【摘要】本文主要介紹了如何通過建立一個市級統一的等級保護安全設備管理中心,來對本地各區縣級融媒體中心的等保安全設備進行綜合管理、對網絡安全態勢統一監控。通過統一的安全管理中心系統對縣級融媒體中心安全設備告警信息的統一采集分析管理,并對各類事件及監控信息形成針對性的告警。
一.背景
隨著“縣級融媒體中心”建設的開展,越來越多的區縣都著手搭建融媒體平臺。針對縣級融媒體建設,國家也出臺了不少指導政策、規范。在《縣級融媒體中心監測監管規范》(適用于縣級融媒體中心的自我監測,監測監管機構對轄區內縣級融媒體中心的監管。)中除了對直播過程、綜合服務、發布內容和網絡安全進行自我監測做出一定的規范,還需要對網絡安全信息進行采集并上傳,形成轄區內縣級融媒體中心安全分析結果數據,供業務管理功能使用。
縣級融媒體中心建設再結合《縣級融媒體中心網絡安全規范》,需要配置的安全設備就包括了防火墻、入侵檢測、漏洞掃描、網絡行為審計、防病毒網關等。基本涵蓋了邊界網絡安全、內部威脅檢測、漏洞管理、安全審計的網絡安全運行各層面的基本要求。隨著網絡安全信息化建設的不斷深入,勢必還要增加新的安全設備或安全子系統,與越來越多的安全設備相對應的是,缺少統一的監控、管理系統,如此多的安全信息系統彼此獨立數據信息互無關聯,分散的管理應用不但給縣級融媒體中心的管理人員帶來更大的管理負擔,而且造成監控管理效率低下,不能聯合發揮安全保障作用。針對這樣的現狀,希望建立一個統一的安全設備監管中心,能夠對各縣融媒體中心的安全設備進行綜合管理、對網絡安全態勢統一監控,統一的安全監管中心平臺將實現對網絡資產的集中管理、安全設備統告警信息統一采集分析管理、綜合各類事件及監控信息形成針對性的告警。
二.項目關鍵
1.治理異構安全數據
參考國內外異構安全數據治理的建設方案和技術,實現復雜多源異構網絡安全數據的治理要求。通過建立安全大數據中心,采用多樣的、異構的安全資產的數據采集,實現可適配數據源的方式對各類安全設備、系統數據進行采集、清洗、標準化、存儲。為了對各種異構廠家的安全設備進行監控,需要其他廠家提供相關日志的說明進行分析總結。
對各區縣融媒體中心內所有網絡安全行為和軌跡進行持續監控和記錄,并可以追溯到源頭,彌補傳統審計手段的不足。同時,一旦發生網絡安全事件,可以對事件進行追蹤、溯源、取證,還原事件發生過程,了解事件嚴重程度和影響范圍,做出正確有力的響應,并采取防御措施。
2.集中管控安全要素
實現對區縣融媒體中心內外部的安全要素的體系化、集中化管理能力。安全要素主要包括內部安全要素、外部安全要素及威脅情報等。其中內部要素包括:資產信息、網絡拓撲、安全配置、安全漏洞;外部要素包括:安全攻擊、惡意掃描、拒絕服務、異常流量等;情報要素包括:戰略安全情報、戰術安全威脅情報、通告和預警等。通過建立體系化的管理方式,方便運維人員對安全要素集中管理,提升融媒體中心的網絡安全自主可控能力。
3.支撐安全決策制定
智能安全監管平臺能夠為各區縣融媒體中心的安全管理員、安全決策人員提供簡單、實用、高效的安全數據平臺,內置重點安全分析場景,重點發現高級別安全攻擊、持續型攻擊、頑固安全問題,采用大數據技術在更大量數據、更全面、更透徹的方式分析安全威脅,綜合提升應對高級安全威脅、隱蔽安全事件的能力。
建設安全態勢要素的輸出和整體安全態勢可視化感知能力,實現預警通知效果,并對其范圍、類型、危害以圖形化展示,為安全分析人員提供直觀、強大、清晰的安全威脅預警能力,以及重大問題、事件的整體性報告,為安全管理員,安全決策人員提供可靠的數據支撐。
4.安全運維智能化
針對發現的高級威脅事件,可提供對應的安全響應的處置策略和任務,協同各區縣融媒體中心的安全產品對于威脅事件進行終止、隔離、取證等安全手段,快速終止威脅的持續,構建一體化聯動防護能力。減輕安全運維人員的工作負擔,提升安全運維效率。
三.平臺架構
智能安全監管平臺主要負責監控、分析和管理縣級融媒體中心信息系統的整體安全態勢,并為整個信息系統的安全運行提供決策服務。
需要通過采用多種技術、手段,收集和整合各類安全事件,并運用實時關聯分析技術、智能推理技術和風險管理技術,實現對安全事件的深度分析,能快速做出智能響應,實現對安全風險的統一監控分析和預警處理。
作為統一智能安全監管的技術支撐平臺,需要結合安全服務的最佳實踐,以安全對象管理為基礎,以風險管理為核心,以事件管理為主線,通過深度數據挖掘、事件關聯等技術,輔以有效的網絡管理與監視,安全報警響應,工單處理等功能,對信息系統內部各類安全事件進行集中管理和智能分析,最終實現對融媒體中心安全風險態勢的統一監控分析和預警處理。
智能安全監管平臺由四層構成,具體參見下圖:
總體架構圖
1.安全對象層:安全管理系統統一監控、管理的對象,包括防火墻、入侵檢測、入侵防御、防病毒網關、漏洞掃描、網絡行為審計等設備。安全管理系統是這些設備的上層管理同臺,同時這些設備也是安全關系系統實現統一安全監控、管理的具體手段和數據來源。
2.數據采集層:該層采集被監控對象層的數據,并將該數據上傳到核心處理層。事件在數據采集層進行過濾、標準化和歸并。
3.核心處理層(數據管理層):在安全管理系統中核心處理層實現對安全數據的高層次深加工處理并負責用戶相關功能的核心業務邏輯。核心層主要完成的任務包括:運行監測、業務管理、安全分析、策略管理、風險管理、脆弱性管理、事件管理、儀表管理、關聯分析、安全對象管理、報表管理、用戶管理、系統維護。
4.集中展示層(數據呈現層):集中展示層主要負責完成與用戶之間的交互,達到安全預警和事件監控、安全運行監控、協同工作處理、安全知識培訓、綜合分析的統一展示,是綜合安管平臺與各類安全管理人員交互的窗口。
四.平臺功能設計
智能安全監管平臺具體可以分為三大組件:中心監控服務器、代理服務器和數據庫服務器。代理服務器負責在縣級融媒體中心的業務網絡中采集全網安全事件,預處理(對原始安全事件進行收集、過濾、歸并等操作)后發送給服務器;中心監控服務器負責對預處理后的安全事件進行集中分析、響應、可視化輸出;數據庫服務器則負責集中存儲預處理后的安全事件。
1.網絡管理
智能安全監管平臺能夠通過互聯網或專網實現對各區縣融媒體中心網絡中的安全設備進行綜合管理與監控。能夠對整個監控網絡中的區縣節點進行拓撲管理;設置各區縣的告警門限,管理網絡告警和事件,以及監測周期設置,鏈路流量、顏色設置等;以及包括根據設備物理位置構建的物理視圖和根據網絡結構構建的網絡視圖管理等。
2.監管平臺展示首頁動態配置
智能安全監管平臺提供了首頁動態配置功能,不同的角色可以配置不同的首頁來展示不同的主題。首頁中的每個主題都可以動態配置樣式和異步刷新時間,每個主題都具有拖拽,最大化,最小化,還原功能。系統操作員的首頁包含以下主題:全局風險趨勢、安全域風險趨勢、風險安全對象Top10、事件相關監控、系統性能監控等。
3.脆弱性管理
智能安全監管平臺可以對各區縣融媒體平臺中的相應安全設備進行脆弱性監視,方便用戶隨時掌握各安全對象的名稱、IP、機密性、可用性、完整性及脆弱性等參數信息。
具有第三方漏洞掃描服務的管理接口,以便對相應安全對象進行脆弱性收集。管理員可以將第三方的漏洞掃描報告導入智能安全監管平臺,從而由平臺進行解析處理,最后得出相應安全對象的脆弱度。
4.資源監控管理
智能安全監管平臺支持對網絡設備、服務器操作系統、數據庫等IT基礎設施及虛擬化的監控管理,同時從點到面集中7×24小時的管理整個IT系統,并且監控管理具備很強的可擴展能力,方便進行功能擴展和規模擴展;系統的易用性強,方便管理人員進行日常運維工作,有效減輕運維壓力。監控管理提供對IT環境的性能監控及分析、故障監控、故障分析及定位、網絡配置文件、資源巡檢的管理。
管理的主機性能數據包括CPU利用率、磁盤容量、系統內存(物理使用內存及緩存)使用情況、磁盤利用率、文件系統、關鍵進程、軟硬件資源信息等,針對服務器相關的性能指標能夠按照實際情況設定不同級別的性能閾值。
5.事件管理
智能安全監管平臺通過多種方式采集各區縣融媒體中心業務網絡中各類安全事件,對采集到的事件執行標準化、過濾、歸并等事件處理過程,并根據預先定義的分類規則對事件進行歸納分類,同時存儲到事件數據庫中進行數據保護。
支持主要的日志收集方式包括:syslog、snmp trap、文件、數據庫。系統提供了安全事件的實時監控功能,全面地監視在線網絡設備和主機發生的各種事件,幫助用戶實時了解網絡安全設備的安全環境、響應事件等的使用狀況。
6.安全預警
智能安全監管平臺提供了安全預警功能,根據來自預警信息分析獲得對可能發生的威脅的提前通告,安全預警是一種有效預防措施,和安全對象、風險管理等功能緊密聯系在一起。
安全預警分為預備預警和正式預警,預備預警審核后變成正式預警,并可以發布。預警信息除了在平臺界面上進行顯示以提醒相關人員外,還可以選擇郵件、短信等方式來通知相關人員。預警信息經安全管理員甄別后,由系統自動地與安全對象庫關聯,列出相應受影響的安全對象以及影響的嚴重程度,并自動通知相應的安全對象責任人。
7.用戶管理
智能安全監管平臺是一個多用戶系統平臺,查看或者處理用戶本身權限范圍內可瀏覽到的信息。在用戶管理方式上采用基于角色的用戶認證和管理模式,一個角色可以被分配多種資源權限,用戶與資源權限之間是通過角色來聯系的。系統支持對系統管理員、系統操作員以及審計員三種不同角色的定義和分配,也支持細粒度的資源權限劃分,能夠靈活控制不同角色對不同資源的訪問權限。 同時支持自定義用戶密碼策略。
8.特征庫管理
智能安全監管平臺的安全特征庫包括安全經驗庫、漏洞庫、補丁庫、事故案例庫等。事故案例庫主要是針對工單處理系統,對于典型的安全事故通過工單方式處理結束后,用戶可以將事故處理的過程信息保存在事故案例庫中,以方便用戶的知識積累和知識共享。
9.數據庫管理
對于存儲在智能安全監管平臺數據庫中海量的事件信息,系統提供了數據庫管理的功能,幫助用戶管理數據庫中的數據資料,為用戶提供便利的分組式管理及數據導入導出服務,保證用戶的數據安全。
10.報表管理
智能安全監管平臺的報表管理用于生成和管理各類事件及安全對象信息的報表。報表管理以組的方式對系統中的報表對象及已經生成的報表進行管理,為用戶提供了各類統計信息的直觀綜合的視圖。
報表支持多種格式的顯示包括:pdf、html、excel、rtf等。報表的生成方式分為手工報表和自動報表兩種,手工報表支持根據用戶輸入的統計參數立即生成報表,自動報表可以按照每小時、每天、每周、每月、每年等周期的方式定時生成報表。使用報表管理強大的定制功能,用戶可以自定義報表的logo、大標題、小標題、統計內容、統計條件以及統計圖形樣式等。
11.分級管理
智能安全監管平臺提供了系統分級管理的功能,適用于兩級或者多級的安全管理中心的建設(市、縣聯動),上級安全管理中心可以自定義將下級安全管理中心的數據上傳至上級安全管理中心,統一進行存儲、分析和管理。
五.平臺關鍵技術
智能安全監管平臺能夠從安全設備資產的視角,綜合所采集的安全要素,進行安全態勢的呈現。
1.安全可視化
提供實時告警、網絡威脅、系統安全、用戶行為、業務系統安全等內容的大Ö展示功能,包括安全運維視圖及安全領導視圖。
安全運維視圖:為運維人員提供安全可視化視圖,支持安全事件調查、取證、溯源和處置等功能聯動;
安全領導視圖:為領導提供安全可視化視圖,支持安全建設成果可視化、安全威脅統計可視化等數據,支持安全決策的發布。
2.安全趨勢預警
預警類型包括攻擊檢測預警、異常流量預警、弱口令分析預警。
攻擊檢測預警內容有:事件類型、目標資產、攻擊時間、攻擊類型、攻擊階段、預警等級等;
異常流量預警內容有:事件類型、目標資產、攻擊類型、峰值流量、超過預警基線百分比、開始時間、結束時間、持續時間、預警等級等;
系統弱口令分析預警內容有:事件類型、預警來源、預警名稱、預警事件、預警來源等;
3.安全告警處置
通過對安全事件、日志以及網絡流量進行檢測,分析出網絡攻擊、系統攻擊、異常流量等威脅,產生安全告警,本功能以實時和統計的方式對安全告警進行展現。
告警狀態分為實時告警和歷史告警,經過確認或處理后的告警狀態為歷史告警。
安全告警監控:展示內外部威脅分析產生的安全告警,包括網絡威脅告警、系統安全告警、用戶違規行為告警、安全場景告警等;
安全告警處置:提供安全事件調查、分析、溯源、取證等核心安全事件分析調查功能,并提供安全處置狀態標記功能,實現以短信、郵件、電話等方式告警;
4.協同處置建設
能夠對安全事件的全生命周期跟蹤處理,實現安全事件溯源、安全處置工單跟蹤;并累計安全事件的特征,合并分析之后擴充至本地威脅情報庫,實現未知安全威脅的發現。從真正意義上實現將傳統的安全防護轉變為具有智能自主學習能力的大數據自動安全分析、預警與聯動處置一體化的整體企業網絡安全運營平臺。
五.小結
市縣統一智能安全監管平臺能夠采集各區縣融媒體中心的設備信息,并通過數據分析、風險預警、異常行為及安全策略指導等功能,更好幫助技術人員維護平臺安全。包括事前補丁更新、最小端口開放、訪問控制;事中快速檢測未知威脅、確定攻擊事件、確定優先級,為工作人員處理提供處理策略;事后安全事件歸檔記錄 、攻擊溯源取證分析、設備策略的改良告知。通過開展信息安全態勢分析、及時發現安全事件,處理安全風險可以減少或降低信息安全事件的發生,同時也降低了造成區縣融媒體基礎設施破壞和社會及經濟效益損失的可能性。
參考文獻
[1] 賴積保. 基于異構傳感器的網絡安全態勢感知若干關鍵技術研究[D]. 哈爾濱工程大學, 2009.
[2]呂榮峰, 楊夢寧, 余虹. 智能日志審計與預警系統功能設計與實現[J]. 數字技術與應用, 2016(2):187-189.
[3]陳剛, 金倩倩, 陳恩惠. 等級保護智能分析技術研究與應用[J]. 警察技術, 2014(S1):91-93.