 3 2 信息安全状况的整体把握和分析 5 3 3 海量数据整合与多源交叉告警分析 6 3 4 网站系统的全面监控 7 四 NetEye SOC 成功案例 8 4 1 某市政务信息安全监控系统 8 4 1 1 系统规模 8 4 1 2 运行效果 8 4 1 3 平台介绍 10 4 2 某部网管和安管平台 16 五 NetEye SOC 前景展望 19 1 一 一 政务网络安全政务网络安全现状现状 为提高政府服务质量 各地政府将政府机构管理和重要政务 应用转移到政务网络上 所以一旦政务网络出现绝密数据被窃取 政务网站被篡改的安全问题 影响是极其严重的 2011 年 通过对被黑中国站点进行统计 共发现有 3642 个 域名的网站被篡改 明显高于 2010 年的被黑政府网 站数量 2266 其中在 8 月份和 9 月份 由于两个知名网站应 用程序出现漏洞 造成了大量网站同一时间被篡改 中国软件评测中心检测发现 安全漏洞在各政府网站中仍普 遍存在 SQL 注入 信息泄露 弱密码三大安全漏洞尤其突出 与常见篡改网页相比 政府网站数据被窃取的危害更严重 网上 曝出某市交通一卡通的信息可以输入卡号随意查询的案例 而税 务报表等数据隐含更多个人信息 因此 那些公众可以上网办理 业务的行业 如工商 税务等部门的安全要求进一步提高 2 二 二 建设安全监控平台的必要性建设安全监控平台的必要性 2 1 政务网络安全运维政务网络安全运维要求要求 近些年来政府部门在信息安全建设上也投入了大量的人力 物力 在政务网络中部署了多种传统的安全设备 例如防火墙 入侵监测设备 病毒监测设备 网络审计设备等等 但在安全设 备种类和数量不断增加的同时 政务网络安全运维人员遇到了新 的困难 网络设备 安全设备 业务系统数量不断增多 难以进行有效的监控管理 各类安全设备每天产生海量的日 志信息和报警信息 无法快速提取有价值的数据进行分析 安 全管理流程还不够完善 安全管理工作依旧是运转缓慢 难以推 动的 安全运维管理平台的出现有力地解决了以上三个问题 成为 信息安全领域发展的新方向 安全运维人员在平台上能够及时地 完成网络设备 安全设备 业务系统的维护工作 完成系统处理 后的安全事件的分析 并按照平台的规范化流程完成各类事件的 处理 2 2 政府相关文件政府相关文件要求要求 安全等级保护三级要求建立监控管理和安全管理中心 对设 备状态 恶意代码 补丁升级 安全审计等安全相关事项进行集 中管理 3 中办发 2003 27 号文明确提出了要 建设信息安全监控 体系 及时发现和处理网络攻击 防止有害信息传播 对网络和 系统实施保护 基础信息网络的运营单位和各重要信息系统的主 管部门或运营单位要根据实际情况建立和完善信息安全监控系 统 提高对网络攻击 病毒入侵 网络失窃密的防范能力 防止 有害信息传播 2 3 各各政府部门政府部门安全监控平台建设情况安全监控平台建设情况 目前 全国很多地市的经信委都投资建设了安全运维管理平 台 如北京 浙江 武汉 连云港 临海等等 建成后 在减少 运维人员的情况下及时处置了多起政务网络安全事件 在保证地 区政府信息安全工作上做出了卓越的贡献 其中 北京市信委投资建设的某市信息安全监控系统项目 形成了覆盖全市电子政务的统一监控预警系统 实现了政务外 网 政务网站 市级重要信息系统 党政机关互联网接入点的监 控预警 该项目得到了信息安全领域最资深专家的高度评价 北 京市政务外网安全监控预警系统在电子政务安全建设上起到了 典范作用 建议国家相关单位 各省来此学习先进经验 第四章将详细介绍第四章将详细介绍某某市市信息安全监控系统项目的情况信息安全监控系统项目的情况 4 三 三 领先的领先的 NetNetE Ey ye e 安全运维安全运维管理管理平台平台 NetEye 安全运维管理平台 SOC V5 0 版本较之以前的安全 运维管理平台技术更先进 功能更强大 设计更新颖 更体现人 性化 其中私有云的技术架构 基于 SaaS 的服务模式 基于触 摸屏的操作模式 美观的界面展示 全面的数据采集 智能的关 联风险分析 事件的快速响应和定位机制 在掌控整体安全状况 下提供细致分析报告功能 定制开发快速实现用户个性需求的软 件研发优势和东软 15 年的安全行业整体解决方案服务能力 逐 一在东软NetEye安全运维管理平台 SOC V5 0版本中予以实现 3 1 基于基于 SaaS 模式的安全管理与分析平台模式的安全管理与分析平台 东软 NetEye SOC 系统采取了点面结合的设计 在全面数据 获取分析的基础上 针对行业专网进行全面安全监控 对重要信 息系统实施深度监控 对网站等业务系统的运行平稳度 安全状 况及存在隐患及时检测 同时实现了对安全事件全生命周期的闭 环管理 是专业运维团队和良好的管理体系实现事件及时发现 定位 判定及处置跟踪的支撑平台 大大提高了事件发现的及时 性和处置效率 东软 NetEye SOC 参考了私有云的技术架构 初步实现了基 于 SaaS 模式的安全管理与分析平台 当各分支机构技术分析储 备不足时 各分支机构可将各类报警信息传送到安全管理与分析 平台 借助平台强大的综合分析能力进行事件的关联分析 展现 5 各单位无需重复建设安全管理平台 在共享云端的安全管理与分 析服务的同时 也使平台具有更广泛的数据来源 进一步完善了 安全管理与分析体系的架构 3 2 信息安全状况的整体把握和分析信息安全状况的整体把握和分析 东软 NetEye SOC 系统利用全新的态势分析引擎 根据当前 报警信息和安全事件的分布情况 发生数量 威胁类型等相关信 息 通过设定时间轴坐标 通过引入椭圆正切函数进行量化计算 参考监控对象类型 范围以及安全容忍度的相关阀值 综合计算 其变化趋势 同时 为了形象化展示安全态势状况及分布情况 东软 NetEye SOC 创新的引入了天气预报晴雨表的样式 采用晴 天 多云 阴天 小雨 和大雨五种不同的天气来对应安全态势 的五种等级 并可结合 GIS 综合展示各单位安全状态的分布情 况 为安全态势掌控及后期发展预测提供良好的依据 6 3 3 海量数据整合与多源交叉告警分析海量数据整合与多源交叉告警分析 东软 NetEye SOC 系统需要收集来自所有分支机构的安全数 据 系统中每天需要处理的数据容量非常大 传统的监控技术架 构在面对如此海量数据的采集 存储 分析处理以及展现都必将 遭遇到不同瓶颈 为了解决海量数据采集 存储和分析处理的困 难 东软 NetEye SOC 系统创新参考 私有云 技术架构 这种 技术架构使得云端动态变化的资源会得到及时准确的信息反馈 通过在云中的各个节点上的组件 实时将获取到的数据传送至平 台数据仓库 并且在此进行数据挖掘和深度分析 从而能够对于 整个平台提供一种正向的反馈 因为对于一个孤立系统而言 单 个事件的分析并不具备代表性 对于态势分析更加力不从心 而 基于云的系统则能够同时汇聚超大规模的数据信息和事件案例 从而提高了分析的有效性 其次东软 NetEye SOC 系统设计出多 源交叉告警数据分析处理的关联策略 通过模糊推理理论及算法 提高告警数据分析的准确性 对环网上报数据进行合理过滤归并 实现了监控数据的深度挖掘和关联展现 东软 NetEye SOC 系统每天采集到海量原始日志数据 为了 更好将这些海量数据进行合理有序的分层展现 东软 NetEye SOC 系统首次提出了安全预警信息的全生命周期展现管理概念 将数 据分成原始日志 告警信息 安全事件 工作流工单 知识案例库5 个不同阶段进行层次化展现 面对不同角色账户登录时系统可以 根据不同关注视角给出合理的展现界面 先进 统一的安全运维 7 管理平台建设 大大提高了安全隐患 威胁的发现能力和安全事 件的应急处置能力 大大提升了安全隐患发现和安全事件的处置 效率 3 4 网站系统的全面监控网站系统的全面监控 东软 SOC 系统针对网站监控自主开发了一套全新的监控引 擎 支持分布式部署方式 一台监控引擎支持针对近 100 个网站 进行检测 多台监测引擎相互协同 可根据被监控对象的规模进 行灵活扩展 实现网站监控的高效实时 监控引擎利用网络爬虫 技术这种动态模拟人工自动获取网页的技术 采取广度优先策略 和黑白名单过滤技术结合的方式 大大地提高了检测效率 全新开发的监控引擎可实现对网站可用性 完整性 安全性 三个方面的全方位安全检测 可用性监测可实时掌握网站运行的 平稳性指标 并为所有网站运行平稳指标统计提供参考依据 完 整性监测采用快照 文本 源代码及更改报告等方式多方位分析 页面变更情况 安全性监测可实现对多层次跳转框架地址进行彻 底追踪 通过静态扫描和动态模拟等多种技术 结合反加密 反 虚拟机等木马反跟踪手段 提高了检测的准确性 8 四 四 NetNetE Ey ye SOCe SOC 成功案例成功案例 4 1 某某市政务信息安全监控系统市政务信息安全监控系统 4 1 14 1 1 系统规模系统规模 2010 年 东软在 NetEye SOC 的基础上建设了某市政务信息 安全监控预警系统 本系统实现了对某市政务外网的全面监控 监控范围包括所有政务外网汇聚节点 52 个重要信息系统 6 个 关键的政务互联网出口 以及 99 个政务门户网站 在每个监控 节点上都部署了三类安全设备 入侵检测设备 病毒检测设备和 行为审计设备 总计 200 多台安全设备 本项目建立的安全监控 预警平台负责向某市 102 个委办局等政务单位提供安全监控服 务 4 1 24 1 2 运行效果运行效果 经过东软 NetEye SOC 团队整整一年的设计 开发 测试 实施 2011 年 1 月系统试运行 通过新建成的安全监控预警系 统平台 某市政务网络的安全运维人员每天不但能够及时完成对 政务网络中部署的 200 多台安全设备的报警日志分析和 99 个政 务门户网站的安全状况监控 并且能够通过平台提供的规范化安 全管理流程将分析出的可疑网络安全问题第一时间通知给相关 责任单位 为某市各委办局及相关政务单位提供了可靠的安全监 控服务 9 同时 由于项目实现了基于 SaaS 架构的 政务安全监控云 平台 除本市的政务网络安全运维人员能够访问该系统外 各委 办局及相关政务单位也可通过政务外网的统一入口来访问系统 在系统上查看各自单位的安全报告和安全事件处置情况 了解本 市的整体网络安全状况 省去了各单位重复建设监控预警平台的 投资 2011 年初 本市政务信息安全监控预警系统开始上线运行 一年的时间内共发现各类安全事件 227 起 并及时将发现的安全 事件和政务网络中的安全隐患通知给相关责任单位进行处置 避 免了重大网络安全事件的发生 在保证本市政务网络信息安全上 做出了卓越的贡献 10 4 1 34 1 3 平台介绍平台介绍 导航页面导航页面 平台分为运维管理 安全监控 系统维护三个大的功能模块 安全监控 整体政务安全状况进行宏观态势统计与展示 通 过 GIS 技术来进行事件的定位 按照不同的对象分门别类的进行 展示 运维管理 面向技术运维人员来使用 这些功能包括 安全 报警的分析与事件处置 监控对象信息的维护 监控平台相关设 备维护 报表统计与分析等 系统维护 面向系统的超级管理员 主要实现策略配置 用 户授权 系统配置等相关操作 11 安全监控安全监控 GIS 定位定位 GIS 地图上对目前某市 102 个责任单位进行了标注 这些单位 包括委办局 区县信息中心 行业协会 事业单位等等 点击一 个责任单位 会弹出窗口 显示这个单位的详细信息 展示所有监控节点的当前报警情况 不同的图标颜色代表不 同的报警等级 不同的图标形状代表监控对象的类型 是政务外 网 还是政务互联网接入 或者是重要信息系统 12 被监控的责任单位的近期安全态势情况 是通过晴雨表的方 式来进行展现的 点击一个责任单位 可以查看它过去三天的安 全状况 安全监控安全监控 事件统计事件统计 左上角窗口形象化地将安全状况采用天气预报的方式直观的 进行展示 用晴天 多云 阴天 小雨 大雨五种不同的天气状 态形式来代表不同的安全状况级别 通过这个窗口可以看到政务 网络过去 5 天的安全状况以及当天最新的实时未处理的告警信 息代表的天气预警 13 事件数量趋势主要是宏观展示最近一月的安全事件数量的分 布情况 剩下两个窗口从事件分类 事件发生单位两个维度对政务网 络的的安全状况进行统计 安全监控安全监控 报警展示报警展示 在报警展现窗口 按照报警类型和监控对象进行了报警月度 统计 针对报警数量趋势 可展示最近一天 一周 一月 一年 的报警数量趋势 安全监控安全监控 政务外网展示政务外网展示 14 安全监控安全监控 政务互联网接入展示政务互联网接入展示 运维管理运维管理 网站监控展示网站监控展示 网站监控主要检测这些政务网站的可用性 安全性和完整性 落实到具体需求上就是 网站是否中断 无法提供服务 网站是 否被挂马 是否被恶意篡改 网站是否包含一些反动 邪教的敏 感信息与言论 点击网站名称后 打开详细的网站报警信息 15 运维管理运维管理 报警分析报警分析 安全报警分析中 安全运维人员可以看到所有未处理的安全报警 数据 包括报警的源 IP 目的 IP 以及相关的责任单位 运维管理运维管理 健康度健康度 通过健康度界面 运维人员能够实时监控所有服务器的运行 状态 发现设备是否出现故障 保证整个系统的正常运行 16 技术监控技术监控 设备监控设备监控 通过技术监控页面可以实时监控各厂商网络设备和安全设 备的运行状态 同时直接通过该平台提供的统一单点登录入口登 录各个设备 4 2 某某部网管和安管平台部网管和安管平台 某部网管和安管平台是 2011 年开始建设的 通过建设部省两 级一体化网管和安管平台 构建集中式的监控 管理 流程 服 务 展示系统 及时 准确 全面反映与掌握信息系统的运行状 态 保障各业务系统的正常运行 并实现如下目标 1 强化主动监控 实现集中管理 以 IT 资源可用性监控为 主线 构建统一集成的 IT 资源及应用服务监控平台 能够将各 类主机 网络设备 安全设备 数据库 中间件 存储设备等实 现统一管理 能够主动 及时地发现问题 并调度资源解决问题 形成 IT 运维管理主动服务的新局面 17 2 帮助定位故障 快速恢复系统运行 建立集中的告警分析 及展现平台 提供灵活 自动化的事件处理能力 当故障产生时 可以进行故障的快速定位 发现故障原因 调度资源快速恢复系 统服务 从而缩短故障解决时间 降低维护成本 提高系统整体 可用性 3 掌握运行质量与效率 合理利用资源 建立 IT 运维监控 管理平台后 可以实时了解全部 IT 资源的负载与使用情况 根 据需要从整体角度考虑资源的使用 同时可以根据业务高峰期的 不同来调剂业务系统对资源的使用 18 4 规范运行管理 有序开展维护 参照 ITIL 规范 对运维 管理工作进行优化 对服务管理进行改善 将管理数据电子化 管理过程规范化 根据