随着各行各业计算机网络和信息系统的不断建设,各企事业单位的管理经营模式逐步由传统模式向信息化管理模式转变。特别是全国性的单位机构,其信息系统网络由总部核心区、对外服务区、总部办公区、各个地市分支办公局域网、分支业务网等共同组成。因此在网络中部署了大量的各个厂家不同型号的网络设备,安全设备和应用系统,例如防火墙、数据库系统、中间件系统以及各种应用系统等。
与此同时各企事业单位大量应用信息系统相继上线,整个信息系统面临的各种安全风险也日益严重,如何确保信息系统安全运行、降低运维管理成本,成为公司信息系统建设过程中面临的主要问题。目前企业面对的主要有以下挑战:
由于网络和设备环境情况复杂,使管理者无法了解企业网络信息系统的整体运行状况;
网络出现故障后出现的海量安全事件,不能及时诊断快速定位,影响业务进行;
无法对全网、各类业务系统的安全运行态势进行整体把控。
大量的异构安全产品的采用形成了安全信息孤岛,不能对风险进行有效的关联。
解决方案
针对上述挑战,天融信提出了面向监管、业务运维、态势感知等不同角度的安全监控管理解决方案,该方案通过基于TSM-TopAnalyzer建立的安全监控管理平台,实现全面的网络态势感知与监控预警系统,对网络活动行为进行动态的监控与评判,提升对网络、互联网出口、核心业务系统、重要网站的主要安全威胁的可知、可控、可管能力。
▲
天融信安全监控管理架构图
安全监控管理平台是一个三层的架构,包括数据采集层、数据处理功能模块层和展现层。数据采集层包括流量、配置、性能、告警、业务采集和预处理;数据处理功能模块层包括系统监控管理、风险管理等,主要是对采集层采集的数据进行分析、处理,实现监控、处理、分析、响应、管理;数据展现层通过综合运维门户实现系统的综合信息发布:系统监控视图、业务监控视图、态势分析、综合报表、告警通知等。与此同时天融信可针对不同客户需求,在此平台基础上通过定制开发满足,用户个性化需求。
数据呈现
安全监控平台是使用人员和维护人员在日常工作中的操作管理界面,是各类安全运行摘要信息、安全指标数据、统计分析数据的集中呈现界面,是平台的入口和工作平台页面。平台通过趋势图、汇总表、地图、网络图等形式,为管理者提供基于地理位置、网络拓扑、统计表格、监控对象、技术趋势指标等各类形式的呈现方式。
事件归一化
监控平台在收集到海量的事件后,必然需要进行事件归一化处理。来自不同设备和系统的事件千差万别,只有将这些大量的异构数据转化为平台内部统一的数据格式才能进行后续的关联事件分析,才能为客户提供一个全局统一的事件监控界面。
关联分析
事件关联分析实现海量安全事件的抽取、降噪,剥离无用信息,提升后续安全管理工作的效率,降低安全管理工作的复杂性。事件关联分析是风险分析的基础,关联分析的结果导出的关联事件可以提升为威胁,从而参与风险计算,并且实现风险计算自动化、定量化;
风险管理
安全风险管理是安全监控平台的核心,通过风险管理,系统可以动态、实时地对用户所面临的风险进行评估分析,根据分析的结果提供各类风险视图,并对到达一定级别的风险自动地做出响应。
该模块是基于资产管理、事件管理和评估管理中所提供的各项原始数据,从单个资产、业务系统、安全域、物理地域等多个维度获取信息系统的安全风险状况。
事件管理
安全事件管理是一种实时的、动态的管理模型,通过安全事件收集、安全事件标准化、安全事件过滤、安全事件归并和安全事件关联后分析来自于不同地点、不同层次、不同类型的信息事件,帮助我们发现真正关注的安全风险,且提高安全报警的信噪比,从而可以准确的、实时的评估当前的安全态势和风险,并根据预先制定策略做出快速的响应。
安全预警
安全预警管理是根据来自内部预警信息、外部预警信息分析获得对可能发生的威胁的提前通告,提供各类安全威胁、安全风险、安全态势、安全隐患等信息,该模块提供规则设定功能,以便准确定位用户所关心的安全问题,以便有针对性的进行响应处理。
脆弱性管理
脆弱性管理模块,主要实现对重要主机系统和网络设备安全脆弱性信息的收集和管理,达到为管理员更好了解网络设备和主机的相关安全脆弱性情况。模块分为漏洞管理、配置管理、完整性检查等三个子模块。
安全响应
安全监控平台的安全响应管理主要功能是根据当前的网络安全状态,及时调动有关资源做出响应,降低风险对网络的负面影响。实现了安全事件从采集、处理、告警到人工的运维处理的自动化和流程化管理,对安全告警,在安全响应模块里进行响应处理,实现安全风险与运维管理的紧密联系。
知识库管理
平台实现安全监控管理和安全服务管理的各类支持库的集合,实现安全信息的共享和利用,提供了一个集中存放、管理、查询安全知识的环境。其主要功能是将处理的安全事件方法和应急方案,标准漏洞信息和标准事件信息收集起来,形成安全共享知识库。
数据报表管理
平台的报表统计管理功能是对各类安全运行数据的统计、挖掘、分析的呈现。通过各种形式化的报表报告实现对数据结果的展现。
平台融合
平台支持与网管系统、垃圾邮件处理系统、攻击溯源分析系统、异常流量监控系统、工单处理系统等系统的集成接口,能够实现与上述安全系统相关安全事件日志、告警信息、资源信息等共享及传递,同时还可实现下级安全监控平台与上级安全监控平台之间信息的互通和共享,可以发送信息指令、安全策略、工单指令、预警信息、考核结果、共享知识库信息及各类数据报表等。
