我理解的安管平台

单击此处编辑母版标题样式,单击此处编辑文本,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,*,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,我理解的安管平台,一、信息平安开展的三个阶段,2,信息平安开展的三个阶段,信息平安的开展随着网络建立经历了三个阶段：,一是防病毒、防火墙+IDS部署的初级阶段,3,二是随着各种业务的信息化推进，对信息平安产生巨大的需求，包括网关防护、平安审计管理、终端平安和应用平安，大量的使用区域边界防护、脆弱性扫描、用户接入控制等技术，此时的平安技术纷繁复杂，包括防护、监控、审计、认证、扫描等多种体系，称为平安建立阶段。,4,信息平安开展的三个阶段,三是随着业务高度信息化，信息平安管理成为信息建立的必要组成局部，把分散的平安设备、平安策略、平安事件进展统一管理、统一运营，称为平安管理阶段，最典型的就是综合性的平安管理中心(SecurityOperationCenter)SOC的建立。,5,信息平安开展的三个阶段,平安管理中心是平安技术“大集成过程中产生的,6,二、平安管理中心,7,平安管理中心是平安技术“大集成过程中产生的,平安管理平台习惯上称之为SOC就是把各式各样的设备网络设备-交换/路由，平安设备-防火墙/IPS，系统设备-win/linux中的日志信息收集过来，经过SOC系统的处理与分析，在海量数据中挖掘出对于用户来说重要的、危险的、有用的信息。,平安管理中心,8,平安管理平台以 IT 资产及业务为核心，以平安事件管理为关键流程，采用平安域划分的思想,建立一套实时的风险模型，实现对各类资产和业务的信息采集、 关联分析、日志审计、事件监控、流量分析、网络攻击防范、态势感知、平安预警和快速响应，做到“集中监控 、统一管理、全面分析、 快速响应。,平安管理中心,9,平安管理中心在平安体系中的地位,第一层：系统自身平安,第二层：平安产品防护,第三层：统一风险管理,安管平台是信息平安神经中枢,平安管理平台securitymanagement在国内外有多种多样的称呼：,SIM 平安信息管理中心securityinformationmanagement,SIEM 平安信息与事件管理平台securityinformationeventmanagement,SOC 平安运营中心securityoperationcenter,总之其目的是管理平安相关的信息。这里的“信息，通俗一点说就是日志信息和性能监控信息。,11,三、安管平台的起因分析,12,安管平台的起因分析,网络平安产品都存在一定局限性。,比方防火墙是一种用来加强网络之间访问控制的互联设备，它对网络之间传输的数据包依照一定的平安策略进展检查，以决定通信是否被允许，从而到达保护内部网络的信息不被外部非授权用户访问，过滤不良信息的目的。,13,安管平台的起因分析,但是，防火墙并非万能， NIST(美国国家标准与技术研究院 National Institute of Standards and Technology)就对它做出了客观评价，指出其主要缺乏：,(1)由于防火墙要保证信息平安，采取了很多访问控制机制，从而限制了用户满意如意的效劳访问；,(2)防火墙不能对抗私有网络中的后门；,(3)现在的防火墙很少保护来自内部的攻击。,14,安管平台起因分析,入侵检测系统被认为是整个系统中的最后一道防线。,入侵,是指任何试图危害资源的,完整性、保密性和可用性,的活动集合，入侵检测就是检测入侵活动，并采取对抗措施。,IDS按照数据来源可分为基于主机的IDS和基于网络的IDS。,15,安管平台起因分析,基于主机(Host-based)的IDS关键技术是从庞大的主机平安审计数据中抽取有效数据进展分析。,基于网络的IDS(Network-based IDS， NIDS)那么一般通过监视网络上的流量来分析攻击者的入侵企图，它存在如下主要缺点：,16,安管平台起因分析,(1)易受欺骗。 NIDS不能抵御Insertion、 Evasion的欺骗和攻击,由于NIDS与受监视的系统对网络事件的理解不完全一致，因此易受欺骗；,(2)易受拒绝效劳攻击(DoS)。 NIDS为了不漏掉攻击，需要尽可能对每一个包进展检测，这样攻击者向内部网发送大量需要NIDS处理的包时，便造成NIDS拒绝效劳；,(3)当NIDS失效时也失去了对网络的监视 ,因此当它遭到DoS攻击后 , 网络也处于不平安的状态；,(4)没有能力控制外部网对内部网的访问。,17,安管平台起因分析,鉴于主流网络平安产品的这些缺乏，出现了在通用入侵检测模型的框架下建立一个集成防火墙和入侵检测系统的模型，表达了对网络平安产品集成的思想。,其它类似的网络平安产品也不能从整体上解决目前的网络平安问题。因此有必要研究新的网络平安管理技术，能够在一个统一的平安管理平台下对各种网络平安产品实施统一配置、统一策略、统一日志和统一报告，以便动态分析评估网络状况，对平台下集成的所有平安产品实施相应策略，共同确保整个网络系统平安。,18,海量平安事件需要花费维护者很多时间和精力，因此系统需要具备主动性和智能性，对系统内重要信息的平安状态进展重点监控、科学分析，从而快速有效定位非法事件，使工作人员从繁杂的评估工作中解放出来。,每日多达上千万的事件量,重复告警,误报,真实情况无法反映,管理员负担严重,缺乏优先级,缺乏智能分析工具,19,安管平台的起因,在SOC的管理体系中，将所有的平安产品和事件通过统一界面关联起来，给管理者提供工具，把日常的分析过程通过机器自动化的方式来帮助管理员完成大局部的工作。而平安管理员和系统管理员只要注重针对性的分析，日常的繁琐工作都可以通过智能去完善。,20,安管平台的起因,SOC大大缩短了响应的时间，把一些无用、根本不存在的、“误报的攻击抛弃掉，可视化的界面很容易让每个人都能参与到平安建立当中，同时也让可以明了自己的平安状态。,也就是说，在复杂的平安管理中，SOC构筑的是一个动态的、持续性的管理。,21,四、安管平台建立覆盖范围,22,安管平台覆盖范围,1)主机：Unix主机、Windows主机；,2)数据库：Oracle、Sqlserver；,3)中间件：weblogic、websphere MQ、tomcat；,4)存储设备,5)网络设备：路由器、交换机等；,6)平安设备：防火墙、入侵检测、IPS等,7)平安管理系统：防病毒、终端管理等；,8)主要应用系统：财税重要业务系统、网络管理系统,23,五、安管平台的架构,24,安管平台总体架构图,平安管理平台由监控中心、分析中心、处理中心和平安资源库组成。,25,安管平台架构,监控中心收集全网 IT 资源的运行状态和它们产生的事件信息，进展统一实时监控。,监控中心产生的各类告警信息可以送入处理中心触发事件响应流程,各种 IT 资源的状态和事件信息可以送入分析中心,为进一步进展平安态势分析及风险评估提供数据。,26,安管平台架构,分析中心将收集到的数据进展关联分析、挖掘,发现隐藏在独立事件背后的规律与事实；通过风险评估过程和风险计算方法实现风险的定量计算,获得可衡量的平安风险,并进展相应的风险控制；让监控人员对业务系统平安状况有明确感知。,27,安管平台架构,处理中心引入成熟的业务处理流程去响应风险,消减风险,并帮助管理人员建立一套例行化、常态化的风险管理机制。,28,安管平台架构,平安资源库包括知识库、资产库、漏洞库、补丁库、策略库、规那么库、辅助决策库、关联场景库、经历库、人员库、组织机构库等。 平安资源库存储了平安管理平台正常运转所需的根底数据。 对于平安管理平台而言,应该具备平安资源库信息的维护功能,例如增删改查、平安知识的管理等等,29,安管平台的系统组成与功能,30,安管平台的系统组成与功能特点,安管平台是由中央策略管理软件集中智能管理的，集成了防病毒、防火墙、入侵检测系统等功能各异的网络平安产品的开放式平台。通过分析我们认为平台应由以下几大根本模块组成:,(1)协议标准集,(2)中央策略管理软件,(3)各种网络平安产品,(4)平台需要的硬件产品,31,安管平台的系统组成与功能特点,(1)协议标准集：包括一组公开的API(Application Programming Interface,应用程序编程接口)和一组工业标准接口和协议， API由于隐藏了协议和网络中的复杂技术可使编程工作变得较为简单；而工业标准接口和协议那么提供详细的标准保证多厂商产品之间的互操作性和认证标准。,(2)中央策略管理软件：这是平台的核心，应该具有统一管理、,综合评估决策、统一调动各平安部件的功能，它的编制水平决定了平台所表现出的综合性能。,32,安管平台的系统组成与功能特点,(3)各种网络平安产品：包括网管系统、防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、访问控制系统、 CA系统、集中风险评估系统等。,(4)平台需要的硬件产品：包括即插即用的平安平台、互联网设备、效劳器等。,33,安管平台的系统组成与功能特点,这些模块中最重要的是中央策略管理软件，它的作用就在于防止安管平台仅仅是平安产品的堆积，从而充分发挥各集成产品的作用，并使它们能够联动互操作，最终起到1+12的作用。,34,安管平台的系统组成与功能特点,网络平安需要综合解决方案，木桶原理在网络平安领域同样适用：网络平安最薄弱之处就好比木桶上那块最短的木板，也就是黑客攻击的首选之处，所以就要求网络平安各方面防护措施强度应相对平衡。,况且随着网络平安威胁的加强和用户平安需要的增加，依靠单一的防范产品已经很难解决现有的网络平安问题，于是综合了多种平安产品和平安策略的安管平台应运而生。,35,建立安管平台需要实现的管理功能,36,建立安管平台需要实现的管理功能,1)实时对网络设备、效劳器、平安设备、数据库、中间件、应用系统的平安状况进展统一监控；,2)采集平安事件和日志信息，进展整合和关联分析；,3)评估平安风险；,4)审计用户行为；,5)产生平安事件告警；,37,建立安管平台需要实现的管理功能,6)接收并处理相关单位发来的平安预警；,7)生成各种平安报告并及时进展应急响应；,8)进展平安知识管理；,9)确保相关系统的业务持续运行，协助管理人员排除平安隐患和平安故障；,10)为相关部门的信息平安审计和考核提供技术手段和依据，实现全网的平安集中监控、审计和应急响应，全面提升企业的信息平安保障能力。,38,安管平台应具备的功能,(1)高度平安可靠性：保证网络边界到网络内部的高平安性，同时还要保证内部从桌面到桌面的传输的平安，并且系统中的设备间还要建立高强度平安通道。,(2)高性能：不仅要使平台中每个平安产品良好地发挥自身的核心功能，还要尽量减小无关系统开销以提高系统整体性能。,(3)高扩展性：平台可实现与各种平安设备之间的互通与联动，对新出现的平安技术和产品也保存了开放的扩展接口。,39,安管平台应具备的功能,(4)高可控性：平台能够对应用范围内的产品进展根本配置，并具有良好的信息收集功能，能够收集各集成平安产品的告警事件、系统日志等数据，这些数据经平台中央策略管理软件综合分析输出，使用户能在整体上掌握系统的综合平安状况。,(5)良好的互操作性：平台要能实现应用范围内的平安产品间的互操作，这也是目前的技术难点。,40,安管平台与网管平台,41,平安管理与网管系统的关系,平安管理阶段把信息平安推演到核心的业务平安这一新的台阶，为业务提供持续性保障BCM(BusinessContinuityManagement)成为平安评价的重点。,网络的建立中，网络管理中心NOC(NetworkOperationCenter)的开展起到重要的作用，那么新兴的平安管理中心SOC与网络管理中心NOC是怎样的关系呢？,42,平安管理与网络管理,一种观点认为SOC就是平安设备的运营管理，无非是增加一些平安特性的管理与策略，SOC是NOC的一个组成局部。但是网络管理本身也需要平安管理的支持，平安管理中心不仅要保障网络支撑系统的平安，还要为业务应用提供平安保障，比方身份认证、授权系统等根底平安设施。从功能的角度看，SOC应该是NOC与业务管理的共同支撑系统，比方NOC中的日常维护，同样要承受SOC中人员身份确认、平安行为审计的管理。,43,平安管理与网络管理,1、SOC与NOC一起成为IT效劳根底设施规划的重点，网络管理侧重系统本身的管理，为业务提供通路；平安管理侧重业务平安的保障，解除外来的与内部的威胁，两者的信息是互通的，只是实现技术与管理重点不同。,2、平安管理是从业务发生的起点到业务完成的整个生命周期的平安保障。,44,安管平台不等于SOC,45,安管平台不等于SOC,在国际上，对SOC的一般性描述定义为一支团队在一个相对固定的场所内，按照既定的流程和方法对网络根底设施及其承载的业务平安运行状况进展持续的监测与维护。显然，SOCSecurity Operations Center，平安运营中心包括了人、处所、管理对象、管理的方法、流程和工具。,SOC更多地的是指代一个处所，就类似XX信息中心，XX网络中心，看到这类称呼首先想到的应该是一个大楼，然后是一个组织机构。,其实，不管国内国外，对于SOC的定义都是一样的，国内的定义也是如上所述。,46,安管平台不等于,SOC,而平安管理平台的定义，一般性的指以资产为核心，以平安事件处理为关键流程，以平安风险管理为指导的一个面向信息资产的平安运行监测、风险度量和平安运维的技术平台。,平安管理平台更多的指代的是SOC中的技术和工具局部的内容。如果说SOC有PPT人、流程和技术三局部的话，安管平台仅仅是其中的T，甚至连T的全集都盖不住。SOC中的T不仅是一个平台，还有一组配套的工具包。,47,安管平台不等于SOC,总而言之，安管平台不等于SOC！你可以将安管平台理解为SOC的一个局部，SOC的技术支撑平台。,很不幸，在SOC引入中国的过程中，由于误解和简化，渐渐的将两者等价了起来。现在我们有时候直接称呼安管平台为SOC，我想这也没有什么，只要明白他们的真正差异，怎么说都进展。,48,安管平台不等于SOC,解决信息平安问题不应仅从技术方面着手，同时更应加强信息平安的管理，通过建立正规的信息平安管理体系，系统地解决信息平安问题。,现在，SOC的传统定义也在发生改变，SOC指代的固定处所也变得不是那么明显，有人提出了Virtual SOC的概念；而安管平台的传统定义也在发生变化，但是无论如何，安管平台不等于SOC，未来也是如此。,49,SOC的开展,50,SOC的开展,第一代,SOC,由事件/信息收集器演变而来的。,作为信息集中管理的平台，多数厂家只是支持自己的产品日志格式，国内都定义为：日志收集器。国内平安/网络设备生产厂家都有各自的日志收集器，并附带管理自己设备的功能；,51,SOC的开展-第二代SOC,由于第一代SOC能做到的工作只是收集信息，并不能对其收集的各项事件信息进展分析和处理，所以第二代SOC在2005年左右在各厂家兴起。其核心技术就是参加了国外流行的概念：关联分析；,关联分析的核心技术是“状态机：通过定义资产信息和分析事件状态的变化来对信息进展深入的分析和对攻击/异常行为的判断。,52,关联分析,安管平台中众多的平安产品产生了海量事件,如果不对这些数据进展合理处理,管理员将无法得到整个平台的总体平安态势,难以做出正确的决策或应急响应，因此对平安事件进展关联分析是非常重要的。,通过关联分析，找出平安设备上报的平安事件之间的相关程度(这些事件已经标准化为统一格式，也叫范式化)，挖掘出有效信息,剔除虚假、重复的告警信息，发现潜在威胁告警 。,53,关联分析,关联方法运用于安管平台的关联模块，算法设计的好，就能够准确定位告警来源，重构整个攻击场景，从而提高告警信息的利用率，降低误报率，并帮助管理员分析出系统存在的平安隐患。,54,关联分析,现有的关联分析算法有,基于概率相似度,的关联方法、基于,机器学习,的关联方法、基于,Bayesian 分类器,的关联方法及基于,先决条件,的关联方法等。,55,关联分析,基于机器学习的关联方法只能对存在于线程中的数据进展关联,无法对未知数据进展关联,导致最后的分析结果存在较大的误差。,基于 Bayesian 分类器的关联方法虽然时效性很好,但关联需要的知识依赖于知识库,无法获得计算所需的先验概率和条件概率。 这两种算法无法满足平安管理平台中平安设备产生的大量告警和多样性告警的关联分析。,56,关联分析,基于概率相似度的关联方法是一种实时的关联分析方法, 利 用 相 似 度 计 算 的 方 法 来 对 事 件 进 行 关联 。 这种关联方法对事件关联的过程如下:,1)计算事件不同属性间的相似度。,2当新的事件到来时,与已有的平安事件的相应属性值进展比较,计算两者之间的相似度,3如果新事件与已有事件相似度超过了设定的阈值，那么认为它们是相似的,将其融合到已有平安事件中区;假设未超过设定的阈值,那么作为新的事件参加到已有事件中。,57,关联分析,基于先决条件的关联方法,一次成功的入侵通常需要一系列的行为来完成,这些行为之间往往不是相互独立的,他们相互关联,前面行为的成功入侵产生的结果是后面行为发生的必要条件。 通过对较早发生平安事件的,行为的结果和较晚发生平安事件的行为的先决条件进展比较,对两个平安事件进展关联。,58,关联分析,可以将先进的算法进展混合，优化计算和匹配的效率，应用与海量的告警数据处理。,59,SOC的开展-第三代SOC,从现实情况来看，第二代SOC并没有得到国内大局部用户的认可和信任。于是，第三代SOC的诞生引起了大家的兴趣。,在原有第二代SOC的根底之上，各厂家纷纷对SOC进展了“改装，有的参加了网络管理模块，有的参加运维管理模块，还有的参加各式各样能嵌入的信息系统，导致现在第三代SOC越来越庞大，越来越臃肿。其中大肆宣传的概念从“关联分析转变为“业务导向。为了商业目的，捆绑所有的模块“AllInOne，在工程中限制竞争对手。最后第三代SOC能否成功只有通过时间和客户来验证了。,60,安管平台的关键技术,61,安管平台的关键技术-联动互操作,联动互操作功能是指在安管平台集成的产品之间，当某一产品根据一定的策略侦测到了某些平安事件，假设该平安事件可以通过修改另一产品的平安策略或访问规那么等来解决，那么联动互操作功能可以通过安管平台自动修改另一产品的策略或规那么，并且用户可以从界面看到这种联动互操作的发生。,62,安管平台的关键技术-联动互操作,联动互操作在平台上有两种功能需求：,(1)与平安设备无关的联动互操作功能：这类联动互操作是指当平安设备之间没有通信渠道时，安管平台将收集到的某一设备的平安事件，根据安管平台的配置功能完成针对该事件的策略信息，形成对另一平安设备的配置或更改，,通过安管平台本身的配置信息流对平安设备进展配置。,63,安管平台的关键技术-联动互操作,2)平安设备相关的联动互操作：这类联动互操作是指某些平安设备之间原本已具有一定的联动能力，能根据某设备发生的平安事件，对另一设备进展配置或配置更改。此时，平台的联动互操作性已通过平安设备自行解决，安管平台只负责实时收集具有联动互操作能力的平安设备各自对该事件的数据，以及针对事件的配置信息等数据,并进展关联。,64,安管平台的关键技术-联动互操作,联动互操作功能充分表达了安管平台的技术水平。良好的联动互操作性可以较好地形成资源整合以组成网络平安体系，从整体上防止木桶效应的产生，它还能在最大程度上保障用户利益，根据用户需要调整、建立平安的网络系统。,当网络改造时，还可以通过模块的增减完成平安功能的升级，防止了一体化构造可能造成的功能浪费。,65,安管平台的关键技术-联动互操作,从技术角度看，联动互操作帮助平安体系有效组合并提升性能。例如防火墙与防病毒联动，可以提供网关查杀病毒能力，保证了内部系统与外部网络信息流的纯洁性；防火墙与认证系统联动，将认证与防火墙剥离，可以采用专有设备完成身份认证工作，提高了认证的可靠性与平安性，也减轻了防火墙的负担；防火墙与入侵检测系统联动，使防护体系由静态到动态，提升了防火墙的机动性和实时反响能力，也增强了入侵检测系统的阻断功能等。,66,安管平台的关键技术-联动互操作,联动互操作能力的强弱表达了安管平台的技术水平，由于其牵涉的技术较为复杂，使得它仍然成为安管平台中的最大技术难点。,67,安管平台的开展趋势和建议,68,安管平台的开展趋势与建议,一、平台集成商采用不同厂商的优秀平安产品优化组合构成自己的安管平台，这种做法在集成了最优秀的平安产品的同时，也依然存在一些缺乏：,1)由于平台集成的并非自有产品，再加上专利版权等原因，使得集成者很难接触到集成产品的源代码等技术核心，集成商在优化集成时就会遇到更大技术困难。,2)由于采用不同厂商的平安产品，各种产品的协同性、兼容性等易出问题。,3)由于牵涉到知识版权，造成生产本钱较高，市场竞争力下降。,69,安管平台的开展趋势与建议,二、有的安管平台集成商几乎使用自己生产的较成熟的全线平安产品来搭建安管平台，这当中比较典型的有国外的CA、 NAI以及国内的启明星辰等公司，这种做法固然能够到达较好的产品协同性，但也存在一些缺乏：,1)由于平台集成的完全是自有产品，厂商本身并非在各种平安产品的技术上都很有优势，故无法作到平安产品的强强联合。,2)用户对平台中平安产品的选择较少，只能选择解决方案中所推产品。,70,安管平台的开展趋势与建议,三、此外，还有一些科研单位正在把一些公开源代码的网络平安产品进展集成，以组成安管平台，例如实现,防火墙、入侵检测系统、漏洞扫描3种产品的互联和集中管理。但是这样的集成就需要非常及时地对这些公开源代码的产品进展技术升级，否那么那些公开的漏洞广为人知，不及时升级就会对整个平台的平安性造成极大威胁。,71,安管平台的开展趋势与建议,通过深入分析，我们清楚地意识到目前的安管平台，大多只是对多种网络平安设备的简单集成，仅能完成一些诸如用同一个数据库进展多个平安设备日志收集等简单的互操作工作。由于现有网络平安产品从功能上涵盖了防病毒、防火墙、网管、入侵检测、漏洞扫描、平安风险评估等多个领域，具有种类繁多、个性较强的特点。,72,安管平台的开展趋势与建议,此外，如果平台要集成其他厂商的平安产品，就需要了解其技术内核，由于内核源代码的版权问题，且目前并没有国际性的标准组织和联盟对网络平安产品之间的接口标准进展制定，再加上很多网络平安产品的核心技术拥有者受到市场经济利益的驱动，对一些关键平安产品还存在市场保护，并不情愿提供自己产品的接口供别人集成使用。,上述原因就使得目前的安管平台产品并不具备真正意义上的平台上各组件间的良好联动互操作能力，和平台基于各种日志的综合穿插分析能力，这些缺乏也正是束缚当前安管平台开展的主要原因。,73,谢 谢！,74,谢谢！,