《信息安全态势感知平台技术白皮书》由会员分享,可在线阅读,更多相关《信息安全态势感知平台技术白皮书(26页珍藏版)》请在金锄头文库上搜索。
1、文件编号密级信息安全态势感知平台技术白皮书成都思维世纪科技有限责任公司撰写缪晓军时间2014年4月24日审核*时间*年 * 月 * ! !批准*时间*年 * 月 * ! !归档*时间*年 * 月 * ! !、 I、丿注意本文档以及所含信息仅用于为最终用户提供信息, 成都思维世纪科技有限责任公司(以下简称“思维世纪” 有权更改或撤销其内容。未经思维世纪的事先书面许可,不得复印、翻译、复制、泄漏或转录本文档的全部或部分内容。 本文档以及本文档所提及的任何产品的使用均受到最终用户许可协议限制。文档信息信息安全态势感知平台-技术白皮书电子文档信息安全态势感知平台-技术白皮书.docx版本号1.0密级机
2、密文档编号制写人员缪晓军编订时间2014年4月24日阅读人员版本控制信息版本变更日期版本号作者摘要2014年4月24日1.0缪晓军新建文档目录1. 综述 错误!未定义书签。1.1. 项目背景错误!未定义书签1.2. 管理现状错误!未定义书签1.3. 需求描述错误!未定义书签2. 建设目标 错误!未定义书签。3. 整体解决方案 错误!未定义书签。3.1. 解决思路错误!未定义书签3.2. 平台框架错误!未定义书签动态掌握全网风险状态 错误!未定义书签实时感知未来风险趋势 .错误!未定义书签安全管理提供数据支撑 错误!未定义书签决策执行效果进行评价 .错误!未定义书签4. 平台功能介绍 错误!未定
3、义书签。4.1. 全网安全风险实时监测错误!未定义书签解决问题场景 错误!未定义书签具体实现功能描述 错误!未定义书签4.2. 业务系统安全风险管理错误!未定义书签解决问题场景 错误!未定义书签具体实现功能描述 错误!未定义书签4.3. 内容安全风险管理错误!未定义书签解决问题场景 错误!未定义书签具体实现功能描述 错误!未定义书签4.4. 数据安全风险管理错误!未定义书签解决问题场景 错误!未定义书签具体实现功能描述 错误!未定义书签4.5. 重大安全事件态势分析错误!未定义书签解决问题场景 错误!未定义书签具体实现功能描述 错误!未定义书签46 信息安全整体态势分析 错误!未定义书签解决问
4、题场景 错误!未定义书签具体实现功能描述 错误!未定义书签4.7.信息安全专项整治错误!未定义书签解决问题场景 错误!未定义书签具体实现功能描述 错误!未定义书签5. 平台部署方案 错误!未定义书签。6. 方案的亮点及优势 错误!未定义书签。1. 综述1.1. 项目背景随着信息化的发展, 国际国内各行各业的信息安全事件频发, 给国家和社会 造成重大的经济损失、 严重的社会负面影响, 致使老百姓的生活形成不同程度的 困 惑。电信运营商作为通讯服务提供商,其掌握大量用户信息和运营数据,安全、 有 效地监管内部信息的产生、存储、传输和使用等环节极为重要。在十八后,信 息安全 的重视不同程度的提升,
5、2013 年两部委明确要求各电信运营商必须成立 专职部门, 并明确各级信息安全中心(部)工作职责,保障和指导集团、省市的 信息安全工作开 展及技术支持,为该范围内信息安全工作统一接口。因此,信息安全中心(部)的工作很重要,如何做到集中、实时地监控全网 信 息安全状态、安全事件变化、安全预警、安全评估、以及预估未来风险走势等 内容成 为信息安全管理重点, 用技术手段建立一套完整的支持平台, 协助信息安 全工作尤 为重要。1.2. 管理现状各省公司的信息安全部(中心)成立不久,其组织机构、技术支持手段都处 于 的建设与完善阶段, 对全省的信息安全现状正在梳理与清查, 各类安全防护系 统和 手段皆较
6、独立, 大部分信息安全监测平台均以生产单位或业务范围为安全主 体而存 在,很难或无法从全省的角度上完整、 全面地反应出信息安全状态, 未形 成一套信 息安全状态实时监测、分析、告警、展现及跟踪、取证等的信息安全态 势感知平台。各省信息安全主要存在以下几个现状:1、全省网络结构复杂,业务众多,安全态势全面掌控难 从模拟到数字,移动网 络、业务系统不断改变与发展,其网络结构、业务各 类和关系也越来越复杂,信息安 全的状态和发展很全面、实时掌握与把控。2、安全系统分散,安全日志数量巨大,全面准确分析和定位难 各省的信息安全 建设最初都是以业务为对象或管理主体业务范围为中心而 形成,其安全系统分散独
7、立, 海量的安全日志分布在各个安全系统中, 无法进行 安全事件关联分析,很难对 信息安全风险的状态变化监控和安全事件的定位。3、安全管理工作量巨大,缺乏数据支撑,科学决策难信息安全管理工作集中为一个部门来处理,其安全管理工作量可想而知,而 其 成立不久, 缺乏相应技术手段或安全系统支持, 对日常的信息安全管理与信息 安全 的建设缺乏数据支撑,难很做到科学化决策。目前,各省信息安全大多都处于独立分散状态,信息安全中心(部)对全省 信 息安全的状态监测都存在时间上的不及时、 分析不全面, 无法对全面信息安全 现状 进行正确评价, 难以为信息安全工作决策支持, 无法形成信息安全实时监测、 告 警、响
8、应等全方位、立体化的纵深式监管机制。1.3. 需求描述通过对多省的信息安全中心(部)的管理现状跟踪与调查,对其状况进行 深入 分析, 并结合运营商信息安全监管特点和信息安全管控体系的缺陷, 我司认 为现阶 段信息安全的监管面临如下几个挑战(状态监测、分析、量化与跟踪):1. 信息安全风险的发现,面对全省复杂的网络结构、众多的业务以及分散 的安 全系统, 如何做到信息安全风险状态的及时发现、 全面的发现以及准确的发 现?2. 信息安全风险状态分析,从当前各省的安全系统建设情况来看,其安全 系统 多以独立存在, 要么只能反应出网络层面的安全状态、 要么只能反应某个或 某几个 业务系统的安全状态,
9、而信息安全所面临的风险往往是复杂的, 缺乏集中 性和整体 性。真正高价值的是业务信息、数据资产、用户信息等内容,针对风险 的利用过程或 环节来看, 很多安全风险或风险状态往往需要对各层面、 一系列的 设备和关联系统 的关联分析。3. 信息安全风险的评估与量化,目前,各省大多都是以生产单位为范围构 建的 安全系统, 各安全系统发应出的安全问题、 安全事件等都只针对某个点或局 部的安 全状态,很难或无法从整体上, 全网、全业务等角度上反应信息安全现况, 因此, 全面评估全业务的信息安全状况,其势在必行。4. 信息安全态势的预测,对于信息安全中心(部)日常管理工作中,要进 行很 多信息安全工作,像定
10、期或不定期的安全专项整治、安全系统建设等工作, 而这些工 作的开展,需要大量的风险状态历史数据和分析技术的支撑,否则, 专 项工作很难 切入重点或关键问题面上,直接会影响工作开展的意义;同时,在安 全系统的新建或 扩建,都需要对现有安全状态、未来安全变化走势等进行预判, 使信息安全工作达到 未雨绸缪的效果。2. 建设目标建立一套完善的信息安全风险实时监测平台,全面覆盖信息安全的各个层 面各 个环节,实现全网信息安全状态实时监控、 信息安全风险识别、 分析及评估、 量 化,从技术手段上形成一整套信息安全监测与跟踪体系, 落实集团和国家对信 息安文档来源为 : 从网络收集整理 .word 版本可编
11、辑 .欢迎下载支持 . 全考核规定和要求, 实现对全网信息安全风险状态统一、集中监测、 安全事 件集中 管理及风险态势评估, 支撑信息安全中心对全网安全状态的监测与安全工 作有效开 展。全网信息安全态势感知系统是承载全省信息安全中心(部)对全业务安全 态势 的集中化监测的技术平台, 具备实时监测全业务的安全风险状态、 变化及未 来发展 趋势, 实现信息安全风险管理 “可发现” 、“可量化” 、“可预测” 和“可 评 价” 的建设目标。3. 整体解决方案3.1. 解决思路在全面深入分析信息安全中心(部)日常工作及两部委对信息安全的 考核要 求,参照并依据信息安全管理体系 (ISMS) 和 GBT
12、 20984-2007规范 要求,按照 风险管理措施并结合 PDCA 模型,实现对全网信息安全风险的 实时监测,识别、分 析、跟踪及评价。按照信息安全管理体系( ISMS )及方滨兴院士的对信息安全的定义和 范围界 定,将信息安全管理范围分为四层,即物理安全、运行安全、数据 安全及内容安全。 新的定义和界定将涵盖全网各层面,包括全网设备和全 网业务的运行状况以及各业务 和其产生的数据的安全,从网络环境到数据 应用的各环节,形成全方位、立体化、集 约型的信息安全风险监测、定位、 跟踪及趋势预估的解决体系。根据业务安全与风险管理思想,事前预警应该从能主动检测和发现全 网业务的 风险识别、分析、展现
13、、跟踪及评价管理模式。借鉴 GBT 20984-2007 规范中风险分 析模型、信息安全管理体系 ISMS ,并结合方滨 兴院士对信息安全的研究思想,构建信息安全风险评价的监测方法、分析 和评价模 型,实现对全网信息安全态势感知。因此,全网信息安全态势感知平台基于上述全业务安全与风险管理思 想,动态 掌握全网安全风险状态,实时感知未来风险趋势,安全管理提供 数据支撑和决策执行 效果进行评价等效果,从技术上对全网信息安全的监 测、分析、展现与评价,为信息 安全中心(部)对全省信息安全监管提供 合理化的数据支持,降低或规避信息安全风 险采集的延迟性和不完整性, 提升安全管理和建设决策的针对性和科学
14、性,建立起一 套信息安全事前预 警、事后跟踪定位的风险监管机制, 为信息安全态势提供预测和 有力支持, 有效支撑对信息安全风险可识别、可定位、可跟踪、可评价的响应机制和 管理流程。3.2. 平台框架全网信息安全态势感知平台是针对全网业务的安全状态为目标,从风 险管理角 度出发,以风险识别预警、分析、跟踪和评价及全业务安全态势 分析为核心,通过对 全网各业务系统的接口,收集各业务的风险状况,经 过风险特征、大数据关联分析等 技术手段,结合信息安全四个层次的风险 特征建模和信息安全风险漏洞库,全面覆盖 全网业务安全状况的监测、分 析、量化、评价、溯源和定位,实现对全网信息安全态 势的感知。全网信息
15、安全实时监测平台分为四层: 应用展现层、 信息安全管理层、 数据 分析层和数据采集层。应用展现层是系统的应用集中展现,提供独立大屏展示以及 WEB 页面 方式的 信息安全风险监测综合视图和系统管理;可根据用户需求进行展现 内容组装。应用管理层为信息安全工作所承载的各类业务工作的内容支撑功能, 包括安全 事件态势管理、信息安全态势分析、信息安全专项治理、信息安 全考核和信息安全策 略,它是具体业务的独立展现和维护管理,是信息安 全各层面的业务分析、逻辑处理 的重要部分。数据分析层为业务系统安全、内容安全、数据安全及运行安全等层面 的风险计 算和态势分析,包括风险计算和风险态势分析两部分;风险计算 是通过风险模型对风 险量化、评价、溯源、定位等功能,为信息安全各层 次提供统一的分析计算方法,风 险态势分析是信息安全各层面的安全态势 分析。为系统提供基础数据分析和数据单 元,主要从风险到态势分析,包 括全业务及内容安全状态等层次对信息安全进行分 析,同时包括风险量化 处理等内容, 是信息安全的各方面的基础数据分析、 基本逻 辑分析等
