◆黃海龍 郭怡薇

(新疆維吾爾自治區(qū)產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)研究院 新疆 830011)

一體化網(wǎng)絡(luò)安全管控系統(tǒng)特性

◆黃海龍 郭怡薇

(新疆維吾爾自治區(qū)產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)研究院 新疆 830011)

建立一體化網(wǎng)絡(luò)安全運(yùn)維管理平臺是強(qiáng)化網(wǎng)絡(luò)安全的重要手段，是解決安全防御孤島的必須采用的方法之一，通過平臺的建立達(dá)到一加一大于二的效果， 同時(shí)對一體化平臺的建立，也提出了相應(yīng)的技術(shù)和管理要求。

安全；網(wǎng)絡(luò)；系統(tǒng)

0 前言

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，如何有效的防范來自網(wǎng)絡(luò)的安全威脅越來越重要，各個單位網(wǎng)絡(luò)都在署了大量的網(wǎng)絡(luò)安全設(shè)備，有些還建立了具備專項(xiàng)網(wǎng)絡(luò)防護(hù)的安全系統(tǒng)。但這些設(shè)備和系統(tǒng)大都是針對某類威脅開發(fā)的有針對性的防范系統(tǒng)，于是又形成了一個個獨(dú)立的防御體，導(dǎo)致彼此之間產(chǎn)生大量的安全缺口未防御，也不斷增加管理難度。

因此為了應(yīng)對信息審計(jì)、內(nèi)部管控、持續(xù)性業(yè)務(wù)等需求的挑戰(zhàn)，建立一套橫向貫穿各個孤立安全防線，建立一體化的整體網(wǎng)絡(luò)安全管控系統(tǒng)，實(shí)現(xiàn)對網(wǎng)內(nèi)所有信息資源的安全及風(fēng)險(xiǎn)的統(tǒng)一監(jiān)控，準(zhǔn)確把握網(wǎng)絡(luò)系統(tǒng)內(nèi)整體安全狀況，形成聯(lián)動機(jī)制，及時(shí)采取有力的防范及管控措施。

1 一體化網(wǎng)絡(luò)安全管控系統(tǒng)的介紹

一體化網(wǎng)絡(luò)安全管控系統(tǒng)，是一個面向全網(wǎng) IT資源的，進(jìn)行集中監(jiān)控和安全管理的統(tǒng)一系統(tǒng)。它通過對互聯(lián)網(wǎng)內(nèi)各類網(wǎng)絡(luò)資源的監(jiān)控管理，以及對應(yīng)海量異構(gòu)網(wǎng)絡(luò)的告警等的采集、處理和分析，通過綜合安全運(yùn)營管控，建立一整套與之對應(yīng)的，同時(shí)又符合ITIL/ITSM標(biāo)準(zhǔn)的安全管控機(jī)制。

通過建立統(tǒng)一的監(jiān)控平臺，將安全設(shè)備、網(wǎng)絡(luò)、服務(wù)器、存儲、數(shù)據(jù)庫、應(yīng)用、機(jī)房環(huán)境等所有 IT資源的運(yùn)行狀態(tài)等實(shí)施監(jiān)控，并提供統(tǒng)一管控界面及手段，準(zhǔn)確反映 IT系統(tǒng)的邏輯拓?fù)鋱D和物理拓?fù)鋱D。將各類記錄以需要的方式匯總展示，為進(jìn)一步處理提供基礎(chǔ)信息支撐。

設(shè)備運(yùn)行記錄與信息采集系統(tǒng)對各種網(wǎng)絡(luò)資源的運(yùn)行狀態(tài)、警示信息等數(shù)據(jù)進(jìn)行收集，同時(shí)將系統(tǒng)內(nèi)各種軟、硬件設(shè)備配置信息導(dǎo)入一體化網(wǎng)絡(luò)安全管控系統(tǒng)，從而確保一體化網(wǎng)絡(luò)安全管控系統(tǒng)中的各類資料、數(shù)據(jù)與實(shí)際運(yùn)行狀態(tài)相一致，為一體化網(wǎng)絡(luò)安全管控系統(tǒng)有效管控提供基礎(chǔ)。

2 一體化網(wǎng)絡(luò)安全管控系統(tǒng)的構(gòu)成

信息安全運(yùn)營中心分為SMC、DAC和V-SIMS三部分。

SMC：安全管理中心，以B/S/D三層架構(gòu)實(shí)現(xiàn)監(jiān)控、管理、響應(yīng)、報(bào)表等功能。

DAC：數(shù)據(jù)分析中心，采用后臺服務(wù)方式， 實(shí)現(xiàn)綜合分析、關(guān)聯(lián)分析、資產(chǎn)發(fā)現(xiàn)、脆弱性信息采集分析等數(shù)據(jù)分析處理功能。

V-SIMS：安全信息管理系統(tǒng)，具備安全信息的采集、過濾、聚并、入庫等功能，方便統(tǒng)一的實(shí)現(xiàn)分布、分級部署事件采集引擎。

信息安全運(yùn)營中心架構(gòu)示意圖如圖1所示。

3 一體化網(wǎng)絡(luò)安全管控系統(tǒng)的主要功能

3.1 日志(事件)管理

日志(事件)管理主要包括: 處理日志采集、日志匯總整合和日志視圖化處理三方面工作。

圖1 信息安全運(yùn)營中心體系結(jié)構(gòu)示意圖

日志管理首先是日志的及時(shí)收集，并且按要求匯總整合。通過事件采集器的管理應(yīng)用，將整個信息網(wǎng)絡(luò)系統(tǒng)里所有節(jié)點(diǎn)，按照安全等級劃分為不同級別的控制節(jié)點(diǎn)，按照既定規(guī)則獲取相應(yīng)層級的日志數(shù)據(jù)，使用加密方式上載到統(tǒng)一體化網(wǎng)絡(luò)安全管控系統(tǒng)進(jìn)行綜合分析等。

一體化網(wǎng)絡(luò)安全管控系統(tǒng)里，日志管理還應(yīng)包含日志的分析，能夠合并、策略化、規(guī)范化日志信息，并且憑藉分析結(jié)果對整個信息網(wǎng)絡(luò)系統(tǒng)的安全日志進(jìn)行處置。日志管理功能要能夠?qū)π畔⒕W(wǎng)絡(luò)系統(tǒng)的主要設(shè)備的日志進(jìn)行采集，對部分無法采集日志的設(shè)備，可使用第三方工具（代理插件）支持，確保日志收集的廣泛性、覆蓋性。

在日志收集與處理的基礎(chǔ)條件上，統(tǒng)一體化網(wǎng)絡(luò)安全管控系統(tǒng)可對日志進(jìn)行各種有針對性的分析與展示，并進(jìn)行可視化處理，包括實(shí)時(shí)產(chǎn)生的各類日志及其它信息。以及事件的關(guān)聯(lián)、查詢、備份、維護(hù)及報(bào)表展示。

3.2 綜合分析、風(fēng)險(xiǎn)評估和預(yù)警

綜合分析是整個統(tǒng)一體化網(wǎng)絡(luò)安全管控系統(tǒng)的核心內(nèi)容，接收來自安全管控系統(tǒng)的各類日志，更據(jù)既定原則來評估日志結(jié)果，并對日志進(jìn)行協(xié)同關(guān)聯(lián)特征所引發(fā)的多級綜合風(fēng)險(xiǎn)展開評估分析，并照風(fēng)險(xiǎn)級別進(jìn)行預(yù)警；平臺參照相關(guān)信息，并依據(jù)既定安全策略進(jìn)行響應(yīng)處理。并將相關(guān)信息傳遞至指定人員，便于安全人員及時(shí)了解網(wǎng)絡(luò)的風(fēng)險(xiǎn)動態(tài)，及時(shí)為應(yīng)對風(fēng)險(xiǎn)、動態(tài)調(diào)整策略提供依據(jù)。通過系統(tǒng)管控掌握系統(tǒng)整體以及局部的風(fēng)險(xiǎn)狀況，根據(jù)不同的類型、采取必要的預(yù)防措施。

3.3 拓?fù)浔O(jiān)控功能

拓?fù)浔O(jiān)控功能展示當(dāng)前地域的拓?fù)鋱D，包括背景圖以及其中的地域、網(wǎng)元、鏈路等，并且可實(shí)時(shí)顯示拓?fù)鋱D中網(wǎng)元、地域、鏈路等的狀態(tài)信息。

對拓?fù)鋱D上所有網(wǎng)元進(jìn)行狀態(tài)監(jiān)控，當(dāng)網(wǎng)元的某個狀態(tài)采集項(xiàng)（如CPU、內(nèi)存、磁盤利用率）的值超出閾值，則該狀態(tài)采集項(xiàng)會以紅燈展示，否則以綠燈展示；當(dāng)網(wǎng)元的一個或多個狀態(tài)采集項(xiàng)的值超出閾值或網(wǎng)元斷線，則網(wǎng)元圖標(biāo)底色顯示為紅色，且系統(tǒng)會自動生成告警/事件。

3.4 數(shù)據(jù)庫監(jiān)控

支持對各類數(shù)據(jù)庫實(shí)時(shí)狀態(tài)信息的采集。能夠支持 oracle、sqlserver等主流數(shù)據(jù)庫的狀態(tài)信息采集提供數(shù)據(jù)庫監(jiān)控功能，能夠?qū)崟r(shí)監(jiān)控?cái)?shù)據(jù)庫的各種狀態(tài)，聽過圖像化進(jìn)行呈現(xiàn)。并且可以針對狀態(tài)信息設(shè)定告警閾值，自動進(jìn)行告警。

3.5 Tcp狀態(tài)監(jiān)控

提供TCP端口監(jiān)控功能，可以實(shí)時(shí)監(jiān)控端口的工作情況，當(dāng)端口有異常情況時(shí)，可以提供圖像化的告警措施。

3.6 關(guān)聯(lián)分析

是將設(shè)備日志、警告等事件按設(shè)計(jì)好規(guī)則，規(guī)范化，從而快速辨認(rèn)分析威脅。包括：對安全事件的規(guī)則關(guān)聯(lián)、統(tǒng)計(jì)關(guān)聯(lián)。

3.7 設(shè)備控制

設(shè)備控制管理模塊應(yīng)提供通用性、擴(kuò)展性高的架構(gòu)來控制設(shè)備，一般內(nèi)置兩種控制協(xié)議：Telnet和SSH。

設(shè)備控制管理模塊將設(shè)備控制抽象成以下三個層次：

（1）設(shè)備控制模塊：面向設(shè)備基本控制功能，“設(shè)備能控制拿些”。

（2）設(shè)備控制腳本：面向該種類全部設(shè)備，說明“如何使用該種類全部設(shè)備”。

（3）設(shè)備控制策略：面向該種類某單個設(shè)備，說明“如何使用該種類全部的某單個設(shè)備”。

3.8 自身安全保障

一體化網(wǎng)絡(luò)安全管控系統(tǒng)作為整個網(wǎng)絡(luò)里網(wǎng)絡(luò)安全的核心，擁有整個網(wǎng)絡(luò)的最高控制權(quán)限，所以自身的安全非常重要，一定要有既定策略，利用身份認(rèn)證、加密通訊、控制確認(rèn)等手段來保障系統(tǒng)核心安全。