1、需求背景
随着信息技术的快速发展、应用系统的深化普及,各单位信息系统的安全与管理面临着越来越大的安全威胁和严峻的挑战,信息资产面临着极大的安全风险。
安全问题日益突出,为了应对这些安全问题,各单位部署了很多安全产品,如防病毒、防火墙、入侵检测、安全审计、流量监控等。各单位网络设备、安全设备众多,而且这些安全
产品大多均是在一定程度上满足了客户的特定需求,缓解了局部的安全问题。但这些产品多是不同厂家开发、不同时期部署,网络平台林立,网管各自为营,使得这些产品独立运行、各自为政,这样就带来了新的问题:
各安全子系统的信息难以及时沟通,造成报警信息散乱、管理人员缺乏对网络整体安全状况的认识,安全事件发生后,难以快速定位事件诱因或根源,恢复正常的运行秩序耗费的时间较长;
频繁购置和部署各类安全产品增加了企事业单位的经济负担,安全产品种类繁多复杂,加重了网络管理人员的工作负担。
缺乏对安全事件的综合分析、缺乏安全风险评估,安全预警能力较差。
如何解决上述问题,集成各个
产品的优点,更好地发挥安全
产品的作用,是网络管理人员面临的重大挑战。运用一体化思想整合信息安全的管理,形成一体化集中管理平台,使数据应用由分散转变为集中,解决信息安全中的孤岛问题是信息化建设的迫切需求。
本产品立足于“实时感知、综合评估、全局防御”的思想,从多元资产出发,采用多层次、多领域态势感知和风险评估能力理论与技术,建立具有主动、实时、智能特性的IT综合安全管理平台系统,实现持续性按需防御,从系统、全局、协同的角度保障大规模网络安全稳定运行。
2、产品概述 中网IT综合安全管理平台软件是湖北中网公司开发的基于web的IT综合安全管理产品。该产品能够对网络设备、服务器、操作系统、数据库、中间件、应用系统以及安全系统等资产进行全方位实时监测、预警、报警、防范与事件处置,对安全事件进行综合分析、对安全状态进行风险评估,是一套一体化的信息系统综合安全监控管理平台。
该产品可广泛应用于政府、教育、科研、军工、生产制造、电信运营等行业的信息系统。部署该产品后,可提高网管人员的运维工作效率、提高服务水平、降低运维成本、增强网络的安全稳定性、提升信息系统抗风险的能力。
目前该产品已取得软件著作权登记证书及软件产品登记证书。
该产品已由武汉市科技局进行了成果鉴定,鉴定结果是“在国内处于领先地位”。
该产品在基于XML的事件描述和数据交换、基于数据挖掘的态势感知技术、基于人工免疫的安全态势感知技术、自适应故障诊断和定位技术等方面具有独创性和先进性。
为便于市场销售,“中网IT综合安全管理平台软件”产业化项目中的产品形态为两种形态:其一为纯软件产品,其二为软硬件一体化的产品。软硬件一体化的产品是将软件产品灌装在专用硬件(2U或1U机架式、4个千兆网口)上。
3、产品功能
“中网IT综合安全管理平台软件”实现的具体功能如图1所示:
图1 中网IT综合安全管理平台软件功能结构图
(1)网络拓扑视图管理包括拓扑展示、拓扑维护和拓扑扫描三种功能。拓扑管理可自动发现网络管理域的真实连接,生成物理拓扑图,用户可以方便地修改、完善生成的拓扑图并保存;在拓扑图上,用户可以查看每个网络设备、每个子网以及每条链路的状态信息;同时为用户提供了个性化拓扑展示功能,用户可以从自己感兴趣的角度查看拓扑图。拓扑管理以真实视觉效果的可视化方式展示拓扑视图,通过拓扑视图可查看各种网络设备、通信链路、业务服务以及应用系统等资产的运行状况。
(2)资产监测管理模块以设备真实外观显示的实物视图形式展示网络资产的运行状态,通过对网络资产的实时监控,以及对网络资产所产生的告警事件进行风险分析,评估大型企事业信息系统存在的脆弱点和风险,以便针对性的实施安全防护措施,从而维护大型企事业信息系统中各种网络资产的安全性、可靠性和可用性。
(3)风险评估管理模块,基于资产监测管理、事件告警管理和(网络/系统监测)监测模块中所提供的各项原始数据,分析风险的三要素(资产、威胁、脆弱性);从单个网络设备、业务系统、安全域等多个维度获取大型企事业信息系统的安全风险状况,同时给出安全防护的建议。
(4)事件告警管理提供实时事件逻辑管理、实时事件监测、事件逻辑运算(含事件过滤、归并)、事件关联分析、事件统计、事件浏览、事件告警、告警处理等功能,网络管理人员可以分析和处理网络中的各类事件,得出告警原因和故障定位。
(5)故障处理工单管理以自动工单和人工工单形式记录故障发生资产、原因、故障现象、处理建议、负责人、故障处理结果等信息,部分故障采用自恢复技术自动修复,对于其他故障处理,系统给出故障处理的辅助决策建议方案。
(6)资产背景信息维护。资产背景信息的基本内容包括但不限于:资产属性、资产域、资产类型等相关信息。资产属性包括但不限于资产名称、IP地址、MAC地址、主机名称、外部ID号、资产别名、资产拥有者用户名称、资产创建信息、资产最近一次更新信息以及资产其它相关信息的描述等内容。资产背景信息维护包括背景信息维护、业务系统管理、资产分组管理、字典维护等。
(7)分析统计管理。分析统计管理用于生成和管理各类资产运行状态、事件及资产信息的报表,报表管理子系统以组的方式对系统中的报表对象进行管理,同样,以组的方式对系统中已经生成的报表进行管理,通过手工生成报表和计划生成报表,为用户提供了各类统计信息的直观综合的视图。
(8)日志与备份管理。日志管理记录本产品内用户的所有操作以及信息的处理过程,以便在发生入侵或者故障后进行审计追踪。备份管理包括系统内关键信息备份,确保关键信息的可用性和可靠性。
4、技术特色 技术特色与水平说明如下。
4.1 多Agent分布协同采集技术
本产品采用分布协同数据采集技术,可在复杂、带有损毁的环境条件下,通过多路Agent同时采集,经采集设备资产的状态数据,同时满足实时性、真实性,保证大型企事业信息系统运维管理的“发现快、看的准、抗打击”要求。
4.2 协议结构分析与智能软网关技术 由于大型企事业息系统上装备有多种不同资产,各种资产使用的数据标准、通信方式和通信协议各不相同,因此在系统采集层所获得的数据必须进行统一的格式转换和内容整理。
智能软网关技术可实现协议智能转换,即实现动态自适应的双向的协议转换,将采集的数据包识别后解码成本产品统一的数据交互格式,而反馈数据则转换成外围系统所需的作战装备/作战系统的数据标准和编码格式,经过传输通道向外发送。
4.3 自适应故障诊断和定位技术
该技术主要通过故障检测维修系统和故障诊断专家系统来实现故障诊断和定位。
故障检测维修系统主要担负整个网络中系统的性能检测、设备状态在线监测、设备故障诊断与定位、设备离线测试、维修数据库管理等功能。其中,实时在线监测软件和系统性能测试软件安装于实时监测计算机上;设备故障诊断与定位、设备离线测试、维修数据库管理安装于监测维修计算机上。
故障诊断专家系统作为故障检测维修系统的子系统,主要完成故障的辅助识别与诊断,诊断的对象主要包括计算机类设备、短波通讯类设备、局域网类设备、地域网类设备、电源类设备。
4.4 定量实时风险评估技术
对风险分级及关联性分析,定量评估系统风险,为主动实时响应提供准确的决策依据,重点需解决安全策略的柔性调整问题。
脆弱性管理,通过脆弱性管理可以掌握大型企事业信息系统中各种资产存在的安全漏洞情况,结合当前的安全动态和预警信息,有助于各级安全管理机构及时调整安全策略,开展有针对性的安全工作。
安全事件关联分析,安全事件关联分析是安全管理平台的核心模块。中网IT综合安全管理平台软件,可以通过有效的关联安全事件给出更加精确的判断及有效的攻击分析,提高IDS之类设备的信噪比,减少安全管理员的分析工作。
安全事件关联分析技术通过对安全事件的关联,可以有效的帮助用户过滤安全事件,在大量事件、甚至是误报事件中提取有用的信息。实时关联来自不同设备的事件,可以大大的降低误报率,发现引发事件的真正原因和隐藏的威胁。
风险评估技术,基于资产管理、事件管理和(网络/系统监测)监测模块中所提供的各项原始数据,分析风险的三要素(资产、威胁、脆弱性);从单个资产、业务系统、安全域、物理地域等多个维度获取大型企事业信息系统的安全风险状况。本产品风险评估包括风险分析和风险计算两个阶段。
中网IT综合安全管理平台软件采用定量的风险评估方法,可以根据资产的价值、面临的威胁、内在的漏洞以及已采取的安全措施等因素,综合分析出资产所面临风险数值。风险分析需要明确风险分析参数、风险分析权值。
4.5 态势感知技术
态势感知的目的是在大规模网络环境下,对能够引起网络安全态势发生变化的安全要素进行获取、理解和预测,它包括对当前态势分析和态势预测。安全态势感知包括以下几个方面的内容:实时的态势获取、安全态势的挖掘、多源异构传感器数据的融合、安全事件预警与联动响应、潜在的未知的威胁检测、自动响应和实时的安全态势可视化。
4.6 多层柔性体系结构
为克服复杂的网络环境和多种网络协议、通讯方式等困难,需要构建灵活可扩展的软件体系结构。在体系结构的设计中,我们运用更多的柔性技术来应对这复杂多变的环境。以一个环境抽象层来实现这种需求,不同的环境要素根据其特点分门别类,同类的要素以相同的内容结构和类别标示来进行划分,统一了上层的接口调用。下层以插件的方式进行管理。每种新的环境要素都以插件方式注册 进入正规模块,这不仅减轻了上层的复杂程度,也方便了具体环境要素应对方式的管理和更新。
本产品采用的柔性软件体系结构划分为四大层次:采集层、汇聚层、逻辑层、展示层。
