网络安全支撑平台

SSP解决方案第页Alphachn网络安全支撑平台背景由于网络规模庞大、系统复杂，其中的各种网络设备、服务器、工作站、业务系统、支撑系统都存在着超常的复杂性、多样性。随着安全越来越受到重视，安全子系统也逐步发展到复杂和多样的系统，这些安全子系统通常首先在各个业务系统中独立建立，然后随着安全管理的规模和成本的不断上升逐步发展到产生了整个企业建立一致的安全管理体系的需求，网络安全支撑平台（SecuritySupportingPlatform简称SSP）正是满足这种需求，为企业安全整合提供解决方案，通过最佳的安全技术和最佳的安全实践帮助用户从分散的安全审查实现集中管理与决策。SSP解决方案帮助用户解决以下的问题：分散的管理增加管理成本和管理难度作为一个新兴的、覆盖范围极大技术领域，信息安全可以划分为众多的细分领域，例如防火墙、入侵检测、漏洞扫描、认证和授权、加密、防病毒、VPN、PKI、内容过滤等等，每个领域内均有最好的厂商和解决方案供应商，企业往往根据自身的需求，选择其中最优秀的产品，这就造成了这样一种现象：安全产品和厂商基本均为基于“点”的解决方案，即基于某一安全细分领域的解决方案，这些解决方案都需要单独购买、实施和管理。这种情况下，随着使用产品种类和数量的增加需要不断增加管理和维护人员，管理成本往往呈指数级的增加，但是管理效率却仍然存在瓶颈，特别是多种数据不能相互沟通和关联更加剧了这一现象，这些问题导致对集中化管理的要求；安全信息和知识的共享水平较差以往的观念往往认为，“安全是安全管理人员的事情”，目前，这种情况正在极大地改善，越来越多的企业通过安全策略明确地定义不同人员在安全组织中所处的位置和应该担负的责任，与之不能相称的是，目前的安全产品仍然往往仅仅提供安全管理员的角色和视图，不能让普通系统管理员参与到安全管理和安全信息的共享中来，必须建立一种让所有的IT人员能够使用和监控与他们相关的安全信息的系统，让整个安全组织，而不仅仅是安全管理员为网络的安全负责海量事件某企业在一次病毒爆发的过程中在一天内产生了二千万的入侵检测告警，在这样的告警量水平情况下，管理员往往疲于应付，并且容易忽略一些重要但是数量较小的告警，尽管海量事件分析的需要的技能并不很高超，但如果仅仅依靠安全管理员人工分析，需要占用大量人员，而且容易出错。必须将规则化的分析让机器来实现，管理员和安全专家可以专注于更为复杂的分析。海量事件是现代企业安全管理和审计面临的主要挑战之一缺乏智能告警的信息是一台服务器受到某种windowsRPC病毒的攻击，而事实上该服务器是Unix服务器；传统的网络IDS事件告警无法分析当服务器受到攻击时攻击是否成功；无法通过发现攻击者的一系列组合攻击从而提高告警级别…….以上的种种问题提示我们，孤立的事件无法为我们揭示问题的本质，必须有更加智能的分析方法，它可以分析多个事件的之间的联系，可以将不同的数据来源关联起来，可以将各种数据和知识关联起来；总而言之，企业需要智能化的处理方式，需要极大地提高效率，需要防止误报。必须改变以事件为中心的视角现有的安全产品往往以安全事件为视角，用户第一眼看到的是各种各样的事件，但实际情况是，用户关注的核心不是事件本身，而是他们的资产是否受到了保护，需要保护的关键资产是否受到了威胁。因此必须改变以事件为中心的视角，以用户关心的核心资产为中心，提供面向资产的、基于安全健康指标的告警服务安全知识的不足。各种各样的产品提供了大量的安全机制，但是无论是关联、分析还是响应，都必须建立在知识的基础上。这些知识有些是通用的，可以来自供应商，有些是与客户实际环境密切相关的，必须来自实际生产环境，必须保证这些知识的不断积累，才能真正实现智能化。安全响应能力不足对安全响应的要求包括：发现问题后必须能快速找到解决方法并最快速度进行响应，响应的过程中要求明确响应的责任人、响应办反并反馈响应结果，对安全事件响应的整个过程必须有记录和考核；建立一支有经验的响应队伍，这个队伍包括内部人员和外部专家支持；支持自动化的响应和通知手段。对这些问题的深刻认识，都促使我们认识到，必须进一步发展安全体系，在现有产品体系的基础上架构集中的管理解决方案，因此我们首先提出了网络安全支撑平台（SecuritySupportingPlatform）解决方案，提供一个整体性、智能性的安全管理决策解决方案。（二）SSP概念网络安全支撑平台通过将网络安全产品进行集成,从而提供一种能够实现安全监控功能的基础平台。它的目的是提供一种集中式、有组织的,能够更好地进行监测和显示的框架式系统。网络安全支撑平台明确定位为一个集成解决方案,其目标是支撑丰富的、强大的各种安全程序(包括Snort、Rrd、Nmap、Nessus以及Ntop等系统安全软件)。在一个保留他们原有功能和作用的开放式架构体系环境下,将他们集成起来，将它们的审查信息整合起来。而网络安全平台项目的核心工作在于负责集成和关联各种产品提供的信息,同时进行相关功能的整合，包括大数据挖掘，使审查管理更加高效，使网络安全决策更加准确。

（三）结构体系从过程上考虑,安全可以分为评估、防护、检测、响应这四个步骤。但是问题在于这四个步骤属于一个动态、无缝过程,而所有的安全产品只是针对单一安全问题,如何将现有的安全工具进行综合利用并将他们无缝综合,这就是SSP的核心功能。

SSP由数据收集、监视、检测、审计以及控制台这五个模块构成。这5个模块包含了目前安全领域从事件预防到事件处理一个完整的过程,在目前的安全架构中,SSP是最为完备的。这五个功能模块又被划分为三个层次,分别是高层的安全信息显示控制面板、中层的风险和活动监控以及底层的证据控制台和网络监控,各个层次提供不同功能,共同保证系统的安全运转。

在SSP中,整个过程处理被划分为两个阶段,这两个阶段反映的是一个事件从发生到处理的不同的历史时期,这两个阶段分别为预处理阶段,这一阶段的处理主要有监视器和探测器来共同完成,它们主要是为系统提供初步的安全控制;另一个事后处理阶段,这一阶段的处理更加集中,更多的是反映在事件发生之后系统安全策略的调整和整个系统的安全配置的改进。

在SSP的架构体系中,有三个部件,这是SSP中的三个策略数据库,是SSP事件分析和策略调整的信息来源,分别为以下三种数据库:

◆EDB(事件数据库):在三个数据库中,EDB无疑是最大的,它存储的是所有底层的探测器和监视器所捕捉到的所有的事件。

◆KDB(知识数据库):在知识数据库中,将系统的状态进行了参数化的定义,这些参数将为系统的安全管理提供详细的数据说明和定义。

◆UDB(用户数据库):在用户数据库中,存储的是用户的行为和其他与用户相关的事件。

SSP的功能一共可以划分为9个层次,各个层次之间是无逢连接的,底层的数据为上层的处理提供信息来源。下图就是SSP所提供的功能的层次结构图。（四）功能模块SSP支持可定制、可装卸的网络安全支撑平台统一门户网站，这个网站主要由工作区组成，每个工作区由若干组件组成。对于工作区和组件的定义如下：工作区：工作区指用户定义的工作环境，通常用户可以将集中的功能组件定义在一个工作区内。；组件：根据预定义的组件模板，用户可以定义如何将这些组件放置在一个工作区内，组成一个用户工作环境，组件可以调用SSP核心应用层的功能实现与用户的交互典型的工作区可能包括：首页：有各种功能的摘要组成，用户可自定义控制台：主要是各种仪表板分析台：支持进行各种分析知识库：包括知识库的各种信息、各种最新讨论、最新文档、告警等系统：工作计划和调度、系统设置、维护功能等外部模块控制：链接到各外部模块进行设定和维护其他用户自定义工作区：根据用户喜好进行定义。根据需求可以分为以下类别：仪表板（额外添加）、资产信息管理模块、异常流量监控模块、安全事件监控管理模块、脆弱性管理模块、安全策略管理模块、安全预警模块、安全响应管理模块和网络安全信息模块。4.1仪表板组件该部分组件的主要目标是完成对管理员管理系统的目前安全状况的概要性评价和标识，这个部分给出的指示都是综合性的：红绿灯组件：对某一指定范围的资产和安全产品以简单的3～4个级别来进行综述。可视化监控组件：以地图和拓扑方式直观显示各个节点的状态，对于有问题的节点，可以深入到下一级的可视化组件中去，这些组件之间通过链接联系在一起。风险变化曲线图组件：用户可以指定监控一定范围内资产的风险变化，通过连续的跟踪，发现风险的变化。工具条：可以快速弹出或跳转到某个组件，可快速显示简单工单提示以及工单相关的告警级别4.2资产信息管理组件提供了一系列和资产相关的组件：资产树：提供了树状资产结构资产信息：可以在一个组件内显示一个资产的详细信息或者一组资产的信息列表，该组件里可以进一步链接到与资产相关各个组件，例如查看某一资产的漏洞、事件、对资产发动扫描等。资产查询模块：可以对资产进行查询和定位4.3异常流量监控组件该部分是特别按需求定制的模块，主要提供实时的统计图标，以下组件的定义假定流量监控系统可以实时提供流量和端口排名：实时流量显示组件：根据用户指定的数据来源，提供实时的平均流量柱状图，用户可以指定刷新的时间实时端口排名组件：根据用户指定的数据来源，提供实时的累计端口排名柱状图4.4安全事件监控管理组件实时事件监控组件：实时事件不断向上滚屏，可以设定过滤条件和监控对象。分析组件：提供查询、事后关联分析功能报表组件：集中提供各种报表（此处不限于事件）4.5脆弱性管理组件弱点浏览和查询组件：基于资产进行弱点的浏览和查询Scanner控制组件：实现scanner的配置、连接测试和启动一次实时扫描Scanner定期作业组件：配置定期的扫描的界面漏洞库检索、浏览和维护组件：可以搜索、查看、更新、修改、映射漏洞库4.6安全策略管理组件新闻组件：显示最近一段时间更新的安全策略，是新闻组件的一种安全策略浏览：可以浏览所有的安全策略和相应的基线审计脚本安全策略基线审计脚本定义：通过该组件界面自定义基线脚本审计策略定义：将可以收集策略的资产与相关的策略关联起来，指定审计后相关的漏洞。配置收集管理：管理各种配置的收集周期、口令认证、标准化设定等，这个组件连接到外部模块。4.7安全预警组件系统自动安全预警组件：系统通过定期分析，发现增长最快的告警，将其存入预警数据库，并且定期发布。人工预警管理组件：可以发布人工预警新闻组件：可以显示最新的安全通告，作为预警的一种4.8安全响应管理组件综合评价模块：实现要求的综合评价工单管理组件：在一个组件内，实现工单的发布、接收、跟踪、关闭等功能。响应方式配置组件：设置响应方式和对象4.9网络安全信息知识库工作区：知识库内容丰富，且独立于其他系统，因此我们建立了一个专门的固定页面的工作区，其工作区内不可自定义组件，但是其工作区可以通过sharepoint的功能进行自定义界面。4.10系统实施结构全国中心向省中心下发数据；省级人员在全国中心拥有的权限；全国中心人员在省中心拥有的权限；省级安全运行中心向国家安全中心上传的数据。资产数据：所有省中心登记的资产数据都必须送到全国中心进行同步统计数据：由于实际产生的漏洞、告警和事件数量非常巨大，因此，上传所有数据是不实际的