■成都 楊志農(nóng) 楊勇

在當(dāng)今大數(shù)據(jù)時(shí)代，傳統(tǒng)單點(diǎn)式的安防系統(tǒng)，或者傳統(tǒng)的基于黑名單的威脅分析方案已經(jīng)不足以支撐企業(yè)現(xiàn)在的安全環(huán)境。企業(yè)需要更智能化的解決方案來(lái)應(yīng)對(duì)日益增加的未知安全威脅。不僅如此，還應(yīng)從信息安全風(fēng)險(xiǎn)管理視角，采用大數(shù)據(jù)技術(shù)，在物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)及進(jìn)一步細(xì)化的層次上，建立起風(fēng)險(xiǎn)感知、監(jiān)控及預(yù)警平臺(tái)，實(shí)現(xiàn)量化的安全風(fēng)險(xiǎn)管理、圖形化的安全風(fēng)險(xiǎn)定位、可交互的安全事件監(jiān)控和實(shí)時(shí)的安全態(tài)勢(shì)感知，并形成一系列知識(shí)庫(kù)、場(chǎng)景庫(kù)、指標(biāo)庫(kù)等最佳實(shí)踐成果。

傳統(tǒng)安全分析面臨的挑戰(zhàn)

當(dāng)前絕大多數(shù)安全分析工具和方法都是針對(duì)小數(shù)據(jù)量設(shè)計(jì)的，在面對(duì)大數(shù)據(jù)量時(shí)難以為繼，新的攻擊手段層出不窮，需要檢測(cè)的數(shù)據(jù)越來(lái)越多，現(xiàn)有的分析技術(shù)不堪重負(fù)。面對(duì)海量的安全要素信息，我們?nèi)绾尾拍芨友杆俚馗兄W(wǎng)絡(luò)安全態(tài)勢(shì)呢？

傳統(tǒng)的分析方法大都采用基于規(guī)則和特征的分析引擎，必須要有規(guī)則才能工作，而規(guī)則和特征只能對(duì)已知的攻擊和威脅進(jìn)行描述，無(wú)法識(shí)別未知的攻擊，或者是尚未被描述成規(guī)則的攻擊和威脅，面對(duì)未知攻擊和復(fù)雜攻擊如APT等，需要更有效的分析方法和技術(shù)，那么，如何做到知所未知呢？

基于大數(shù)據(jù)技術(shù)的安全分析

大數(shù)據(jù)安全管理平臺(tái)實(shí)現(xiàn)基于開源HADOOP大數(shù)據(jù)平臺(tái)系統(tǒng)進(jìn)行的數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)建模、內(nèi)置挖掘算法分析功能，提供了友好的用戶界面、系統(tǒng)安裝、集群配置、安全訪問控制、應(yīng)用和資源監(jiān)控及豐富的告警等多方面的支持。

大數(shù)據(jù)安全分析完成異構(gòu)數(shù)據(jù)預(yù)處理、存儲(chǔ)、分析和展示，采用多種分析方法，包括關(guān)聯(lián)分析、機(jī)器學(xué)習(xí)、運(yùn)維學(xué)習(xí)、統(tǒng)計(jì)分析、OLAP分析、數(shù)據(jù)挖掘和惡意代碼分析等多種分析手段對(duì)數(shù)據(jù)進(jìn)行綜合關(guān)聯(lián)，結(jié)合SQL、NewSQL、NoSQL技術(shù)，實(shí)現(xiàn)對(duì)異構(gòu)安全數(shù)據(jù)的快速可靠存儲(chǔ)，實(shí)現(xiàn)對(duì)安全數(shù)據(jù)的實(shí)時(shí)分析和事后分析，為安全分析人員和管理人員提供快捷高效的決策支持。

大數(shù)據(jù)安全管理平臺(tái)特點(diǎn)

基于大數(shù)據(jù)技術(shù)的安全管理平臺(tái)，是基于全網(wǎng)海量多源異構(gòu)各類告警數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)、網(wǎng)管與運(yùn)維數(shù)據(jù)和內(nèi)控?cái)?shù)據(jù)，通過數(shù)據(jù)的集中分析，構(gòu)建安全場(chǎng)景分析，實(shí)現(xiàn)安全風(fēng)險(xiǎn)與態(tài)勢(shì)的實(shí)時(shí)感知，將事前風(fēng)險(xiǎn)合規(guī)性管理運(yùn)維流程成果量化、事中發(fā)生的各類安全告警和異常行為及時(shí)感知，事后網(wǎng)管系統(tǒng)監(jiān)測(cè)到的業(yè)務(wù)異動(dòng)和事件處置運(yùn)維流程情況，全部匯總統(tǒng)一成風(fēng)險(xiǎn)感知的業(yè)務(wù)數(shù)據(jù)鏈。

平臺(tái)面向各類使用者：決策者、管理者、安全運(yùn)維人員、業(yè)務(wù)部門人員、系統(tǒng)管理者，為不同視角人員提供不同的安全業(yè)務(wù)數(shù)據(jù)和統(tǒng)計(jì)分析，并將風(fēng)險(xiǎn)可視化技術(shù)應(yīng)用到信息安全風(fēng)險(xiǎn)管理全生命周期，從事前、事中、事后的不同維度，研究多層面、多視角信息安全風(fēng)險(xiǎn)量化評(píng)估模型、態(tài)勢(shì)評(píng)價(jià)模型、可視化展現(xiàn)框架和可視化交互技術(shù)，將被動(dòng)式信息安全管理轉(zhuǎn)為主動(dòng)式信息安全管理，逐步提升信息安全風(fēng)險(xiǎn)精確管控、動(dòng)態(tài)決策和持續(xù)改進(jìn)能力。

基于網(wǎng)絡(luò)元數(shù)據(jù)實(shí)現(xiàn)大數(shù)據(jù)規(guī)模的歷史數(shù)據(jù)，通過不斷演進(jìn)的場(chǎng)景規(guī)則，對(duì)歷史數(shù)據(jù)進(jìn)行風(fēng)險(xiǎn)滾動(dòng)更新，基于歷史數(shù)據(jù)對(duì)未來(lái)提供日益精準(zhǔn)的分析規(guī)則。

大數(shù)據(jù)下安全管理平臺(tái)的建設(shè)解決了海量數(shù)據(jù)和信息孤島的困擾，整體上簡(jiǎn)化了安全管理的數(shù)據(jù)模型，將來(lái)自網(wǎng)絡(luò)中各類IT基礎(chǔ)設(shè)施的多類數(shù)據(jù)都會(huì)存儲(chǔ)到一個(gè)通用數(shù)據(jù)庫(kù)中，根據(jù)科學(xué)的策略進(jìn)行智能關(guān)聯(lián)分析。風(fēng)險(xiǎn)感知平臺(tái)已經(jīng)逐步成為信息技術(shù)人員在工作過程中的一把利器，能夠更有效地回應(yīng)不斷變化的安全風(fēng)險(xiǎn)。

同時(shí)需要進(jìn)行大數(shù)據(jù)平臺(tái)的建設(shè)工作，具體包括：

1.Hadoop集群配置與管理。管理Hadoop集群，可進(jìn)行節(jié)點(diǎn)安裝、配置、服務(wù)配置等，提供Web窗口界面，提高了Hadoop配置可見度，降低了集群參數(shù)設(shè)置的復(fù)雜度。

2.資源監(jiān)控。收集集群中各個(gè)節(jié)點(diǎn)的資源（CPU、內(nèi)存、負(fù)載、網(wǎng)絡(luò)IO等）使用情況，并提供豐富的展示畫面，便于用戶了解當(dāng)前集群的資源使用情況。

3.應(yīng)用管理。Hadoop提供了Job級(jí)別的監(jiān)控功能，可以監(jiān)視Job的執(zhí)行情況，而通常一個(gè)應(yīng)用程序需要多個(gè)Job來(lái)完成，所以無(wú)法得知應(yīng)用的執(zhí)行情況。當(dāng)集群中存在大量應(yīng)用時(shí)，更是無(wú)法根據(jù)Job來(lái)判斷應(yīng)用執(zhí)行情況。NBDP提供了應(yīng)用程序的管理和監(jiān)控功能。另外提供了應(yīng)用發(fā)布管理功能，使應(yīng)用開發(fā)商與大數(shù)據(jù)平臺(tái)隔離，通過管理工具進(jìn)行應(yīng)用的發(fā)布和狀態(tài)監(jiān)控，保證了Hadoop集群的安全。

4.安全管理。Hadoop的安全控制非常簡(jiǎn)單，只包含簡(jiǎn)單的權(quán)限，即只根據(jù)客戶端用戶名，決定使用權(quán)限。它的設(shè)計(jì)原則是：“避免好人做錯(cuò)事，但不阻止壞人做壞事”。NBDP提供了客戶端對(duì)服務(wù)端、服務(wù)端對(duì)服務(wù)端的安全認(rèn)證方案，同時(shí)提供用戶權(quán)限管理功能，避免非法入侵和越權(quán)訪問。

5.告警管理。NBDP具有強(qiáng)大的告警功能，可以自定義告警規(guī)則，對(duì)告警進(jìn)行合并、過濾等。同時(shí)通過郵件或者短信方式進(jìn)行實(shí)時(shí)的通知。

大數(shù)據(jù)安全管理平臺(tái)的發(fā)展與探索

基于大數(shù)據(jù)技術(shù)的安全管理平臺(tái)體系的建設(shè)，保證了IT基礎(chǔ)環(huán)境中的安全運(yùn)維、監(jiān)控、預(yù)警分析，實(shí)現(xiàn)了對(duì)威脅IT業(yè)務(wù)系統(tǒng)正常運(yùn)行的安全風(fēng)險(xiǎn)的集中研判，從安全管理的角度促進(jìn)信息系統(tǒng)正常、穩(wěn)定、安全、可靠運(yùn)行，將風(fēng)險(xiǎn)可視化技術(shù)應(yīng)用到信息安全風(fēng)險(xiǎn)管理全生命周期，從決策、管理和執(zhí)行的視角，以及事前、事中、事后的不同維度，研究多層面、多視角信息安全風(fēng)險(xiǎn)量化評(píng)估模型、態(tài)勢(shì)評(píng)價(jià)模型、可視化展現(xiàn)框架和可視化交互技術(shù)，將被動(dòng)式信息安全管理轉(zhuǎn)為主動(dòng)式信息安全管理，逐步提升信息安全風(fēng)險(xiǎn)精確管控、動(dòng)態(tài)決策和持續(xù)改進(jìn)能力。

小結(jié)

基于大數(shù)據(jù)技術(shù)的安全管理平臺(tái)的建設(shè)，解決了在管理過程中過于主觀化的問題，使管理依靠安全大平臺(tái)得以有效的發(fā)揮，全面實(shí)現(xiàn)了對(duì)威脅IT信息系統(tǒng)正常運(yùn)行的安全風(fēng)險(xiǎn)進(jìn)行集中的分析可視化，促進(jìn)信息系統(tǒng)正常、穩(wěn)定、安全、可靠的運(yùn)行。