■成都 楊志農(nóng) 楊勇
在當(dāng)今大數(shù)據(jù)時(shí)代,傳統(tǒng)單點(diǎn)式的安防系統(tǒng),或者傳統(tǒng)的基于黑名單的威脅分析方案已經(jīng)不足以支撐企業(yè)現(xiàn)在的安全環(huán)境。企業(yè)需要更智能化的解決方案來(lái)應(yīng)對(duì)日益增加的未知安全威脅。不僅如此,還應(yīng)從信息安全風(fēng)險(xiǎn)管理視角,采用大數(shù)據(jù)技術(shù),在物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)及進(jìn)一步細(xì)化的層次上,建立起風(fēng)險(xiǎn)感知、監(jiān)控及預(yù)警平臺(tái),實(shí)現(xiàn)量化的安全風(fēng)險(xiǎn)管理、圖形化的安全風(fēng)險(xiǎn)定位、可交互的安全事件監(jiān)控和實(shí)時(shí)的安全態(tài)勢(shì)感知,并形成一系列知識(shí)庫(kù)、場(chǎng)景庫(kù)、指標(biāo)庫(kù)等最佳實(shí)踐成果。
當(dāng)前絕大多數(shù)安全分析工具和方法都是針對(duì)小數(shù)據(jù)量設(shè)計(jì)的,在面對(duì)大數(shù)據(jù)量時(shí)難以為繼,新的攻擊手段層出不窮,需要檢測(cè)的數(shù)據(jù)越來(lái)越多,現(xiàn)有的分析技術(shù)不堪重負(fù)。面對(duì)海量的安全要素信息,我們?nèi)绾尾拍芨友杆俚馗兄W(wǎng)絡(luò)安全態(tài)勢(shì)呢?
傳統(tǒng)的分析方法大都采用基于規(guī)則和特征的分析引擎,必須要有規(guī)則才能工作,而規(guī)則和特征只能對(duì)已知的攻擊和威脅進(jìn)行描述,無(wú)法識(shí)別未知的攻擊,或者是尚未被描述成規(guī)則的攻擊和威脅,面對(duì)未知攻擊和復(fù)雜攻擊如APT等,需要更有效的分析方法和技術(shù),那么,如何做到知所未知呢?
大數(shù)據(jù)安全管理平臺(tái)實(shí)現(xiàn)基于開源HADOOP大數(shù)據(jù)平臺(tái)系統(tǒng)進(jìn)行的數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)建模、內(nèi)置挖掘算法分析功能,提供了友好的用戶界面、系統(tǒng)安裝、集群配置、安全訪問控制、應(yīng)用和資源監(jiān)控及豐富的告警等多方面的支持。
大數(shù)據(jù)安全分析完成異構(gòu)數(shù)據(jù)預(yù)處理、存儲(chǔ)、分析和展示,采用多種分析方法,包括關(guān)聯(lián)分析、機(jī)器學(xué)習(xí)、運(yùn)維學(xué)習(xí)、統(tǒng)計(jì)分析、OLAP分析、數(shù)據(jù)挖掘和惡意代碼分析等多種分析手段對(duì)數(shù)據(jù)進(jìn)行綜合關(guān)聯(lián),結(jié)合SQL、NewSQL、NoSQL技術(shù),實(shí)現(xiàn)對(duì)異構(gòu)安全數(shù)據(jù)的快速可靠存儲(chǔ),實(shí)現(xiàn)對(duì)安全數(shù)據(jù)的實(shí)時(shí)分析和事后分析,為安全分析人員和管理人員提供快捷高效的決策支持。
基于大數(shù)據(jù)技術(shù)的安全管理平臺(tái),是基于全網(wǎng)海量多源異構(gòu)各類告警數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)、網(wǎng)管與運(yùn)維數(shù)據(jù)和內(nèi)控?cái)?shù)據(jù),通過數(shù)據(jù)的集中分析,構(gòu)建安全場(chǎng)景分析,實(shí)現(xiàn)安全風(fēng)險(xiǎn)與態(tài)勢(shì)的實(shí)時(shí)感知,將事前風(fēng)險(xiǎn)合規(guī)性管理運(yùn)維流程成果量化、事中發(fā)生的各類安全告警和異常行為及時(shí)感知,事后網(wǎng)管系統(tǒng)監(jiān)測(cè)到的業(yè)務(wù)異動(dòng)和事件處置運(yùn)維流程情況,全部匯總統(tǒng)一成風(fēng)險(xiǎn)感知的業(yè)務(wù)數(shù)據(jù)鏈。
平臺(tái)面向各類使用者:決策者、管理者、安全運(yùn)維人員、業(yè)務(wù)部門人員、系統(tǒng)管理者,為不同視角人員提供不同的安全業(yè)務(wù)數(shù)據(jù)和統(tǒng)計(jì)分析,并將風(fēng)險(xiǎn)可視化技術(shù)應(yīng)用到信息安全風(fēng)險(xiǎn)管理全生命周期,從事前、事中、事后的不同維度,研究多層面、多視角信息安全風(fēng)險(xiǎn)量化評(píng)估模型、態(tài)勢(shì)評(píng)價(jià)模型、可視化展現(xiàn)框架和可視化交互技術(shù),將被動(dòng)式信息安全管理轉(zhuǎn)為主動(dòng)式信息安全管理,逐步提升信息安全風(fēng)險(xiǎn)精確管控、動(dòng)態(tài)決策和持續(xù)改進(jìn)能力。
基于網(wǎng)絡(luò)元數(shù)據(jù)實(shí)現(xiàn)大數(shù)據(jù)規(guī)模的歷史數(shù)據(jù),通過不斷演進(jìn)的場(chǎng)景規(guī)則,對(duì)歷史數(shù)據(jù)進(jìn)行風(fēng)險(xiǎn)滾動(dòng)更新,基于歷史數(shù)據(jù)對(duì)未來(lái)提供日益精準(zhǔn)的分析規(guī)則。
大數(shù)據(jù)下安全管理平臺(tái)的建設(shè)解決了海量數(shù)據(jù)和信息孤島的困擾,整體上簡(jiǎn)化了安全管理的數(shù)據(jù)模型,將來(lái)自網(wǎng)絡(luò)中各類IT基礎(chǔ)設(shè)施的多類數(shù)據(jù)都會(huì)存儲(chǔ)到一個(gè)通用數(shù)據(jù)庫(kù)中,根據(jù)科學(xué)的策略進(jìn)行智能關(guān)聯(lián)分析。風(fēng)險(xiǎn)感知平臺(tái)已經(jīng)逐步成為信息技術(shù)人員在工作過程中的一把利器,能夠更有效地回應(yīng)不斷變化的安全風(fēng)險(xiǎn)。
同時(shí)需要進(jìn)行大數(shù)據(jù)平臺(tái)的建設(shè)工作,具體包括:
1.Hadoop集群配置與管理。管理Hadoop集群,可進(jìn)行節(jié)點(diǎn)安裝、配置、服務(wù)配置等,提供Web窗口界面,提高了Hadoop配置可見度,降低了集群參數(shù)設(shè)置的復(fù)雜度。
2.資源監(jiān)控。收集集群中各個(gè)節(jié)點(diǎn)的資源(CPU、內(nèi)存、負(fù)載、網(wǎng)絡(luò)IO等)使用情況,并提供豐富的展示畫面,便于用戶了解當(dāng)前集群的資源使用情況。
3.應(yīng)用管理。Hadoop提供了Job級(jí)別的監(jiān)控功能,可以監(jiān)視Job的執(zhí)行情況,而通常一個(gè)應(yīng)用程序需要多個(gè)Job來(lái)完成,所以無(wú)法得知應(yīng)用的執(zhí)行情況。當(dāng)集群中存在大量應(yīng)用時(shí),更是無(wú)法根據(jù)Job來(lái)判斷應(yīng)用執(zhí)行情況。NBDP提供了應(yīng)用程序的管理和監(jiān)控功能。另外提供了應(yīng)用發(fā)布管理功能,使應(yīng)用開發(fā)商與大數(shù)據(jù)平臺(tái)隔離,通過管理工具進(jìn)行應(yīng)用的發(fā)布和狀態(tài)監(jiān)控,保證了Hadoop集群的安全。
4.安全管理。Hadoop的安全控制非常簡(jiǎn)單,只包含簡(jiǎn)單的權(quán)限,即只根據(jù)客戶端用戶名,決定使用權(quán)限。它的設(shè)計(jì)原則是:“避免好人做錯(cuò)事,但不阻止壞人做壞事”。NBDP提供了客戶端對(duì)服務(wù)端、服務(wù)端對(duì)服務(wù)端的安全認(rèn)證方案,同時(shí)提供用戶權(quán)限管理功能,避免非法入侵和越權(quán)訪問。
5.告警管理。NBDP具有強(qiáng)大的告警功能,可以自定義告警規(guī)則,對(duì)告警進(jìn)行合并、過濾等。同時(shí)通過郵件或者短信方式進(jìn)行實(shí)時(shí)的通知。
基于大數(shù)據(jù)技術(shù)的安全管理平臺(tái)體系的建設(shè),保證了IT基礎(chǔ)環(huán)境中的安全運(yùn)維、監(jiān)控、預(yù)警分析,實(shí)現(xiàn)了對(duì)威脅IT業(yè)務(wù)系統(tǒng)正常運(yùn)行的安全風(fēng)險(xiǎn)的集中研判,從安全管理的角度促進(jìn)信息系統(tǒng)正常、穩(wěn)定、安全、可靠運(yùn)行,將風(fēng)險(xiǎn)可視化技術(shù)應(yīng)用到信息安全風(fēng)險(xiǎn)管理全生命周期,從決策、管理和執(zhí)行的視角,以及事前、事中、事后的不同維度,研究多層面、多視角信息安全風(fēng)險(xiǎn)量化評(píng)估模型、態(tài)勢(shì)評(píng)價(jià)模型、可視化展現(xiàn)框架和可視化交互技術(shù),將被動(dòng)式信息安全管理轉(zhuǎn)為主動(dòng)式信息安全管理,逐步提升信息安全風(fēng)險(xiǎn)精確管控、動(dòng)態(tài)決策和持續(xù)改進(jìn)能力。
基于大數(shù)據(jù)技術(shù)的安全管理平臺(tái)的建設(shè),解決了在管理過程中過于主觀化的問題,使管理依靠安全大平臺(tái)得以有效的發(fā)揮,全面實(shí)現(xiàn)了對(duì)威脅IT信息系統(tǒng)正常運(yùn)行的安全風(fēng)險(xiǎn)進(jìn)行集中的分析可視化,促進(jìn)信息系統(tǒng)正常、穩(wěn)定、安全、可靠的運(yùn)行。