网络安全态势感知系统建设方案

网络安全态势感知

建设方案XXXX网络技术有限公司TOC\o"1-5"\h\z\o"CurrentDocument"1项目背景 4\o"CurrentDocument"2项目建设的必要性及目标 52.1现状及存在问题 52.2建设目标 6\o"CurrentDocument"3系统概述 7\o"CurrentDocument"3.1系统简介 7\o"CurrentDocument"3.2系统架构 9\o"CurrentDocument"3.3系统组成 9\o"CurrentDocument"3.3.1态势感知分析中心 10\o"CurrentDocument"3.3.2态势感知显示管理中心 10\o"CurrentDocument"3.3.3数据存储中心 103.4项目部署 11\o"CurrentDocument"4系统功能 12\o"CurrentDocument"4.1门户Portal 12\o"CurrentDocument"4.2安全对象管理 12\o"CurrentDocument"4.3采集管理 13\o"CurrentDocument"4.4级联管理 13\o"CurrentDocument"4.5数据管理 13\o"CurrentDocument"4.6过滤合并管理 14\o"CurrentDocument"4.7感知策略管理 14\o"CurrentDocument"4.8任务调度管理 14\o"CurrentDocument"4.9感知系统告警管理 15\o"CurrentDocument"4.10用户管理 15\o"CurrentDocument"4.11系统管理 16\o"CurrentDocument"4.12报表管理 16\o"CurrentDocument"4.13自身安全保障 16\o"CurrentDocument"5功能特色 18\o"CurrentDocument"5.1特色的分布式、跨平台组件架构 18\o"CurrentDocument"5.2灵活、强大的信息采集能力 18\o"CurrentDocument"5.3个性化的关联分析建模技术 19\o"CurrentDocument"6配置清单 20\o"CurrentDocument"7部分界面展示 211项目背景随着公司IT业务的迅速发展，规模越来越庞大，多层面的网络安全威胁和安全风险也在不断增加，网络病毒、Dos/DDos攻击等构成的威胁和损失越来越大，网络攻击行为向着分布化、规模化、复杂化等趋势发展，仅仅依靠防火墙、入侵检测、防病毒、访问控制等单一的网络安全防护技术，已不能满足网络安全的需求，迫切需要新的技术，及时发现网络中的异常事件，实时掌握网络安全状况，将之前很多时候亡羊补牢的事中、事后处理，转向事前自动评估预测，降低网络安全风险，提高网络安全防护能力。网络安全态势感知技术能够综合各方面的安全因素，从整体上动态反映网络安全状况，并对网络安全的发展趋势进行预测和预警。大数据技术特有的海量存储、并行计算、高效查询等特点，为大规模网络安全态势感知技术的突破创造了机遇，借助大数据分析，对成千上万的网络行为、攻击等信息进行自动分析处理与深度挖掘，对网络的安全状态进行分析评价，感知网络中的异常事件与整体安全态势。2项目建设的必要性及目标2.1现状及存在问题信息安全目前越来越受到重视，“棱镜门”事件爆发后，信息安全不仅引起了中信期货领导的重视，更引起了国家领导人的广泛关注。在这种背景下，中信期货作为负责任的大型过期，无论是出于对自身利益的考虑，还是对于社会责任的角度，都需要构建更为丰富的内部安全系统。这些系统不仅涵盖基本的防火墙，入侵检测、防病毒；还包括目前主流的上网行为审计，堡垒机系统，数据库审计系统，网站防火墙系统；以及符合最新攻击的特征的，如抗拒绝服务系统，高级持续性威胁防御系统等。这些专业的安全防护设备逐渐达到了企业的防护屏障，从多个不同的角度满足了企业的安全防护需求。但是，攻击者与安全运维人员的对抗是永无止境的，有了一种防护技术，就会出现针对性的攻击技术。越来越多的攻击者会在发起攻击前，会测试是否可以绕过目标网络的安全检测，因此会使用新型的攻击手段，零日威胁、变形及多态等高级逃避技术、多阶段攻击、APT攻击，这些新的攻击方式，即是所谓的新一代威胁。由于它们是传统安全机制无法有效检测和防御的，因此往往会造成更大的破坏，成为当前各方关注的焦点。然而，无论是传统的安全攻击，如DDoS、溢出攻击、僵木蠕等，亦或是先进的APT攻击，所有的攻击行为都会在网络或者系统中留有痕迹。这样的痕迹都分散在各个系统中，形成一个个的信息孤岛，每起安全事故的发生、数据的泄露都是隐藏在网络数据的海洋中，企业中的安全管理人员难以发现。安全事件都是在发生后，数据在网络上广为流传后企业才会发现曾经有过安全事件，但具体的时间、形式都难以察觉。君众安全态势感知平台可以提供有效的安全分析模型和管理工具来融合这些数据，可准确、高效地感知整个网络的安全状态以及发展趋势，从而对网络的资源作出合理的安全加固，对外部的攻击与危害行为可以及时的发现并进行应急响应，从而有效的实现防外及安内，保障信息系统安全。2.2建设目标君众甲匠安全态势感知平台的建设，目的是达到以下目标：实现对DDOS态势的感知，并溯源；实现对已知入侵威胁安全态势的感知；实现对未知威胁安全态势的感知；实现对僵木蠕的态势感知，并溯源；实现对资产自身脆弱性的态势感知；实现对网站的安全态势监控。所有感知信息通过图表型式展示给运维人员，可用于：检测：提供网络安全持续监控能力，及时发现各种攻击威胁与异常，特别是针对性攻击。分析、响应：建立威胁可视化及分析能力，对威胁的影响范围、攻击路径、目的、手段进行快速研判，目的是有效的安全决策和响应。预测、预防：建立风险通报和威胁预警机制，全面掌握攻击者目的、技战术、攻击工具等信息。防御：利用掌握的攻击者相关目的、技战术、攻击工具等情报，完善防御体系。3系统概述3.1系统简介“一幅好图胜过千言万语！”这句话体现了安全态势感知的关键一可视化，一定是通过图形的方法把安全数据展示给人，人相对于计算机系统而言其优势在于无可比拟的逻辑对比分析能力，计算机处理十万条安全事件的速度远比人快上千倍万倍，但从一幅图中发现其变化的趋势以及深层次的原因，人们的直觉却强大的多，这种客观的直觉我们称之为“态势感知”，通过计算机数据能力，再采用不同的算法把安全数据图形化我们称之为“安全可视化”。网络安全态势感知就是利用数据融合、数据挖掘、智能分析和可视化等技术，直观显示网络环境的实时安全状况，为网络安全提供保障。借助网络安全态势感知，网络监管人员可以及时了解网络的状态、受攻击情况、攻击来源以及哪些服务易受到攻击等情况，对发起攻击的网络采取措施；网络用户可以清楚地掌握所在网络的安全状态和趋势，做好相应的防范准备，避免和减少网络中病毒和恶意攻击带来的损失；应急响应组织也可以从网络安全态势中了解所服务网络的安全状况和发展趋势，为制定有预见性的应急预案提供基础。

安全态势感知的数据流图安全态势感知的数据流图数据源所提供的数据经过预处理、信息融合后，进入分析评估阶段，其中预处理阶段主要目标是数据的采集，信息融合阶段的主要目标是去伪存真，分析评估阶段的主要目标是态势感知。分析评估阶段成功的关键是“人的有效参与”，安全可视化是达到这一目标的主要途径，这也是本文所讨论的重点所在一基于可视化的安全态势感知，包括数据变换、图形布局、交互和动画四个方面的内容，流程如下图所示：

3.2系统架构网络设备业务服务器防火墙/UTM探测系统Web服务器Unix主机图1.上海君众甲匠综合态势感知平台功能架构示意图系统管理3.2系统架构网络设备业务服务器防火墙/UTM探测系统Web服务器Unix主机图1.上海君众甲匠综合态势感知平台功能架构示意图系统管理自定义Portal状态监控业务组件监控配置管理3.3系统组成数据采集平台负责数据的采集、标准化、聚并、过滤、代理监控、数据转发等工作，是上层安全态势感知的数据提供者。数据采集平台在所管理的网络中通过部署采集代理，利用各种标准或非标准的网络协议，采集各种设备和系统（防病毒系统、入侵检测系统、漏洞扫描系统、身份认证服务器、应用服务器、数据库等）的事件、攻击行为、上网行为等，并对该原始信息进行范化（格式标准化）、过滤合并、转发，为上层态势感知提供数据。对新出现不支持数据采集的设备和系统，可通过动态的代理部署和加载机制，迅速定制实现数据采集。同时采集中心实时监控代理及所在设备运行的运行状态，确保数据采集的连续性和可靠性。3.3.1态势感知分析中心态势感知分析中心是态势感知系统的核心，主要功能是负责对接收来自采集中心的数据，根据配置的分析策略进行审计分析、数据挖掘和统计分析。3.3.2态势感知显示管理中心态势感知显示管理中心是态势感知系统的统一人机交互平台，以Web方式支持各功能模块的显示和管理。综合显示管理中心提供多种形态的信息显示和管理方式，个性化的门户Portal、自定义桌面，简易明了的审计结果可视化呈现及行为追溯展示，同时具备高效的检索、排序查询功能。3.3.3数据存储中心数据存储中心负责对原始数据、范化后的标准数据、攻击行为、审计结果数据、报表等信息的存储，以供分析和查询，同时负责数据库的管理与维护上海北京杭州网络设备应用服务器数据库服务器网络设备应用服务器数据库服务器网络设备应用服务器数据库服务器网络安全设备网络安全设备网络安全设备数据探测系统IP承载网数据探测系统深圳深圳上海北京杭州网络设备应用服务器数据库服务器网络设备应用服务器数据库服务器网络设备应用服务器数据库服务器网络安全设备网络安全设备网络安全设备数据探测系统IP承载网数据探测系统深圳深圳网络安全设备3.4项目部署本次项目部署层面可分解为由数据库服务器，Web运维服务器，分析服务器，数据采集服务器，前端数据探测系统，运维终端组成；可根据实际网络规模和结构进行灵活的部署。本次项目在深圳部署一套采集分析服务器，在上海、深圳各部署1套安全数据探测系统，网络安全设备（防火墙、入侵检测等）及linux服务器通过各网络安全厂家标准安全数据外发接口获取安全数据信息，windows通过安装态势感知插件（插件不超过1M，不影响原有服务器运行）搜集安全数据信息，所有网络安全信息采集流量不影响原有网络运行。本次项目的部署如下图所示：维护终端数据库■服务器维护终端数据库■服务器Web 采集分析服务器~~服务器网络设备应用服务器数据库服务器^）00

4系统功能4.1门户Portal态势感知系统管理门户包括个人工作台、综合视图两部分，它是综合态势感知平台的访问入口。能够以灵活的展现方式为不同用户角色提供不同功能模块的视图展现。个人工作台：提供系统功能的集中展现，包括但不限于审计告警视图、数据管理视图、感知策略管理视图等内容。个人工作台支持灵活的个性化定制，可由用户自定义界面风格及展现栏目，满足用户的不同使用需求，如根据用户不同角色制定领导视图、审计管理员视图。领导可以从宏观的角度了解网络整体态势感知的状态和态势，安全网络管理人员可以上至宏观下至微观把控整个所有态势感知情况，而普通员工也可以了解到自己所负责的安全资产的安全情况。综合视图则是聚合用户重点关注的各项子功能和数据，形成各种监控视图、分析视图和配置管理视图，作为登录平台后的首先展示的内容。4.2安全对象管理安全对象管理包括安全对象维护和安全对象模型管理安全对象是综合态势感知平台进行审计管理的对象统称，描述了安全对象的定义、分类、属性、关系等内容，包括服务器、网络设备、安全设备、终端设备、系统、应用软件、重要数据等。是实施态势感知的目标对象。也是本平台中数据管理、审计管理等功能模块依赖的基础。安全对象模型管理，负责创建对象模型，定义安全对象类型、属性以及数据字典，每一类安全对象都是一个通过安全对象模板定义出来的具体实例。模型定义主要包括安全对象类型和安全属性两方面，从对象的实体或逻辑特征进行分类，包含业务系统、设备、软件、数据等类型，每类均可进行类型扩展，并且根据不同类型之间隐含的逻辑关系建立相应的关联关系。安全属性分预置固定属性和扩展属性，不同类型对象的安全属性各不相同，差异性取决于安全对象的分类方式。在综合态势感知平台中，能支持每类安全对象安全属性的扩展功能，以满足态势感知需要。4.3采集管理采集管理是指通过各种采集协议或接口方式，以分布式部署采集代理方式，在运维管理的网络中各种节点上（应用服务器主机、防病毒服务器、入侵检测系统、漏洞扫描系统、身份认证服务器和防火墙等）获取安全数据信息，通过君众网络安全探测系统对端口扫描攻击、木马后门、拒绝服务攻击、蠕虫、木马、缓冲溢出、Web攻击、访问控制攻击、SQL注入攻击、P2P、IM、流媒体、网络游戏以及其他违规行为进行探测，最后通过内部消息通道上传到综合态势感知平台进行集中处理。包括采集组件的添加、删除、启动、停止、策略下发、组件状态监控等功能4.4级联管理态势感知系统支持分布式并行计算和部署，所有组件都可根据实际安络规模和特点灵活动态的分级、分层部署。级联管理可以将所有组件通过统一的消息通道串联起来，再通过平台统一的策略和管理机制，将所有组件有效的融合统一起来，发挥平台整体运维效果。4.5数据管理数据管理包括数据标准化、信息补全、数据存储、查询分析等功能。数据标准化是指通过范化规则，将采集上来的信息与格式不统一的原始数据，提取所有可以提取的信息，转换成统一标准的数据格式，并映射成平台统一数据库，以方便后续各类分析模型进行统一的审计分析。信息补全是指针对原始数据在记录的时候无法全面记录必要的相关信息，需要从用户，安全对象等维度进行缺失内容的补全，以便为后续分析提供更加完整、准确的数据数据存储是数据信息持久化的过程，通过分布式结构化和非结构化两种存储体系来存储不同类型数据，既方便存储体系的扩展，也有利于后续深入的数据挖掘和分析。查询分析功能是网络管理人员的关注重点，平台提供多种形式的数据分析与展示，以达到数据的可视化展示，包括数据列表、统计图表、数据仪表盘等。此外，还能够基于各种维度的查询、备份、维护，并生成审计报表。4.6过滤合并管理过滤合并是按照数据的可信度和重要程度以及资产重要程度，通过过滤合并规则对数据进行过滤或者合并，降低数据噪音，形成关键资产数据库，为后续分析提供更加准确的数据基础4.7感知策略管理感知策略是根据感知目标制定的规则，目的是通过规则挖掘出隐藏在海量数据信息中威胁信息，使得安全透明和可视化。感知策略分实时策略和事后策略，实时策略针对实时数据，可以实时发现数据中隐藏的风险和问题，其针对的事件所归属的时间窗口较短，事后策略则针对已经经过持久化存储的任意长时间窗口海量事件的事后分析，可以更有效和全面的分析和挖掘数据中潜藏的风险和问题。本平台的感知策略对应的核心数据分析引擎基于数据库Rete算法，在确保计算资源的高效利用和卓越分析性能的前提之下，可支持自定义各种审计模型，分关键字、统计和复杂的多层关联分析策略，即可通过不同类型数据集合间相似性的比较，挖掘大规模数据间的关联关系，从而发现网络中潜在的威胁操作，并通过追溯机制，发现产生威胁的源头，方便网络管理人员采取相应安全措施，解除安全威胁。4.8任务调度管理任务调度管理是是否态势感知分析的驱动器，通过作业设定感知策略的执行时间和执行频率，作业设定后可将任务作业下发给作业引擎，作业引擎根据任务的时间信息定时开展态势感知任务。同时态势感知作业可以根据实际网络管理需求进行启动、暂停和终止等操作。网络管理人员可以通过任务管理页面查看执行中任务的具体信息，包括任务的时间信息、策略信息以及最终的告警信息。4.9感知系统告警管理告警，是感知系统的结果信息，网络管理人员需要核实和处理的信息，往往意味着网络中违规行为的发现。综合感知系统告警管理是运维平台的业务核心所在。感知系统告警管理的另一特点是可以对审计结果进行筛选，只保留符合条件的态势感知信息，其次对同类型分析结果进行合并，从而使得管理人员看到的感知信息是精简而聚焦的，并且可以根据感知信息追溯机制溯源至产生该结果的原始数据信息，有助于感知结果原因的快速定位和问题解决。告警分实时告警和事后告警。4.10用户管理用户管理包括账号管理、权限管理、统一认证、系统审计、资源管理。账号管理用以维护平台所有用户的账号信息，是访问平台的唯一标识ID。分配的每一个账号登录系统后可以自己修改账号密码。权限管理用以对账号管理创建的用户进行权限维护，所有用户可以根据所归属角色从而拥有相应的功能权限，也可以单独分配权限；角色可以根据实际网络环境进行自定义，并对角色进行功能权限的分配。统一认证用以平台用户的登录认证，统一认证模块是独立组件，非本平台业务系统也可以根绝标准接口调用本平台的统一认证接口进行认证，实现单点登录的目的。系统审计主要作用是记录系统中的各种操作。以此形成审计信息，方便管理员在日后的使用中维护该系统。资源是平台可用于授权的功能最小颗粒度的所有集合的总称，是对用户授权的依据。资源管理展示了所有可用于授权的资源。4.11系统管理系统管理包括自定义Portal、状态监控、业务组件监控、配置管理。自定义Portal用以配置符合用户自身操作习惯的门户样式和内容，用以提高用户工作效率。状态监控是监控所有业务所在服务器的状态，包括cpu、内存、磁盘，还有数据库表空间利用状况。方便用户对系统环境进行维护。业务组件监控可以通过视图方式帮助了解平台所有业务组件的运行状况，通过心跳监控来确定业务组件的运行是否正常，帮助管理人员确保平台自身的正常运行。配置管理用以对平台环境运行参数进行设置，目前可以进行帮助文档的上传和下载。4.12报表管理报表管理用以呈现最终感知汇总信息，可以自定义从各个维度来汇总、统计、分析审计状况。作为阶段性审计成果的总结和展示，并为下阶段网路优化工作提供决策依据。报表管理提供在线和离线报表两种类型，都可以自定义模板方式呈现管理员关注的安全结论。4.13自身安全保障综合态势感知平台作为审计网络行为的安全平台，必须确保自身也是安全的，应最大程度不能被黑客攻破和利用。所有程序编码采用安全编码机制，并经过渗透测试验证，确保程序自身没有漏洞可以被黑客利用。采用经过加固的Web应用服务器和数据库，Web访问采用https方式•和所有安全设备之间进行可选的加密方式确保安全的通信•所有组件之间采用私有协议的安全消息通道机制•关键配置信息加密存储综合态势感知平台解决方案.5功能特色5.1特色的分布式、跨平台组件架构君众态势感知系统使用自主研发的消息中间件和分布式体系架构，通过统一的消息通道，各组件支持分布式部署和并行计算，平台所有业务组件采用自定义标准插件模式，以配置的方式进行加载，不仅可以灵活部署，还可以根据网络规模，随时扩容计算资源，与网络环境同步发展，从而满足安全计算的要求。平台采用标准C++和JAVA语言开发，可以同时支持在windows和linux上部署。5.2灵活、强大的信息采集能力态势感知系统收集各种设备的安全数据信息及君众安全探测系统主动探测安全数据信息。支持的管理对象涵盖网络设备、主机系统和安全系统；安全产品包括防火墙系统、入侵检测、安全网关、漏洞扫描系统、防病毒系统、网络安全审计、身份认证系统等；网络产品包括路由器、交换机等；操作系统包括Windows操作系统、Solaris操作系统、Linux操作系统等；应用包括Oracle数据库、WebLogic、等各类上层应用。系统目前支持的采集方式包括：SyslogSNMPTrap•数据库（ODBC）•文件（http、ftp）SNMPv1、v2、v3君众数据探测系统平台可根据实际网络中数据产生的方式，以插件的方式定制个性化数据采集引擎，数据可无缝接入平台。5.3个性化的关联分析建模技术国内独有的基于Rete算法的审计分析引擎，支持复杂的多层审计要求，实际网络中的安全违规行为非常复杂，态势感知的审计分析技术可以满足各种复杂的安全行为建模，以便协助网络管理人员挖掘各种潜在的网络危险行为，排除安全隐患。

6配置清单服务器端硬件环境（3台）处理器CPU型号：XeonE5-26202.4GHz标配CPU数量：2颗内存32GB硬盘SATA1T硬盘（数据库服务器配置32T硬盘）网卡2个千兆软件环境操作系统RedhatEnterp