《我理解的安管平台》由会员分享,可在线阅读,更多相关《我理解的安管平台(74页珍藏版)》请在金锄头文库上搜索。
1、我理解的安管平台,网络中心 刘媛,1,一、信息安全发展的三个阶段,2,信息安全发展的三个阶段,信息安全的发展随着网络建设经历了三个阶段: 一是防病毒、防火墙+IDS部署的初级阶段,3,二是随着各种业务的信息化推进,对信息安全产生巨大的需求,包括网关防护、安全审计管理、终端安全和应用安全,大量的使用区域边界防护、脆弱性扫描、用户接入控制等技术,此时的安全技术纷繁复杂,包括防护、监控、审计、认证、扫描等多种体系,称为安全建设阶段。,4,信息安全发展的三个阶段,三是随着业务高度信息化,信息安全管理成为信息建设的必要组成部分,把分散的安全设备、安全策略、安全事件进行统一管理、统一运营,称为安全管理阶段
2、,最典型的就是综合性的安全管理中心(Security Operation Center)SOC的建设。,5,信息安全发展的三个阶段,安全管理中心是安全技术“大集成”过程中产生的,6,二、安全管理中心,7,安全管理中心是安全技术“大集成”过程中产生的 安全管理平台(习惯上称之为SOC)就是把各式各样的设备(网络设备-交换/路由,安全设备-防火墙/IPS,系统设备-win/linux)中的日志信息收集过来,经过SOC系统的处理与分析,在海量数据中挖掘出对于用户来说重要的、危险的、有用的信息。,8,安全管理中心,安全管理平台以 IT 资产及业务为核心,以安全事件管理为关键流程,采用安全域划分的思想,
3、建立一套实时的风险模型,实现对各类资产和业务的信息采集、 关联分析、日志审计、事件监控、流量分析、网络攻击防范、态势感知、安全预警和快速响应,做到“集中监控 、统一管理、全面分析、 快速响应。,9,安全管理中心,安全管理中心在安全体系中的地位,第一层:系统自身安全,第二层:安全产品防护,第三层:统一风险管理,安管平台是信息安全神经中枢,安全管理平台(security management)在国内外有多种多样的称呼: SIM 安全信息管理中心(security information management) SIEM 安全信息与事件管理平台(security information event
4、management) SOC 安全运营中心(security operation center) 总之其目的是管理安全相关的信息。这里的“信息”,通俗一点说就是日志信息和性能监控信息。,11,三、安管平台的起因分析,12,安管平台的起因分析,网络安全产品都存在一定局限性。 比如防火墙是一种用来加强网络之间访问控制的互联设备,它对网络之间传输的数据包依照一定的安全策略进行检查,以决定通信是否被允许,从而达到保护内部网络的信息不被外部非授权用户访问,过滤不良信息的目的。,13,安管平台的起因分析,但是,防火墙并非万能, NIST(美国国家标准与技术研究院 National Institute o
5、f Standards and Technology)就对它做出了客观评价,指出其主要不足: (1)由于防火墙要保证信息安全,采取了很多访问控制机制,从而限制了用户称心如意的服务访问; (2)防火墙不能对抗私有网络中的后门; (3)现在的防火墙很少保护来自内部的攻击。,14,安管平台起因分析,入侵检测系统被认为是整个系统中的最后一道防线。 入侵是指任何试图危害资源的完整性、保密性和可用性的活动集合,入侵检测就是检测入侵活动,并采取对抗措施。 IDS按照数据来源可分为基于主机的IDS和基于网络的IDS。,15,安管平台起因分析,基于主机(Host-based)的IDS关键技术是从庞大的主机安全审
6、计数据中抽取有效数据进行分析。 基于网络的IDS(Network-based IDS, NIDS)则一般通过监视网络上的流量来分析攻击者的入侵企图,它存在如下主要缺点:,16,安管平台起因分析,(1)易受欺骗。 NIDS不能抵御Insertion、 Evasion的欺骗和攻击,由于NIDS与受监视的系统对网络事件的理解不完全一致,因此易受欺骗; (2)易受拒绝服务攻击(DoS)。 NIDS为了不漏掉攻击,需要尽可能对每一个包进行检测,这样攻击者向内部网发送大量需要NIDS处理的包时,便造成NIDS拒绝服务; (3)当NIDS失效时也失去了对网络的监视 ,因此当它遭到DoS攻击后 , 网络也处于
7、不安全的状态; (4)没有能力控制外部网对内部网的访问。,17,安管平台起因分析,鉴于主流网络安全产品的这些不足,出现了在通用入侵检测模型的框架下建立一个集成防火墙和入侵检测系统的模型,体现了对网络安全产品集成的思想。 其它类似的网络安全产品也不能从整体上解决目前的网络安全问题。因此有必要研究新的网络安全管理技术,能够在一个统一的安全管理平台下对各种网络安全产品实施统一配置、统一策略、统一日志和统一报告,以便动态分析评估网络状况,对平台下集成的所有安全产品实施相应策略,共同确保整个网络系统安全。,18,19,海量安全事件需要花费维护者很多时间和精力,因此系统需要具备主动性和智能性,对系统内重要
8、信息的安全状态进行重点监控、科学分析,从而快速有效定位非法事件,使工作人员从繁杂的评估工作中解放出来。,每日多达上千万的事件量 重复告警 误报 真实情况无法反映 管理员负担严重 缺乏优先级 缺乏智能分析工具,安管平台的起因,在SOC的管理体系中,将所有的安全产品和事件通过统一界面关联起来,给管理者提供工具,把日常的分析过程通过机器自动化的方式来帮助管理员完成大部分的工作。而安全管理员和系统管理员只要注重针对性的分析,日常的繁琐工作都可以通过智能去完善。,20,安管平台的起因,SOC大大缩短了响应的时间,把一些无用、根本不存在的、“误报”的攻击抛弃掉,可视化的界面很容易让每个人都能参与到安全建设
9、当中,同时也让可以明了自己的安全状态。 也就是说,在复杂的安全管理中,SOC构筑的是一个动态的、持续性的管理。,21,四、安管平台建设覆盖范围,22,安管平台覆盖范围 1)主机:Unix主机、Windows主机; 2)数据库:Oracle、Sqlserver; 3)中间件:weblogic、websphere MQ、tomcat; 4)存储设备 5)网络设备:路由器、交换机等; 6)安全设备:防火墙、入侵检测、IPS等 7)安全管理系统:防病毒、终端管理等; 8)主要应用系统:财税重要业务系统、网络管理系统,23,五、安管平台的架构,24,25,安管平台总体架构图,安全管理平台由监控中心、分析
10、中心、处理中心和安全资源库组成。,安管平台架构,监控中心收集全网 IT 资源的运行状态和它们产生的事件信息,进行统一实时监控。 监控中心产生的各类告警信息可以送入处理中心触发事件响应流程,各种 IT 资源的状态和事件信息可以送入分析中心,为进一步进行安全态势分析及风险评估提供数据。,26,安管平台架构,分析中心将收集到的数据进行关联分析、挖掘,发现隐藏在独立事件背后的规律与事实;通过风险评估过程和风险计算方法实现风险的定量计算,获得可衡量的安全风险,并进行相应的风险控制;让监控人员对业务系统安全状况有明确感知。,27,安管平台架构,处理中心引入成熟的业务处理流程去响应风险,消减风险,并帮助管理
11、人员建立一套例行化、常态化的风险管理机制。,28,安管平台架构,安全资源库包括知识库、资产库、漏洞库、补丁库、策略库、规则库、辅助决策库、关联场景库、经验库、人员库、组织机构库等。 安全资源库存储了安全管理平台正常运转所需的基础数据。 对于安全管理平台而言,应该具备安全资源库信息的维护功能,例如增删改查、安全知识的管理等等,29,安管平台的系统组成与功能,30,安管平台的系统组成与功能特点 安管平台是由中央策略管理软件集中智能管理的,集成了防病毒、防火墙、入侵检测系统等功能各异的网络安全产品的开放式平台。通过分析我们认为平台应由以下几大基本模块组成: (1)协议标准集 (2)中央策略管理软件
12、(3)各种网络安全产品 (4)平台需要的硬件产品,31,安管平台的系统组成与功能特点 (1)协议标准集:包括一组公开的API(Application Programming Interface,应用程序编程接口)和一组工业标准接口和协议, API由于隐藏了协议和网络中的复杂技术可使编程工作变得较为简单;而工业标准接口和协议则提供详细的规范保证多厂商产品之间的互操作性和认证标准。 (2)中央策略管理软件:这是平台的核心,应该具有统一管理、 综合评估决策、统一调动各安全部件的功能,它的编制水平决定了平台所表现出的综合性能。,32,安管平台的系统组成与功能特点 (3)各种网络安全产品:包括网管系统、
13、防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、访问控制系统、 CA系统、集中风险评估系统等。 (4)平台需要的硬件产品:包括即插即用的安全平台、互联网设备、服务器等。,33,安管平台的系统组成与功能特点 这些模块中最重要的是中央策略管理软件,它的作用就在于避免安管平台仅仅是安全产品的堆积,从而充分发挥各集成产品的作用,并使它们能够联动互操作,最终起到1+12的作用。,34,安管平台的系统组成与功能特点 网络安全需要综合解决方案,木桶原理在网络安全领域同样适用:网络安全最薄弱之处就好比木桶上那块最短的木板,也就是黑客攻击的首选之处,所以就要求网络安全各方面防护措施强度应相对平衡。 况且随着网络
14、安全威胁的加强和用户安全需要的增加,依靠单一的防范产品已经很难解决现有的网络安全问题,于是综合了多种安全产品和安全策略的安管平台应运而生。,35,建设安管平台 需要实现的管理功能,36,建设安管平台需要实现的管理功能,37,1)实时对网络设备、服务器、安全设备、数据库、中间件、应用系统的安全状况进行统一监控; 2)采集安全事件和日志信息,进行整合和关联分析; 3)评估安全风险; 4)审计用户行为; 5)产生安全事件告警;,建设安管平台需要实现的管理功能 6)接收并处理相关单位发来的安全预警; 7)生成各种安全报告并及时进行应急响应; 8)进行安全知识管理; 9)确保相关系统的业务持续运行,协助
15、管理人员排除安全隐患和安全故障; 10)为相关部门的信息安全审计和考核提供技术手段和依据,实现全网的安全集中监控、审计和应急响应,全面提升企业的信息安全保障能力。,38,安管平台应具备的功能,(1)高度安全可靠性:保证网络边界到网络内部的高安全性,同时还要保证内部从桌面到桌面的传输的安全,并且系统中的设备间还要建立高强度安全通道。 (2)高性能:不仅要使平台中每个安全产品良好地发挥自身的核心功能,还要尽量减小无关系统开销以提高系统整体性能。 (3)高扩展性:平台可实现与各种安全设备之间的互通与联动,对新出现的安全技术和产品也保留了开放的扩展接口。,39,安管平台应具备的功能,(4)高可控性:平
16、台能够对应用范围内的产品进行基本配置,并具有良好的信息收集功能,能够收集各集成安全产品的告警事件、系统日志等数据,这些数据经平台中央策略管理软件综合分析输出,使用户能在整体上掌握系统的综合安全状况。 (5)良好的互操作性:平台要能实现应用范围内的安全产品间的互操作,这也是目前的技术难点。,40,安管平台与网管平台,41,安全管理与网管系统的关系,安全管理阶段把信息安全推演到核心的业务安全这一新的台阶,为业务提供持续性保障BCM(Business Continuity Management)成为安全评价的重点。 网络的建设中,网络管理中心NOC(Network Operation Center)的发展起到重要的作用,那么新兴的安全管理中心SOC与网络管理中心NOC是怎样的关系呢?,42,安全管理与网络管理,一种观点认为SOC就是安全设备的运营管理,无非是增加一些安全特性的管理与策略,SOC是NOC的一个组成部分。但是网络管理本身也需要安全管理的支持,安全管理中心不仅要保障网络支撑系统的安全,还要为业务应用提供安全保障,比如身份认证、授权系统等基础安全设施。从
