东软信息安全监控预警系统平台实现的管理目标及成果介绍

东软信息安全监控预警系统平台实现的管理目标及成果介绍东软公司2011年4月目录TOC\o"1-4"\h\z\u一、 东软NetEye信息安全监控预警系统平台实现的管理目标及成果 1 专业完整的网站群深度监控与追踪分析能力，不受网站地理位置的束缚，实现对网站群的全面实时监控，杜绝网站被挂马、被篡改等网站入侵事件，包括对敏感言论关键字的实时监控及处理，结合工单指派给相关负责人及时高效进行处理 1 为每一记录在册资产都建立详细完整的“体检表”，实现资产与安全事件的智能关联分析，监控预警平台关注的数据不单来自安全事件的关联分析，还将系统性能信息、网络流量信息、系统脆弱性信息、资产状况信息智能纵向关联，实现信息安全事件的快速精准定位，结合工单指派给相关负责人及时高效进行处理 4 交换机、路由器、服务器、安全设备（防火墙、IDS等）等设备的日志集中海量存储，完全满足公安部82号令第十三条相关记录及日志保存六十天的要求，满足信息安全法律法规方面的要求 6 具体量化信息安全的工作量，工单与绩效的完美结合，及时预处理和解决信息安全事件，有效提升信息安全管理水平，实现信息安全的“数字”管理 7 实现全局的信息安全宏观分析及管理，以责任单位为视角的宏观分析，对重要业务系统的宏观分析 8 完美的展现方式，以晴雨表形象化比拟安全状态，触摸屏的全新操作体验模式，一套系统两套界面，宏观与微观的完美结合，引领信息安全管理趋势，和谐的信息安全监控展示平台 11 基于私有“云”的技术架构，集中统一监控、分布式监控等多种灵活部署方式，以及强大的扩展能力，支持从集中统一扩展到分布式部署 14二、 东软NetEye信息安全监控预警系统平台业务系统（网站群）监控功能详细介绍 14 业务系统监控引擎支持分布式部署 14 灵活的策略配置和策略下发 15 通用配置 15 策略文件管理 16 业务系统总体安全状况一目了然 16 每个系统详细安全状况详细全面 18 网页篡改的检测与分析 19 浏览器对比分析 19 文本对比分析 20 源代码对比分析 20 更改报告总结分析 21 适用于网页篡改检测的专用策略 22 网页挂马的检测与分析 23 静态与动态结合的网站挂马检测技术 23 黑白名单配置提升网页挂马检测效率 24 实时配置挂马检测频率和深度 24 网页不可达的检测与分析 25 业务系统安全事件及时进入工作流处理流程 25 工单内容详尽丰富 25 工单流程实时监控 26 针对历史报警的查询与分析 27 针对历史网站快照的查询与分析 28三、 东软NetEye提供的专业信息安全培训服务-CISP 29四、 东软NetEye提供的专业信息安全服务保障 30东软NetEye信息安全监控预警系统平台实现的管理目标及成果信息安全监控预警平台起源于国内高端用户的需求，发展于行业用户的应用，是一直被用户称为具有中国特色的安全细分市场。在这个细分市场中，拼的不是硬件，而是软件；搏的不仅仅是性能，更是功能。东软NetEye信息安全监控预警系统平台“软”优势，凭借东软在中国IT领域软件领军的技术实力，真正实现了东软NetEye信息安全监控预警系统平台全新版本的成功“软”着陆（这里的“软”指的是东软强大的自主软件研发能力）。东软NetEye信息安全监控预警系统平台(SOC)架构更先进、功能更强大、设计更新颖、更体现人性化，其私有云的技术架构、基于触摸屏的操作模式、美观的界面展示、全面的数据采集、智能的关联风险分析、事件的快速响应和定位机制、在掌控整体安全状况下提供的细致分析报告功能、定制开发快速实现用户个性需求的软件研发优势和东软安全15年的安全行业整体解决方案服务能力，逐一在东软NetEye信息安全监控预警系统平台(SOC)V5.0版本中予以实现。东软NetEye信息安全监控预警系统平台(SOC)已成功实施及部署在金融、电信、电力、政府、能源、航空、烟草等高端行业用户的网络系统中，采用模块化的灵活部署方式，将不同行业用户需求再次深度挖掘，为行业用户提供量身定制的信息安全监控预警解决方案，满足日渐提升的细分行业市场安全运维管理需求，是东软细加工之后奉献给行业用户的一件接近完美的专业软件作品。专业完整的网站群深度监控与追踪分析能力，不受网站地理位置的束缚，实现对网站群的全面实时监控，杜绝网站被挂马、被篡改等网站入侵事件，包括对敏感言论关键字的实时监控及处理，结合工单指派给相关负责人及时高效进行处理实现针对B/S架构的业务系统，尤其是网站群进行全面的监控，主要检测网站群（或B/S业务系统）的可用性、安全性和完整性。落实到监控的具体功能点上，即为：系统是否服务中断、不可达、是否被挂马、是否被恶意篡改，如果是网站，是否包含一些敏感言论的关键词，从而进行相关的检索与查看。针对网页篡改，我们主要通过：网页快照浏览器对比、文本对比、源代码对比、更改报告等几种方式来综合进行分析；针对网站挂马，系统采用静态分析和动态模拟技术，能够智能跟踪最新黑客挂马技术手段，对网页中出现的多层嵌套地址也能彻底分析，一旦发现挂马，系统自动生成挂马分析报告。业务系统监控是中的一个重要模块。我们的业务系统监控模块支持分布式部署，具备良好的扩展性和伸缩性，每个模块可支持同时对数十个业务系统进行实时检测，多个模块分布式部署可以实现对成百上千个网站（或B/S业务系统）实现实时检测。为每一记录在册资产都建立详细完整的“体检表”，实现资产与安全事件的智能关联分析，监控预警平台关注的数据不单来自安全事件的关联分析，还将系统性能信息、网络流量信息、系统脆弱性信息、资产状况信息智能纵向关联，实现信息安全事件的快速精准定位，结合工单指派给相关负责人及时高效进行处理针对设备巡检、设备报废、配置变更、设备维修、设备更换、设备领用及部署、系统升级、设备故障处理、值班人员变更、事件处置都提供了相应的工单处理和监控流程。交换机、路由器、服务器、安全设备（防火墙、IDS等）等设备的日志集中海量存储，完全满足公安部82号令第十三条相关记录及日志保存六十天的要求，满足信息安全法律法规方面的要求具体量化信息安全的工作量，工单与绩效的完美结合，及时预处理和解决信息安全事件，有效提升信息安全管理水平，实现信息安全的“数字”管理根据SOC平台的设计，技术运维人员进入运维管理首页面，肯定希望从全局角度来关注当前系统的整体安全状况，为此SOC平台共设计了四类分析窗口，供运维人员从不同角度进行分析当前安全状况。第一类是当前所有报警数量按小时的趋势分布图。通过此趋势可发现报警发生频率较高的时段。高频段发生在凌晨，需要技术运维人员重点关注。第二类是各类告警数据，包括：安全报警、网站报警和性能故障报警。安全报警是指SOC平台对来自所有安全设备的原始日志，归并、分析后的结果；网站报警是指对业务系统的CIA（机密性、完整性和可用性）进行深度检测的结果；性能故障报警是SOC平台对所有IT支撑设施的关键运行指标进行实时监控后发现异常分析的结果。第三类是待处理工单，这些工单属于正在处理中状态，因为某些原因没有被关闭，需要运维人员随时关注。第四类是值班公告，根据不同的时间，会有不同的安全监控与管理工作的注意事项，这些信息会在值班公告中有所体现。实现全局的信息安全宏观分析及管理，以责任单位为视角的宏观分析，对重要业务系统的宏观分析在东软系统的安全监控设计中，充分考虑了用户将会采用多种维度来展示各个单位或者分支机构的安全状况。因此系统设计了温度计、仪表盘等多种展现模式来展示每个责任单位的近期安全状况，从安全事件和报警两个维度分别进行宏观统计和分析。安全事件统计考虑了按照事件类型的月度统计、事件数量趋势，最新未完成事件等几个方面。报警统计考虑了按攻击源月度统计、按攻击目标月度统计、报警数量趋势、报警级别趋势等几个方面。针对不同单位的安全状况，定期进行横向对比，以安全事件数量作为衡量指标进行月度、年度等排名。除了以责任单位或者分支机构为视角进行宏观分析外，当用户的网络中有部分重要业务系统属于“重点”监控对象，需要进行独立的重点安全分析时，在东软系统的安全监控设计中，也为此预留了相应的接口，可采用独立的界面来展示“重点”业务系统的安全状况，同样支持以安全事件和报警两个维度进行实时分析。完美的展现方式，以晴雨表形象化比拟安全状态，触摸屏的全新操作体验模式，一套系统两套界面，宏观与微观的完美结合，引领信息安全管理趋势，和谐的信息安全监控展示平台以前所有的厂家实现的SOC只有一套操作界面，而且都偏技术，里面会穿插一部分曲线、仪表盘展现方式，但更多的是采用列表的方式来显示。设计了两套界面，一套是面向技术运维人员，操作方式还是以列表为主，主要使用对象是专业技术人员，从专业角度来展示和分析信息安全事件；另一套是整体的展示界面，对管理和监控的范围的整体安全态势进行宏观统计与展示，通过一种很好的机制来展示信息安全工作的成果，当有领导来参观或其他单位来交流经验时，也不能说是去机房看我们机柜里的那堆设备，说我们的设备摆的多整齐，线布的多么正规，所以在设计了一个专门的展示界面，针对用户网络安全态势进行宏观的展示与统计，同时也可以配合大屏进行显示。从而以一种美观的方式来展示信息安全工作的成果。东软NetEyeSOCV5.0系统突破传统的安全产品的鼠标键盘的操作模式，在所有安全厂商中率先将触摸屏操作机制兼容到系统平台操作中，使得图形化的人机交互界面变得更为直观易用。由专业人员针对系统的图标形状、文字大小、展示区域比例、导航伸缩等方面一一进行了细致设计，充分考虑到触摸屏操作时手指点击、滑动、拖动时的有效点，并兼顾系统展示的美观度。使用了大量的FLEX技术，力图将数据分析的结果用最好的展示效果来实现。以往安全状况多采用数字、文字、图表等方式进行描述，这种展示晦涩、美观度较差、不支撑宏观决策分析系统试图以一种全新的视角来诠释安全，因此在系统中，我们创新的采用了以天气预报中的晴雨表的方式形象化比拟被监控对象的安全状况，分别用晴天、多云、阴天、小雨、和大雨5种天气预报来比喻从很低到很高的5个不同等级的安全状况。和直观。基于私有“云”的技术架构，集中统一监控、分布式监控等多种灵活部署方式，以及强大的扩展能力，支持从集中统一扩展到分布式部署东软NetEyeSOCV5.0系统具备强大的扩展和伸缩部署能力，贴近行业用户实际情况，先根据需求建立集中统一监控中心，按照实际需要再逐步扩展建立二级分中心，每个二级分中心接受监控中心的管理以及向监控中心上报信息安全事件，同时二级分中心又为本地提供全部的监控预警能力，甚至建立三级子节点，以满足日益增长的信息安全监控预警需要。东软NetEye信息安全监控预警系统平台业务系统（网站群）监控功能详细介绍业务系统监控引擎支持分布式部署业务系统监控功能由专业的业务系统监控引擎来完成。安全运维人员通过应用平台将被监控的业务系统登记入库，为每个业务系统配置相适宜的检测策略，并将实时下发到业务系统监控引擎上，监控引擎会根据策略中的检测时间和周期，对业务系统执行安全监控任务。业务系统监控引擎具备良好的扩充性，支持分布式部署方式，每个监控引擎可支持同时对100个业务系统进行实时检测，当业务系统较多时，可直接通过增加部署监控引擎的方式，来提升平台的监控能力。分布式部署的方式，还有一个非常大的优势：验证业务系统服务不可达的准确性。即：当一个监控引擎检测到某个业务系统服务不可达时，但真实的原因却是监控引擎与这个业务系统之间的链路发生了中断，此时如果马上报警：此业务系统服务不可达，显然是不准确的。为了降低这类误报的发生，当一个监控引擎检测到某个业务系统服务不可达时，我们可以马上启动分布式部署在其他链路的另外一个监控引擎对此业务系统的服务进行验证，从而来提升业务系统检测的准确性。灵活的策略配置和策略下发该系统在进行设计时，充分考虑到各个业务系统因为其类型不同、服务不同，其相应的监控策略也会有所差异，如果针对所有的业务系统都采用统一的监控策略，势必会影响到系统的易用性和检测的准确率。因此系统将策略配置设计为两种机制：通用配置和策略文件管理。通用配置通用配置：适合那些较为固定的，适合于所有业务系统的配置，从而减少针对每个业务系统都要进行“独立配置”的重复工作。例如：黑白名单配置、快照存储时间配置、工作日和节假日采用不同的报警机制。策略文件管理策略文件管理：以监控策略文件的方式来体现策略配置。根据业务系统的更新频率和维护周期，其页面更改检测周期、服务中断检测周期的侧重点会存在较大差异；业务系统的规模和业务系统的结构也会决定其安全性检测的深度也有所不同。因此针对业务系统的服务中断监控、页面更改监控和敏感词监控的时间和周期，业务系统安全性监控的深度等等，都是以策略文件的方式来体现，安全运维人员可以随时根据不同业务系统的不同特点，制定多个策略文件，并为每个被监控的业务系统下发合适的策略文件。除了提供策略文件机制外，系统还提供了灵活的策略匹配下发功能，当某个策略文件适合一类业务系统时，安全运维人员可以全部选择这类业务系统，集中将此策略进行下发。安全运维人员也可以在为某个业务系统配置属性时，随时为其配置策略文件。业务系统总体安全状况一目了然全局的宏观分析与展示是所有安全人员都关注的，无论是从事技术工作，还是管理工作。因此我们在设计这套系统时，在业务系统监控首页面，可以一目了然看到所有业务系统的全局安全状况，包括：有多少个业务系统目前在我们监控范围之内；业务监控引擎在最近一个月上报了多少安全报警；业务监控引擎在最近一个月处理了多少快照记录数量；SOC系统在最近一个月生成了多少安全事件；直观显示最近一个月被确认的安全事件都是什么类型的，每类安全事件的数量为多少，并以饼状图直观显示分布比例；将所有被监控的业务系统按照不同的类别分别显示在不同的窗口中，为每个业务系统建立一个24小时“健康度”体检表，绿色为正常，黄色代表页面更改、灰色是代表不可访问、红色是代表挂马、蓝色代表敏感词、粉色代表在一次检测中发现了多个问题，系统默认显示的是有安全报警的业务系统。每个网站前面不同的图标也代表了不同的安全状态。当安全运维人员只想关注当前发生某类安全报警的所有业务系统时，可以通过“过滤条件”来进行快速筛选，具体过滤条件包括：隐藏正常网站；显示内容更改网站；显示服务中断网站；显示挂马网站；显示敏感词网站；显示所有网站。每个系统详细安全状况详细全面安全运维人员可以随时针对每个业务系统的安全状况进行详细分析，分析界面中不仅展示了当前安全状况，还可以全面的看到该系统的基本属性和历史安全状况。具体如下：基本属性。包括：业务系统名称、类型、负责单位、运维单位、联系人、联系，当系统出现异常时，可及时通过联系联系到系统维护人员；当安全监控人员判断为真实的安全事件时，可以直接定位到责任单位，为后续的基于单位的安全事件统计和分析提供依据。历史安全状况。最近一个月所发生的内容更改报警次数，真实的页面篡改事件数量，恶意网站挂马数量，敏感词发现数量，服务中断数量。并采用体检表的形态形象化展示最近一个月该业务系统的“健康度”，绿色代表正常，灰色代表服务中断，黄色代表内容更改，红色代表挂马，蓝色代表名单词，粉色代表当天发生了多种安全报警。当前安全状况。以列表形式显示当前系统发现的安全问题，包括：发生时间、报警类型、异常URL、摘要信息、结束时间。点击每个“发生时间”，可进行详细分析。网页篡改的检测与分析针对业务系统完整性检测，主要是检测业务系统是否被恶意篡改，主要通过：快照浏览器对比、文本对比、源代码对比、更改报告等几种方式来综合进行分析。并针对网页篡改监控，提供专有配置策略，从而达到提升检测效率的目的。浏览器对比分析在浏览器对比中，左侧为旧的页面快照，右侧是新的页面快照，当业务监控引擎在某次检测时发现页面有更改发生，会将更改的内容用“黄色高亮”的方式进行标注，安全运维人员就可以一目了然的看到更改后的内容，从而判断也更改原始是业务系统改版、突发新闻发布、还是系统被恶意篡改。在进行浏览器对比设计时，系统充分考虑了监控终端的安全性，从而采用“页面快照”的方式进行分析，这样可以避免SOC系统监控终端被恶意攻击。例如：当这个页面被恶意增加了新的iframe框架，并且会自动执行某个网站挂马文件，如果不采用快照方式进行对比，而是直接内嵌浏览器访问此网站，就会出现SOC系统监控终端被恶意攻击的威胁。文本对比分析在文本对比中，左侧为旧的页面文本，右侧是新的页面文本，当业务监控引擎在某次检测时发现页面有更改发生，同样会将更改的内容用“黄色高亮”的方式进行标注，安全运维人员可一目了然的看到更改后的内容，为技术分析提供依据。源代码对比分析系统仅仅具备快照对比和文本对比并不充分，例如：当这个页面被恶意增加了新的iframe框架，并且会自动执行某个网站挂马文件，而这个iframe是隐藏的，那么上述两种技术是都不能够分析出来的，因此NetEyeSOCV5.0系统又提供了源代码对比分析机制，源代码对比在针对业务系统进行深入分析时，其分析最为准确。更改报告总结分析系统针对每次业务系统的页面更改都会进行一次详细汇总，生成内容翔实的更改报告，在报告中清晰描述如下内容：本次检测结果中，发现的变更内容有：新增链接多少处，新增图片多少处，文本更改多少处，源代码更改共多少处；新增链接具体都在哪些行；新增图片都在哪些行；文本更改都在哪些行。通过SOC平台所提供的上述快照对比、文本对比、源代码对比、更改报告等多种分析手段，技术运维人员可以准确分析出业务系统是正常的页面更新，还是恶意的页面篡改。适用于网页篡改检测的专用策略针对每个被监控的业务系统，NetEyeSOCV5.0系统提供了特别适用于网页篡改检测和分析的策略，从而提升系统检测的准确性和效率。栏目配置。除了可以指定监控其网站首页面外，还可以指定其他专栏，例如：新闻专栏、发布专栏、论坛首页等主要页面。针对天气预报、日历、计数器的过滤配置。大部分网站会有天气预报、日历和计数器等控件，这些控件是实时变化的，而这些变化是正常的，如果系统上报的页面更改的告警都是针对这类控件的，显然毫无意义，且极大耗费安全运维人员的时间和精力，所以系统提供了针对多种类型的天气预报、日历和计数器，已经用户指定的特殊位置的过滤检测规则，从而提升检测的准确性和效率。根据页面更新时间设置检测频度。通常每个业务系统的更新时间是较为固定的，为了避免对比分析工作降低运维人员的工作效率。我们可以根据页面更新时间来设置页面更改检测频率和开始时间。网页挂马的检测与分析“网页挂马”是指那些恶意攻击者利用B/S架构业务应用自身的漏洞入侵服务器，在已经获得控制权的网页内嵌入一段恶意代码，这些代码通常是利用IFrame、Script来实现的，主要是一些包括浏览器软件、ActiveX或者其它如Flash、PDF等插件在内的漏洞利用代码。当用户访问被修改过的网页时，如果用户的系统没有更新恶意代码中利用的漏洞补丁，那么用户在不知情的情况下会自动下载到用户终端主机并自动执行木马、病毒程序。用户终端主机感染木马、病毒程序后，可能导致敏感信息泄漏，本地数据受损，或者被入侵者远程控制组建大规模的僵尸网络，对国家基础网络设施实施拒绝服务等攻击。而被挂马的网站，会遭受不同程度的名誉和经济损失。尤其是大型行业网站，会对组织形象和公共安全造成较大影响。静态与动态结合的网站挂马检测技术针对网页挂马，采用静态分析和动态模拟技术，对网页中威胁较高的框架嵌入式网络挂马、JS调用型网页挂马、图片伪装挂马、网络钓鱼挂马、伪装挂马、IIS高级挂马等均能进行彻底分析，并且实时跟踪最新黑客挂马技术手段，一旦发现挂马，系统自动生成挂马分析报告。挂马分析报告中会详细描述系统分析过程以及所分析的网站层级，最终提供挂马链接名单和危险网站黑名单列表。黑白名单配置提升网页挂马检测效率大部分网站会有地图、计算器等功能，但这些功能并是自身网站开发的，而是通过脚本文件链接方式链接到了其他的网站地址，这些脚本文件的存在，会干扰系统对网页挂马检测的准确性，因此为了降低系统误报，我们可以将这正常的链接文件作为白名单进行保存，系统在进行挂马文件检测时，会优先考虑是否为白名单，从而有选择的进行过滤和深入检测。黑名单为安全运维人员确认的威胁较高的挂马地址库，系统在进行网页挂马检测分析时，会第一判断是否匹配黑名单，从而加快检测的效率。实时配置挂马检测频率和深度每个组织的业务系统的规模和结构是不尽相同的，NetEyeSOCV5.0系统提供了针对网站挂马检测频率和检测深度的配置功能，安全运维人员可以根据每个业务系统的特点配置合适的检测频率和深度。当指定检测深度后，系统利用爬虫遍历技术，对网站页面进行相应深度遍历，一旦发现问题，及时生成挂马分析报告。网页不可达的检测与分析SOC平台采用多种机制实时探测业务系统是否正常正常提供服务，并深入判断是网络问题，还是业务系统自身的问题，从而快速发现故障，保证业务系统的连续运转。业务系统监控引擎所支持的分布式部署方式，可以有效验证业务系统服务不可达的准确性。即：当一个监控引擎检测到某个业务系统服务不可达时，但真实的原因却是监控引擎与这个业务系统之间的链路发生了中断，此时如果马上报警：此业务系统服务不可达，显然是不准确的。为了降低这类误报的发生，当一个监控引擎检测到某个业务系统服务不可达时，我们可以马上启动分布式部署在其他链路的另外一个监控引擎对此业务系统的服务进行验证，从而来提升业务系统检测的准确性。业务系统安全事件及时进入工作流处理流程所有业务系统监控的报警，都会被安全运维人员进行处理，一旦判断为真实的安全事件，会马上生成工单。通过工单监控，可以看到所有与业务系统相关的工单，包括：工单名称、申请人、工单状态、创建时间、完成时间。工单内容详尽丰富每个工单会详细记录该业务系统发生安全事件的详细内容，具体包括：工单基本信息，包括：工单名称、起草人、相关责任单位、事件类型、事件来源、事件等级、事件描述；沟通记录，包括：通知人、被通知人、通知方式、通知时间，可随时查看每个通知记录的详细内容；事件处置结果，包括：事件状态、事件结果描述、处置日期等。工单流程实时监控安全运维人员和工单审批人员可随时监控工单流程的流转状态，工单监控流程采用图形化方式直观进行监控；以如下工单为例：此工单已经完成了“填写事件处置申请单”和“事件处置”两个过程，当前位于“审批”状态；右侧清晰描述了此工单的名称、工单创建者、创建时间、当前状态等。针对历史报警的查询与分析所有业务系统监控的报警，都会被安全运维人员进行处理，处理方式有如下两种机制：判断为真实的安全事件，生成工单；判断为误报，执行忽略策略。当安全运维人员需要对历史业务系统安全报警进行查询与分析时，NetEyeSOCV5.0系统设计了一个专门的模块，可实现针对所有的安全报警的查询与分析，安全运维人员可根据网站地址、网站类型、报警类型、处理状态、发生时间等多种条件进行查询与分析。针对历史网站快照的查询与分析所有业务系统监控的网站快照都会被保存一段时间，安全运维人员可以随时针对网站快照进行查询和深入的分析。网站按照类型采用“树形结构