云安全管理平台解决方案.docx
- 文档编号:1909037
- 上传时间:2022-10-25
- 格式:DOCX
- 页数:24
- 大小:1.06MB
云安全管理平台解决方案.docx
《云安全管理平台解决方案.docx》由会员分享,可在线阅读,更多相关《云安全管理平台解决方案.docx(24页珍藏版)》请在冰豆网上搜索。
云安全管理平台解决方案
云安全管理平台解决方案
1前言4
2安全现状5
2.1问题和需求分析5
2.2传统SOC面临的问题6
3应对方案8
4某云安全管理平台解决方案10
4.1资产分布式管理11
4.1.1资产流程化管理11
4.1.2资产域分布12
4.2事件行为关联分析13
4.2.1事件采集与处理13
4.2.2事件过滤与归并14
4.2.3事件行为关联分析14
4.3资产脆弱性分析15
4.4风险综合监控16
4.4.1风险管理17
4.4.2风险监控18
4.5预警管理与发布18
4.5.1预警管理18
4.5.2预警发布20
4.6实时响应与反控21
4.7知识库管理22
4.7.1知识共享和转化22
4.7.2响应速度和质量23
4.7.3信息挖掘与分析23
4.8综合报表管理23
5某云安全管理平台方案特性25
5.1终端安全管理与传统SOC的有机结合25
5.2基于云计算技术的分层化处理26
5.3海量数据的标准化采集和处理27
5.4深入事件关联分析28
5.5面向用户服务的透明化29
6某云安全管理平台部署31
7方案总结32
1前言
为了不断应对新的安全挑战,越来越多的行业单位和企业先后部署了防火墙、UTM、入侵检测和防护系统、漏洞扫描系统、防病毒系统、终端管理系统等等,构建起了一道道安全防线。
然而,这些安全防线都仅仅抵御来自某个方面的安全威胁,形成了一个个“安全防御孤岛”,无法产生协同效应。
更为严重地,这些复杂的IT资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件,形成了大量“信息孤岛”,有限的安全管理人员面对这些数量巨大、彼此割裂的安全信息,操作着各种产品自身的控制台界面和告警窗口,显得束手无策,工作效率极低,难以发现真正的安全隐患。
另一方面,企业和组织日益迫切的信息系统审计和内控要求、等级保护要求,以及不断增强的业务持续性需求,也对客户提出了严峻的挑战。
对于一个完善的网络安全体系而言,需要有一个统一的网络安全管理平台来支撑,将整个网络中的各种设备、用户、资源进行合理有效的整合,纳入一个统一的监管体系,来进行统一的监控、调度、协调,以达到资源合理利用、网络安全可靠、业务稳定运行的目的。
2安全现状
2.1问题和需求分析
在历经了网络基础建设、数据大集中、网络安全基础设施建设等阶段后,浙江高法逐步建立起了大量不同的安全子系统,如防病毒系统、防火墙系统、入侵检测系统等,国家主管部门和各行业也出台了一系列的安全标准和相关管理制度。
但随着安全系统越来越庞大,安全防范技术越来越复杂,相关标准和制度越来越细化,相应的问题也随之出现:
1、安全产品部署越来越多,相对独立的部署方式使各个设备独立配置、管理,各产品的运行状态如何?
安全策略是否得到了准确落实?
安全管理员难以准确掌握,无法形成全局的安全策略统一部署和监控。
2、分散在各个安全子系统中的安全相关数据量越来越大,一方面海量数据的集中储存和分析处理成为问题;另一方面,大量的重复信息、错误信息充斥其中,海量的无效数据淹没了真正有价值的安全信息;同时,从大量的、孤立的单条事件中无法准确地发现全局性、整体性的安全威胁行为。
3、传统安全产品仅仅面向安全人员提供信息,但管理者、安全管理员、系统管理员等不同的角色都需要从不同的角度了解安全的状况,包括整体的安全态势和全局的安全信息等。
4、安全管理员每天面对复杂的网络环境和形形色色的安全事件,通过一个系统帮助他们正确理解安全事件,并自动化的调整安全策略,或将其分配到不同的系统管理员去人工处理并跟踪处理结果,是安全运维的切实需求。
上述问题和需求,决定了安全管理运营中心(SOC:
SecurityOperationCenter)已成为网络安全建设的新重点。
安全管理运营中心,也称为安全管理平台,之所以称为SOC,是与NOC(NetworkOperationCenter,即网络运行中心)相对应而言。
NOC强调对客户网络进行集中化、全方位的监控、分析与响应,实现体系化的网络运行维护。
SOC强调各个分离的安全体系统一管理、统一审计、统一运营,形成一个完整的安全保障体系,从而实现了高效、全面的网络安全防护、检测和响应。
从这个阶段开始,网络安全开始走上统一安全的新台阶。
2.2传统SOC面临的问题
传统SOC保证信息资产的安全,采用集中管理方式统一管理相关安全产品,搜集所有安全信息,并通过对收集到的各种安全事件进行深层的分析,统计和关联,及时反映被管理资产的安全基线,定位安全风险,对各类安全事件及时提供处理方法和建议的安全解决方案。
但总体而言,传统SOC系统在建设的过程中通常也存在一些问题,主要表现在如下方面。
(1)管理信息模型缺乏
在典型的网络中,SOC系统需要管理多种安全设备,并与这些安全设备之间实现互操作来阻断或者消除安全攻击或者安全事件。
为了更好地保障安全,部署的各种设备之间应该实现互操作,共同解决企业中的安全问题。
目前的安全设备或安全系统缺乏统一的管理信息模型,SOC系统在管理不同厂家生产的同一类安全设备时,只能分别根据不同厂家产品提供的管理接口进行相应的管理以及信息获取,这样就难以在SOC系统中形成统一的对安全设备的管理功能。
同类设备之间缺乏统一的管理信息模型导致不同的安全设备之间难以实现互操作,如防火墙和IDS之间。
在大型网络中,不同类型的设备之间可以实现互联互通,共同完成一定的功能,但是在安全设备共同组成的管理系统中,因为没有统一的管理信息模型,导致各种安全设备不能互操作共同完成一定的安全管理功能,各种安全设备只能独立地进行基于一个视点的安全管理功能。
部分安全管理功能只能依赖SOC系统等这样的上级管理系统。
因为统一管理信息模型的缺乏,安全设备之间不能进行互操作,所以只能由上级的SOC系统对所有的安全事件进行关联分析,然后做出相应的判断并通过人工调整安全设备的方式进行相应配置处理。
因为没有统一的管理信息模型,SOC系统定位问题后,也难以自动地向安全设备发出相应配置改变指令。
缺乏统一的管理信息模型致使SOC系统对安全设备的管理功能不明确,SOC管理应该有哪些功能,管理到什么粒度等都比较模糊。
(2)SOC系统管理功能不统一
目前SOC系统应该包括哪些功能模块在业界内没有形成统一的认识,也没有相关的标准组织对此制定相应的规范。
运营商中的网管系统、BOSS支撑系统等都有一些标准组织制定的规范可以作为厂家实现时的参考,如ITU的TMN相关标准,TMF的NGOSS相关规范等。
但是目前为止,国际相关组织对安全管理相关的规范大多还仅仅面向具体的安全技术,对安全管理系统还没有相关的标准或者规范。
这样,不同的SOC厂家对SOC系统的理解不同,对同样的功能模块理解也不相同,导致SOC系统的功能多样化。
因此,针对SOC系统需要类似运营支撑系统中的eTOM这样的通用过程框架来指导SOC系统的建设。
(3)SOC系统与其他系统关系的定位不明确
在大型网络中,部署着各种运营支撑系统、网络管理系统、企业管理系统等,为了实现企业中的过程自动化,这些系统各自功能定位非常明确,系统之间的关系也比较明确,系统之间的接口也相对明确。
SOC系统应该要为这些系统提供安全支撑,但是其与这些系统之间的关系并不很明确,与这些系统之间的数据交互目前也没有确定。
因此,目前来讲,SOC系统还是一个“安全信息孤岛”。
(4)对海量数据分析存在瓶颈
传统SOC限于自身系统架构的原因,面对海量数据的分析仍然存在着响应不及时的问题,尤其是在事件关联分析方面,计算处理模式仍然比较单一,缺乏对大量安全事件进行统一处理、归并、过滤的能力,随之而来呈现给用户的自然存在着无法找到用户关注点、呈现不直观、关联失效等大量问题,随着安全数据的与日俱增,传统SOC在数据分析处理能力方面自然存在着较大瓶颈。
而随着云计算技术的不断发展,基于“云计算”技术的云安全管理平台的搭建就很好的解决了当前传统SOC系统在运行中面临的诸多问题。
3应对方案
为了应对上述安全风险和传统SOC面临的各种问题,某公司基于十余年的终端安全管理产品研发经验,特提出了某云安全管理平台(VRVC-SOC:
Cloud-SecurityOperationCenter)解决方案。
该方案在系统架构上分为如下几个部分:
1、计算云层
在计算云层,VRVC-SOC云平台计算引擎采用云计算技术对采集的海量数据进行分布式计算、分析、识别、响应和控制。
2、服务云层
在服务云层,VRVC-SOC对被管对象实现业务数据的“接入(采集)”,包括采集终端层和网关层设备的数据。
3、网关层
网关层,包括传统SOC平台和VRV终端云管理平台两部分,传统SOC平台面向的主要安全对象,包括防火墙、入侵检测、病毒防护系统、漏洞扫描系统等相关安全设备,而VRV终端云管理平台所涉及的终端系统管理、终端策略配置、终端互动管理在网关层上与终端层进行终端数据的信息交互。
4、终端层
终端层所管理的对象主要指最终用户所使用的终端计算机,如终端计算机信息的收集、控制策略的执行、集中管控和审计等。
某云安全管理平台系统架构图如下图:
系统架构图
4某云安全管理平台解决方案
某云安全管理平台解决方案采用云计算技术将终端安全管理和传统SOC系统纳入到一个统一的云安全管理平台。
该方案除了通过某终端安全管理平台实现对终端的有效管理,同时还采集分析网关的安全系统和设备(防火墙、入侵检测、防病毒、漏洞扫描、系统审计等)产生的数据,最后统计进行资产管理、事件关联分析、综合风险监控、实时预警和反制,并形成专业的安全知识库。
其实现架构图如下图:
某云安全管理平台架构图
4.1资产分布式管理
资产管理主要是管理云安全管理平台监控范围的各个系统和设备,主要包括:
网络设备(如:
路由器,交换机等)、主机设备(如:
计算机,服务器等)、安全设备(如IDS,防火墙等),资产管理是风险管理、事件监控协同工作和分析的基础。
实现对网络综合安全运行管理系统所管辖的设备和系统对象的管理。
它将其所辖IP设备资产与风险的重要程度关系,依据风险评估的结果、定期的漏洞扫描结果和本模块的信息资产相结合,基于资产CIA属性,按照资产信息、漏洞、补丁与备件分类导入或登记入库,并为其他安全运行管理模块提供信息接口,比如响应管理中心、综合分析与预警平台等。
具体功能实现详述如下:
4.1.1资产流程化管理
VRVC-SOC对资产的管理不仅仅是对资产信息的简单收集和分类,而是将资产的管理与实际的用户业务管理流程统一结合起来,对资产进行流程化的管理。
从资产的入库到资产的运行状态跟踪、资产的变更,一直到资产的注销、报废,整个资产的生命周期,VRVC-SOC都对其进行跟踪和监控,且用户可随时对资产状态进行更新,可随时根据资产的最新情况对资产进行核对、调用。
VRVC-SOC还根据资产的各种安全属性,进行资产的分类统计,并提供相应的统计图形和报表。
资产流程化管理
4.1.2资产域分布
根据资产所处的地理位置、逻辑位置,自定义对资产进行域分布管理,将资产进行分布式统计分类后,呈现给用户的是一目了然的资产分布信息,这无论对于用户进行资产的综合统计,还是有针对性的对资产进行分区域管理都提供了基础的资产管理平台信息。
资产域分布
4.2事件行为关联分析
事件关联分析至少具有以下三个关键特性:
1)海量事件处理能力:
是指关联分析能够高效地采集海量的异构安全事件,并能够进行关联匹配和输出,还能够将安全事件进行可视化展示,以及将海量安全事件和告警信息进行及时地存储;
2)实
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 云安 管理 平台 解决方案