通信世界网消息(CWW) 信息安全目前越来越受到重视,“棱镜门”事件爆发后,信息安全不仅引起了企业领导的重视,更引起了国家领导人的广泛关注。在这种背景下,企业无论是出于对自身利益的考虑,还是对于社会责任的角度,都已经开始构建更为丰富的内部安全系统。
这些系统不仅涵盖基本的防火墙,入侵检测、防病毒;还包括目前主流的上网行为审计,堡垒机系统,数据库审计系统,网站防火墙系统;以及符合最新攻击的特征的,如抗拒绝服务系统,高级持续性威胁防御系统等。这些专业的安全防护设备逐渐达到了企业的防护屏障,从多个不同的角度满足了企业的安全防护需求。
但是,攻击者与安全运维人员的对抗是永无止境的,有了一种防护技术,就会出现针对性的攻击技术。越来越多的攻击者会在发起攻击前,会测试是否可以绕过目标网络的安全检测,因此会使用新型的攻击手段,零日威胁、变形及多态等高级逃避技术、多阶段攻击、APT攻击,这些新的攻击方式,即是所谓的新一代威胁。由于它们是传统安全机制无法有效检测和防御的,因此往往会造成更大的破坏,成为当前各方关注的焦点。
然而,无论是传统的安全攻击,如DDoS、溢出攻击、僵木蠕等,亦或是先进的APT攻击,所有的攻击行为都会在网络或者系统中留有痕迹。这样的痕迹都分散在各个系统中,形成一个个的信息孤岛,每起安全事故的发生、数据的泄露都是隐藏在网络数据的海洋中,企业中的安全管理人员难以发现。安全事件都是在发生后,数据在网络上广为流传后企业才会发现曾经有过安全事件,但具体的时间、形式都难以察觉。
绿盟安全态势感知平台可以提供有效的安全分析模型和管理工具来融合这些数据,可准确、高效地感知整个网络的安全状态以及发展趋势,从而对网络的资源作出合理的安全加固,对外部的攻击与危害行为可以及时的发现并进行应急响应,从而有效的实现防外及安内,保障信息系统安全。
建设目标
绿盟科技安全态势感知平台的建设,目的是达到以下目标:
1.实现对DDOS态势的感知,并溯源;
2.实现对已知入侵威胁安全态势的感知;
3.实现对未知威胁安全态势的感知;
4.实现对僵木蠕的态势感知,并溯源;
5.实现对资产自身脆弱性的态势感知;
6.实现对网站的安全态势监控。
建设原则
(一) 体系化设计原则
基于信息网络的层次关系,遵循先进的安全理念,科学的安全体系和安全框架,各个组成部分推荐均符合当代信息技术发展形势,满足未来各种应用分析APP对安全态势感知平台的要求,提供针对各种已有数据源的接口支持。
(二) 扩展性原则
系统具有良好的扩展以及与其它应用系统的接口能力。产品具有良好的扩展性,能够快速响应需求的扩展,满足用户的进一步需要。
(三) 开放性,兼容性原则
各种设计规范、技术指标及产品均符合国际和工业标准,并可提供多厂家产品的支持能力。系统中所采用的所有产品都满足相关的国际标准和国家标准,是开放的可兼容系统,能与不同厂商的产品兼容,可以有效保护投资。
(四) 安全性原则
系统开发、建设及维护的全过程中,在代码安全、数据保密、系统安全防护措施上采取较严格的措施,进行缜密的权限、身份、帐号与信息加密管理,接受其他安全系统如统一身份认证系统、安全监控管理系统的管理,以保证系统和数据的安全。
(五) 管理、操作、易维护性原则
随着信息系统建设规模的不断扩大,系统的可管理性已成为系统能否实施的关键,系统为用户提供可解决问题并易于管理的系统。贯彻面向最终用户的原则,安装简便快捷,具有了友好的用户界面,操作简单、直观、灵活,易于学习和掌握,支持在线功能帮助。
绿盟安全态势感知平台分为数据采集层、数据处理层、应用分析层和呈现层。
数据采集层:获取与安全紧密关联的海量异构数据,包括网络flow流数据、安全设备的监测日志数据、资产的漏洞信息、配置信息等;此外还可采集恶意样本及威胁情报等相关数据。通过绿盟A接口或flume-ng将数据源的接入、收集及转发。
大数据处理层:包括数据的传输、处理、存储及服务,数据经数据采集传感器进入大数据处理层,在数据存储之前会经过1~2次的数据清洗,用来进行数据增强、格式化、解析,数据存储方式为HDFS的parquet列存储和ELASTICSEARCH的索引库,分别提供给APP用来搜索和分析使用。
应用分析层:利用大数据处理层提供的数据即时访问接口,建立相应的安全分析模型、并利用相关机器学习算法,逻辑实现相关应用分析APP。
呈现层:提取应用分析层输出的相关数据,实现APP统一的可视化呈现。
采用大数据的底层架构,实现异构数据采集、存储、计算。对于HBase、Hive等大数据组件的深度整合,满足网络安全中对于数据有效性、数据完整性、数据及时性的约束要求。采用自主开发的数据路由功能,实现对于不同数据源的区别处理。以底层为基础,实现自主可控的系统架构。
各类设备的日志信息和分析结果通过A接口导入安全态势感知平台。导入安全态势感知平台的数据经过ETL(Extract-Transform-Load,数据抽取、清洗、转换、装载)存入数据存储单元。元数据是数据转换ETL的策略和依据,同时元数据还会给通用数据访问接口提供访问控制约束。
Kafka队列作为数据传输的一个存储通道,数据获取层和数据应用层之间的缓冲带,同时可作为某些业务逻辑处理的存储通道,如实时告警。
数据存储方式为HDFS的parquet列存储和ELASTICSEARCH的索引库,分别提供给WEB应用用来搜索和分析使用。
前端的各种WEB应用通过多维分析服务、查询报表服务、数据挖掘服务等形式的服务使用通用数据访问接口访问存储的数据,最终实现基于异构多维数据的安全分析。