信息安全态势感知平台技术白皮书Word文档格式.docx

信息安全态势感知平台技术白皮书Word文档格式.docx

《信息安全态势感知平台技术白皮书Word文档格式.docx》由会员分享，可在线阅读，更多相关《信息安全态势感知平台技术白皮书Word文档格式.docx（14页珍藏版）》请在冰豆网上搜索。

2014年4月24日

审核

***

****年**月**日

批准

归档

注意

本文档以及所含信息仅用于为最终用户提供信息，成都思维世纪科技有限责任公司（以下简称“思维世纪”）有权更改或撤销其内容。

未经思维世纪的事先书面许可，不得复印、翻译、复制、泄漏或转录本文档的全部或部分内容。

本文档以及本文档所提及的任何产品的使用均受到最终用户许可协议限制。

本文档由思维世纪制作。

思维世纪保留所有权利。

文档信息

信息安全态势感知平台-技术白皮书

电子文档

信息安全态势感知平台-技术白皮书.docx

版本号

1.0

机密

文档编号

制写人员

编订时间

阅读人员

版本控制信息

版本变更日期

作者

摘要

新建文档

1.综述

1.1.项目背景

随着信息化的发展，国际国内各行各业的信息安全事件频发，给国家和社会造成重大的经济损失、严重的社会负面影响，致使老百姓的生活形成不同程度的困惑。

电信运营商作为通讯服务提供商，其掌握大量用户信息和运营数据，安全、有效地监管内部信息的产生、存储、传输和使用等环节极为重要。

在十八后，信息安全的重视不同程度的提升，2013年两部委明确要求各电信运营商必须成立专职部门，并明确各级信息安全中心（部）工作职责，保障和指导集团、省市的信息安全工作开展及技术支持，为该范围内信息安全工作统一接口。

因此，信息安全中心（部）的工作很重要，如何做到集中、实时地监控全网信息安全状态、安全事件变化、安全预警、安全评估、以及预估未来风险走势等内容成为信息安全管理重点，用技术手段建立一套完整的支持平台，协助信息安全工作尤为重要。

1.2.管理现状

各省公司的信息安全部（中心）成立不久，其组织机构、技术支持手段都处于的建设与完善阶段，对全省的信息安全现状正在梳理与清查，各类安全防护系统和手段皆较独立，大部分信息安全监测平台均以生产单位或业务范围为安全主体而存在，很难或无法从全省的角度上完整、全面地反应出信息安全状态，未形成一套信息安全状态实时监测、分析、告警、展现及跟踪、取证等的信息安全态势感知平台。

各省信息安全主要存在以下几个现状：

1、全省网络结构复杂，业务众多，安全态势全面掌控难

从模拟到数字，移动网络、业务系统不断改变与发展，其网络结构、业务各类和关系也越来越复杂，信息安全的状态和发展很全面、实时掌握与把控。

2、安全系统分散，安全日志数量巨大，全面准确分析和定位难

各省的信息安全建设最初都是以业务为对象或管理主体业务范围为中心而形成，其安全系统分散独立，海量的安全日志分布在各个安全系统中，无法进行安全事件关联分析，很难对信息安全风险的状态变化监控和安全事件的定位。

3、安全管理工作量巨大，缺乏数据支撑，科学决策难

信息安全管理工作集中为一个部门来处理，其安全管理工作量可想而知，而其成立不久，缺乏相应技术手段或安全系统支持，对日常的信息安全管理与信息安全的建设缺乏数据支撑，难很做到科学化决策。

目前，各省信息安全大多都处于独立分散状态，信息安全中心（部）对全省信息安全的状态监测都存在时间上的不及时、分析不全面，无法对全面信息安全现状进行正确评价，难以为信息安全工作决策支持，无法形成信息安全实时监测、告警、响应等全方位、立体化的纵深式监管机制。

1.3.需求描述

通过对多省的信息安全中心（部）的管理现状跟踪与调查，对其状况进行深入分析，并结合运营商信息安全监管特点和信息安全管控体系的缺陷，我司认为现阶段信息安全的监管面临如下几个挑战（状态监测、分析、量化与跟踪）：

1.信息安全风险的发现，面对全省复杂的网络结构、众多的业务以及分散的安全系统，如何做到信息安全风险状态的及时发现、全面的发现以及准确的发现？

2.信息安全风险状态分析，从当前各省的安全系统建设情况来看，其安全系统多以独立存在，要么只能反应出网络层面的安全状态、要么只能反应某个或某几个业务系统的安全状态，而信息安全所面临的风险往往是复杂的，缺乏集中性和整体性。

真正高价值的是业务信息、数据资产、用户信息等内容，针对风险的利用过程或环节来看，很多安全风险或风险状态往往需要对各层面、一系列的设备和关联系统的关联分析。

3.信息安全风险的评估与量化，目前，各省大多都是以生产单位为范围构建的安全系统，各安全系统发应出的安全问题、安全事件等都只针对某个点或局部的安全状态，很难或无法从整体上，全网、全业务等角度上反应信息安全现况，因此，全面评估全业务的信息安全状况，其势在必行。

4.信息安全态势的预测，对于信息安全中心（部）日常管理工作中，要进行很多信息安全工作，像定期或不定期的安全专项整治、安全系统建设等工作，而这些工作的开展，需要大量的风险状态历史数据和分析技术的支撑，否则，专项工作很难切入重点或关键问题面上，直接会影响工作开展的意义；

同时，在安全系统的新建或扩建，都需要对现有安全状态、未来安全变化走势等进行预判，使信息安全工作达到未雨绸缪的效果。

2.建设目标

建立一套完善的信息安全风险实时监测平台，全面覆盖信息安全的各个层面各个环节，实现全网信息安全状态实时监控、信息安全风险识别、分析及评估、量化，从技术手段上形成一整套信息安全监测与跟踪体系，落实集团和国家对信息安全考核规定和要求，实现对全网信息安全风险状态统一、集中监测、安全事件集中管理及风险态势评估，支撑信息安全中心对全网安全状态的监测与安全工作有效开展。

全网信息安全态势感知系统是承载全省信息安全中心（部）对全业务安全态势的集中化监测的技术平台，具备实时监测全业务的安全风险状态、变化及未来发展趋势，实现信息安全风险管理“可发现”、“可量化”、“可预测”和“可评价”的建设目标。

3.整体解决方案

3.1.解决思路

在全面深入分析信息安全中心（部）日常工作及两部委对信息安全的考核要求，参照并依据信息安全管理体系（ISMS）和GBT20984-2007规范要求，按照风险管理措施并结合PDCA模型，实现对全网信息安全风险的实时监测，识别、分析、跟踪及评价。

按照信息安全管理体系（ISMS）及方滨兴院士的对信息安全的定义和范围界定，将信息安全管理范围分为四层，即物理安全、运行安全、数据安全及内容安全。

新的定义和界定将涵盖全网各层面，包括全网设备和全网业务的运行状况以及各业务和其产生的数据的安全，从网络环境到数据应用的各环节，形成全方位、立体化、集约型的信息安全风险监测、定位、跟踪及趋势预估的解决体系。

根据业务安全与风险管理思想，事前预警应该从能主动检测和发现全网业务的风险识别、分析、展现、跟踪及评价管理模式。

借鉴GBT20984-2007规范中风险分析模型、信息安全管理体系ISMS，并结合方滨兴院士对信息安全的研究思想，构建信息安全风险评价的监测方法、分析和评价模型，实现对全网信息安全态势感知。

因此，全网信息安全态势感知平台基于上述全业务安全与风险管理思想，动态掌握全网安全风险状态，实时感知未来风险趋势，安全管理提供数据支撑和决策执行效果进行评价等效果，从技术上对全网信息安全的监测、分析、展现与评价，为信息安全中心（部）对全省信息安全监管提供合理化的数据支持，降低或规避信息安全风险采集的延迟性和不完整性，提升安全管理和建设决策的针对性和科学性，建立起一套信息安全事前预警、事后跟踪定位的风险监管机制，为信息安全态势提供预测和有力支持，有效支撑对信息安全风险可识别、可定位、可跟踪、可评价的响应机制和管理流程。

3.2.平台框架

全网信息安全态势感知平台是针对全网业务的安全状态为目标，从风险管理角度出发，以风险识别预警、分析、跟踪和评价及全业务安全态势分析为核心，通过对全网各业务系统的接口，收集各业务的风险状况，经过风险特征、大数据关联分析等技术手段，结合信息安全四个层次的风险特征建模和信息安全风险漏洞库，全面覆盖全网业务安全状况的监测、分析、量化、评价、溯源和定位，实现对全网信息安全态势的感知。

全网信息安全实时监测平台分为四层：

应用展现层、信息安全管理层、数据分析层和数据采集层。

应用展现层是系统的应用集中展现，提供独立大屏展示以及WEB页面方式的信息安全风险监测综合视图和系统管理；

可根据用户需求进行展现内容组装。

应用管理层为信息安全工作所承载的各类业务工作的内容支撑功能，包括安全事件态势管理、信息安全态势分析、信息安全专项治理、信息安全考核和信息安全策略，它是具体业务的独立展现和维护管理，是信息安全各层面的业务分析、逻辑处理的重要部分。

数据分析层为业务系统安全、内容安全、数据安全及运行安全等层面的风险计算和态势分析，包括风险计算和风险态势分析两部分；

风险计算是通过风险模型对风险量化、评价、溯源、定位等功能，为信息安全各层次提供统一的分析计算方法，风险态势分析是信息安全各层面的安全态势分析。

为系统提供基础数据分析和数据单元，主要从风险到态势分析，包括全业务及内容安全状态等层次对信息安全进行分析，同时包括风险量化处理等内容，是信息安全的各方面的基础数据分析、基本逻辑分析等功能，也是平台核心模块。

数据采集层是负责与各业务系统进行通讯和简单的数据加工，与数据源直接对接层，对分析层下达的采集指令进行执行调度、数据基础归并及分析等功能。

其通讯采用WCF、Socket或WebService方式与相关安全系统的对接，如IDS/IPS、4A等对象，预留有WebService、Syslog或FTP通讯方式。

平台整体架构如下图所示：

图3-1平台整体架构

3.2.1.动态掌握全网风险状态

全网信息安全态势感知平台与全网各设备、各业务系统进行关联，实时采集全网的安全日志、告警信息、异常信息等信息采集、关联分析，统一集中对全网的安全系统、网络设备、应用系统等业务的安全日志分析，实现对全网信息安全状况的实时评价、量化，达到动态掌握全网安全风险状态，提供对安全风险定位、跟踪和溯源的功能。

3.2.2.实时感知未来风险趋势

通过长期对全网信息安全风险信息的采集、归纳和分析，形成信息安全数据仓库、利用云技术、大数据等手段和方法，结合风险分析模型，可实现实时对全信息安全风险数据进行分析，同时，可通过修订内置分析策略达到用户自定义需求的效果，实现对各业务系统及全网信息安全风险趋势分析与判断。

3.2.3.安全管理提供数据支撑

面对全省庞大的网络体系和复杂的业务结构关系，其安全手段或安全系统的规划、投建和实施都需要科学的数据支持，而进行辅助决策。

全网信息安全态势感知平台是一个集中、顶层的信息安全风险状态监测、分析、量化和评估的系统，它与全网所有设备、安全系统、业务系统等对象进行关联对接，其提供的数据是经过关联和综合分析的结果，所表现出来的效果是真实的，具有科学根据，能全面反应整个网络安全风险现状，因此，在信息安全工作管理中，起到有力的辅助支撑效果。

3.2.4.决策执行效果进行评价

全网信息安全态势感知平台提供大量安全监测数据和分析报告，从多维度多角度对全省信息安全情况分析，呈现各层次、各部门、各业务及相关责任人在信息安全工作的状况，从整体到具体，从面到点分析评估，包括全省安全、生产部门、地市州、业务系统及管理人员等角色的安全状态及趋势变化，能全面地反应安全系统的投建、应用等过程的效果。

同时，平台具备信息安全专项工作管理功能，对重难点安全工作事项进行专题管理，按照专项整治过程，提供前期分析、整治过程监测