網(wǎng)絡安全支撐平臺

1、Alphachn網(wǎng)絡安全支撐平臺背景由于網(wǎng)絡規(guī)模龐大、系統(tǒng)復雜，其中的各種網(wǎng)絡設備、服務器、工作站、業(yè) 務系統(tǒng)、支撐系統(tǒng)都存在著超常的復雜性、多樣性。隨著安全越來越受到重視， 安全子系統(tǒng)也逐步發(fā)展到復雜和多樣的系統(tǒng)，這些安全子系統(tǒng)通常首先在各個業(yè) 務系統(tǒng)中獨立建立，然后隨著安全管理的規(guī)模和成本的不斷上升逐步發(fā)展到產(chǎn)生 了整個企業(yè)建立一致的安全管理體系的需求，網(wǎng)絡安全支撐平臺(Security Supporting Platform簡稱SSP)正是滿足這種需求，為企業(yè)安全整合提供解決方 案，通過最佳的安全技術和最佳的安全實踐幫助用戶從分散的安全審查實現(xiàn)集中 管理與決策。SSP解決方案幫助用戶解決

2、以下的問題：分散的管理增加管理成本和管理難度作為一個新興的、覆蓋范圍極大技術領域，信息安全可以劃分為眾多的細分 領域，例如防火墻、入侵檢測、漏洞掃描、認證和授權、加密、防病毒、VPN、 PKI、內(nèi)容過濾等等，每個領域內(nèi)均有最好的廠商和解決方案供應商，企業(yè)往往 根據(jù)自身的需求，選擇其中最優(yōu)秀的產(chǎn)品，這就造成了這樣一種現(xiàn)象：安全產(chǎn)品 和廠商基本均為基于“點”的解決方案，即基于某一安全細分領域的解決方案， 這些解決方案都需要單獨購買、實施和管理。這種情況下，隨著使用產(chǎn)品種類和 數(shù)量的增加需要不斷增加管理和維護人員，管理成本往往呈指數(shù)級的增加，但是 管理效率卻仍然存在瓶頸，特別是多種數(shù)據(jù)不能相互溝通和

3、關聯(lián)更加劇了這一現(xiàn) 象，這些問題導致對集中化管理的要求；安全信息和知識的共享水平較差以往的觀念往往認為，“安全是安全管理人員的事情”，目前，這種情況正 在極大地改善，越來越多的企業(yè)通過安全策略明確地定義不同人員在安全組織中 所處的位置和應該擔負的責任，與之不能相稱的是，目前的安全產(chǎn)品仍然往往僅 僅提供安全管理員的角色和視圖，不能讓普通系統(tǒng)管理員參與到安全管理和安全 信息的共享中來，必須建立一種讓所有的IT人員能夠使用和監(jiān)控與他們相關的 安全信息的系統(tǒng)，讓整個安全組織，而不僅僅是安全管理員為網(wǎng)絡的安全負責海量事件某企業(yè)在一次病毒爆發(fā)的過程中在一天內(nèi)產(chǎn)生了二千萬的入侵檢測告警，在 這樣的告警量水平

4、情況下，管理員往往疲于應付，并且容易忽略一些重要但是數(shù) 量較小的告警，盡管海量事件分析的需要的技能并不很高超，但如果僅僅依靠安 全管理員人工分析，需要占用大量人員，而且容易出錯。必須將規(guī)則化的分析讓 機器來實現(xiàn)，管理員和安全專家可以專注于更為復雜的分析。海量事件是現(xiàn)代企 業(yè)安全管理和審計面臨的主要挑戰(zhàn)之一缺乏智能告警的信息是一臺服務器受到某種windows RPC病毒的攻擊，而事實上該服 務器是Unix服務器；傳統(tǒng)的網(wǎng)絡IDS事件告警無法分析當服務器受到攻擊時攻 擊是否成功；無法通過發(fā)現(xiàn)攻擊者的一系列組合攻擊從而提高告警級別以上的種種問題提示我們，孤立的事件無法為我們揭示問題的本質，必須有 更

5、加智能的分析方法，它可以分析多個事件的之間的聯(lián)系，可以將不同的數(shù)據(jù)來 源關聯(lián)起來，可以將各種數(shù)據(jù)和知識關聯(lián)起來；總而言之，企業(yè)需要智能化的處 理方式，需要極大地提高效率，需要防止誤報。必須改變以事件為中心的視角現(xiàn)有的安全產(chǎn)品往往以安全事件為視角，用戶第一眼看到的是各種各樣的事 件，但實際情況是，用戶關注的核心不是事件本身，而是他們的資產(chǎn)是否受到了 保護，需要保護的關鍵資產(chǎn)是否受到了威脅。因此必須改變以事件為中心的視角， 以用戶關心的核心資產(chǎn)為中心，提供面向資產(chǎn)的、基于安全健康指標的告警服務安全知識的不足。各種各樣的產(chǎn)品提供了大量的安全機制，但是無論是關聯(lián)、分析還是響應， 都必須建立在知識的基礎

6、上。這些知識有些是通用的，可以來自供應商，有些是 與客戶實際環(huán)境密切相關的，必須來自實際生產(chǎn)環(huán)境，必須保證這些知識的不斷 積累，才能真正實現(xiàn)智能化。安全響應能力不足對安全響應的要求包括：/發(fā)現(xiàn)問題后必須能快速找到解決方法并最快速度進行響應，響應的 過程中要求明確響應的責任人、響應辦反并反饋響應結果，對安全 事件響應的整個過程必須有記錄和考核；/建立一支有經(jīng)驗的響應隊伍，這個隊伍包括內(nèi)部人員和外部專家支 持；/支持自動化的響應和通知手段。對這些問題的深刻認識，都促使我們認識到，必須進一步發(fā)展安全體系， 在現(xiàn)有產(chǎn)品體系的基礎上架構集中的管理解決方案，因此我們首先提出 了網(wǎng)絡安全支撐平臺(Secur

7、ity Supporting Platform)解決方案，提供一 個整體性、智能性的安全管理決策解決方案。（二）SSP概念網(wǎng)絡安全支撐平臺通過將網(wǎng)絡安全產(chǎn)品進行集成，從而提供一種能夠實現(xiàn)安 全監(jiān)控功能的基礎平臺。它的目的是提供一種集中式、有組織的,能夠更好地進 行監(jiān)測和顯示的框架式系統(tǒng)。網(wǎng)絡安全支撐平臺明確定位為一個集成解決方案,其目標是支撐豐富的、強 大的各種安全程序（包括Snort、Rrd、Nmap、Nessus以及Ntop等系統(tǒng)安全軟件）。 在一個保留他們原有功能和作用的開放式架構體系環(huán)境下，將他們集成起來，將 它們的審查信息整合起來。而網(wǎng)絡安全平臺項目的核心工作在于負責集成和關聯(lián) 各種

8、產(chǎn)品提供的信息，同時進行相關功能的整合，包括大數(shù)據(jù)挖掘，使審查管理 更加高效，使網(wǎng)絡安全決策更加準確。（三）結構體系從過程上考慮，安全可以分為評估、防護、檢測、響應這四個步驟。但是問 題在于這四個步驟屬于一個動態(tài)、無縫過程,而所有的安全產(chǎn)品只是針對單一安 全問題，如何將現(xiàn)有的安全工具進行綜合利用并將他們無縫綜合,這就是SSP的核 心功能。SSP由數(shù)據(jù)收集、監(jiān)視、檢測、審計以及控制臺這五個模塊構成。這5個模 塊包含了目前安全領域從事件預防到事件處理一個完整的過程，在目前的安全架 構中,SSP是最為完備的。這五個功能模塊又被劃分為三個層次，分別是高層的安 全信息顯示控制面板、中層的風險和活動監(jiān)控以

9、及底層的證據(jù)控制臺和網(wǎng)絡監(jiān) 控，各個層次提供不同功能,共同保證系統(tǒng)的安全運轉。在SSP中，整個過程處理被劃分為兩個階段，這兩個階段反映的是一個事件從 發(fā)生到處理的不同的歷史時期，這兩個階段分別為預處理階段，這一階段的處理 主要有監(jiān)視器和探測器來共同完成，它們主要是為系統(tǒng)提供初步的安全控制;另一 個事后處理階段，這一階段的處理更加集中，更多的是反映在事件發(fā)生之后系統(tǒng)安 全策略的調(diào)整和整個系統(tǒng)的安全配置的改進。在SSP的架構體系中，有三個部件，這是SSP中的三個策略數(shù)據(jù)庫，是SSP事件 分析和策略調(diào)整的信息來源，分別為以下三種數(shù)據(jù)庫：EDB（事件數(shù)據(jù)庫）:在三個數(shù)據(jù)庫中,EDB無疑是最大的，它存儲

10、的是所有底層的 探測器和監(jiān)視器所捕捉到的所有的事件。KDB（知識數(shù)據(jù)庫）:在知識數(shù)據(jù)庫中，將系統(tǒng)的狀態(tài)進行了參數(shù)化的定義,這些參 數(shù)將為系統(tǒng)的安全管理提供詳細的數(shù)據(jù)說明和定義。UDB（用戶數(shù)據(jù)庫）:在用戶數(shù)據(jù)庫中,存儲的是用戶的行為和其他與用戶相關的 事件。SSP的功能一共可以劃分為9個層次，各個層次之間是無逢連接的，底層的數(shù) 據(jù)為上層的處理提供信息來源。下圖就是SSP所提供的功能的層次結構圖。Contrckl Panel（四）功能模塊I1riB. F, 呷皿 ifam pMlSSP支持可定制、可裝卸的網(wǎng)絡安全支撐平臺統(tǒng)一門戶網(wǎng)站，這個網(wǎng)站主 要由工作區(qū)組成，每個工作區(qū)由若干組件組成。對于工作

11、區(qū)和組件的定義如下： 工作區(qū)：工作區(qū)指用戶定義的工作環(huán)境，通常用戶可以將集中的功能組件 定義在一個工作區(qū)內(nèi)。；組件：根據(jù)預定義的組件模板，用戶可以定義如何將這些組件放置在一個 工作區(qū)內(nèi)，組成一個用戶工作環(huán)境，組件可以調(diào)用SSP核心應用層的功能實現(xiàn)與 用戶的交互典型的工作區(qū)可能包括：首頁：有各種功能的摘要組成，用戶可自定義控制臺：主要是各種儀表板分析臺：支持進行各種分析知識庫：包括知識庫的各種信息、各種最新討論、最新文檔、告警等系統(tǒng)：工作計劃和調(diào)度、系統(tǒng)設置、維護功能等外部模塊控制：鏈接到各外部模塊進行設定和維護其他用戶自定義工作區(qū)：根據(jù)用戶喜好進行定義。根據(jù)需求可以分為以下類別：儀表板（額外添

12、加）、資產(chǎn)信息管理模塊、 異常流量監(jiān)控模塊、安全事件監(jiān)控管理模塊、脆弱性管理模塊、安全策略管理模 塊、安全預警模塊、安全響應管理模塊和網(wǎng)絡安全信息模塊。4.1儀表板組件該部分組件的主要目標是完成對管理員管理系統(tǒng)的目前安全狀況的概要 性評價和標識，這個部分給出的指示都是綜合性的：紅綠燈組件：對某一指定范圍的資產(chǎn)和安全產(chǎn)品以簡單的34個級別來 進行綜述?？梢暬O(jiān)控組件：以地圖和拓撲方式直觀顯示各個節(jié)點的狀態(tài)，對于有問 題的節(jié)點，可以深入到下一級的可視化組件中去，這些組件之間通過鏈接聯(lián)系在 一起。風險變化曲線圖組件：用戶可以指定監(jiān)控一定范圍內(nèi)資產(chǎn)的風險變化，通 過連續(xù)的跟蹤，發(fā)現(xiàn)風險的變化。工具條：

13、可以快速彈出或跳轉到某個組件，可快速顯示簡單工單提示以及 工單相關的告警級別4.2資產(chǎn)信息管理組件提供了一系列和資產(chǎn)相關的組件：資產(chǎn)樹：提供了樹狀資產(chǎn)結構資產(chǎn)信息：可以在一個組件內(nèi)顯示一個資產(chǎn)的詳細信息或者一組資產(chǎn)的信 息列表，該組件里可以進一步鏈接到與資產(chǎn)相關各個組件，例如查看某一資產(chǎn)的 漏洞、事件、對資產(chǎn)發(fā)動掃描等。資產(chǎn)查詢模塊：可以對資產(chǎn)進行查詢和定位4.3異常流量監(jiān)控組件該部分是特別按需求定制的模塊，主要提供實時的統(tǒng)計圖標，以下組件的 定義假定流量監(jiān)控系統(tǒng)可以實時提供流量和端口排名：實時流量顯示組件：根據(jù)用戶指定的數(shù)據(jù)來源，提供實時的平均流量柱狀 圖，用戶可以指定刷新的時間實時端口排名

14、組件：根據(jù)用戶指定的數(shù)據(jù)來源，提供實時的累計端口排名 柱狀圖4.4安全事件監(jiān)控管理組件實時事件監(jiān)控組件：實時事件不斷向上滾屏，可以設定過濾條件和監(jiān)控對 象。分析組件：提供查詢、事后關聯(lián)分析功能報表組件：集中提供各種報表（此處不限于事件）4.5脆弱性管理組件弱點瀏覽和查詢組件：基于資產(chǎn)進行弱點的瀏覽和查詢Scanner控制組件：實現(xiàn)scanner的配置、連接測試和啟動一次實時掃描Scanner定期作業(yè)組件：配置定期的掃描的界面漏洞庫檢索、瀏覽和維護組件：可以搜索、查看、更新、修改、映射漏洞 庫4.6安全策略管理組件新聞組件：顯示最近一段時間更新的安全策略，是新聞組件的一種安全策略瀏覽：可以瀏覽所

15、有的安全策略和相應的基線審計腳本安全策略基線審計腳本定義：通過該組件界面自定義基線腳本審計策略定義：將可以收集策略的資產(chǎn)與相關的策略關聯(lián)起來，指定審計 后相關的漏洞。配置收集管理：管理各種配置的收集周期、口令認證、標準化設定等，這 個組件連接到外部模塊。4.7安全預警組件系統(tǒng)自動安全預警組件：系統(tǒng)通過定期分析，發(fā)現(xiàn)增長最快的告警，將其 存入預警數(shù)據(jù)庫，并且定期發(fā)布。人工預警管理組件：可以發(fā)布人工預警新聞組件：可以顯示最新的安全通告，作為預警的一種4.8安全響應管理組件綜合評價模塊：實現(xiàn)要求的綜合評價工單管理組件：在一個組件內(nèi)，實現(xiàn)工單的發(fā)布、接收、跟蹤、關閉等功 能。響應方式配置組件：設置響應方式和對象4.9網(wǎng)絡安全信息知識庫工作區(qū)：知識庫內(nèi)容豐富，且獨立于其他系統(tǒng)，因此我們建立了一 個專門的固定頁面的工作區(qū)，其工作區(qū)內(nèi)不可自定義組件，但是其工作區(qū)可以通 過sharepoint的功能進行自定義界面。4.10系統(tǒng)實施結構全國中心向省中心下發(fā)數(shù)據(jù)；省級人員在全國中心擁有的權限；全國中心 人員在省中心擁有的權限；省級安全運行中心向國家安全中心上傳的數(shù)據(jù)。資產(chǎn)數(shù)據(jù)：所有省中心登記的資產(chǎn)數(shù)據(jù)都必須送到全國中心進行同步統(tǒng)計數(shù)據(jù)：由于實際產(chǎn)生的漏洞、告警和事件數(shù)量非常巨大，因此，上傳 所有數(shù)據(jù)是不實際的，必要