1、需求背景
随着信息技(jì )術的快速發展、應用(yòng)系統的深化普及,各單位信息系統的安(ān)全與管理(lǐ)面臨着越來越大的安(ān)全威脅和嚴峻的挑戰,信息資産(chǎn)面臨着嚴重的安(ān)全風險。
安(ān)全問題日益突出,為(wèi)了應對這些安(ān)全問題,各單位部署了很(hěn)多(duō)安(ān)全産(chǎn)品,如防病毒、防火牆、入侵檢測、安(ān)全審計、流量監控等。各單位網絡設備、安(ān)全設備衆多(duō),而且這些安(ān)全
産(chǎn)品大多(duō)均是在一定程度上滿足了客戶的特定需求,緩解了局部的安(ān)全問題。但這些産(chǎn)品多(duō)是不同廠家開發、不同時期部署,網絡平台林立,網管各自為(wèi)營,使得這些産(chǎn)品獨立運行、各自為(wèi)政,這樣就帶來了新(xīn)的問題:
各安(ān)全子系統的信息難以及時溝通,造成報警信息散亂、管理(lǐ)人員缺乏對網絡整體(tǐ)安(ān)全狀況的認識,安(ān)全事件發生後,難以快速定位事件誘因或根源,恢複正常的運行秩序耗費的時間較長(cháng);
頻繁購(gòu)置和部署各類安(ān)全産(chǎn)品增加了企事業單位的經濟負擔,安(ān)全産(chǎn)品種類繁多(duō)複雜,加重了網絡管理(lǐ)人員的工(gōng)作(zuò)負擔。
缺乏對安(ān)全事件的綜合分(fēn)析、缺乏安(ān)全風險評估,安(ān)全預警能(néng)力較差。
如何解決上述問題,集成各個
産(chǎn)品的優點,更好地發揮安(ān)全
産(chǎn)品的作(zuò)用(yòng),是網絡管理(lǐ)人員面臨的重大挑戰。運用(yòng)一體(tǐ)化思想整合信息安(ān)全的管理(lǐ),形成一體(tǐ)化集中(zhōng)管理(lǐ)平台,使數據應用(yòng)由分(fēn)散轉變為(wèi)集中(zhōng),解決信息安(ān)全中(zhōng)的孤島問題是信息化建設的迫切需求。
本産(chǎn)品立足于“實時感知、綜合評估、全局防禦”的思想,從多(duō)元資産(chǎn)出發,采用(yòng)多(duō)層次、多(duō)領域态勢感知和風險評估能(néng)力理(lǐ)論與技(jì )術,建立具(jù)有(yǒu)主動、實時、智能(néng)特性的IT綜合安(ān)全管理(lǐ)平台系統,實現持續性按需防禦,從系統、全局、協同的角度保障大規模網絡安(ān)全穩定運行。
2、産(chǎn)品概述
中(zhōng)網IT綜合安(ān)全管理(lǐ)平台軟件是湖(hú)北中(zhōng)網公(gōng)司開發的基于web的IT綜合安(ān)全管理(lǐ)産(chǎn)品。該産(chǎn)品能(néng)夠對網絡設備、服務(wù)器、操作(zuò)系統、數據庫、中(zhōng)間件、應用(yòng)系統以及安(ān)全系統等資産(chǎn)進行全方位實時監測、預警、報警、防範與事件處置,對安(ān)全事件進行綜合分(fēn)析、對安(ān)全狀态進行風險評估,是一套一體(tǐ)化的信息系統綜合安(ān)全監控管理(lǐ)平台。
該産(chǎn)品可(kě)廣泛應用(yòng)于政府、教育、科(kē)研、軍工(gōng)、生産(chǎn)制造、電(diàn)信運營等行業的信息系統。部署該産(chǎn)品後,可(kě)提高網管人員的運維工(gōng)作(zuò)效率、提高服務(wù)水平、降低運維成本、增強網絡的安(ān)全穩定性、提升信息系統抗風險的能(néng)力。
目前該産(chǎn)品已取得軟件著作(zuò)權登記證書及軟件産(chǎn)品登記證書。
該産(chǎn)品已由武漢市科(kē)技(jì )局進行了成果鑒定,鑒定結果是“在國(guó)内處于領先地位”。
該産(chǎn)品在基于XML的事件描述和數據交換、基于數據挖掘的态勢感知技(jì )術、基于人工(gōng)免疫的安(ān)全态勢感知技(jì )術、自适應故障診斷和定位技(jì )術等方面具(jù)有(yǒu)獨創性和先進性。
為(wèi)便于市場銷售,“中(zhōng)網IT綜合安(ān)全管理(lǐ)平台軟件”産(chǎn)業化項目中(zhōng)的産(chǎn)品形态為(wèi)兩種形态:其一為(wèi)純軟件産(chǎn)品,其二為(wèi)軟硬件一體(tǐ)化的産(chǎn)品。軟硬件一體(tǐ)化的産(chǎn)品是将軟件産(chǎn)品灌裝(zhuāng)在專用(yòng)硬件(2U或1U機架式、4個千兆網口)上。
3、産(chǎn)品功能(néng)
“中(zhōng)網IT綜合安(ān)全管理(lǐ)平台軟件”實現的具(jù)體(tǐ)功能(néng)如圖1所示:
圖1 中(zhōng)網IT綜合安(ān)全管理(lǐ)平台軟件功能(néng)結構圖
(1)網絡拓撲視圖管理(lǐ)包括拓撲展示、拓撲維護和拓撲掃描三種功能(néng)。拓撲管理(lǐ)可(kě)自動發現網絡管理(lǐ)域的真實連接,生成物(wù)理(lǐ)拓撲圖,用(yòng)戶可(kě)以方便地修改、完善生成的拓撲圖并保存;在拓撲圖上,用(yòng)戶可(kě)以查看每個網絡設備、每個子網以及每條鏈路的狀态信息;同時為(wèi)用(yòng)戶提供了個性化拓撲展示功能(néng),用(yòng)戶可(kě)以從自己感興趣的角度查看拓撲圖。拓撲管理(lǐ)以真實視覺效果的可(kě)視化方式展示拓撲視圖,通過拓撲視圖可(kě)查看各種網絡設備、通信鏈路、業務(wù)服務(wù)以及應用(yòng)系統等資産(chǎn)的運行狀況。
(2)資産(chǎn)監測管理(lǐ)模塊以設備真實外觀顯示的實物(wù)視圖形式展示網絡資産(chǎn)的運行狀态,通過對網絡資産(chǎn)的實時監控,以及對網絡資産(chǎn)所産(chǎn)生的告警事件進行風險分(fēn)析,評估大型企事業信息系統存在的脆弱點和風險,以便針對性的實施安(ān)全防護措施,從而維護大型企事業信息系統中(zhōng)各種網絡資産(chǎn)的安(ān)全性、可(kě)靠性和可(kě)用(yòng)性。
(3)風險評估管理(lǐ)模塊,基于資産(chǎn)監測管理(lǐ)、事件告警管理(lǐ)和(網絡/系統監測)監測模塊中(zhōng)所提供的各項原始數據,分(fēn)析風險的三要素(資産(chǎn)、威脅、脆弱性);從單個網絡設備、業務(wù)系統、安(ān)全域等多(duō)個維度獲取大型企事業信息系統的安(ān)全風險狀況,同時給出安(ān)全防護的建議。
(4)事件告警管理(lǐ)提供實時事件邏輯管理(lǐ)、實時事件監測、事件邏輯運算(含事件過濾、歸并)、事件關聯分(fēn)析、事件統計、事件浏覽、事件告警、告警處理(lǐ)等功能(néng),網絡管理(lǐ)人員可(kě)以分(fēn)析和處理(lǐ)網絡中(zhōng)的各類事件,得出告警原因和故障定位。
(5)故障處理(lǐ)工(gōng)單管理(lǐ)以自動工(gōng)單和人工(gōng)工(gōng)單形式記錄故障發生資産(chǎn)、原因、故障現象、處理(lǐ)建議、負責人、故障處理(lǐ)結果等信息,部分(fēn)故障采用(yòng)自恢複技(jì )術自動修複,對于其他(tā)故障處理(lǐ),系統給出故障處理(lǐ)的輔助決策建議方案。
(6)資産(chǎn)背景信息維護。資産(chǎn)背景信息的基本内容包括但不限于:資産(chǎn)屬性、資産(chǎn)域、資産(chǎn)類型等相關信息。資産(chǎn)屬性包括但不限于資産(chǎn)名(míng)稱、IP地址、MAC地址、主機名(míng)稱、外部ID号、資産(chǎn)别名(míng)、資産(chǎn)擁有(yǒu)者用(yòng)戶名(míng)稱、資産(chǎn)創建信息、資産(chǎn)最近一次更新(xīn)信息以及資産(chǎn)其它相關信息的描述等内容。資産(chǎn)背景信息維護包括背景信息維護、業務(wù)系統管理(lǐ)、資産(chǎn)分(fēn)組管理(lǐ)、字典維護等。
(7)分(fēn)析統計管理(lǐ)。分(fēn)析統計管理(lǐ)用(yòng)于生成和管理(lǐ)各類資産(chǎn)運行狀态、事件及資産(chǎn)信息的報表,報表管理(lǐ)子系統以組的方式對系統中(zhōng)的報表對象進行管理(lǐ),同樣,以組的方式對系統中(zhōng)已經生成的報表進行管理(lǐ),通過手工(gōng)生成報表和計劃生成報表,為(wèi)用(yòng)戶提供了各類統計信息的直觀綜合的視圖。
(8)日志(zhì)與備份管理(lǐ)。日志(zhì)管理(lǐ)記錄本産(chǎn)品内用(yòng)戶的所有(yǒu)操作(zuò)以及信息的處理(lǐ)過程,以便在發生入侵或者故障後進行審計追蹤。備份管理(lǐ)包括系統内關鍵信息備份,确保關鍵信息的可(kě)用(yòng)性和可(kě)靠性。
4、技(jì )術特色
技(jì )術特色與水平說明如下。
4.1 多(duō)Agent分(fēn)布協同采集技(jì )術
本産(chǎn)品采用(yòng)分(fēn)布協同數據采集技(jì )術,可(kě)在複雜、帶有(yǒu)損毀的環境條件下,通過多(duō)路Agent同時采集,經采集設備資産(chǎn)的狀态數據,同時滿足實時性、真實性,保證大型企事業信息系統運維管理(lǐ)的“發現快、看的準、抗打擊”要求。
4.2 協議結構分(fēn)析與智能(néng)軟網關技(jì )術
由于大型企事業息系統上裝(zhuāng)備有(yǒu)多(duō)種不同資産(chǎn),各種資産(chǎn)使用(yòng)的數據标準、通信方式和通信協議各不相同,因此在系統采集層所獲得的數據必須進行統一的格式轉換和内容整理(lǐ)。
智能(néng)軟網關技(jì )術可(kě)實現協議智能(néng)轉換,即實現動态自适應的雙向的協議轉換,将采集的數據包識别後解碼成本産(chǎn)品統一的數據交互格式,而反饋數據則轉換成外圍系統所需的作(zuò)戰裝(zhuāng)備/作(zuò)戰系統的數據标準和編碼格式,經過傳輸通道向外發送。
4.3 自适應故障診斷和定位技(jì )術
該技(jì )術主要通過故障檢測維修系統和故障診斷專家系統來實現故障診斷和定位。
故障檢測維修系統主要擔負整個網絡中(zhōng)系統的性能(néng)檢測、設備狀态在線(xiàn)監測、設備故障診斷與定位、設備離線(xiàn)測試、維修數據庫管理(lǐ)等功能(néng)。其中(zhōng),實時在線(xiàn)監測軟件和系統性能(néng)測試軟件安(ān)裝(zhuāng)于實時監測計算機上;設備故障診斷與定位、設備離線(xiàn)測試、維修數據庫管理(lǐ)安(ān)裝(zhuāng)于監測維修計算機上。
故障診斷專家系統作(zuò)為(wèi)故障檢測維修系統的子系統,主要完成故障的輔助識别與診斷,診斷的對象主要包括計算機類設備、短波通訊類設備、局域網類設備、地域網類設備、電(diàn)源類設備。
4.4 定量實時風險評估技(jì )術
對風險分(fēn)級及關聯性分(fēn)析,定量評估系統風險,為(wèi)主動實時響應提供準确的決策依據,重點需解決安(ān)全策略的柔性調整問題。
脆弱性管理(lǐ),通過脆弱性管理(lǐ)可(kě)以掌握大型企事業信息系統中(zhōng)各種資産(chǎn)存在的安(ān)全漏洞情況,結合當前的安(ān)全動态和預警信息,有(yǒu)助于各級安(ān)全管理(lǐ)機構及時調整安(ān)全策略,開展有(yǒu)針對性的安(ān)全工(gōng)作(zuò)。
安(ān)全事件關聯分(fēn)析,安(ān)全事件關聯分(fēn)析是安(ān)全管理(lǐ)平台的核心模塊。中(zhōng)網IT綜合安(ān)全管理(lǐ)平台軟件,可(kě)以通過有(yǒu)效的關聯安(ān)全事件給出更加精(jīng)确的判斷及有(yǒu)效的攻擊分(fēn)析,提高IDS之類設備的信噪比,減少安(ān)全管理(lǐ)員的分(fēn)析工(gōng)作(zuò)。
安(ān)全事件關聯分(fēn)析技(jì )術通過對安(ān)全事件的關聯,可(kě)以有(yǒu)效的幫助用(yòng)戶過濾安(ān)全事件,在大量事件、甚至是誤報事件中(zhōng)提取有(yǒu)用(yòng)的信息。實時關聯來自不同設備的事件,可(kě)以大大的降低誤報率,發現引發事件的真正原因和隐藏的威脅。
風險評估技(jì )術,基于資産(chǎn)管理(lǐ)、事件管理(lǐ)和(網絡/系統監測)監測模塊中(zhōng)所提供的各項原始數據,分(fēn)析風險的三要素(資産(chǎn)、威脅、脆弱性);從單個資産(chǎn)、業務(wù)系統、安(ān)全域、物(wù)理(lǐ)地域等多(duō)個維度獲取大型企事業信息系統的安(ān)全風險狀況。本産(chǎn)品風險評估包括風險分(fēn)析和風險計算兩個階段。
中(zhōng)網IT綜合安(ān)全管理(lǐ)平台軟件采用(yòng)定量的風險評估方法,可(kě)以根據資産(chǎn)的價值、面臨的威脅、内在的漏洞以及已采取的安(ān)全措施等因素,綜合分(fēn)析出資産(chǎn)所面臨風險數值。風險分(fēn)析需要明确風險分(fēn)析參數、風險分(fēn)析權值。
4.5 态勢感知技(jì )術
态勢感知的目的是在大規模網絡環境下,對能(néng)夠引起網絡安(ān)全态勢發生變化的安(ān)全要素進行獲取、理(lǐ)解和預測,它包括對當前态勢分(fēn)析和态勢預測。安(ān)全态勢感知包括以下幾個方面的内容:實時的态勢獲取、安(ān)全态勢的挖掘、多(duō)源異構傳感器數據的融合、安(ān)全事件預警與聯動響應、潛在的未知的威脅檢測、自動響應和實時的安(ān)全态勢可(kě)視化。
4.6 多(duō)層柔性體(tǐ)系結構
為(wèi)克服複雜的網絡環境和多(duō)種網絡協議、通訊方式等困難,需要構建靈活可(kě)擴展的軟件體(tǐ)系結構。在體(tǐ)系結構的設計中(zhōng),我們運用(yòng)更多(duō)的柔性技(jì )術來應對這複雜多(duō)變的環境。以一個環境抽象層來實現這種需求,不同的環境要素根據其特點分(fēn)門别類,同類的要素以相同的内容結構和類别标示來進行劃分(fēn),統一了上層的接口調用(yòng)。下層以插件的方式進行管理(lǐ)。每種新(xīn)的環境要素都以插件方式注冊 進入正規模塊,這不僅減輕了上層的複雜程度,也方便了具(jù)體(tǐ)環境要素應對方式的管理(lǐ)和更新(xīn)。
本産(chǎn)品采用(yòng)的柔性軟件體(tǐ)系結構劃分(fēn)為(wèi)四大層次:采集層、彙聚層、邏輯層、展示層。
