数据中心风险洞察系统 RIS

０引言随着网络安全法、等保2.0、ISO27001、上市企业法规、银保监办[2018]313号便函等合规性政策的陆续出台和收紧，数据中心运维管理领域的合规建设需求以及安全管理需求越发凸显。数据中心风险洞察系统（DatacenterRiskInsightSystem，RIS），基于账号、资产、操作审计等维度的数据采集和智能分析，及时发现数据中心运维风险并准确溯源，实现数据驱动的多场景运维安全管理。RIS以特权账号管理、资产安全管理、终端安全管理、堡垒机（操作安全管理）为基础组件，采用大数据分析、机器学习、大数据检索技术，配合工作流、调度、搜索三大引擎构建数据分析层，为组织建立数据中心运维安全管理平台，面向政府、金融、电力、企业、互联网等行业组织的数据中心构建最强防御体系。１理念和架构1.1

设计理念图1RIS产品设计理念数据中心风险洞察系统RIS以“数据驱动运维安全管理”为核心设计理念，通过纵向的分层数据采集完成多维度风险分析；基于横向的“4w模型”（什么时间“when”、谁“who”、做了什么“what”、在哪里“where”），

对数据进行关联分析，发现潜在异常行为。设计理念如图1所示。1.2

产品技术架构

图2RIS产品技术架构

如图2所示，RIS采用三层架构设计，依次实现了对数据中心管理数据的自动化数据采集、数据分析和数据应用，帮助用户解决在管理过程中存在的身份不明、权限混乱、日志不可溯、横向攻击、弱口令、僵尸账号、窃取数据等问题。数据采集：提供网关代理、API、数据引擎多种采集技术获用户、操作、资产、账号的数据。数据分析：采用大数据分析、数据挖掘等技术手段，借助工作流引擎、调度引擎、搜索引擎对采集的运维数据进行分类、分析、流程化处理。数据应用：对运维操作流程进行“切片”处理，从事前、事中及事后三个方面多维度解决现阶段用户面临的一系列运维安全问题。1.3

系统功能架构（1）账号安全管理系统引入用户帐号概念，实现主从帐号管理，从而有效解决因系统帐号共享使用带来的身份不唯一的问题。通过用户管理功能，可对用户角色分权、用户认证及身份识别进行集中统一管理。同时，支持用户自定义分权管理的同时考虑认证多样化，支持多种认证方式共存、组合。除此之外，通过加强用户认证安全，满足对身份识别安全管理规范。（2）操作安全管理基于用户、设备、系统帐号、协议类型、登录规则的严格访问控制设置，有效规避非授权访问带来的问题；通过密码托管和自动改密，使得密码管理规范能有效落地，避免了因人员的流动还会导致设备密码存在外泄的风险；利用实时监控和实时切断功能，使得运维管理摆脱了“黑匣子”模式，管理员可以随时掌握用户当前的操作状态，一旦发现高危操作立即进行阻断；具备完善的操作审计，在设备因人为操作导致故障的时候，能够快速定位故障原因和责任人；产品功功能满足安全等级保护、SOX、ISO270001、BS7799等安全规范对运维操作管理的要求。（3）资产安全管理对用户业务系统所属的服务器主机、网络设备、数据库、应用系统等资源进行统一管理。支持以可视化方式自定义业务系统架构，并以树状结构方式展示资产视图，并提供目标资源、业务系统灵活管理参数配置等基础功能（设备名、IP、系统账号、密码等）。２关键技术（1）风险行为关联分析RIS属于数据驱动的安全分析平台，针对负责不同的安全模块中的风险数据进行提炼与自动响应，解决数据中心在管理过程中因安全数据孤岛无法快速响应与自动处置的风险。具体行为分析思路如图3所示。图3RIS产品行为分析

（2）机器学习与自动建模基于采集到的海量数据进行训练，自动学习和建立行为数据表、结果字段表、用户画像表、关联数据表等，再利用表与表之间的相同数据做关联，如图4所示，形成新数据模型，从而不断优化模型，增加风险防护维度，提升管理效率。

图4RIS产品自动学习与建模（3）大数据检索技术基于ES、PSQL等大数据索引技术和大数据仓储技术提升海量大数据检索能力，如图5所示，通过将索引数据缓存在内存中，部分查询可以直接在内存中直接命中索引任务中的结果数据，从而降低存储访问的开销，提高整体检索性能。图5RIS产品大数据分析技术３创新能力（1）管理方式的创新数据中心风险洞察系统RIS创新亮点在于实现了运维自动化创新，包括人员管理的自动化、资产管理的自动化、权限管理的自动化。产品自带200

多种API接口，能够完成对各种系统的对接工作（

如OA、CMDB、AD、LDAP、OPENSTACK、ANSIBLE等），实现自动化运维。在结合自身的动态授权功能时，可在用户使用AD/CMDB或其他系统增减用户/

资产操作的同时，自动化完成用户/

资产/

权限的配置动作，真正实现自动化运维工作。此外，还可以通过创新的自动化技术来满足虚拟化环境中动态管理的要求。（2）部署方式的创新RIS创新性地实现了多个数据中心集中管理与高可用的部署模式，采用“多站点+多A集群”的技术实现运维管理的连续性，提升异地管理的效率，保障运维管理的安全。这种跨地域的集群部署方案尤其可以面向金融高端机构，解决两地三中心典型数据中心集中管理与高并发运维等难题。（3）感知能力的创新RIS作为最顶层的数据应用平台，其价值不仅仅在于数据的分析能力，也拥有独特的行为轨迹风险感知能力。RIS基于“人（账号）、事（行为）、物（资产）”三大关键维度，有效地将账号安全模块、操作安全模块、资产安全模块进行纵横多维分析，帮助组织在数据中心构建“最后一道防线”。４产品优势（1）多维度智能采集，准确实时更新数据中心风险洞察系统RIS多视角数据动态采集，实现数据中心主机、中间件、数据库、网络设备等全量资产的自动发现，构建立体全景视图，全象限资产管理；自动跨层多维数据检测，实现全方位系统督查。（2）大数据可视化分析，威胁态势感知RIS通过海量实时分析功能，准确识别各类运维风险；结合机器学习与关联分析，及时发现数据中心各类未知威胁；通过自定义可视化管理平台，多场景顺畅切换，实现威胁的快速准确感知。（3）细粒度权限控制，提升组织安全管理水平通过RIS的访问规则、命令权限等事前控制机制，有效减少误操作发生的概率，保障业务人工管理的可靠性，提升内部管理水平。（4）洞察数据中心风险，监督组织内部管理工作RIS实时监控数据中心的访问来源、操作行为、资产状态，减少组织内部管理工作的纰漏；通过多维度数据分析与展示，让数据中心管理人员全局洞察数据中心的运营行为，实现风险的全掌握。（5）安全合规解决方案，保障业务高可靠RIS研发之初就严格遵循信息安全国家政策法规和行业法规，进行架构功能设计，能够全面支持各行业安全管理要求：满足公安、金融、电力等各行业安全保护法案法规；同时，满足国家政策法规要求：符合网络安全法、《信息安全等级保护管理办法》以及国家主管部门对于关键信息基础设施防护的相关条例。５结语数据中心风险洞察系统RIS首创数据中心安全管理架构和方法论，为用户构建数据中心安全管理平台提供理论依据。产品目前已在OPENSTACK、A