版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
我理解的安管平台网络中心刘媛1一、信息平安开展的三个阶段2信息平安开展的三个阶段信息平安的开展随着网络建设经历了三个阶段:一是防病毒、防火墙+IDS部署的初级阶段3二是随着各种业务的信息化推进,对信息平安产生巨大的需求,包括网关防护、平安审计管理、终端平安和应用平安,大量的使用区域边界防护、脆弱性扫描、用户接入控制等技术,此时的平安技术纷繁复杂,包括防护、监控、审计、认证、扫描等多种体系,称为平安建设阶段。4信息平安开展的三个阶段三是随着业务高度信息化,信息平安管理成为信息建设的必要组成局部,把分散的平安设备、平安策略、平安事件进行统一管理、统一运营,称为平安管理阶段,最典型的就是综合性的平安管理中心(Security
Operation
Center)SOC的建设。5信息平安开展的三个阶段平安管理中心是平安技术“大集成”过程中产生的6二、平安管理中心7平安管理中心是平安技术“大集成”过程中产生的平安管理平台〔习惯上称之为SOC〕就是把各式各样的设备〔网络设备---交换/路由,平安设备----防火墙/IPS,系统设备----win/linux〕中的日志信息收集过来,经过SOC系统的处理与分析,在海量数据中挖掘出对于用户来说重要的、危险的、有用的信息。8平安管理中心平安管理平台以IT资产及业务为核心,以平安事件管理为关键流程,采用平安域划分的思想,建立一套实时的风险模型,实现对各类资产和业务的信息采集、关联分析、日志审计、事件监控、流量分析、网络攻击防范、态势感知、平安预警和快速响应,做到“集中监控、统一管理、全面分析、快速响应。9平安管理中心平安管理中心在平安体系中的地位第一层:系统自身平安第二层:平安产品防护第三层:统一风险管理安管平台是信息平安神经中枢平安管理平台〔security
management〕在国内外有多种多样的称呼:SIM平安信息管理中心〔security
information
management〕SIEM平安信息与事件管理平台〔security
information
event
management〕SOC平安运营中心〔security
operation
center〕……总之其目的是管理平安相关的信息。这里的“信息”,通俗一点说就是日志信息和性能监控信息。11三、安管平台的起因分析12安管平台的起因分析网络平安产品都存在一定局限性。比方防火墙是一种用来加强网络之间访问控制的互联设备,它对网络之间传输的数据包依照一定的平安策略进行检查,以决定通信是否被允许,从而到达保护内部网络的信息不被外部非授权用户访问,过滤不良信息的目的。13安管平台的起因分析但是,防火墙并非万能,NIST(美国国家标准与技术研究院NationalInstituteofStandardsandTechnology)就对它做出了客观评价,指出其主要缺乏:(1)由于防火墙要保证信息平安,采取了很多访问控制机制,从而限制了用户满意如意的效劳访问;(2)防火墙不能对抗私有网络中的后门;(3)现在的防火墙很少保护来自内部的攻击。14安管平台起因分析入侵检测系统被认为是整个系统中的最后一道防线。入侵是指任何试图危害资源的完整性、保密性和可用性的活动集合,入侵检测就是检测入侵活动,并采取对抗措施。IDS按照数据来源可分为基于主机的IDS和基于网络的IDS。15安管平台起因分析基于主机(Host-based)的IDS关键技术是从庞大的主机平安审计数据中抽取有效数据进行分析。基于网络的IDS(Network-basedIDS,NIDS)那么一般通过监视网络上的流量来分析攻击者的入侵企图,它存在如下主要缺点:16安管平台起因分析(1)易受欺骗。NIDS不能抵御Insertion、Evasion的欺骗和攻击,由于NIDS与受监视的系统对网络事件的理解不完全一致,因此易受欺骗;(2)易受拒绝效劳攻击(DoS)。NIDS为了不漏掉攻击,需要尽可能对每一个包进行检测,这样攻击者向内部网发送大量需要NIDS处理的包时,便造成NIDS拒绝效劳;(3)当NIDS失效时也失去了对网络的监视,因此当它遭到DoS攻击后,网络也处于不平安的状态;(4)没有能力控制外部网对内部网的访问。17安管平台起因分析鉴于主流网络平安产品的这些缺乏,出现了在通用入侵检测模型的框架下建立一个集成防火墙和入侵检测系统的模型,表达了对网络平安产品集成的思想。其它类似的网络平安产品也不能从整体上解决目前的网络平安问题。因此有必要研究新的网络平安管理技术,能够在一个统一的平安管理平台下对各种网络平安产品实施统一配置、统一策略、统一日志和统一报告,以便动态分析评估网络状况,对平台下集成的所有平安产品实施相应策略,共同确保整个网络系统平安。1819海量平安事件需要花费维护者很多时间和精力,因此系统需要具备主动性和智能性,对系统内重要信息的平安状态进行重点监控、科学分析,从而快速有效定位非法事件,使工作人员从繁杂的评估工作中解放出来。每日多达上千万的事件量重复告警误报真实情况无法反映管理员负担严重缺乏优先级缺乏智能分析工具安管平台的起因在SOC的管理体系中,将所有的平安产品和事件通过统一界面关联起来,给管理者提供工具,把日常的分析过程通过机器自动化的方式来帮助管理员完成大局部的工作。而平安管理员和系统管理员只要注重针对性的分析,日常的繁琐工作都可以通过智能去完善。20
安管平台的起因SOC大大缩短了响应的时间,把一些无用、根本不存在的、“误报”的攻击抛弃掉,可视化的界面很容易让每个人都能参与到平安建设当中,同时也让可以明了自己的平安状态。也就是说,在复杂的平安管理中,SOC构筑的是一个动态的、持续性的管理。21四、安管平台建设覆盖范围22安管平台覆盖范围1)主机:Unix主机、Windows主机;2)数据库:Oracle、Sqlserver;3)中间件:weblogic、websphereMQ、tomcat;4)存储设备5)网络设备:路由器、交换机等;6)平安设备:防火墙、入侵检测、IPS等7)平安管理系统:防病毒、终端管理等;8)主要应用系统:财税重要业务系统、网络管理系统23五、安管平台的架构2425安管平台总体架构图平安管理平台由监控中心、分析中心、处理中心和平安资源库组成。安管平台架构监控中心收集全网IT资源的运行状态和它们产生的事件信息,进行统一实时监控。监控中心产生的各类告警信息可以送入处理中心触发事件响应流程,各种IT资源的状态和事件信息可以送入分析中心,为进一步进行平安态势分析及风险评估提供数据。26安管平台架构分析中心将收集到的数据进行关联分析、挖掘,发现隐藏在独立事件背后的规律与事实;通过风险评估过程和风险计算方法实现风险的定量计算,获得可衡量的平安风险,并进行相应的风险控制;让监控人员对业务系统平安状况有明确感知。27安管平台架构处理中心引入成熟的业务处理流程去响应风险,消减风险,并帮助管理人员建立一套例行化、常态化的风险管理机制。28安管平台架构平安资源库包括知识库、资产库、漏洞库、补丁库、策略库、规那么库、辅助决策库、关联场景库、经验库、人员库、组织机构库等。平安资源库存储了平安管理平台正常运转所需的根底数据。对于平安管理平台而言,应该具备平安资源库信息的维护功能,例如增删改查、平安知识的管理等等29安管平台的系统组成与功能30安管平台的系统组成与功能特点安管平台是由中央策略管理软件集中智能管理的,集成了防病毒、防火墙、入侵检测系统等功能各异的网络平安产品的开放式平台。通过分析我们认为平台应由以下几大根本模块组成:(1)协议标准集(2)中央策略管理软件(3)各种网络平安产品(4)平台需要的硬件产品31安管平台的系统组成与功能特点(1)协议标准集:包括一组公开的API(ApplicationProgrammingInterface,应用程序编程接口)和一组工业标准接口和协议,API由于隐藏了协议和网络中的复杂技术可使编程工作变得较为简单;而工业标准接口和协议那么提供详细的标准保证多厂商产品之间的互操作性和认证标准。(2)中央策略管理软件:这是平台的核心,应该具有统一管理、综合评估决策、统一调动各平安部件的功能,它的编制水平决定了平台所表现出的综合性能。32安管平台的系统组成与功能特点(3)各种网络平安产品:包括网管系统、防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、访问控制系统、CA系统、集中风险评估系统等。(4)平台需要的硬件产品:包括即插即用的平安平台、互联网设备、效劳器等。33安管平台的系统组成与功能特点这些模块中最重要的是中央策略管理软件,它的作用就在于防止安管平台仅仅是平安产品的堆积,从而充分发挥各集成产品的作用,并使它们能够联动互操作,最终起到1+1>2的作用。34安管平台的系统组成与功能特点网络平安需要综合解决方案,木桶原理在网络平安领域同样适用:网络平安最薄弱之处就好比木桶上那块最短的木板,也就是黑客攻击的首选之处,所以就要求网络平安各方面防护措施强度应相对平衡。况且随着网络平安威胁的加强和用户平安需要的增加,依靠单一的防范产品已经很难解决现有的网络平安问题,于是综合了多种平安产品和平安策略的安管平台应运而生。35建设安管平台
需要实现的管理功能
36建设安管平台需要实现的管理功能371)实时对网络设备、效劳器、平安设备、数据库、中间件、应用系统的平安状况进行统一监控;2)采集平安事件和日志信息,进行整合和关联分析;3)评估平安风险;4)审计用户行为;5)产生平安事件告警;建设安管平台需要实现的管理功能6)接收并处理相关单位发来的平安预警;7)生成各种平安报告并及时进行应急响应;8)进行平安知识管理;9)确保相关系统的业务持续运行,协助管理人员排除平安隐患和平安故障;10)为相关部门的信息平安审计和考核提供技术手段和依据,实现全网的平安集中监控、审计和应急响应,全面提升企业的信息平安保障能力。38安管平台应具备的功能(1)高度平安可靠性:保证网络边界到网络内部的高平安性,同时还要保证内部从桌面到桌面的传输的平安,并且系统中的设备间还要建立高强度平安通道。(2)高性能:不仅要使平台中每个平安产品良好地发挥自身的核心功能,还要尽量减小无关系统开销以提高系统整体性能。(3)高扩展性:平台可实现与各种平安设备之间的互通与联动,对新出现的平安技术和产品也保存了开放的扩展接口。39安管平台应具备的功能(4)高可控性:平台能够对应用范围内的产品进行根本配置,并具有良好的信息收集功能,能够收集各集成平安产品的告警事件、系统日志等数据,这些数据经平台中央策略管理软件综合分析输出,使用户能在整体上掌握系统的综合平安状况。(5)良好的互操作性:平台要能实现应用范围内的平安产品间的互操作,这也是目前的技术难点。40安管平台与网管平台41平安管理与网管系统的关系平安管理阶段把信息平安推演到核心的业务平安这一新的台阶,为业务提供持续性保障BCM(Business
Continuity
Management)成为平安评价的重点。网络的建设中,网络管理中心NOC(Network
Operation
Center)的开展起到重要的作用,那么新兴的平安管理中心SOC与网络管理中心NOC是怎样的关系呢?42平安管理与网络管理一种观点认为SOC就是平安设备的运营管理,无非是增加一些平安特性的管理与策略,SOC是NOC的一个组成局部。但是网络管理本身也需要平安管理的支持,平安管理中心不仅要保障网络支撑系统的平安,还要为业务应用提供平安保障,比方身份认证、授权系统等根底平安设施。从功能的角度看,SOC应该是NOC与业务管理的共同支撑系统,比方NOC中的日常维护,同样要接受SOC中人员身份确认、平安行为审计的管理。43平安管理与网络管理441、SOC与NOC一起成为IT效劳根底设施规划的重点,网络管理侧重系统本身的管理,为业务提供通路;平安管理侧重业务平安的保障,解除外来的与内部的威胁,两者的信息是互通的,只是实现技术与管理重点不同。2、平安管理是从业务发生的起点到业务完成的整个生命周期的平安保障。安管平台不等于SOC45安管平台不等于SOC在国际上,对SOC的一般性描述定义为一支团队在一个相对固定的场所内,按照既定的流程和方法对网络根底设施及其承载的业务平安运行状况进行持续的监测与维护。显然,SOC〔SecurityOperationsCenter,平安运营中心〕包括了人、处所、管理对象、管理的方法、流程和工具。SOC更多地的是指代一个处所,就类似XX信息中心,XX网络中心,看到这类称呼首先想到的应该是一个大楼,然后是一个组织机构。其实,不管国内国外,对于SOC的定义都是一样的,国内的定义也是如上所述。46安管平台不等于SOC
而平安管理平台的定义,一般性的指以资产为核心,以平安事件处理为关键流程,以平安风险管理为指导的一个面向信息资产的平安运行监测、风险度量和平安运维的技术平台。平安管理平台更多的指代的是SOC中的技术和工具局部的内容。如果说SOC有PPT〔人、流程和技术〕三局部的话,安管平台仅仅是其中的T,甚至连T的全集都盖不住。SOC中的T不仅是一个平台,还有一组配套的工具包。47安管平台不等于SOC总而言之,安管平台不等于SOC!你可以将安管平台理解为SOC的一个局部,SOC的技术支撑平台。很不幸,在SOC引入中国的过程中,由于误解和简化,渐渐的将两者等价了起来。现在我们有时候直接称呼安管平台为SOC,我想这也没有什么,只要明白他们的真正差异,怎么说都进行。48安管平台不等于SOC解决信息平安问题不应仅从技术方面着手,同时更应加强信息平安的管理,通过建立正规的信息平安管理体系,系统地解决信息平安问题。现在,SOC的传统定义也在发生改变,SOC指代的固定处所也变得不是那么明显,有人提出了VirtualSOC的概念;而安管平台的传统定义也在发生变化,但是无论如何,安管平台不等于SOC,未来也是如此。49SOC的开展50
SOC的开展第一代SOC由事件/信息收集器演变而来的。作为信息集中管理的平台,多数厂家只是支持自己的产品日志格式,国内都定义为:日志收集器。国内平安/网络设备生产厂家都有各自的日志收集器,并附带管理自己设备的功能;51SOC的开展-----第二代SOC由于第一代SOC能做到的工作只是收集信息,并不能对其收集的各项事件信息进行分析和处理,所以第二代SOC在2005年左右在各厂家兴起。其核心技术就是参加了国外流行的概念:关联分析;关联分析的核心技术是“状态机”:通过定义资产信息和分析事件状态的变化来对信息进行深入的分析和对攻击/异常行为的判断。52关联分析安管平台中众多的平安产品产生了海量事件,如果不对这些数据进行合理处理,管理员将无法得到整个平台的总体平安态势,难以做出正确的决策或应急响应,因此对平安事件进行关联分析是非常重要的。通过关联分析,找出平安设备上报的平安事件之间的相关程度(这些事件已经标准化为统一格式,也叫范式化),挖掘出有效信息,剔除虚假、重复的告警信息,发现潜在威胁告警。53关联分析关联方法运用于安管平台的关联模块,算法设计的好,就能够准确定位告警来源,重构整个攻击场景,从而提高告警信息的利用率,降低误报率,并帮助管理员分析出系统存在的平安隐患。54关联分析
现有的关联分析算法有基于概率相似度的关联方法、基于机器学习的关联方法、基于Bayesian分类器的关联方法及基于先决条件的关联方法等。55关联分析基于机器学习的关联方法只能对存在于线程中的数据进行关联,无法对未知数据进行关联,导致最后的分析结果存在较大的误差。基于Bayesian分类器的关联方法虽然时效性很好,但关联需要的知识依赖于知识库,无法获得计算所需的先验概率和条件概率。这两种算法无法满足平安管理平台中平安设备产生的大量告警和多样性告警的关联分析。56关联分析基于概率相似度的关联方法是一种实时的关联分析方法,利用相似度计算的方法来对事件进行关联。这种关联方法对事件关联的过程如下:1)计算事件不同属性间的相似度。2〕当新的事件到来时,与已有的平安事件的相应属性值进行比较,计算两者之间的相似度3〕如果新事件与已有事件相似度超过了设定的阈值,那么认为它们是相似的,将其融合到已有平安事件中区;假设未超过设定的阈值,那么作为新的事件参加到已有事件中。57关联分析基于先决条件的关联方法一次成功的入侵通常需要一系列的行为来完成,这些行为之间往往不是相互独立的,他们相互关联,前面行为的成功入侵产生的结果是后面行为发生的必要条件。通过对较早发生平安事件的行为的结果和较晚发生平安事件的行为的先决条件进行比较,对两个平安事件进行关联。58关联分析
可以将先进的算法进行混合,优化计算和匹配的效率,应用与海量的告警数据处理。59SOC的开展-----第三代SOC从现实情况来看,第二代SOC并没有得到国内大局部用户的认可和信任。于是,第三代SOC的诞生引起了大家的兴趣。在原有第二代SOC的根底之上,各厂家纷纷对SOC进行了“改装”,有的参加了网络管理模块,有的参加运维管理模块,还有的参加各式各样能嵌入的信息系统,导致现在第三代SOC越来越庞大,越来越臃肿。其中大肆宣传的概念从“关联分析”转变为“业务导向”。为了商业目的,捆绑所有的模块〔“All
In
One”〕,在工程中限制竞争对手。最后第三代SOC能否成功只有通过时间和客户来验证了。60安管平台的关键技术61安管平台的关键技术--联动互操作联动互操作功能是指在安管平台集成的产品之间,当某一产品根据一定的策略侦测到了某些平安事件,假设该平安事件可以通过修改另一产品的平安策略或访问规那么等来解决,那么联动互操作功能可以通过安管平台自动修改另一产品的策略或规那么,并且用户可以从界面看到这种联动互操作的发生。62安管平台的关键技术--联动互操作联动互操作在平台上有两种功能需求:(1)与平安设备无关的联动互操作功能:这类联动互操作是指当平安设备之间没有通信渠道时,安管平台将收集到的某一设备的平安事件,根据安管平台的配置功能完成针对该事件的策略信息,形成对另一平安设备的配置或更改,通过安管平台本身的配置信息流对平安设备进行配置。63安管平台的关键技术--联动互操作2)平安设备相关的联动互操作:这类联动互操作是指某些平安设备之间原本已具有一定的联动能力,能根据某设备发生的平安事件,对另一设备进行配置或配置更改。此时,平台的联动互操作性已通过平安设备自行解决,安管平台只负责实时收集具有联动互操作能力的平安设备各自对该事件的数据,以及针对事件的配置信息等数据,并进行关联。64安管平台的关键技术--联动互操作联动互操作功能充分表达了安管平台的技术水平。良好的联动互操作性可以较好地形成资源整合以组成网络平安体系,从整体上防止木桶效应的产生,它还能在最大程度上保障用户利益,根据用户需要调整、建设平安的网络系统。当网络改造时,还可以通过模块的增减完成平安功能的升级,防止了一体化结构可能造成的功能浪费。65安管平台的关键技术--联动互操作从技术角度看,联动互操作帮助平安体系有效组合并提升性能。例如防火墙与防病毒联动,可以提供网关查杀病毒能力,保证了内部系统与外部网络信息流的纯洁性;防火墙与认证系统联动,将认证与防火墙剥离,可以采用专有设备完成身份认证工作,提高了认证的可靠性与平安性,也减轻了防火墙的负担;防火墙与入侵检测系统联动,使防护体系由静态到动态,提升了防火墙的机动性和实时反响能力,也增强了入侵检测系统的阻断功能等。66安管平台的关键技术--联动互操作联动互操作能力的强弱表达了安管平台的技术水平,由于其牵涉的技术较为复杂,使得它仍然成为安管平台中的最大技术难点。67安管平台的开展趋势和建议68
69安管平台的开展趋势与建议一、平台集成商采用不同厂商的优秀平安产品优化组合构成自己的安管平台,这种做法在集成了最优秀的平安产品的同时,也依然存在一些缺乏:1)由于平台集成的并非自有产品,再加上专利版权等原因,使得集成者很难接触到集成产
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2025浙江温州市平阳县县属国有企业招聘第二轮笔试历年参考题库附带答案详解
- 2025浙江宁波城建投资集团招聘笔试历年参考题库附带答案详解
- 2025河南郑州豫象融汇文化产业责任有限公司招聘7人笔试历年参考题库附带答案详解
- 2025江西南昌市西湖城市建设投资发展集团有限公司及下属子公司招聘40人笔试历年参考题库附带答案详解
- 2025开源证券股份有限公司招聘(110人)笔试历年参考题库附带答案详解
- 2025广西华盛集团北海裕泰工艺有限责任公司招聘4人(截止至11月15日)笔试历年参考题库附带答案详解
- 2025年陕西煤业新型能源科技股份有限公司招聘(285人)笔试历年参考题库附带答案详解
- 2025年贵州榕超实业发展有限公司招聘财务人员1人笔试历年参考题库附带答案详解
- 2025年甘肃省民航机场集团劳务派遣工招聘58人笔试历年参考题库附带答案详解
- a1驾照扣分考试题目及答案
- 2026年外研版(三起)版小学英语六年级下册期末综合测试卷及答案(2套)
- 2026广西梧州供电局项目资料员招聘37人考试备考题库及答案详解
- 2026年全国一卷高考英语听力试题真题及答案(含MP3+文本)
- 2026年全国房地产经纪人之业务操作考试黑金试卷(附答案)662
- 2026-2030中国动态电压恢复器DVR行业竞争力策略及未来运行态势展望研究报告
- 浏阳“5·4”特大爆炸事故警示教育
- 气切病人脱机训练
- 生物医学新技术临床研究备案指导清单
- 2026年贵州医科大学神奇民族医药学院教师招聘笔试备考试题及答案解析
- 《房屋完损等级评定标准》(试行)
- 审批授权管理制度
评论
0/150
提交评论