时间:2024-09-03
◆黄海龙 郭怡薇
(新疆维吾尔自治区产品质量监督检验研究院 新疆 830011)
一体化网络安全管控系统特性
◆黄海龙 郭怡薇
(新疆维吾尔自治区产品质量监督检验研究院 新疆 830011)
建立一体化网络安全运维管理平台是强化网络安全的重要手段,是解决安全防御孤岛的必须采用的方法之一,通过平台的建立达到一加一大于二的效果, 同时对一体化平台的建立,也提出了相应的技术和管理要求。
安全;网络;系统
随着网络技术的不断发展,如何有效的防范来自网络的安全威胁越来越重要,各个单位网络都在署了大量的网络安全设备,有些还建立了具备专项网络防护的安全系统。但这些设备和系统大都是针对某类威胁开发的有针对性的防范系统,于是又形成了一个个独立的防御体,导致彼此之间产生大量的安全缺口未防御,也不断增加管理难度。
因此为了应对信息审计、内部管控、持续性业务等需求的挑战,建立一套横向贯穿各个孤立安全防线,建立一体化的整体网络安全管控系统,实现对网内所有信息资源的安全及风险的统一监控,准确把握网络系统内整体安全状况,形成联动机制,及时采取有力的防范及管控措施。
一体化网络安全管控系统,是一个面向全网 IT资源的,进行集中监控和安全管理的统一系统。它通过对互联网内各类网络资源的监控管理,以及对应海量异构网络的告警等的采集、处理和分析,通过综合安全运营管控,建立一整套与之对应的,同时又符合ITIL/ITSM标准的安全管控机制。
通过建立统一的监控平台,将安全设备、网络、服务器、存储、数据库、应用、机房环境等所有 IT资源的运行状态等实施监控,并提供统一管控界面及手段,准确反映 IT系统的逻辑拓扑图和物理拓扑图。将各类记录以需要的方式汇总展示,为进一步处理提供基础信息支撑。
设备运行记录与信息采集系统对各种网络资源的运行状态、警示信息等数据进行收集,同时将系统内各种软、硬件设备配置信息导入一体化网络安全管控系统,从而确保一体化网络安全管控系统中的各类资料、数据与实际运行状态相一致,为一体化网络安全管控系统有效管控提供基础。
信息安全运营中心分为SMC、DAC和V-SIMS三部分。
SMC:安全管理中心,以B/S/D三层架构实现监控、管理、响应、报表等功能。
DAC:数据分析中心,采用后台服务方式, 实现综合分析、关联分析、资产发现、脆弱性信息采集分析等数据分析处理功能。
V-SIMS:安全信息管理系统,具备安全信息的采集、过滤、聚并、入库等功能,方便统一的实现分布、分级部署事件采集引擎。
信息安全运营中心架构示意图如图1所示。
日志(事件)管理主要包括: 处理日志采集、日志汇总整合和日志视图化处理三方面工作。
图1 信息安全运营中心体系结构示意图
日志管理首先是日志的及时收集,并且按要求汇总整合。通过事件采集器的管理应用,将整个信息网络系统里所有节点,按照安全等级划分为不同级别的控制节点,按照既定规则获取相应层级的日志数据,使用加密方式上载到统一体化网络安全管控系统进行综合分析等。
一体化网络安全管控系统里,日志管理还应包含日志的分析,能够合并、策略化、规范化日志信息,并且凭藉分析结果对整个信息网络系统的安全日志进行处置。日志管理功能要能够对信息网络系统的主要设备的日志进行采集,对部分无法采集日志的设备,可使用第三方工具(代理插件)支持,确保日志收集的广泛性、覆盖性。
在日志收集与处理的基础条件上,统一体化网络安全管控系统可对日志进行各种有针对性的分析与展示,并进行可视化处理,包括实时产生的各类日志及其它信息。以及事件的关联、查询、备份、维护及报表展示。
综合分析是整个统一体化网络安全管控系统的核心内容,接收来自安全管控系统的各类日志,更据既定原则来评估日志结果,并对日志进行协同关联特征所引发的多级综合风险展开评估分析,并照风险级别进行预警;平台参照相关信息,并依据既定安全策略进行响应处理。并将相关信息传递至指定人员,便于安全人员及时了解网络的风险动态,及时为应对风险、动态调整策略提供依据。通过系统管控掌握系统整体以及局部的风险状况,根据不同的类型、采取必要的预防措施。
拓扑监控功能展示当前地域的拓扑图,包括背景图以及其中的地域、网元、链路等,并且可实时显示拓扑图中网元、地域、链路等的状态信息。
对拓扑图上所有网元进行状态监控,当网元的某个状态采集项(如CPU、内存、磁盘利用率)的值超出阈值,则该状态采集项会以红灯展示,否则以绿灯展示;当网元的一个或多个状态采集项的值超出阈值或网元断线,则网元图标底色显示为红色,且系统会自动生成告警/事件。
支持对各类数据库实时状态信息的采集。能够支持 oracle、sqlserver等主流数据库的状态信息采集提供数据库监控功能,能够实时监控数据库的各种状态,听过图像化进行呈现。并且可以针对状态信息设定告警阈值,自动进行告警。
提供TCP端口监控功能,可以实时监控端口的工作情况,当端口有异常情况时,可以提供图像化的告警措施。
是将设备日志、警告等事件按设计好规则,规范化,从而快速辨认分析威胁。包括:对安全事件的规则关联、统计关联。
设备控制管理模块应提供通用性、扩展性高的架构来控制设备,一般内置两种控制协议:Telnet和SSH。
设备控制管理模块将设备控制抽象成以下三个层次:
(1)设备控制模块:面向设备基本控制功能,“设备能控制拿些”。
(2)设备控制脚本:面向该种类全部设备,说明“如何使用该种类全部设备”。
(3)设备控制策略:面向该种类某单个设备,说明“如何使用该种类全部的某单个设备”。
一体化网络安全管控系统作为整个网络里网络安全的核心,拥有整个网络的最高控制权限,所以自身的安全非常重要,一定要有既定策略,利用身份认证、加密通讯、控制确认等手段来保障系统核心安全。
我们致力于保护作者版权,注重分享,被刊用文章因无法核实真实出处,未能及时与作者取得联系,或有版权异议的,请联系管理员,我们会立即处理! 部分文章是来自各大过期杂志,内容仅供学习参考,不准确地方联系删除处理!